але по кукис ще входить, як і де знайти мій пароль?
Зайти на сайт, що надає поштові послуги. Знайти там лінк "Я забув пароль".
І ще спостерігається протиріччя: закрили і входить.
У кукис пароля немає: або номер сесії, або мега-хеш пароля
> В кукис пароля немає: або номер сесії, або мега-хеш пароля
А де зберігаються Хеш і номер сесії?
> BА де зберігаються Хеш і номер сесії?
> А навіщо це тобі?
Сподівається витягнути пароль з хеша
> Зайти на сайт, що надає поштові послуги. знайти там
> Лінк "Я забув пароль".
Наскільки я зрозумів людина забула пароль на сайт і не може його отримати поштою, так як її закрили. А може просто хацкер :)
> А де зберігаються Хеш і номер сесії?
"Кукис" зберігаються в різних місцях в залежності від браузера. Втім в Опері і ФФ кукіси можна подивитися з браузера, в разі IE - Document and Settings /
> Або номер сесії
Навряд чи номер сесії, так як сесія швидше за все вже давно закрилася б.
> Або мега-хеш пароля
Отримавши хеш, можна спробувати його розшифрувати. Тут вже в залежності від сайту. Наприклад, по хешу від IPB1.3 можна майже напевно відразу ж дізнатися пароль, скориставшись базами md5 в інтернеті. Від IPB2.1 по хешу дізнатися пароль, практично неможливо, благо він там подвійний і ще з якимись збоченнями.
> Наприклад, по хешу від IPB1.3 можна майже напевно відразу
> Же дізнатися пароль,
За хешу пароль дізнатися не можна, можна отримати безліч паролів з яких вийде той же хеш.
Навряд чи в кукис зберігається хеш. Там просто зберігається інформація, що такого-то можна пускати без пароля до такої-то дати.
> Хм, самокритично :-))
Що ти розумієш в самокритики, ось вчора я себе забанив, ось це була самокритика. Добре, що це була резервна система.
Будь-яка поштова служба цілком може вирішити проблеми з забутими паролями.
Інша монструозне рішення навіває думки про злом.
А де хеш зберігається?
Так це ж все на моєму комп'ютері, який я хакер - повний цілодобовий доступ до нього з правами адміністратора,
я ж не питаю вас як отримати доступ до віддаленого комп'ютера в мережі з правами адміністратора і звідти щось викачати,
якби я міг це зробити то такого б питання як в заголовку у мене б не виникло.
Начебто в [16] все доступно сказано.
в папці Cookies нічого з ім'ям користувача немає.
Щось я непонял, якщо ти потрапляєш на сайт за кукам, то цілком можеш зайти в свій профіль і там змінити пароль.
Пароль не зберігається в кукис.
У кукис може зберігається Хеш, який розшифровується на сервері і перетворюється в пароль.
А де у мене хеш в цьому файлі [email protected] [1] .txt:
І є ще один:
> Пароль не зберігається в кукис.
> В кукис може зберігається Хеш, який розшифровується на
> Сервері і перетворюється в пароль.
Він там не розшифровується, а порівнюється з хешем зберігається пароля
> В кукис може зберігається Хеш, який розшифровується на сервері і перетворюється в пароль.
1. Хеш не можна рашіфровать і перетворити в пароль.
Це все я пишу до того, що хеш не повинен зберігатися в кукис. Хоча зараз в цій справі стільки аматорства, що все може бути.
> Просто з хешем пароля, сам пароль ніде не зберігається.
Добре а як отримують забутий пароль?
> Щось я непонял, якщо ти потрапляєш на сайт за кукам, то
> Цілком можеш зайти в свій профіль і там змінити пароль.
>
Будь-яка, поважаюча себе і користувачів, система аутентифікації спочатку попросить ввести старий пароль :)
За допомогою хеша мені виходить можна залогінитися?
Тільки щось я в цих файлах ненайду свого користувача :)
Нормальна система не повинна відновлювати забутий пароль. Вона повинна генерувати і висилати новий випадковий пароль, з можливістю зайти на сайт і змінити його. Якщо сервер зберігає паролі, то вони повинні бути зашифровані, причому ключ повинен вводитися людиною. Якщо пароль висилається автоматично протягом декількох секунд, то це дуже небезпечно. Крім того, клієнт буде знати, що адміністратору досить шепнути своєму приятелеві пароль, і той зайде на сайт клієнта з найближчого інтернет кафе.
Мені просто цікаво тепер який тут SQL сервак це все зберігає.
Пам'ять: 0.8 MB
Час: 0.142 c