Как расшифровать cookies?

Question

[seosova]

Хочу понять какая информация хранится в cookies. Не прочитать, а увидеть своими глазами. Пропробывать что-то записывать в cookies свое. Никаких взломов паролей, расшифровки хэшей и прочего.
Вопрос. Кто-нибудь знает как устроены сейчас cookies? Для firefox и chrome это сейчас по сути файл базы sqlite. Если его открывать редакторами, то по ходу только hex редактором можно хоть что-то увидеть и понять. Можно загрузить в редактор баз данных, тогда я вижу поля, вижу сайты, время посещения прочее. А дальше идет поле encrypted_value. Так не могу понять его кодировку и расшифровать что там? Обычно говорят что cookies хранят информацию с сайтов, так вот саму информацию никак не могу прочитать, интересно что они вносят туда или они это шифруют всегда? Хочется на python для себя написать скрипт, чтобы потестировать работу с cookies на сайте своем. Писать что нужно, считывать это. Кто-нибудь может подсказать как прочесть данные в cookies и как расшифровать их?

Answer 1

[MiiNiPaa]

Вот там есть строчка значений value - это какой-то зашифрованный хэш?

Это строка, которую положил туда сервер.

Что вообще значат все эти сокращения ?

Как решит сервер.

Куки это фактически key-value пары. Хранить там можно что угодно, от флагов (show_ads=1), до строк, хешей, зашифрованных данных и просто мусора.

Если вы хотите добраться до кук извне браузера или изменить куки другого сайта, то у вас проблемы: браузеры делают всё, чтобы не допустить этого в целях безопасности.

Comments

[seosova]

Я хочу свои личные cookies поменять. Посмотреть что мне мне написали. По сути почему я на своем пк не могу их изменить? В чём тут вопрос безопасности? ( кроме варианта что мне вирус их там все подменил )

[MiiNiPaa]

seosova: >По сути почему я на своем пк не могу их изменить?
Можете. Через браузер.
Манипулировать куками может сайт, который их ставил или пользователь через консоль браузера.

> В чём тут вопрос безопасности? ( кроме варианта что мне вирус их там все подменил )
В этом и есть. Если дать свободный доступ к кукам: вшиваем в трояна хромиум, забираем куки от почты, подделываем user-agent и получаем доступ к почте.

Можете посмотреть, имеют ли аддоны доступ к кукам, и написать своего Павлика Морозова, который будет посредником между приложением и браузером.

[seosova]

Я хочу менять свои cookies через python ( по сути он легко работает с sqlite ). В данном случае это не реально? Без браузера? Или может просто через браузер менять, тот же selenium умеет так?

[MiiNiPaa]

seosova: В Винде Хром хранит куки зашифрованными через пароль текущего пользователя. Вам придётся использовать DPAPI ( https://msdn.microsoft.com/en-us/library/ms995355.aspx ) для расшифровки.

В Файрфоксе куки вроде как не шифруются. В остальных браузерах не знаю.

[seosova]

MiiNiPaa: А после расшифровки что видно? К сожалению, сейчас нет Windows под рукой. До расшифровки вообще ничего не понятно, а потом видны те же хэши в значениях. Или после расшифровки уже никаких хэшей в полях value и все прям видно?

[MiiNiPaa]

seosova: Там будет то, что положил сервер.

Для Линукса/макос можете попробовать это: n8henrie.com/2014/05/decrypt-chrome-cookies-with-python

[seosova]

Ясно, спасибо посмотрю. Сейчас под линуксом я вижу куки, не кажутся зашифрованными, но поля value часто вообще безсмысленные. Попробую воспользоваться Вашим решением, вдруг по-больше информации станет видно.

[Алексей Уколов]

вдруг по-больше информации станет видно

Не станет.
Ещё раз - в куках хранится либо 0/1, либо какой-то хеш, который вы никакими средствами не расшифруете. Не хранит никто в куках ваши сериализованные паспортные данные открытым текстом.

Answer 2

[Алексей Уколов]

Кто-нибудь может подсказать как прочесть данные в cookies и как расшифровать их?

Если без извращений, то можно просто в браузере нажать F12.
Например, в Хроме: F12 -> Resources -> Cookies -> toster.ru.

Comments

[seosova]

Алексей Уколов Ну я так понимаю, web tools тоже показывает просто как поля базы sqlite. Вот там есть строчка значений value - это какой-то зашифрованный хэш? Что вообще значат все эти сокращения ? Если смотреть в тостере особо данных нет каких-то, а вот если взять какой-нибудь google, начинаются поля HSID и прочие сокращения, часть я могу догадаться что это ID какие-то, но value их понять вообще не могу.

[Алексей Уколов]

Нет, там ничего не зашифровано. Просто в куках обычно хранятся два типа значений:
1. Флаги настроек - просто значения 0/1.
2. Различные идентификаторы - вот это, скорее всего, и есть те хеши, которые вы видите.
Что-либо ещё в куках хранить нецелесообразно - используют либо сессии на сервере, либо localStorage на клиенте.

[seosova]

Алексей Уколов: А теоретически, он же может передавать id пк по материнке или еще что-то? Какую-то индентификационную информацию? Хочу просто увидеть что-там конкретно, а толком просто строчка цифр и букв. На простых сайтах поля все понятный и там обычно 1-2 числа, а гугл, яндекс, видно какие-то хэши передает.

[Алексей Уколов]

Там ничего конкретно, просто какой-то хеш от каких-то данных. Например, это может быть просто ID сессии, который генерируется сервером и позволяет связать ваш браузер с сессией на сервере. ID пк там лежать не может, поскольку такого понятия вообще не существует, но информация в куках может позволять идентифицировать вас достаточно надежно.

[seosova]

Ну почему не может? А mac адрес или что-то такое хардверное по которому будет понятно что это я? Плюс "какой-то" хэш смущает. Особо не нашел информации на эту тему, но что там мешает писать вообще все-то угодно.

[Алексей Уколов]

Ничего не мешает писать "вообще всё, что угодно". Куки могут быть записаны либо сервером при ответе на запрос, либо клиентом через javascript ни то, ни другое не имеет доступа к железу.

[MiiNiPaa]

seosova: Ничего не мешает писать что угодно. ОБЫЧНО пишут хеши данных или идентификаторы сессий. ФАКТИЧЕСКИ могут хоть пароль открытым текстом писать.

[Алексей Уколов]

А информации на эту тему нет как раз по той простой причине, что этот хеш может быть от чего угодно, и вы никогда не угадаете от чего он, если исходники приложения не прочитаете.

[seosova]

Алексей Уколов: Ясно, спасибо. Ну по сути ответ - там может быть что угодно и оно зашифровано)

[Алексей Уколов]

Да не зашифровано там ничего...

[MiiNiPaa]

Алексей Уколов: Хром хранит значения кук зашифрованными.

«Можно загрузить в редактор баз данных, тогда я вижу поля, вижу сайты, время посещения прочее. А дальше идет поле encrypted_value. »

Отсюда недопонимание.

[Алексей Уколов]

MiiNiPaa: ну мы-то тут про DevTools Хрома говорим, да и автор явно про них уже.

[seosova]

Алексей Уколов: MiiNiPaa: Да там по ходу уже расшифрованные значения, но все равно это хзш в котором неизвестно что (

[MiiNiPaa]

seosova: Сервер знает. И только он.
Например когда я писал в универе простенькую игрушку с хранением сохранения в куках, писалось туда что-то вроде D0B72C01F57C5DB3. И без доступа к исходникам, фиг поймёшь, что первые три байта это инвертарь, следующий байт — позиция, а остальное — состояние локаций.

Сейчас туда обычно пишут какой-нибудь ИД сессии, чтобы исключить манипуляцию на стороне клиента.

[seosova]

MiiNiPaa: Ясно. Вот это хорошая фраза - Сейчас туда обычно пишут какой-нибудь ИД сессии, чтобы исключить манипуляцию на стороне клиента. По сути фиг что туда запишешь, сразу видно будет со стороны сайта, что не его cookie. Спасибо за наводки и информацию.

[Алексей Уколов]

А когда я вам про ID сессии написал, было неясно? XD

Answer 3

[nirvimel]

Cookies обычно хранят хэши/уникальные_идентиификаторы сессии и других сущностей, хранящихся на сервере. Браузер цепляет сookie к каждому запросу к серверу, а сервер с помощью этих уникальных идентификаторов отличает одну сессию от другой. Множество сookies с одной страници можно объяснить работой множества, не связанных друг с другом, компонентов на сервере, каждый из которых добавляет свои фильтры через которые проходит запрос и ответ, каждый из них пытается отслеживать состояние клиента по-своему.