| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | Engraçado,falando em buracos no IE(vão aparecendo aos poucos),eu por vezes pergunto a mim mesmo... No começo era o win95(tantos buracos!),depois veio o win98(mais buracos),pelo meio aparece o IE(buracos?),agora aparece o win2000(record absoluto em buracos),entretanto no IE novo apareçe(adivinham?)...buracos,o Juíz quer dividir o buraco(da Microsoft) e por fim anunciam o Millenium...com buracos???
Shaka it´s my name and www my swet home |
| |
| | | Faaantástico! Com o fartote de sites que usa cookies para autenticação, isto deve dar coisas giras à brava. Usas um serviço de mail? Então lê lá esta página, passa para cá os cookies e pode ser que eu te vá gamar o correio todo... Basta que o serviço ainda goste dos cookies (ou seja, que não tenha havido um logout ou que não tenha expirado o timeout)...
|
| |
| |
| por Anonimo Cobarde em 14-05-00 1:01 GMT (#4)
|
| Mas ai tb a burrisse nao é só do bug mas sim do gajo que construi o serviço de email. No entanto nao conheco nenhum serviço de email que guarde a passwd num cookie em plain text.
Agora que há sites que guardam merdas de mais em cookie lá isso há...
|
| |
| | Mas não é preciso saber qual é a password, nem sequer em que cookie é que ela está, basta saber que está num dos cookies que foram "capturados" e fazer o acesso normal, sem dar username nem password (o user legítimo deu-os para receber os seus cookies, o intruso limita-me a ir buscar os cookies dele depois disso).
|
| |
| por Anonimo Cobarde em 15-05-00 9:03 GMT (#7)
|
| Em sistemas de jeito esse cookies senciveis nao duram mais de 1 hora(o suficiente para as consultas necessarias). Logo a probabilidade é infima.
|
| |
| | | A probabilidade esta' longe de ser infima. Vejamos: 1) fazer uma pagina html com os scripts necessarios para capturar os cookies; 2) fazer essa pagina avisar quando e' requerida uma visualizacao; 3) mandar um email para o user a assaltar a dizer "vai ver a pagina". Quando ele for ver a pagina o mais certo e' estar no browser a ler o email. A pagina e' lida, a captura dos cookies e' feita, um aviso e' emitido e ate' pode ser escutado por um programa que esta' `a coca da oportunidade para isr ler o mail `a vitima...! Trata-se simplesmente de uma forma diferente de Engenharia Social. So' que e' muito, muito, muito mais dificil para a vitima topar que esta' a fornecer informacao que nao devia.
|
| |
| | Cookies aqui...só por algumas horas, depois são corridos a pontapé do disco...essa eu também sei :))
Shaka it´s my name and www my swet home |
| |
| | Tipo, isto eh grave, mas tb nao eh muito boa politica confiar em cookies ke ficam tempos e tempos no disco a ganhar bolor.
O ideal eh gerar um cookie assim ke o user se autentica no site com a devida password e mante-lo valido apenas ate' ao momento em que o user faz logout, ou ke expira um certo prazo.
Just my two cents.
hasta,
kossak
|
| |
