1. В целом ответ: никаких проблем со считыванием, изменением и даже созданием cookie программным путем проблем нет. Грамотный программист справится.
2. Сброс или замена данных сессий по инициативе сайта периодически происходит, поскольку именно такие приложения могут воровать данные сессий. При этом вводится по-новой пароль, и генерируются новые данные сессии. Злоумышленник, чтобы снова получить доступ к сайту, должен заново узнать данные сессии.
(А в Интернете данные cookie никак особо не перехватишь, поскольку чужим сайтам не дает считывать cookie ограничение same origin. Зашитое в браузере пользователя.)
Все-таки еще вопросы, если не затруднит:
1. Если не ошибаюсь, есть папки Windows, зарезервированные только для использования конкретных приложений. Другие приложения к ним доступа не имеют, если у них нет прав администратора. Если пользователь грамотный, то UAC у него включен.
То место, где хранятся cookie, по идее, как раз должно относиться к таким областям диска. Получается, что для изменения cookie всегда будет выдаваться сообщение, что, мол, программа хочет изменить ваш компьютер.
Так ли обстоят дела с правами администратора? Каждый раз кликать на системное сообщение для изменения cookie очень некошерно.
3. Пароли в хранилище cookie не хранятся. А где хранятся?
> скажу даже что в разных браузерах почти одна и та же структура,
> они как правило иногда различается изменением колонок (те что
> были вертикальным стали горизонтальными, а те что были
> горизонтальными стали вертикальными)
Что это за структура? Где можно почитать? Можно без подробностей, скажем так: по каким ключевым словами искать?
4. Есть ли возможность менять пароли таким же образом (приложением)?
(Расшифровка зашифрованных данных меня действительно не особо интересует - интересует изменение и/или создание новых данных.)
5. Что, кроме идентификаторов сессии, храниться в хранилище cookie?
Мне понятно, что через сеть парольная информация пересылается в виде:
hash(пароль + случайное число)
или
hash(hash(пароль) + случайное число).
Не вполне понятен принцип, как извлекается пароль, чтобы сгенерировать это число?
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
1. В целом ответ: никаких проблем со считыванием, изменением и даже созданием cookie программным путем проблем нет. Грамотный программист справится.
2. Сброс или замена данных сессий по инициативе сайта периодически происходит, поскольку именно такие приложения могут воровать данные сессий. При этом вводится по-новой пароль, и генерируются новые данные сессии. Злоумышленник, чтобы снова получить доступ к сайту, должен заново узнать данные сессии.
(А в Интернете данные cookie никак особо не перехватишь, поскольку чужим сайтам не дает считывать cookie ограничение same origin. Зашитое в браузере пользователя.)
Все-таки еще вопросы, если не затруднит:
1. Если не ошибаюсь, есть папки Windows, зарезервированные только для использования конкретных приложений. Другие приложения к ним доступа не имеют, если у них нет прав администратора. Если пользователь грамотный, то UAC у него включен.
То место, где хранятся cookie, по идее, как раз должно относиться к таким областям диска. Получается, что для изменения cookie всегда будет выдаваться сообщение, что, мол, программа хочет изменить ваш компьютер.
Так ли обстоят дела с правами администратора? Каждый раз кликать на системное сообщение для изменения cookie очень некошерно.
3. Пароли в хранилище cookie не хранятся. А где хранятся?
> скажу даже что в разных браузерах почти одна и та же структура,
> они как правило иногда различается изменением колонок (те что
> были вертикальным стали горизонтальными, а те что были
> горизонтальными стали вертикальными)
Что это за структура? Где можно почитать? Можно без подробностей, скажем так: по каким ключевым словами искать?
4. Есть ли возможность менять пароли таким же образом (приложением)?
(Расшифровка зашифрованных данных меня действительно не особо интересует - интересует изменение и/или создание новых данных.)
5. Что, кроме идентификаторов сессии, храниться в хранилище cookie?
Мне понятно, что через сеть парольная информация пересылается в виде:
hash(пароль + случайное число)
или
hash(hash(пароль) + случайное число).
Не вполне понятен принцип, как извлекается пароль, чтобы сгенерировать это число?