+ Antworten
Ergebnis 1 bis 19 von 19

Cookies auslesen

Eine Diskussion über Cookies auslesen im Forum Technik Ecke. Teil des Off Topic-Bereichs; Hi. Ich würde gern wissen ob und wie es möglich ist aus einem Cookie, welcher logischerweise auf meinem PC lokal ...

  1. #1
    Hauptfeldwebel
    Avatar von bAshTi
    Registriert seit
    17.09.2003
    Beiträge
    3.693

    Frage Cookies auslesen

    Hi.

    Ich würde gern wissen ob und wie es möglich ist aus einem Cookie, welcher logischerweise auf meinem PC lokal gespeichert wurde, mein Passwort der betreffenden Homepage rauszubekommen.

    Beispielsweise der Cookie den das UF setzt damit ich die Auto-Login Funktion benutzen kann, also nicht jedesmal mein PW neu eingeben muss.

    Danke im Vorraus!

    bAshTi

  2. #2
    UF Supporter
    Avatar von BseBear
    Registriert seit
    27.09.2003
    Ort
    Stuttgart
    Alter
    31
    Beiträge
    3.945
    Name
    Michael
    Nick
    bsebear
    ich glaub nicht, dass dein Passwort in Klartext unverschlüsselt auf dem Rechner gespeichert wird. Wär doch ein bissel sehr unsicher...

    Du kannst das aber überprüfen indem du die "Manage Cookies" Funktion deines Browsers nutzt. Bei Opera beispielsweise findet man die Einstellung unter "Extras-->Einstellungen-->Erweitert"

    Hab grade nachgeschaut, der UF Cookie speichert das PW vermutlich als MD5 verschlüsselt. Kannst dir das auch entschlüsseln lassen, aber das dauert ne Weile ;D

  3. #3
    Hauptfeldwebel
    Avatar von bAshTi
    Registriert seit
    17.09.2003
    Beiträge
    3.693
    Wo die gespeichert werden weiß ich ja... und das es verschlüsselt ist hab ich mir auch schon gedacht. Gibt's denn da eine Möglichkeit das sinnvoll auszulesen?

  4. #4
    md5 ist keine Verschlüsselung, sondern ein Hash. Weiterhin handelt es sich um einen Einwegalgorithmus, der keine Rückwärtsfunktion kennt ^^.

    Du kannst über die "Passwort vergessen"-Funktion eine E-Mail anfordern zwecks Passworterneuerung.

  5. #5
    Major
    Avatar von Ghosttalker
    Registriert seit
    24.12.2003
    Alter
    29
    Beiträge
    9.226
    bei firefox kann ich auf einstellungen sicherheit passwörter anzeigen. da seh ich alle passwörter von den webseiten von dene cookies gespeichert wurden

  6. #6
    Der Firefox-Browser speichert die Nutzereingaben, sprich die Daten, die ihr in Formulare eingebt. Nutzerdaten werden zwecks Datenschutz generell nie in Klartext abgespeichert. Weder in der Datenbank noch in einem Cookie.

  7. #7
    UF Supporter
    Avatar von MacBeth
    Registriert seit
    21.12.2004
    Ort
    Vahldorf
    Alter
    32
    Beiträge
    38.259
    Name
    Patrick
    Nick
    MacBeth
    Clans
    3 2 1 Hasselhoff
    bei firefox kann ich mir die passwörter auf allen seiten wo ich sie zur speicherung zulasse auch unverschlüsselt ansehen...

    extras > einstellungen > sicherheit > passwörter anzeigen

    die seiten die ich dort freigegeben habe werden mir angezeigt und dahinter steht er loginname und dahinter wenn ich auf passwörter anzeigen gehe das dazugehörige passwort!
    Das Vertrauen unter Freunden ist ein sehr empfindlicher Zustand. Zuneigung, Gefühl, Erkenntnis, Hoffnung und Glaube halten ihn im Gleichgewicht. Ohne Vertrauen ist das Leben bitter und leer, dieses zerbrechliche Band auf die Probe zu stellen, ist gefährlich. Und obwohl das Vertrauen daran wachsen kann, stellt sich immer die Frage, ob es der Probe überhaupt standhält.

  8. #8
    UF Stubenkater
    Avatar von Thunderskull
    Registriert seit
    01.11.2004
    Ort
    Hückeswagen
    Alter
    33
    Beiträge
    25.801
    Name
    Christian
    Clans
    Bruderschaft von Nod
    Wozu willste das eigentlich wissen?

  9. #9
    UF Supporter
    Avatar von BseBear
    Registriert seit
    27.09.2003
    Ort
    Stuttgart
    Alter
    31
    Beiträge
    3.945
    Name
    Michael
    Nick
    bsebear
    Zitat Zitat von -Admi- Beitrag anzeigen
    md5 ist keine Verschlüsselung, sondern ein Hash. Weiterhin handelt es sich um einen Einwegalgorithmus, der keine Rückwärtsfunktion kennt ^^.

    Du kannst über die "Passwort vergessen"-Funktion eine E-Mail anfordern zwecks Passworterneuerung.
    Zitat Zitat von Wikipedia
    MD5 (Message Digest Algorithm 5) ist eine weitverbreitete kryptographische Hash-Funktion, die einen 128-Bit-Hashwert erzeugt.
    Naja hast ja schon Recht, dass es eigentlich nurn Hash-Wert ist aber zum Großteil wird er halt in der kryptographie angewendet, deshalb find ich kann man auch sagen, dass es ein Vershclüsselungsalgo is.

    und mit Brute Force kriegt man nach ner gewissen Zeit alles raus^^

    edit: für einfache passwörter gibts datenbanken, wo du nach hashes suchen kannst. http://nz.md5.crysm.net/
    Geändert von BseBear (22.03.2007 um 20:35 Uhr)

  10. #10
    @Macbeth

    Firefox speichert eure Eingaben. Mehr nicht Wenn du in Klartext dein PW ins Formular eingibst, dann speichert es der Firefox in seinem Manager. Er kann allerdings keine "verschlüsselten" Passwörter aus Cookies oder DBs knacken ^^ Das läuft einfach auf ner anderen Ebene.

    Der PWManager ist schon ne feine Sache, auch wenns da vor kurzem mal ein Leck gab, aber mit den letzten Updates sollte das gestopft worden sein.

    @Bsebear

    Brute force bedeutet lediglich, dass einfach alle möglichen Variationen ausprobiert werden, was bei 128 Bit je nach Maschine ne Weile dauern kann. Eine Rückwärtige Funktion ist das auch nicht, eher der Versuch an Daten zu gelangen, die einem nicht gehören. Mehrwegverschlüsselungen werden absichtlich nicht in CMS genutzt, da dadurch ja der Sinn des Datenschutzes verloren gehen würde. Denn was man "rückübersetzen" kann, ist ja nicht sicher.

    Die Frage ist eher, was mit dem PW bezweckt wird, da man ja sein eigenes recovern kann

  11. #11
    Hauptfeldwebel
    Avatar von bAshTi
    Registriert seit
    17.09.2003
    Beiträge
    3.693
    Zitat Zitat von -Admi- Beitrag anzeigen
    Die Frage ist eher, was mit dem PW bezweckt wird, da man ja sein eigenes recovern kann
    Es geht doch gar nich um das UF... Das war doch nur als Beispiel gedacht.

  12. #12
    UF Stubenkater
    Avatar von Thunderskull
    Registriert seit
    01.11.2004
    Ort
    Hückeswagen
    Alter
    33
    Beiträge
    25.801
    Name
    Christian
    Clans
    Bruderschaft von Nod
    Ich möchte hier mal klarstellen wer hier Programme oder Anleitungen postet wie man PWs knacken kann egal wovon und wofür der bekommt und das Thema hier ist dicht also benimmt euch bitte

  13. #13
    So, klären wir es mal ganz einfach.

    1. Ein gäniger Browser ist dazu angehalten einen Cookie einer Domain ( dort wo er erstellt wurde ) zu zuschreiben und keiner anderen. Dies ist also eine technische Umsetzung des Browsers selbst, genau so gut könnte man sie auch offen ausgeben ( nur macht dies bislang kein mir bekannter ).
    2. Es ist gänige Praxis den Hashwert eines PW + Loginname oder ID zu sichern, da ja ein POST-wert ( abschicken eines Formulars ) direkt nach neuladen einer Seite erlicht, eine SESSION nach neustart / längeres nicht benutzen des Browsers erlicht und man jedoch bei jedem Start das PCs etc sich nicht ständig einloggen will.

      Also nutzt man die Cookies, da diese ja bis ihr Verfallsdatum erreicht ist vorhanden bleiben.


    Nun liegt es an den Methoden, wie sicher es ist.

    Ich habe seiten gesehen die das pw blank speichern, ich habe seiten gesehen die nur einen sha / md5 wert speichern.

    Und ich kenne das UF und die UBZ, wo das PW mit einer zusätzlichen Zeichenkette versehen wird und dieser Hashwert gespeichert wird, wodurch es dem angreifer erschwert wird zu erkennen, welcher teil dieser zeichenkette zusätzlich hinzu kam und welcher teil das pw ist.

    Es liegt also an den jeweiligen Seiten, wie sicher ein Cookie ist, da ein Cookie selbst keinen guten schutz bieten kann und die seite den inhalt komplett selbst bestimmt.

  14. #14
    UF Supporter
    Avatar von BseBear
    Registriert seit
    27.09.2003
    Ort
    Stuttgart
    Alter
    31
    Beiträge
    3.945
    Name
    Michael
    Nick
    bsebear
    Zitat Zitat von Osbes Beitrag anzeigen
    Und ich kenne das UF und die UBZ, wo das PW mit einer zusätzlichen Zeichenkette versehen wird und dieser Hashwert gespeichert wird, wodurch es dem angreifer erschwert wird zu erkennen, welcher teil dieser zeichenkette zusätzlich hinzu kam und welcher teil das pw ist.

    Es liegt also an den jeweiligen Seiten, wie sicher ein Cookie ist, da ein Cookie selbst keinen guten schutz bieten kann und die seite den inhalt komplett selbst bestimmt.
    nice

  15. #15
    dabei ist das system recht simpel, denn der hashwert wird wie folgt erzeugt.

    md5( md5( PASSWORT ) . ZUSATZ )

    der schutz ist aber schon dadurch enorm, das der erste teil des Passwortschutzes ( also der nach dem ersten md5 hashwert ) IMMER eine 35 Zeichen lange Zeichenkette ist.

    nämlich einmal der md5-wert des Passwortes + einen 3 zeichen langen zusatz ( welcher jedes gültige ASCII-Zeichen enthalten kann ).

    Somit müsste ein angreifer sämtliche kombinationen eines 35 Zeichen langen PW ausprobieren und dabei jedes möglche ascii-Zeichen beachten, was einen bruteforce angriff sehr erschwert...

    um genau zu sein haben wir 1,467187215*10^83 mögliche kombinationen.
    im vergleich ein 12 stelliges pw mit groß, klein, zahl , sonderzeichen
    5,81229553*10^28

    wenn du also jede kombination eines 12 stelligen pw in 1 sec erzeugen könntest bräuchtest du für ein 35 stelliges 2,5*10^54 Fach mehr sekunden.
    und wie wir alle wissen dauert es weitaus mehr als eine sekunde um 5,81229553*10^28 mögliche kombinationen zu erstellen...

  16. #16
    Noch besser wird das ganze, wenn PHP in Version 6 lernt Unicode einzusetzen. Dann gibt es einen Zeichenvorrat von derzeit etwa 99000 Zeichen im Gegensatz zu den 128 Zeichen des ASC II. Würde md5 dann Unicodefähig sein, dann adieu brute force.

    Aktuelle Forensysteme wie VBB, WBB, PHPBB und IPB werden ihre Daten sicherlich gut schützen, so dass sich Dekodierversuche allein der Zeit wegen nicht lohnen.

  17. #17
    ch könnte mir auch anstelle von
    md5( md5( PASSWORT ) . ZUSATZ )

    md5( md5( PASSWORT ) . md5 ( ZUSATZ ) ) vorstellen, 64 Zeichen ^^

    dann ist aber wieder die frage, ob es nicht zu kollisionen kommt ...

  18. #18
    Oberstleutnant
    Avatar von Touji
    Registriert seit
    22.10.2002
    Alter
    35
    Beiträge
    11.542
    Name
    Fabian
    md5 ist zum Verschlüsseln da? Also ich hatte bisher nur im Zusammenhang mit Prüfsummen damit zu tun. Wenn ich z. B. den Ordner mit den Konfigurationsdateien von einem Programm oder die Installationdatei eines Programmes archivieren will, packe ich ihn erst als zip-, tar.gz- oder tar.bz2-Archiv und lasse hiervon dann die md5-Prüfsumme (oder alternativ sha-Prüfsumme) berechnen und das Ergebnis als md5-Textdatei beilegen. Die *.md5-Datei ist dabei so eine Art "Fingerabdruck" des zip-/tar.gz-/tar-bz2-Archivs. Damit kann ich auch Monate später noch prüfen ob die Datei noch in Urzustand ist und sie zwischenzeitlich nicht defekt ist oder verändert wurde. Eine Datei zu verändern und bei der veränderten Datei die gleiche Prüfsumme zu erhalten ist so gut wie unmöglich.

    Die Datei an sich wird dabei nicht verschlüsselt und auch die vom Prüfsummenprogramm erstellte *.md5-Textdatei ist nicht verschlüsselt und kann mit einem beliebigen Texteditor gelesen werden. Damit wird nicht verhindert, dass die Datei gelesen wird, es wird halt nur dafür gesorgt, dass evtl. Manipulationen an der Datei auffliegen.

    Kann natürlich sein, dass md5 im Zusammenhang mit Internetseiten einen anderen Zweck erfüllt, so genau kenn ich das Programm nun auch nicht.

  19. #19
    der grund warum du es hashst und nicht verschlüsselt ist, dass du das orig. pw weder brauchst noch blank speichern solltest, daher vergleicht man nur die gehashte eingabe des users mit dem gespeicherten hashwert.

    verschlüsseln würde ich es ja nur, wenn ich es auch wieder entschlüsseln muss.

+ Antworten

Ähnliche Themen

  1. Wie kann ich die Statistiken auslesen?
    Von Logdog82 im Forum Tiberium Wars & Kanes Rache
    Antworten: 9
    Letzter Beitrag: 01.11.2007, 13:17
  2. Problem mit Cookies
    Von Ka$$aD im Forum Technik Ecke
    Antworten: 6
    Letzter Beitrag: 03.10.2007, 16:46
  3. temperatursensoren/diode - auslesen | problem !
    Von mope7 im Forum Technik Ecke
    Antworten: 7
    Letzter Beitrag: 24.06.2005, 20:41
  4. Informationen anderer Seiten in PHP auslesen
    Von FsMarine im Forum Technik Ecke
    Antworten: 5
    Letzter Beitrag: 09.08.2003, 14:13
  5. mIRC: OS, etc. auslesen
    Von FLoorfiLLa im Forum Technik Ecke
    Antworten: 6
    Letzter Beitrag: 09.12.2002, 16:06

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •