|
Título: Pequeña duda sobre robo de cookies Publicado por: AlexPro en 12 Diciembre 2011, 21:46 pm Tengo una duda. Si por ejemplo, consigo robarle a alguien una sesion de hotmail(por ejemplo), cuando haga la suplantacion de sesion ya podre entrar siempre a esa cuenta? Porque yo creo que solo podre entrar mientras la victima no salga de la sesion que he robado.
Título: Re: Pequeña duda sobre robo de cookies Publicado por: ~ Yoya ~ en 13 Diciembre 2011, 22:03 pm La duración de vida del tiempo de las sesiones en PHP por defecto dura hasta que el usuario cierre el navegador. Eso responderá la pregunta....
session.cookie_lifetime (http://www.php.net/manual/es/session.configuration.php#ini.session.cookie-lifetime) Saludos. Título: Re: Pequeña duda sobre robo de cookies Publicado por: adastra en 14 Diciembre 2011, 16:46 pm Una cookie deja de ser valida solamente cuando su correspondiente "hash" almacenado deja de ser valido para el servidor, lo cual puede ocurrir cuando el cliente "cierra su sesión" de forma explicita (que lo que realmente hace es eliminar la cookie e invalidarla en el servidor) o cuando el servidor web es reiniciado, las cookies son un mecanismo bastante similar (salvando las distancias) a los mecanismos criptograficos de clave pública/privada.
Esto quiere decir, que en un situaciones normales, podras utilizar esa misma cookie para entrar en la cuenta de dicho usuario hasta que la cookie sea invalidada en el servidor (hasta que cierre sesión de forma explicita). Título: Re: Pequeña duda sobre robo de cookies Publicado por: AlexPro en 14 Diciembre 2011, 17:54 pm Muchas gracias, ya me habeis respondido a mi duda.
un saludo! Título: Re: Pequeña duda sobre robo de cookies Publicado por: 0x5d en 18 Diciembre 2011, 19:25 pm No solo eso, si tu robas una cookie SMF, en la cual indicaste que tu sesión
será de 60 minutos, la cookie ultrajada solo durará esos 60 minutos. Saludos. Título: Re: Pequeña duda sobre robo de cookies Publicado por: WHK en 21 Diciembre 2011, 02:44 am No solo eso, si tu robas una cookie SMF, en la cual indicaste que tu sesión será de 60 minutos, la cookie ultrajada solo durará esos 60 minutos. Saludos. No es así, solo quiere decir que la cookie se enviará durante ese tiempo pero no quiere decir que solo sirva 60 minutos, de hecho puedes robar una cookie que dure 30 segundos y usarla todo un año si quieres. Las duraciones de las cookies se manipulan a nivel cliente y no a nivel servidor por lo tanto es solo cosa de editar la cookie desde algún complemento como el cookies edit de firefox o modificando cabeceras para validar cookies que han durado poco tiempo. Lo que si es posible es que un sistema web tome la duración de la cookie que has asignado en tu acceso de usuario y desde la base de datos darle tiempo limite a la sesión pero en este casi smf no lo hace y casi nadie lo hace. En el caso de hotmail es un poco mas complejo porque hay valores ocultos dentro de la cookie cifrados que incluyen fechas y utilizan la base de datos directamente para darle tiempo de vida a las cookies asi que si robas una cookie de hace 1 año no te servirá hoy, además creo que valida otras cosas que no he averiguado pero creo que debes suplantar muchas mas cosas que solo una cookie. |