için gerçek anahtar bazı web siteleri olduğunu, Facebook gibi pek çok web sitesi, eBay ve birçok, birçok diğerleri gibi oturum kimliği saklayacak çerezinde. Hiç tarayıcınızı dışarı kapalı ettiyseniz ve geri tarayıcınızı açtın ve bir web sitesi oturum mümkün oldum Kullanıcı adınızı ve şifrenizi-yazmanız gerek kalmadan, o olabilir oturum kimliği kendisi Kalıcı olan biridir. O orada kalır. Bu tekrar tekrar bağlanmanızı sağlar gerek kalmadan her zaman yeniden oturum açın. Sadece olduğun yerde Bazen biri Web tarayıcınızın

aktif tutmak. Sen cookie farklı denetimleri Bir geliştirici iseniz, o çerez olup olmadığına karar verebilirsiniz Sadece tarayıcı ömrü boyunca mevcuttur, , o zaman belirli bir miktar için sadece olsun belki ne olursa olsun kalır biri var Eğer tarayıcıyı kapatmak ya da olmadığı. Yani oldukça emin asla. Sen her cookie gitmek zorunda Bu sizi görmeye ilgileniyorsanız şey varsa ve bak. Bu işler bu şekilde bir website-- giriş olduğunu sen eBay giriş, Facebook oturum merhaba ben bu demek days-- hemen hemen her web sitesine giriş oturum, burada kullanıcı adı ve şifre var. Ve sen, düzgün doğrulanır ise Web sunucusu bir oturum kimliği size geri gönderir, ve muhtemelen bir sayı geri gönderir cookie saklanan bilgilerin diğer parçaları, ama biz bu çok yüksek seviyede bakacağız. Bir oturum kimliği geri gönderir. Ve buraya geri gönderilen bu büyük onaltılık oturum kimliği var. Ve sürece göndermek gibi geri bilgi almak Eğer bir e-posta göndermek server-- bu web, bazı verilerinin-- göndermek ve bu oturum kimliği dahil, hem web sunucu ve bilgisayar senkronize ve o tanır oh, sen zaten giriş var. Zaten, size büyük bir oturum kimliği verdik Bunu mesaj göndermek için izin verirsiniz. Bana bilgi bu parça vermek için izin verirsiniz. Ama kötü adam o oturum kimliği almak için olursa, Onlar her yerde ağınızdaki ya da şimdi değil oturabilir senin network-- her yerde, gerçekten-- ve Gönderirken web sunucusuna geri bu bilgiler ve ben aslında bu makine değilim, ah, demek ve burada olur benim oturum kimliği var Orada oturum kimliği yukarı eşleşecek. Web sunucusu bu farkın hiçbir fikri vardır. Bu iki farklı makinelerdir hiçbir fikri yok. Bu, oturum numarası, bu nedenle, aynı olduğunu varsayar başlangıçta doğrulanmış makine olmalı. Şimdi tabii ki, bir oturum kimliği almak için basit bir süreç değil, bu oturum kimliği kullanmak mümkün önemsiz bir şey değil, ancak kolayca mevcut programların bir dizi vardır Eğer bu bilgi bir arada sağlar. Sen cross-site scripting bizim video hatırlamak olabilir Biz olmak için kullanılan başka bir oldu Bu bilgiyi alıp ekranda görüntülemek mümkün, ya da kötü bir adama verin. Bir ağda iseniz vardı Diğer kullanıcıların şeyleri kullanabilirsiniz vardır Wireshark veya Kısmet gibi özellikle Kablosuz ağlar için, bilgi toplamak mümkün. Bu oturum kimlikleri genellikle gönderilir net arkasında ve ileri ağ üzerinden. Biz paketleri kapmak mümkün iseniz Yani, biz kolayca o zaman çerez görebilirsiniz ileri geri transfer oluyor. Biz zaten belirtildiği gibi Cross-site scripting Bu oturum kimliği almak için iyi bir yoldur ve bu istismar edebilmek için. Yani cross-site scripting şeydir biz her zaman var olduğunu ve dikkatli olmak. Sonra biz göndermek başlıklarını değiştirmek istediğiniz Biz taklit böylece biz o bu oturuma kullanıcı Kimliği. Yani Tamper veya Firesheep veya Scapy gibi programlar kullanabilirsiniz Bu otomatik ya da çok manuel yollar ya sahip başlıkları değiştirmek için. Ne bizim durumumuzda yapmak için gidiyoruz Firefox Çerezler Manager Plus denilen bir eklenti kullanmaktır. Ve bu bize çok kolay bir ön uç için izin gidiyor değiştirmek ve bizim tarayıcıya çerezleri eklemek mümkün. Bu oturum kimliği kaçırma göstermek ve kullanarak Bu çerez manipülasyon devralmak için muktedir Birinin oturumu iki makina benim masaüstünde çalışan var Bir seferde. Ben bu Ubuntu sistem var ve bu bir Firefox çalışıyor. Ve ben bu cihaza bağlı ve ben yukarı yüklemek mümkün duyuyorum ve burada size bilgileri gösterir. Ayrıca tam olarak aynı şey çalışan var Aynı sunucuya, aynı web sunucusu, ve bu benim yerel bilgisayardır. Yani Firefox benim yerel makine ve Firefox üzerinde çalışan var ettik Ayrı bir bilgisayarda çalışan. Yani biz burada var Ubuntu sistemine giriş için gidiyoruz ve biz seans bilgilerine bakmak için gidiyoruz. Şimdi bu değildi bir uygulamayı olur iyi bu oturumda manipülasyon yapmak için beni tanır, geliştirilen buna. Bu WebGoat olduğunu. Bu açık bir web uygulama güvenlik projesi geliyor. Sen owasp.org at WebGoat indirebilirsiniz ve bilgisayarınıza yükleyebilirsiniz ve bu aynı sistem deneyin. Ayrıca Firefox yapabilirsiniz Araçları altında Zaten Çerezler Yöneticisi ekledik görüyoruz. Sen, eklentiler yöneticiye gitmek istiyorum senin eklentiler Müdürü ve Çerezler Artı Yöneticisi kadar yük Kendinizi. Yani giriş ne yapacağız olduğunu. Biz normal bir kullanıcı konum. Aslında, bu özel WebGoat anlatır Eğer ne olacağını görmek için WebGoat WebGoat kullanarak giriş. Ve en yapalım. Şifre WebGoat ile WebGoat ile giriş edelim. Ve bu çok basit bir uygulamadır. Bu size başka bir şey yapmaz Giriş yaptıktan söyledi. Eğer birkaç kez yenileme vurabilir Yani, bu bilgiyi yeniden gönderin. Biz hala giriş ediyoruz. Yani bu konuda gerçekten sıradışı bir şey. Hiçbir şey bu değişti. Bizim diğer bilgisayar ve yenileme üzerinden gidersek, Eğer biz kesinlikle bu bilgisayarda giriş değiliz görebilirsiniz. Şimdi WebGoat olarak oturum çünkü, Bu çerez bilgilere muktedir bakmak gerekir. Yani benim Araçlar menüsünü aşağı çekme altında, Ben Çerezler Yöneticisi gitmek için gidiyorum. Ve ben zaten burada bir filtre var görebiliyorum Bu tek bir bilgisayar için. Yani biz sadece bu IP adresi için çerezleri bakıyoruz. Ve ben bir oturum kimliği var. Sen, burada oturum kimliği içeriğini görebilirsiniz Bu oturum kimliği bilgilerinin değeridir. Ve burada auth kurabiye ve auth çerez sadece adı Bize bu çerez biz fark yapar Biz doğrulanmış zaman var. Bazı şeyler vardır Yani biz deneyebilirsiniz Bu auth çerez yararlanmak mümkün. Ihtiyacımız o auth çerez ise, Belki başka bir bilgisayarda bu yeniden oluşturabilirsiniz. Yani tüm kötü adam almak gerekiyor cookie içinde var bu bilgilerin bazıları. Yani o deneyelim. Ben bu yetkilendirme çerez kopyalamak için gidiyorum, bu vurgulamak için gidiyorum. Ve ne yapmak istiyorum, benim bilgisayarda yeniden oluşturmak olduğunu buraya. Bu yüzden diğer tarayıcı geçmek için gidiyoruz ve biz o auth cookie kullanmak için gidiyoruz. Şimdi bu aşağı çekin ve benim Menü yukarı çekin gidiyorum edelim. Araçlar Altında bizim Çerezler Yöneticisi seçmek için gidiyoruz de. Ve burada bu bilgisayar için Cookies Müdürü var. Bu bilgisayarda bir auth tanımlama yok dikkat edin, biz yeni bir tane eklemeniz gerekir. O yüzden böyle yapalım. Ve diğer kimlik doğrulama tanımlama bilgisi olduğu gibi en tam yazın edelim. Ve içerik için en tam olarak aynı auth tanımlama içinde koyalım. Ben sadece doğru yapıştırmak için gidiyorum. Ve Kaydet'i tıklatın. Şimdi ben bir yenileme yaparsam burada ne olduğunu görelim. Uyarı Ben aynı kimlik doğrulama tanımlama var çünkü Şimdi giriş yapıyorum. Ben kullanıcı adını koymak yoktu. Ben bir şifre koymak yoktu. Ben sadece şimdi bu bilgisayarda oturum açmış değilim, aynı şekilde diğer kullanıcı oldu. Hatta dışarı oturum açabilirsiniz çünkü bu uygulama, gerçekten kötü Eğer ben artık giriş değilim açıkça görebilirsiniz. Ben giriş değilim, bu sayfayı yenileyebilirsiniz. Buraya yenileme Ama eğer, ben hala açmış değilim. Yani diğer bir kullanıcı kapalı olsa bile Onların computer-- onlar eve gittim, çerez Ben onu çalmak başardı çünkü diğer machine-- de gitti, Ben hala doğrulanmış değilim ve bu uygulama hala yaşıyorum ve ben hala aynı şekilde kullanabilirsiniz Gerçek kullanıcı kullanmak mümkün olurdu. Ve bu kötü adamlar avantaj alacağını yolu Bu kurbanların bu çerez çalmak mümkün olduğunu bilgi, çok kendi tarayıcınızda yeniden oluşturun çok kolay, ve şimdi onlar aynı haklara sahip kurban olarak. Açıkçası gördüm ne kadar kolay olduğunu Bu ağ üzerinde bir başkası, ve iddia etmek. Bunu yapmak çok kolay bir şey dünyanın en popüler web sitelerinin bazı o oturumları korumak için çok yaygın bir yoldur Bu sistemlerde. Yani size bu olay önleyebilirsiniz bazı yolları sona erdirmek için oturum sonu şifrelemek için olduğunu. Tüm yol web sunucusuna HTTPS musunuz kötü adamlar yüzünden onlar göremiyorum eğer çerez bilgilerinizi kapmak olamaz o. Onlar kablosuz ağ izleme ediyorsanız, onlar şifreli verileri görürsünüz. Onlar ne kimlik doğrulama tanımlama bilgileri, oturum hiçbir fikrim yok olacak çerezler, ya da çerez bilgilerin herhangi olabilir. Artık bu web sunucusu üzerinde ek bir yük getirir. Şifreleme yapmak için güçlü olmak önemsiz bir görev değildir. Gerçekten ek kaynakların bir sürü içerir. Yani tüm web hizmetleri bu sağlayacaktır. Tüm web siteleri bu izin verir. Ama yapmak olanlar, otomatik tarayıcınızı olabilir şifreli bir biçimde bağlayın. Bazı Firefox uzantıları indirmeyi deneyebilirsiniz. HTTPS Everywhere ve Kuvvet TLS var Eğer bir web sitesine giderseniz destek olacak bir çift vardır şifreleme, otomatik seni kayacak Bunu yapmazsanız sadece bu yüzden şifreli bir moda Eğer bu web sitelerinden gittiğinizde HTTPS kullanmak için hatırlamak zorunda. Yapmanız deneyebilirsiniz başka bir şey En azından kablosuz ağ üzerinden şifrelemek olduğunu. Belki en azından başka bir yerde bilgisayarınızdan var. Yani birileri yerel kafede ise o bir otelde var kablosuz ağınızdaki, En azından hala şeyler görmek mümkün olmaz net olarak. Sen şeyleri kullanarak, örneğin bu görebilirsiniz OpenVPN, VyperVPN gibi kişisel VPN gibi, veya diğer VPN çözümleri herhangi Eğer ofiste olabilir olurdu kimse, en azından yerel olarak görmek mümkün olacaktır emin olun. Diğer insanlar şeyler kullanmak isteyebilirsiniz oturum kimliği izler gibi. Blacksheep ve Uygulamaya özel kimlik denen şeyler var her uygulama için izler. Yani en az olan mükemmel bir çözümdür ama değil Kendinizi ya da diğer insanları görmek için izin ağda dışarıda vardır. Blacksheep en ilginç bir o çünkü dışarı sahte oturum ID bilgilerini gönderir ve kötü adamlar bu oturum kimlikleri hangi birini asla bilemezsiniz Gerçekten meşrudur. Oturum Kimliği kaçırma, bu çerezleri manipüle edememek, Açıkçası bir güvenlik kaygısı ve emin olmalı uygulamalar bu kullanıcıların kullanıyor, ve olanlar ortamınızda kullandığınızdan emin hijacks bu tür karşı korunmuştur.