Cookies auslesen (Fremde)

Beitrag von **3DCG** » 14.03.2008, 21:53

Hi,

hat schon mal jemand von Webseiten Besuchern die Cookies anderer Webseiten ausgelesen (um zu sehen wo die Besucher sich sonst noch rumgetrieben haben)

.

von **Anzeige von ABAKUS** »

Beitrag von **SISTRIX** » 14.03.2008, 22:59

Du hast das Prinzip von Cookies aber schon verstanden?

Beitrag von **Vegas** » 15.03.2008, 00:23

Nein, denn das ist schlicht und ergreifend unmöglich, von der rechtlichen Komponente mal ganz abgesehen.

Viele Seiten speichern sogar Benutzername/Passwort als Cookie, damit Du Dich nicht immer neu einloggen mußt.

Beitrag von **gelegenheitsbot** » 15.03.2008, 00:29

Also hab mal n Buch drüber gelesen - fremde Cookies sind für fast alle nicht auszulesen!
Aber es ist möglich! Nur das Wissen hat kaum jemand!
Ich zum Glück auch nicht!

Beitrag von **holch** » 15.03.2008, 00:30

Kommt drauf an. Wenn du ein JavaScript auf der Seite hast, die den Cookie gesetzt hat, und der Besucher auf die Seite kommt, dann kannst du im Prinzip alle Cookies, die von dieser Seite aus erstellt wurde auslesen.

Beitrag von **gelegenheitsbot** » 15.03.2008, 00:34

Ja holch - dann muss man den aber auf fremden Seiten platzieren können.
Und das geht nich so einfach!
Gibt auch Spionageprogramme für Session-ID ... wo man dann aus der speziellen Session-ID Inhalte rauslesen kann.

Die sind aber wohl behütet in Hacker-Kreisen

Beitrag von mm » 15.03.2008, 00:57

Mir fallen drei Möglichkeiten ein, ohne direkt auf den Rechner des Benutzers zugreifen zu müssen:

1. Per DNS-Cloaking (oder besser gesagt -Hacking) den fremden URL vortäuschen.

2. Per JS auf ein eingebettetes IFRAME zugreifen.

3. Bekannte XSS-Schwächen ausnutzen und so ein JS einschleusen.

In der Regel handelt es sich bei Cookies aber um sensible Informationen und auch, dass das Hacking von Servern nicht legal ist, sollte klar sein.

Beitrag von **holch** » 15.03.2008, 00:59

@gelegenheitsbot: Ja, aber ich weiß ja aus seiner Beschreibung nicht, um was es genau geht.

Meine Aussage ist nur: es geht fremde Cookies auszulesen, solange du von dieser Domain zugreifen kannst.

Gibt da schon einige Anwendungen, wo verschiedene Tools (z.B. Umfrage, Webanalytics) Javascripts auf einer Seite haben und da IDs ausgelesen werden. Das muss nicht unbedingt "Hacking" sein. Vermutlich will er aber darauf raus. Davon hab' ich keine Ahnung.

Beitrag von **gelegenheitsbot** » 15.03.2008, 01:01

Da hat der mm Recht!

Punkt 1 ist definitiv möglich.
Punkt 2 begrenzt.
Punkt 3 sagt mir aber nix.

Aber sowas machen nur Hacker, wenns internationale Seiten zu hacken gibt und wo man echt Schaden anrichten kann.
Für den Normale-SEO bzw. Üble-Absichten-Verfolger ist das nicht möglich. Weil er nicht über die Netzwerkinfos verfügt!

Beitrag von **3DCG** » 15.03.2008, 20:54

Naja - wenn ich fleissig surfe dann habe ich ne Menge Cookies auf meinem Rechner - damit habe ich das notwendige Wissen um diese auslesen zu können - d.h. wenn ich mit einem jungfräulichen Rechner auf die Seiten der Konkurrenz surfe sollte ich wissen wie die "langzeit cookies" heisen und sollte sie auslesen können (bei meinen Besuchern), oder?

Sieh auch https://www.peacefire.org/security/iecookies/

.

Beitrag von **holch** » 15.03.2008, 21:34

Nein, da müsstest du wirklich was krummes drehen.

Eine Website kann mit "legalen Mitteln" nur Cookies auslesen, die von dieser Website erstellt wurden. Das ist jedenfalls mein Kenntnisstand. Ich lasse mich da aber gerne eines besseren belehren.