Pequeña duda sobre robo de cookies

Iniciado por AlexPro, 12 Diciembre 2011, 21:46 PM

0 Miembros y 2 Visitantes están viendo este tema.

AlexPro

Tengo una duda. Si por ejemplo, consigo robarle a alguien una sesion de hotmail(por ejemplo), cuando haga la suplantacion de sesion ya podre entrar siempre a esa cuenta? Porque yo creo que solo podre entrar mientras la victima no salga de la sesion que he robado.

~ Yoya ~

La duración de vida del tiempo de las sesiones en PHP por defecto dura hasta que el usuario cierre el navegador. Eso responderá la pregunta....

session.cookie_lifetime

Saludos.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

adastra

Una cookie deja de ser valida solamente cuando su correspondiente "hash" almacenado deja de ser valido para el servidor, lo cual puede ocurrir cuando el cliente "cierra su sesión" de forma explicita (que lo que realmente hace es eliminar la cookie e invalidarla en el servidor) o cuando el servidor web es reiniciado, las cookies son un mecanismo bastante similar (salvando las distancias) a los mecanismos criptograficos de clave pública/privada.
Esto quiere decir, que en un situaciones normales, podras utilizar esa misma cookie para entrar en la cuenta de dicho usuario hasta que la cookie sea invalidada en el servidor (hasta que cierre sesión de forma explicita).

AlexPro

Muchas gracias, ya me habeis respondido a mi duda.
un saludo!

0x5d

No solo eso, si tu robas una cookie SMF, en la cual indicaste que tu sesión
será de 60 minutos, la cookie ultrajada solo durará esos 60 minutos.

Saludos.
¡ SIGUEME EN TWITTER -> @JavierEsteban__ !

WHK

#5
Cita de: 0x5d en 18 Diciembre 2011, 19:25 PM
No solo eso, si tu robas una cookie SMF, en la cual indicaste que tu sesión
será de 60 minutos, la cookie ultrajada solo durará esos 60 minutos.

Saludos.

No es así, solo quiere decir que la cookie se enviará durante ese tiempo pero no quiere decir que solo sirva 60 minutos, de hecho puedes robar una cookie que dure 30 segundos y usarla todo un año si quieres.

Las duraciones de las cookies se manipulan a nivel cliente y no a nivel servidor por lo tanto es solo cosa de editar la cookie desde algún complemento como el cookies edit de firefox o modificando cabeceras para validar cookies que han durado poco tiempo.

Lo que si es posible es que un sistema web tome la duración de la cookie que has asignado en tu acceso de usuario y desde la base de datos darle tiempo limite a la sesión pero en este casi smf no lo hace y casi nadie lo hace.

En el caso de hotmail es un poco mas complejo porque hay valores ocultos dentro de la cookie cifrados que incluyen fechas y utilizan la base de datos directamente para darle tiempo de vida a las cookies asi que si robas una cookie de hace 1 año no te servirá hoy, además creo que valida otras cosas que no he averiguado pero creo que debes suplantar muchas mas cosas que solo una cookie.