Zanima me je li se od cookie stealing metode moguće zaštititi tako da se e-mail, FB, ili nekom drugom accountu pristupa preko https protokola (naravno, ako taj servis uopće omogućava https)?
Ne per se. I sam cookie mora biti secure i http only da bi postigao zaštitu. Sam https ne znači i da su cookie-i kriptirani, nego sadržaj koji se štiti od man in the middle napada.
Npr facebook nema httpOnly ni secure postavke kod dodjele cookie-a, ali zato imaju session koji su jedna druga priča. S druge strane gmail ima httpOnly i is_secure postavke kod dodjele cookie, kao i session-e.
Dakle da zaključimo: Korištenje https-a ne štiti od krađe cookie-a. Korištenje samo cookie-a, a ne session-a (odnosno cookie je session), s time ako nisu ni osigurani može dovesti do krađe "identiteta" (session-a). S druge strane ako je pravilno i sigurno implementirana sesija (session), onda cookie-i ne moraju biti httpOnly i secure da bi bio zaštićen od krađe, s time da https/http nemaju veze sa time.
Nadam se da je malo jasnije.
Još jedno pitanje...je li se cookiji mijenjaju svaki put kad se ulogiram na account, ili ne?
Znači, ako je netko "ukrao" cookie, je li može ući u moj account bilo kada?
Ne mozes se zastititi https protokolom jer koristeci SSLStrip moguce je zaobici https. Zastitu od MITM napada potrazi u VPN-u. Cookie se mijenja svako otprilike tjedan dana u slucaju Face-a (u koliko si uvjek logiran), tj. svaki put kada se ulogiras. Ako ti je napadac ukrao "kolacic" a ti se nikada ne odlogiras, napadac ima pristup tvom racunu u najboljem slucaju tjedan dana.
Još jedno pitanje...je li se cookiji mijenjaju svaki put kad se ulogiram na account, ili ne?
Znači, ako je netko "ukrao" cookie, je li može ući u moj account bilo kada?
Ako napadac ima odgovarajuci cookie, automatski se moze logirat na tvoj acc, dakle bez ikakvog upisivanja passworda i username-a...i to ne samo na samo fb :)
Naravno, ako je vec uspio doci do tog koraka, otkrivanje samog passworda mu nebi trebao biti veci problem
passat kaze: Naravno, ako je vec uspio doci do tog koraka, otkrivanje samog passworda mu nebi trebao biti veci problem.
Hipotetsko pitanje: Kako bi ti otkrio password facebooka ili gmail-a, a da si ulogiran u racun i ne znas pravu lozinku?
Ja ti kazem vrlo tesko i nikako, a volio bi da me jednom netko razuvjeri.
passat kaze: Naravno, ako je vec uspio doci do tog koraka, otkrivanje samog passworda mu nebi trebao biti veci problem.
Hipotetsko pitanje: Kako bi ti otkrio password facebooka ili gmail-a, a da si ulogiran u racun i ne znas pravu lozinku?
Ja ti kazem vrlo tesko i nikako, a volio bi da me jednom netko razuvjeri.
I ja kazem da je cookie vrlo tesko ukrast, razuvjeri me u suprotno?
Evo da te razuvjerim. Napraviti MITM napad na klijenta (Ettercap, Cain, arpspoof ili sl. program) i napisati http.cookie kao filter u wireshark. Tako se hvataju cookie na LAN-u. Sa udaljenih racunala postupak je drugaciji. Browseri imaju cookie editore u koje se ubace odgovarajuce vrijednosti i to je to. Ali ja to radim na mobitelu :). Ako treba detaljno objasnit mogu ali ima dovoljno tutorijala na netu. Jeli to bilo tesko? A sad mi reci kako lako se dobije lozinka ako sam ulogiran a neznam lozinku. Ako znas iti gdje pronaci hash lozinke bio bih ti zahvalan. Thx
Evo da te razuvjerim. Napraviti MITM napad na klijenta (Ettercap, Cain, arpspoof ili sl. program) i napisati http.cookie u wireshark. Browseri imaju cookie editore u koje se ubace odgovarajuce vrijednosti i to je to. Ako treba detaljno objasnit mogu ali ima dovoljno tutorijala na netu. Jeli to bilo tesko? A sad mi reci kako lako se dobije lozinka ako sam ulogiran a neznam lozinku. Thx
hahaha sjedi, 5 :))
A da te pitam, ako imas taj cookie, kad bi se odjavio sa facebooka, bil ti pass ostao skriven kao asteriks?
Hehe, nisam to probao, ali sam uvjeren da nebi. Kako bi pass ostao ako browseru nikada nisam rekao da zapamti lozinku? Mozes li ti potvrditi suprotno, tj. jesi li testirao to pa znas ili samo pucas? PS sjedi 5 sam cuo mnogo puta :)
Hehe, nisam to probao, ali sam uvjeren da nebi. Kako bi pass ostao ako browseru nikada nisam rekao da zapamti lozinku? Mozes li ti potvrditi suprotno, tj. jesi li testirao to pa znas ili samo pucas? PS sjedi 5 sam cuo mnogo puta :)
Samo pucam ;)
Ok :). Onda da malo umirim ostale tvrdeci da napadac vrlo tesko moze doci do lozinke ukoliko imam pristup racunu putem cookia. Promjeniti lozinku ne moze jer mu treba stara lozinka. U najbolju ruku napadac bi "nekako" mogao doci do hash-a lozinke i onda se boriti sa njim. Ako sam napisao bilosto netocno molim vas da me ispravite. Kod spajanja na nesigurne mreze koristite VPN, pa se necete brigat oko ovih stvari
