[Resuelto] Ayuda con cookie

Iniciado por Varlch, 17 Diciembre 2014, 01:02 AM

0 Miembros y 2 Visitantes están viendo este tema.

Varlch

Tengo una web que crea una cookie así $_SESSION['login'] = $iduser; y obtienes como resultado esta cookie
CitarPHPSESSID=ff2a567e17e44ede3f2397bdfce2e366
querría saber si se puede modificar la cookie para poner otro id de usuario ¿no se si me explico?

engel lex

Lo que hace php es generar un numero aleatorio, saca el sha de eso, asi que tendrias que saber el phpsessid previamente, por fuerza bruta es dificil
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Varlch

Entonces es seguro. Había visto un script que lo deshacía pero no se igual no era eso.

engel lex

Pero robar la cookie es super facil, por eso se usa una combinación de técnicas, preferiblemente el browser fingerprinting
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Varlch

ya to me refería a crear una propia.

engel lex

Un metodo propio? Eso + local storage + canvas fingerprinting :p es lo mas simple de aplicar
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Varlch

No me referia a que sabiendo que $_SESSION['login'] = $iduser; crear una cookie con cualquier id para injertar y obtener conexión como otro usuario.

#!drvy

Ya te lo explique en el IRC. No es posible. Ese ID que ves (el PHPSSID) es solo una referencia "aleatoria" unica que apunta a un archivo en el propio servidor. Incluso aunque te inventes otro PHPSSID tu mismo, PHP no encontrara el archivo en el servidor y no lo aceptara. Otra cosa es que "casualmente" le robes la session a alguien xD

Saludos