ABAKUS

Du hast das Prinzip von Cookies aber schon verstanden?

Nein, denn das ist schlicht und ergreifend unmöglich, von der rechtlichen Komponente mal ganz abgesehen.

Viele Seiten speichern sogar Benutzername/Passwort als Cookie, damit Du Dich nicht immer neu einloggen mußt.

Also hab mal n Buch drüber gelesen - fremde Cookies sind für fast alle nicht auszulesen!
Aber es ist möglich! Nur das Wissen hat kaum jemand!
Ich zum Glück auch nicht!

Kommt drauf an. Wenn du ein JavaScript auf der Seite hast, die den Cookie gesetzt hat, und der Besucher auf die Seite kommt, dann kannst du im Prinzip alle Cookies, die von dieser Seite aus erstellt wurde auslesen.

Ja holch - dann muss man den aber auf fremden Seiten platzieren können.
Und das geht nich so einfach!
Gibt auch Spionageprogramme für Session-ID ... wo man dann aus der speziellen Session-ID Inhalte rauslesen kann.

Die sind aber wohl behütet in Hacker-Kreisen

Mir fallen drei Möglichkeiten ein, ohne direkt auf den Rechner des Benutzers zugreifen zu müssen:

1. Per DNS-Cloaking (oder besser gesagt -Hacking) den fremden URL vortäuschen.

2. Per JS auf ein eingebettetes IFRAME zugreifen.

3. Bekannte XSS-Schwächen ausnutzen und so ein JS einschleusen.

In der Regel handelt es sich bei Cookies aber um sensible Informationen und auch, dass das Hacking von Servern nicht legal ist, sollte klar sein.

@gelegenheitsbot: Ja, aber ich weiß ja aus seiner Beschreibung nicht, um was es genau geht.

Meine Aussage ist nur: es geht fremde Cookies auszulesen, solange du von dieser Domain zugreifen kannst.

Gibt da schon einige Anwendungen, wo verschiedene Tools (z.B. Umfrage, Webanalytics) Javascripts auf einer Seite haben und da IDs ausgelesen werden. Das muss nicht unbedingt "Hacking" sein. Vermutlich will er aber darauf raus. Davon hab' ich keine Ahnung.

Da hat der mm Recht!

Punkt 1 ist definitiv möglich.
Punkt 2 begrenzt.
Punkt 3 sagt mir aber nix.

Aber sowas machen nur Hacker, wenns internationale Seiten zu hacken gibt und wo man echt Schaden anrichten kann.
Für den Normale-SEO bzw. Üble-Absichten-Verfolger ist das nicht möglich. Weil er nicht über die Netzwerkinfos verfügt!

Naja - wenn ich fleissig surfe dann habe ich ne Menge Cookies auf meinem Rechner - damit habe ich das notwendige Wissen um diese auslesen zu können - d.h. wenn ich mit einem jungfräulichen Rechner auf die Seiten der Konkurrenz surfe sollte ich wissen wie die "langzeit cookies" heisen und sollte sie auslesen können (bei meinen Besuchern), oder?

Sieh auch https://www.peacefire.org/security/iecookies/


.

Nein, da müsstest du wirklich was krummes drehen.

Eine Website kann mit "legalen Mitteln" nur Cookies auslesen, die von dieser Website erstellt wurden. Das ist jedenfalls mein Kenntnisstand. Ich lasse mich da aber gerne eines besseren belehren.