PDA

Ver la versión completa : Duda sobre funcionamiento y debilidades de los cookies



osbornini
16-02-2010, 00:39
Muy buenas, por lo que he leido por la web los cookies son fragmentos de información que se almacenan en el disco duro, que quedan en un pc que visita una pagina web y que se utilizan para agilizar la navegacion a traves de la web y evitar poner los passwords siempre por ejemplo...

Tambien he leido sobre el robo de sesiones mediante los cookies lo cual no entiendo muy bien por lo que tendre que seguir aprendiendo, pero mi pregunta es la siguiente, si los cookies se almacenan en el disco duro del pc, ya que como he leido éstos son fragmentos de informacion, en estos fragmentos puede haber alguna contraseña encriptada o algo?

En resumen lo que vengo a preguntar es, que si es posible con acceso fisico a la maquina hacerme con los cookies y desencriptarlos o esto no funciona asi? si de paso alguien pudiera recomendarme algun post al respecto o algo sobre el robo de sesiones mediante cookies en español lo agradeceria mucho!

Gracias un saludo y disculpen por mi ignorancia en este tema!

Fruit
16-02-2010, 00:55
Exacto, las cookies guardan las contraseñas cifradas, o identificadores de sesión, dependiendo de la web a la que accedas.

Sea como sea, con acceso físico a la máquina, puedes acceder a las cuentas en cuestión.

Darioxhx
16-02-2010, 05:07
no solo con acceso fisico , ni remoto , con un simple xss y un script en php podes robar la sesion y suplantar tu cookie por la robada , actualizar el navegador y entras ya logueado segun la cookie que hallas conseguido...
mira algo sobre XSS (cross site scripting) y cualkier duda avisa
saludos

osbornini
16-02-2010, 15:22
Es parecido al archivo SAM??es decir puedo coger y copiar el archivo que tenga los cookies y desencriptarlo en mi casa tranquilamente y darme la contraseña??

Muchas gracias por las respuestas!alguien me recomienda alguna lectura en español?

Fruit
16-02-2010, 15:55
En Firefox, las cookies se almacenan en un archivo de base de datos SQLite.

FF no las cifra, las cifra la web a la que accedas. Es decir, en la cookie no va tu contraseña en texto plano (a no ser que el webmaster sea muy malo ;) ) sino cifrada. Cuando haces que el navegador pida la web al servidor, le mandas la cookie cifrada, y el servidor web la compara con lo que tiene en su base de datos.

Darioxhx
16-02-2010, 16:09
no hermano
el archivo SAM es donde se guardan las contraseñas de cuentas de usuario de windows encriptadas en LM o NTLM , es otra cosa eso , que no tiene nada que ver..
y las cookies no dependen del navegador

te dejo link de algo que escribio un conico que me gusta como lo explica
http://ricota.diosdelared.com/index.php?coment=688

saludos