Cookies auslesen

Zaro

Joined
Sep 17, 2003
Messages
3,693
Points
270
Hi.

Ich würde gern wissen ob und wie es möglich ist aus einem Cookie, welcher logischerweise auf meinem PC lokal gespeichert wurde, mein Passwort der betreffenden Homepage rauszubekommen.

Beispielsweise der Cookie den das UF setzt damit ich die Auto-Login Funktion benutzen kann, also nicht jedesmal mein PW neu eingeben muss.

Danke im Vorraus! :)

bAshTi
 
ich glaub nicht, dass dein Passwort in Klartext unverschlüsselt auf dem Rechner gespeichert wird. Wär doch ein bissel sehr unsicher...

Du kannst das aber überprüfen indem du die "Manage Cookies" Funktion deines Browsers nutzt. Bei Opera beispielsweise findet man die Einstellung unter "Extras-->Einstellungen-->Erweitert"

Hab grade nachgeschaut, der UF Cookie speichert das PW vermutlich als MD5 verschlüsselt. Kannst dir das auch entschlüsseln lassen, aber das dauert ne Weile ;D
 
Wo die gespeichert werden weiß ich ja... und das es verschlüsselt ist hab ich mir auch schon gedacht. Gibt's denn da eine Möglichkeit das sinnvoll auszulesen?
 
md5 ist keine Verschlüsselung, sondern ein Hash. Weiterhin handelt es sich um einen Einwegalgorithmus, der keine Rückwärtsfunktion kennt ^^.

Du kannst über die "Passwort vergessen"-Funktion eine E-Mail anfordern zwecks Passworterneuerung.
 
bei firefox kann ich auf einstellungen sicherheit passwörter anzeigen. da seh ich alle passwörter von den webseiten von dene cookies gespeichert wurden
 
Der Firefox-Browser speichert die Nutzereingaben, sprich die Daten, die ihr in Formulare eingebt. Nutzerdaten werden zwecks Datenschutz generell nie in Klartext abgespeichert. Weder in der Datenbank noch in einem Cookie.
 
bei firefox kann ich mir die passwörter auf allen seiten wo ich sie zur speicherung zulasse auch unverschlüsselt ansehen...

extras > einstellungen > sicherheit > passwörter anzeigen

die seiten die ich dort freigegeben habe werden mir angezeigt und dahinter steht er loginname und dahinter wenn ich auf passwörter anzeigen gehe das dazugehörige passwort!
 
Wozu willste das eigentlich wissen?
 
-Admi- said:
md5 ist keine Verschlüsselung, sondern ein Hash. Weiterhin handelt es sich um einen Einwegalgorithmus, der keine Rückwärtsfunktion kennt ^^.

Du kannst über die "Passwort vergessen"-Funktion eine E-Mail anfordern zwecks Passworterneuerung.
Click to expand...

Wikipedia said:
MD5 (Message Digest Algorithm 5) ist eine weitverbreitete kryptographische Hash-Funktion, die einen 128-Bit-Hashwert erzeugt.
Click to expand...

Naja hast ja schon Recht, dass es eigentlich nurn Hash-Wert ist aber zum Großteil wird er halt in der kryptographie angewendet, deshalb find ich kann man auch sagen, dass es ein Vershclüsselungsalgo is.

und mit Brute Force kriegt man nach ner gewissen Zeit alles raus^^

edit: für einfache passwörter gibts datenbanken, wo du nach hashes suchen kannst. http://nz.md5.crysm.net/
 
Last edited:
@Macbeth

Firefox speichert eure Eingaben. Mehr nicht ;) Wenn du in Klartext dein PW ins Formular eingibst, dann speichert es der Firefox in seinem Manager. Er kann allerdings keine "verschlüsselten" Passwörter aus Cookies oder DBs knacken ^^ Das läuft einfach auf ner anderen Ebene.

Der PWManager ist schon ne feine Sache, auch wenns da vor kurzem mal ein Leck gab, aber mit den letzten Updates sollte das gestopft worden sein.

@Bsebear

Brute force bedeutet lediglich, dass einfach alle möglichen Variationen ausprobiert werden, was bei 128 Bit je nach Maschine ne Weile dauern kann. Eine Rückwärtige Funktion ist das auch nicht, eher der Versuch an Daten zu gelangen, die einem nicht gehören. Mehrwegverschlüsselungen werden absichtlich nicht in CMS genutzt, da dadurch ja der Sinn des Datenschutzes verloren gehen würde. Denn was man "rückübersetzen" kann, ist ja nicht sicher.

Die Frage ist eher, was mit dem PW bezweckt wird, da man ja sein eigenes recovern kann :?
 
Ich möchte hier mal klarstellen wer hier Programme oder Anleitungen postet wie man PWs knacken kann egal wovon und wofür der bekommt :gelb und das Thema hier ist dicht also benimmt euch bitte :)
 
So, klären wir es mal ganz einfach.

  1. Ein gäniger Browser ist dazu angehalten einen Cookie einer Domain ( dort wo er erstellt wurde ) zu zuschreiben und keiner anderen. Dies ist also eine technische Umsetzung des Browsers selbst, genau so gut könnte man sie auch offen ausgeben ( nur macht dies bislang kein mir bekannter ).
  2. Es ist gänige Praxis den Hashwert eines PW + Loginname oder ID zu sichern, da ja ein POST-wert ( abschicken eines Formulars ) direkt nach neuladen einer Seite erlicht, eine SESSION nach neustart / längeres nicht benutzen des Browsers erlicht und man jedoch bei jedem Start das PCs etc sich nicht ständig einloggen will.

    Also nutzt man die Cookies, da diese ja bis ihr Verfallsdatum erreicht ist vorhanden bleiben.

Nun liegt es an den Methoden, wie sicher es ist.

Ich habe seiten gesehen die das pw blank speichern, ich habe seiten gesehen die nur einen sha / md5 wert speichern.

Und ich kenne das UF und die UBZ, wo das PW mit einer zusätzlichen Zeichenkette versehen wird und dieser Hashwert gespeichert wird, wodurch es dem angreifer erschwert wird zu erkennen, welcher teil dieser zeichenkette zusätzlich hinzu kam und welcher teil das pw ist.

Es liegt also an den jeweiligen Seiten, wie sicher ein Cookie ist, da ein Cookie selbst keinen guten schutz bieten kann und die seite den inhalt komplett selbst bestimmt.
 
Osbes said:
Und ich kenne das UF und die UBZ, wo das PW mit einer zusätzlichen Zeichenkette versehen wird und dieser Hashwert gespeichert wird, wodurch es dem angreifer erschwert wird zu erkennen, welcher teil dieser zeichenkette zusätzlich hinzu kam und welcher teil das pw ist.

Es liegt also an den jeweiligen Seiten, wie sicher ein Cookie ist, da ein Cookie selbst keinen guten schutz bieten kann und die seite den inhalt komplett selbst bestimmt.
Click to expand...

nice :top
 
dabei ist das system recht simpel, denn der hashwert wird wie folgt erzeugt.

md5( md5( PASSWORT ) . ZUSATZ )

der schutz ist aber schon dadurch enorm, das der erste teil des Passwortschutzes ( also der nach dem ersten md5 hashwert ) IMMER eine 35 Zeichen lange Zeichenkette ist.

nämlich einmal der md5-wert des Passwortes + einen 3 zeichen langen zusatz ( welcher jedes gültige ASCII-Zeichen enthalten kann ).

Somit müsste ein angreifer sämtliche kombinationen eines 35 Zeichen langen PW ausprobieren und dabei jedes möglche ascii-Zeichen beachten, was einen bruteforce angriff sehr erschwert...

um genau zu sein haben wir 1,467187215*10^83 mögliche kombinationen.
im vergleich ein 12 stelliges pw mit groß, klein, zahl , sonderzeichen
5,81229553*10^28

wenn du also jede kombination eines 12 stelligen pw in 1 sec erzeugen könntest bräuchtest du für ein 35 stelliges 2,5*10^54 Fach mehr sekunden.
und wie wir alle wissen dauert es weitaus mehr als eine sekunde um 5,81229553*10^28 mögliche kombinationen zu erstellen...
 
Noch besser wird das ganze, wenn PHP in Version 6 lernt Unicode einzusetzen. Dann gibt es einen Zeichenvorrat von derzeit etwa 99000 Zeichen im Gegensatz zu den 128 Zeichen des ASC II. Würde md5 dann Unicodefähig sein, dann :D adieu brute force.

Aktuelle Forensysteme wie VBB, WBB, PHPBB und IPB werden ihre Daten sicherlich gut schützen, so dass sich Dekodierversuche allein der Zeit wegen nicht lohnen.
 
ch könnte mir auch anstelle von
md5( md5( PASSWORT ) . ZUSATZ )

md5( md5( PASSWORT ) . md5 ( ZUSATZ ) ) vorstellen, 64 Zeichen ^^

dann ist aber wieder die frage, ob es nicht zu kollisionen kommt ...
 
md5 ist zum Verschlüsseln da? Also ich hatte bisher nur im Zusammenhang mit Prüfsummen damit zu tun. Wenn ich z. B. den Ordner mit den Konfigurationsdateien von einem Programm oder die Installationdatei eines Programmes archivieren will, packe ich ihn erst als zip-, tar.gz- oder tar.bz2-Archiv und lasse hiervon dann die md5-Prüfsumme (oder alternativ sha-Prüfsumme) berechnen und das Ergebnis als md5-Textdatei beilegen. Die *.md5-Datei ist dabei so eine Art "Fingerabdruck" des zip-/tar.gz-/tar-bz2-Archivs. Damit kann ich auch Monate später noch prüfen ob die Datei noch in Urzustand ist und sie zwischenzeitlich nicht defekt ist oder verändert wurde. Eine Datei zu verändern und bei der veränderten Datei die gleiche Prüfsumme zu erhalten ist so gut wie unmöglich.

Die Datei an sich wird dabei nicht verschlüsselt und auch die vom Prüfsummenprogramm erstellte *.md5-Textdatei ist nicht verschlüsselt und kann mit einem beliebigen Texteditor gelesen werden. Damit wird nicht verhindert, dass die Datei gelesen wird, es wird halt nur dafür gesorgt, dass evtl. Manipulationen an der Datei auffliegen.

Kann natürlich sein, dass md5 im Zusammenhang mit Internetseiten einen anderen Zweck erfüllt, so genau kenn ich das Programm nun auch nicht.
 
der grund warum du es hashst und nicht verschlüsselt ist, dass du das orig. pw weder brauchst noch blank speichern solltest, daher vergleicht man nur die gehashte eingabe des users mit dem gespeicherten hashwert.

verschlüsseln würde ich es ja nur, wenn ich es auch wieder entschlüsseln muss.
 
You must log in or register to reply here.

Similar threads

Kasian
Starfield - Planlos durchs Weltall
Replies
5
Views
578
freezy
freezy
Zusammenstellung: Wie mache ich meinen PC sicher? von Bernd Homberg
2
Replies
21
Views
15K
4ZerosD3stroyer
mope7
was wir alles aus Filmen wissen °_°
Replies
8
Views
1K
stefros
stefros
Thunderskull
  • Locked
  • Sticky
Probleme mit Command & Conquer Tiberium Wars Lösungen / FAQ
Replies
2
Views
82K
Kasian
Kasian
Thunderskull
  • Locked
Erste Hilfe
Replies
2
Views
12K
Thunderskull
Thunderskull
Back
Top Bottom