Можно ли взломать авторизацию по куки?

[kai]

Можно ли взломать авторизацию по куки?

Собираюсь сделать авторизацию для внешних модераторов с использованием куки. Уже сейчас вижу, что некоторые, которых не назначу модераторами, попробуют взломать авторизацию, чтобы получить доступ. Можно ли подставить в запрос куки, зная название куки и содержание и тем самым обойти защиту?

 

[rotoZOOM]

Скопировав куку можно запросто выдать себя за другого, если ты не проверяешь информацию об IPшнике, которая тоже, кстати, не всегда доступна.

 

[kai]

А создать куки можно не имея копии, но зная имя запрашиваемого куки и значение?

 

[rotoZOOM]

Кука - это просто файл. Значит создать можно, зная ее формат.

 

[kai]

Можно ли просто подставить куки в запрос telnet:

GET /file.php?id=5117 HTTP/1.0
Cookie: rows=1; sort=0;

Если это работает, то получается, что зная имя куки и значение, можно наличие его легко имитировать. Получается, что через куки нельзя защититься? Как можно?

 

[rotoZOOM]

Способов много, но нет стопроцентных.
Для администраторов можно вообще куки не использовать пусть авторизируются каждый раз, а после авторизации хранить всю необходимую информацию в сессионных переменных.

 

[Crazy]

rotoZOOM, сессию ты за счет чего собираешься поддерживать? За счет SID в URL?

-~{}~ 22.02.05 09:05:

Автор оригинала: rotoZOOM
Кука - это просто файл

Это просто бред.

-~{}~ 22.02.05 09:07:

Автор оригинала: kai
зная имя запрашиваемого куки и значение?

Вывод: злоумышленник не должен знать значение куки.

 

[rotoZOOM]

Crazy Можно и так, а можно и в куке хранить. Какая разница. Главное, что все те признаки, которые идентифицируют администратора хранятся на сервере, и подменить/стянуть их никто не сможет. А так как сессия имеет определенное время жизни, и SID генерируется случайным образом, то для обладания админскими правами потребуется не только стянуть этот SID но еще и успеть попасть в то время, пока сессия не сдохла.

А что кука - это не файл на стороне юзера ?
Просвети меня, будь добр.

 

[Crazy]

Автор оригинала: rotoZOOM
Можно и так, а можно и в куке хранить.

Цитирую тебя же:

Для администраторов можно вообще куки не использовать

Разумеется:

Главное, что все те признаки, которые идентифицируют администратора хранятся на сервере, и подменить/стянуть их никто не сможет.

И мы просто отбрасмываем всю эту шелуху и возвращаемся к исходному вопросу: с какого бодуна у злоумышленника оказалось значение куки?

А что кука - это не файл на стороне юзера ?

Кука -- это HTTP-заголовок.

 

[Panchous]

Кука -- это HTTP-заголовок.

Crazy
а откуда он берется?

 

[Tigr]

Panchous
ты что маленький не знаешь откуда куки берутся...

 

[Сергей123]

Panchous
прочти http://detail.phpclub.ru/article/sessions (начало, до "GET- и POST-данные").

 

[Alien]

Panchous
из файла на стороне юзера

kai
если ты в куки будешь хранить
"admin=1, adminuser=vasya" то от этого действительно ничего не спасет.
Храни в куки только SID

 

[rotoZOOM]

в итоге пришли к тому же.
Насчет терминологии: кука это не HTTP заголовок, она передается в HTTP заголовке как один из параметров, если быть таким принципиальным. А хранится она в файле и браузер берет информацию именно из файла. Ну это не относится к сути вопроса.

И мы просто отбрасмываем всю эту шелуху и возвращаемся к исходному вопросу: с какого бодуна у злоумышленника оказалось значение куки?

Это второй вопрос. По сетке вытащил у соседа, у которого папки все открыты навзничь.

 

[Tigr]

Для знатоков: куки - это небольшой фрагмент информации, хранимый браузером и используемый для идентификации пользователя.

Временные куки хранятся в памяти постоянные в файле. И украсть временную куку из файла нельзя. Но в одной сети снифером можно А для этого есть SSL например

 

[rotoZOOM]

rotoZOOM пошел читать трактат о куках

 

[kombo]

2_kai. В флаг авторизации держи в сессии, а в куке у тебя будет сидеть идентификатор сессии. Файл сессии с переменными будет лежать на сервере.

 

[Crazy]

Автор оригинала: Panchous
а откуда он берется?

Его посылают.

 

[Kelkos]

Хм.. В куках обычно и держат id и md5 пароля.. но вход в админку НИКОГДА не предоставляют по этим данным.. пользователь всегда должен дополнительно логиниться (с записью в СЕССИЮ о логине в админку)...

 

[yugene]

Автор оригинала: Kelkos
В куках обычно и держат id и md5 пароля.

Я обычно в куке держу SESSION_ID. Все логины-пароли-etc уже в самой сессии.