miguel86
09-09-2008, 20:33
No sabía muy bien donde colocar esto, así que he decidido meterlo en lo de intrusión por que es como una intrusión a una cuenta de correo.
Mi pregunta es sobre las cookies que lleva por ejemplo hotmail o gmail y que sirven para la autentificación. Me imagino que no serán persistentes y llevarán un tiempo corto para ser borradas, pero mi pregunta es:
¿Escuchando en una red local o wifi abierta(o que conozcas la clave de cifrado) se pueden capturar las cookies que sirven de autentificación de hotmail y utilizarlas mientras el usuario siga loggeado (por ej utilizando el messenger)?
Esas cookies se utilizan para todos los servicios de passport durante esa sesión?
Lo que no entiendo es si las cookies se establecen cuando uno se llogea en el https y luego se mandan cada vez por ejemplo que se lee un correo en claro por http.Me imagino que la cookie solo servirá durante esa sesíon porque la formarán a parte de la pass cifrada otro conjunto de aleatorios o fechas supongo.
Sería plausible entonces sniffar una red obtener las cookies de homtail y utilizarlas en ese momento?Alguien lo ha hecho?
¿por que se utilizan tanto las cookies para autentificarse?no se podía utilizar por ejemplo el método http authentication digest(aunque se mande la pass en cada petición).Pienso que deberían haber dado al protocolo http un poco más de "memoría", me refiero a recordar estados,informaciones de otras peticiones anteriores etc
Saludos
Mi pregunta es sobre las cookies que lleva por ejemplo hotmail o gmail y que sirven para la autentificación. Me imagino que no serán persistentes y llevarán un tiempo corto para ser borradas, pero mi pregunta es:
¿Escuchando en una red local o wifi abierta(o que conozcas la clave de cifrado) se pueden capturar las cookies que sirven de autentificación de hotmail y utilizarlas mientras el usuario siga loggeado (por ej utilizando el messenger)?
Esas cookies se utilizan para todos los servicios de passport durante esa sesión?
Lo que no entiendo es si las cookies se establecen cuando uno se llogea en el https y luego se mandan cada vez por ejemplo que se lee un correo en claro por http.Me imagino que la cookie solo servirá durante esa sesíon porque la formarán a parte de la pass cifrada otro conjunto de aleatorios o fechas supongo.
Sería plausible entonces sniffar una red obtener las cookies de homtail y utilizarlas en ese momento?Alguien lo ha hecho?
¿por que se utilizan tanto las cookies para autentificarse?no se podía utilizar por ejemplo el método http authentication digest(aunque se mande la pass en cada petición).Pienso que deberían haber dado al protocolo http un poco más de "memoría", me refiero a recordar estados,informaciones de otras peticiones anteriores etc
Saludos