WinFuture-Forum.de: Winfuture speichert Login Daten im Cookie?! - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
Seite 1 von 1

Winfuture speichert Login Daten im Cookie?!

#1 Mitglied ist offline   Nokes 

  • Gruppe: Mitglieder
  • Beiträge: 16
  • Beigetreten: 31. Dezember 12
  • Reputation: 2

geschrieben 25. Juli 2017 - 15:36

Liebes Winfuture Team,
könnt ihr mir erklären wieso auf eurer News Seite winfuture.de die Login Daten in einem normalen Browser Cookie abgelegt werden? Ohne Probleme kann ich sehen, dass dort die User ID, Name und ein gehashtes Passwort hinterlegt sind... So etwas gehört sich nicht!

Ich hoffe dafür habt ihr eine gute Erklärung :angry:

Screenshot: https://pbs.twimg.co...0cLW0AAwCyJ.jpg

Dieser Beitrag wurde von Nokes bearbeitet: 25. Juli 2017 - 15:39

Viele Grüße,
Nico - www.netzware.net
1

Anzeige

#2 Mitglied ist offline   My1 

  • Gruppe: Mitglieder
  • Beiträge: 13
  • Beigetreten: 23. Februar 17
  • Reputation: 1

geschrieben 26. Juli 2017 - 10:14

aua das tut weh. welches addon oder was auch immer hast du denn zum auslesen genutzt?

und das war nicht alles.

ne kosten von bcrypt liegen bei 08 was ne lachnummer ist. dazu kommt, dass das ein 2a bcrypt ist, wenn hier PHP im spiel ist wurde ewig nicht mehr geupdatet.

und das forum wird nicht besser.
man bekommt einen pass_hash cookie mit 32 hex-zeichen (also 128 bit bzw 16 byte). das riecht übel nach md5, zum glück ist es aber nicht einfach das passwort, wie ich ausprobiert habe, aber geil ist es trotzdem nicht.

und dazu kommt das forum mit iso-8859-1, also ohne Unicode

Dieser Beitrag wurde von My1 bearbeitet: 26. Juli 2017 - 11:51

0

#3 Mitglied ist offline   Nokes 

  • Gruppe: Mitglieder
  • Beiträge: 16
  • Beigetreten: 31. Dezember 12
  • Reputation: 2

geschrieben 26. Juli 2017 - 15:39

Beitrag anzeigenZitat (My1: 26. Juli 2017 - 10:14)

aua das tut weh. welches addon oder was auch immer hast du denn zum auslesen genutzt?

und das war nicht alles.

ne kosten von bcrypt liegen bei 08 was ne lachnummer ist. dazu kommt, dass das ein 2a bcrypt ist, wenn hier PHP im spiel ist wurde ewig nicht mehr geupdatet.

und das forum wird nicht besser.
man bekommt einen pass_hash cookie mit 32 hex-zeichen (also 128 bit bzw 16 byte). das riecht übel nach md5, zum glück ist es aber nicht einfach das passwort, wie ich ausprobiert habe, aber geil ist es trotzdem nicht.

und dazu kommt das forum mit iso-8859-1, also ohne Unicode

Das Chrome Plugin heißt HTML5 Storage Manager: https://chrome.googl...obejbnjgbbkmdnd

Dieser Beitrag wurde von Nokes bearbeitet: 26. Juli 2017 - 15:39

Viele Grüße,
Nico - www.netzware.net
0

#4 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.734
  • Beigetreten: 20. Juli 07
  • Reputation: 855

geschrieben 26. Juli 2017 - 16:42

Und Du bist 100%ig sicher, daß das keine SessionID ist oder sowas? Die wäre erforderlich. Ohne SessID gibt es keine Sitzung und man wär bei jedem Klick wieder ausgeloggt.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#5 Mitglied ist offline   My1 

  • Gruppe: Mitglieder
  • Beiträge: 13
  • Beigetreten: 23. Februar 17
  • Reputation: 1

geschrieben 26. Juli 2017 - 16:46

zumindes auf der hauptseite ist das ein bcrypthash und im forum gibts ne sessionID bereits und es steht zusätzlich noch die userid drin, und das wie auch der pass cookie sind sachen die nicht nötig sind. es reicht eigentlich ne sessionid als cookie aus.
0

#6 Mitglied ist offline   Nokes 

  • Gruppe: Mitglieder
  • Beiträge: 16
  • Beigetreten: 31. Dezember 12
  • Reputation: 2

geschrieben 27. Juli 2017 - 08:01

Beitrag anzeigenZitat (RalphS: 26. Juli 2017 - 16:42)

Und Du bist 100%ig sicher, daß das keine SessionID ist oder sowas? Die wäre erforderlich. Ohne SessID gibt es keine Sitzung und man wär bei jedem Klick wieder ausgeloggt.

Mit Übernahme der Cookies, 2 reichen schon, war ich in einem anderen Browser eingeloggt. Die habe ich nun manuell übernommen, doch mit Cookie Diebstahl können dritte deine Cookies einfach kopieren und dein Account übernehmen.
Siehe mein Blog Beitrag dazu: https://www.netzware...okie-speichern/
Viele Grüße,
Nico - www.netzware.net
0

#7 Mitglied ist offline   My1 

  • Gruppe: Mitglieder
  • Beiträge: 13
  • Beigetreten: 23. Februar 17
  • Reputation: 1

geschrieben 27. Juli 2017 - 08:05

Beitrag anzeigenZitat (Nokes: 27. Juli 2017 - 08:01)

Mit Übernahme der Cookies, 2 reichen schon, war ich in einem anderen Browser eingeloggt. Die habe ich nun manuell übernommen, doch mit Cookie Diebstahl können dritte deine Cookies einfach kopieren und dein Account übernehmen.
Siehe mein Blog Beitrag dazu: https://www.netzware...okie-speichern/

dazu braucht man aber keinen cookie mit logindaten. ein cookie mit session-ID die nicht auf die IP gesetzt ist reicht. und spätestens beim "anmeldung merken" dürfte das der fall sein aufgrund der dynamischen IPs.

und btw ich hab mal den bcrypt hash wom WF Cookie durch php gejagt und mit meinem passwort vergleichen, es ist der passwort hash. und wie gesagt, kostenfaktor 8 ist lächerlich.

Dieser Beitrag wurde von My1 bearbeitet: 27. Juli 2017 - 08:10

0

#8 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.195
  • Beigetreten: 11. September 10
  • Reputation: 197

geschrieben 27. Juli 2017 - 10:26

Also auf dem Rechner, wo keine weitere Person Zugang hat, habe ich sogar bei dem einen oder anderen Forum den automatischen Login aktiviert. Da könnte sich ein unbefugter Dritter das Cookie-Klauen ganz sparen, wenn er sich entgegen aller Erwartung doch irgendwie Zugang verschafft. Für den Fall gilt das Problem also gar nicht erst.
Hmm, an Rechnern, wo mehrere Personen Zugang haben, benutzt man ja entweder keine persönlichen Dienste oder löscht zumindest Cookies nach der Sitzung. Das ist ja kein hochwissenschaftlicher Vorgang, sondern eine einfache browserseitige Einstellung. Wer das nicht macht, braucht sich aber auch nicht über die Sicherheitsauffassung Anderer aufzuregen. Klammern wie diesen Fall also auch aus.
Wo ist denn jetzt genau der Grund für die Aufregung?
Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#9 Mitglied ist offline   My1 

  • Gruppe: Mitglieder
  • Beiträge: 13
  • Beigetreten: 23. Februar 17
  • Reputation: 1

geschrieben 27. Juli 2017 - 10:30

unter anderem dass dieser cookie dass gehashte passwort mit nem relativ schwachen algorithmus enthält (bcrypt ist gut, aber die kosten müssen genug sein, und 8 ist zu wenig) und man es so mit bruteforce öffnen kann.

dazu wird der cookie bei JEDEM seitenaufruf gesendet und das unverschlüsselt. daten wie der passworthash haben idr den server gar nicht zu verlassen.

und dazu kann man eine sitzung über viele sachen verstärken, wie eben bspw die IP oder den useragent, je nachdem wie sicher man es gern hätte.

Dieser Beitrag wurde von My1 bearbeitet: 27. Juli 2017 - 10:31

0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0