64706589:6315c517bafd53063cc6e31ff3f687d1:1245585205
Esa cookie si no me equivoco es de tuenti...
Siendo el primer parámetro el número identificador del usuario, el segundo parámetro es el identificador de sesión (sid), no es ningún hash, y el último parámetro no tiene importancia, es para saber si el usuario sigue activo en la página Web o no.
El sid es una cadena alfanumerica pseudo-aleatoria de 32 caracteres...
Utiliza los siguientes caracteres como base:
abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789
Puesto que su longitud es fija y el número de caracteres totales es de 62, el número de posibilidades es 62^32, o lo que es lo mismo... 2,2726578844967513453552415636275e+57.
El sid, como bien he dicho es psudo aleatorio, ¿qué quiero decir con pseudo? pues que prácticamente es aleatorio, pero teoricamente no, ya que para generar una serie de números aleatorios, es necesario pasarle al susodicho algoritmo un número, llamemosle X, para que a partir de ese número, pueda generar los demás números pseudo-aleatorios.
¿Y de dónde sacamos X? He ahí el dilema, funciones como time y microtime, son predecibles, ya que el tiempo es lineal, y yo se que hora será dentro de 30 minutos, por lo tanto, ya deja de ser aleatorio. Por lo tanto, para que el algoritmo fuera perfecto, X debería ser aleatorio, así que seguimos en las mismas.
Actualmente los sid generados son pseudoaleatorios y X puede ser los bytes de memoria utilizados por un programa, el tiempo que tardo en ejecutarse una serie de operaciones, etc... Vamos, que por muy pseudoaleatorios que sean esos números, va a ser muy dificil dar con ellos.
Existen nuevos métodos para la generación de números aleatorios, como puede ser la velocidad y la dirección del viento. Pero esos métodos ya son llevados al extremo y tan solo son usados por físicos en sus experimentos.
¿A dónde quiero llegar con esto? A ninguna parte, ya que computacionalmente es imposible optar por la fuerza bruta, pero a veces es necesario entender lo que expliqué para comprender otras cosas.
respecto a las posibilidades de acertar elhash serian con estos caracteres: abcdefghijklmnopqrstuvwxyz0123456789 ya que no usa mayúsculas la sid. Así que las posibilidades se quedarían en:
se podría bajar bastante ese numero de probabilidades de acertar pero no lo suficiente así que dejo el caso xD