Структура Cookie для браузера

ikibostus

Client
Регистрация
27.09.2015
Сообщения
256
Благодарностей
26
Баллы
28
Привет всем! Кто знает, где почитать за структуру куки?
Нужно куки после гет запроса преобразовать в формат для браузера. Это реально вообще?
Что обозначают значения "TRUE", "FALSE". Иногда перед доменом есть ".", иногда нет.

И вообще, сайты видят куки других сайтов - есть ли смысл "набивать" браузер куками со сторонних сайтов для отвода глаз?
 

Lord_Alfred

Client
Регистрация
09.10.2015
Сообщения
3 916
Благодарностей
3 867
Баллы
113
Кто знает, где почитать за структуру куки?
RFC

Иногда перед доменом есть ".", иногда нет
wildcard

сайты видят куки других сайтов
Нет

PS: зачем в скрытом разделе?
 
  • Спасибо
Реакции: ikibostus

ikibostus

Client
Регистрация
27.09.2015
Сообщения
256
Благодарностей
26
Баллы
28
RFC


wildcard


Нет

PS: зачем в скрытом разделе?
Давно тебя читаю, и уважаю, как человека и как спеца, не знаю за чем в скрытом разделе - простите, если виновен) Но если реально сайт не видит чужие куки, то это бред ему их собирать и подсовывать... Я так понял что да... Ужас)
 

Lord_Alfred

Client
Регистрация
09.10.2015
Сообщения
3 916
Благодарностей
3 867
Баллы
113
Но если реально сайт не видит чужие куки, то это бред ему их собирать и подсовывать
Мы, наверное, говорим о немного разных вещах.
Любой сайт имеет доступ к кукам своего домена или к кукам верхнего домена (wildcard-куки, если с поддомена сайт смотрит на куки основного домена). Также, если я ничего не путаю, за счет запуска скриптов аля яндекс.метрика (куки с именем "_ym*") или гугл.аналитикс (куки с именем "_ga*") - сайт тоже имеет доступ к ним (опять же повторю - если ничего не путаю).
Но вот если мы зашли условно на vk_com, а затем на youtube_com, то ютуб не имеет доступа к кукам вконтакте.
 
  • Спасибо
Реакции: ikibostus

zortexx

Client
Регистрация
19.09.2011
Сообщения
2 520
Благодарностей
1 226
Баллы
113
Youtube, как часть зверинца Google, имеет доступ к GA, которая о пользователе знает всё.
 
  • Спасибо
Реакции: ikibostus

Lord_Alfred

Client
Регистрация
09.10.2015
Сообщения
3 916
Благодарностей
3 867
Баллы
113

ikibostus

Client
Регистрация
27.09.2015
Сообщения
256
Благодарностей
26
Баллы
28
Просто сейчас многие начали добавлять в регеры гулялку по разным сайтам, что бы насобирать кукисов, типа "антипалево", как будт-то бы живой человек регается, но получается - это бессмыслено тогда и просто тратит время.
 

zortexx

Client
Регистрация
19.09.2011
Сообщения
2 520
Благодарностей
1 226
Баллы
113
А о чем идет речь?
Можно перехватить куки яваскриптом, например, при помощи запроса к изображению на интересующем ресурсе.

https://ru.m.wikipedia.org/wiki/Межсайтовый_скриптинг

UPD.: И если использовать полученные данные не в корыстных целях, а, скажем, для защиты от ботов, то юзер об этом даже не узнает. Обфускация, матрешки и прочие методы скрытия кода очень тяжело реверсятся.
 

Lord_Alfred

Client
Регистрация
09.10.2015
Сообщения
3 916
Благодарностей
3 867
Баллы
113
Просто сейчас многие начали добавлять в регеры гулялку по разным сайтам, что бы насобирать кукисов, типа "антипалево", как будт-то бы живой человек регается, но получается - это бессмыслено тогда и просто тратит время.
Как раз таки нет, это для рекапчи делается. Она (по догадкам многих, да и логично это) знает за счёт гугл аналитики какие сайты ранее посещались, но доступа напрямую к кукам чужих сайтов не имеет если что.
 

Lord_Alfred

Client
Регистрация
09.10.2015
Сообщения
3 916
Благодарностей
3 867
Баллы
113
А о чем идет речь?
Можно перехватить куки яваскриптом, например, при помощи запроса к изображению на интересующем ресурсе.

https://ru.m.wikipedia.org/wiki/Межсайтовый_скриптинг
Не всегда, особенно для крупных сайтов. HTTPS only и правильные заголовки CSP решают такие проблемы, разработчики уже давно это используют и редко забывают о такой защите (если только сайт не совсем мелкий)
 
  • Спасибо
Реакции: ikibostus

zortexx

Client
Регистрация
19.09.2011
Сообщения
2 520
Благодарностей
1 226
Баллы
113
Достаточно просто получить список всех куков пользователя. Где то на форуме выкладывали сайт который палит авторизации в социалках и прочие подробности.
 
  • Спасибо
Реакции: infinit

ikibostus

Client
Регистрация
27.09.2015
Сообщения
256
Благодарностей
26
Баллы
28
Ну к примеру, если перед регистрацией майл ру или яндекс ящиков сначала "погулять" по разным сайтам - это даст что-то?
 

zortexx

Client
Регистрация
19.09.2011
Сообщения
2 520
Благодарностей
1 226
Баллы
113
Если собираетксь решать рекапчу, то имхается мне, что, да.
Уровень доверия будет чуть выше. Но это не факт. Поскольку, на данный момент, уже существуют алгоритмы благодаря которым, по типичной активности выпасаются 95-97% ботов. А 3-5% потерь - это несущественно.
 

one

Client
Регистрация
22.09.2015
Сообщения
6 833
Благодарностей
1 275
Баллы
113
  • Спасибо
Реакции: ikibostus

Lord_Alfred

Client
Регистрация
09.10.2015
Сообщения
3 916
Благодарностей
3 867
Баллы
113

infinit

Client
Регистрация
02.04.2016
Сообщения
163
Благодарностей
13
Баллы
18
Всем доброго времени суток, уважаемые коллеги.

ТС задал вопрос...
И вообще, сайты видят куки других сайтов - есть ли смысл "набивать" браузер куками со сторонних сайтов для отвода глаз?
На что последовал данный ответ:
И следующее сообщение:
Достаточно просто получить список всех куков пользователя. Где то на форуме выкладывали сайт который палит авторизации в социалках и прочие подробности.
К слову - был бы очень благодарен за ссылку на такой сайт/скрипт для ознакомления.

К примеру, рассмотрим Facebook... есть мнение, что FB видит куки, анализирует как много сайтов юзер посещал перед FB.
FB понимает, насколько "живой" этот юзер, основываясь на количестве куков от других сайтов.
И основываясь на этом - наделяет юзера определенным уровнем доверия (trust rate).

Соответственно - FB видит наличие куков от других сайтов, хотя это не совсем "этично".
Тогда с чего такая уверенность в том, что сайты не видят куки других сайтов?
Я не хочу никого обидеть, просто копаюсь в этой теме, она для меня очень актуальна.
Наткнулся на эту тему, так как ищу решение для импорта cookie файлов в профиль зеннопостера.

Вот такой формат куки: LmZhY2Vib29rL3sjOzG93lE5VDQuQmJYeEp......hKIA==
Мне надо импортировать данную куки в профиль зеннопостера.

Подскажите пожалуйста, как это можно сделать?
 

Чешир

Client
Регистрация
27.06.2014
Сообщения
1 634
Благодарностей
963
Баллы
113
  • Спасибо
Реакции: orka13 и infinit

infinit

Client
Регистрация
02.04.2016
Сообщения
163
Благодарностей
13
Баллы
18
бейз64
Может, ее нужно декодировать для начала?
Это вроде бы стандартный формат.
Я легко импортирую такой формат в браузере через расширение для Chrome.
И все отлично работает, сайт корректно воспринимает эти cookie и не нужно логиниться (словно в 10й раз заходишь на vk.com и попадаешь сразу внутрь аккаунта в ленту).

А вот как именно эту cookie запись импортировать в Zennoposter - я увы не нашел...
Очень нужно это сделать.
Буду крайне благодарен за советы.
 

Lord_Alfred

Client
Регистрация
09.10.2015
Сообщения
3 916
Благодарностей
3 867
Баллы
113
К примеру, рассмотрим Facebook... есть мнение, что FB видит куки, анализирует как много сайтов юзер посещал перед FB.
FB не видит куки чужих сайтов, никто не видит куки чужих сайтов/доменов.

FB видит на каких сайтах был пользователь, за счет того, что на страницах тех сайтов стоят кнопки/виджеты от FB.
Такая же херня и с историей у гугла: он знает где (на каких сайтах/страницах) был пользователь за счет кучи своих сервисов, которые ставят на страницы вебмастера: гугл аналитика, гугл шрифты, гул таг менеджер, гугл плюс, ютуб и так далее.
Вот именно там и помечается что это "человек обыкновенный, не робот, №1415926535897932384626433832795", а уже потом при решении рекапчи (например) - гугл спрашивает сам себя (а не смотрит куки других сайтов, ибо это невозможно!): "а человек ли это был?".

Вот такой формат куки: LmZhY2Vib29rL3sjOzG93lE5VDQuQmJYeEp......hKIA==
Не всё, что состоит из символов "A-Za-z0-9+/=" - является base64, каждый второй ответ на форуме с похожими цифрами - это совет декодировать строку через base64 decode. Но это не так, хочется напомнить, что мы живем в 2018 году и сейчас уже менее 0.00001% веб-мастеров будут класть в куки закодированные таким образом данные. Это в 2005 году можно было встретить в куках пароли/важные данные в plain-text или base64.
Сейчас же (если мы говорим о каких-либо сколь серьезных сервисах, а не домашней странице кота Васи), то такой набор букв и цифр в куках - ровным счетом при любом декодировании вам ничего не даст.

Это просто рандомная строка для обозначения вашей сессии, которая уже на сервере хранит всю вашу поднаготную. И нет, её вы вытащить не сможете. И да, без неё скорее всего ваша авторизация на сайте слетит.

PS: к тому же, не забывайте о SuperCookies / IndexedDB и прочие веб2.0 плюшки. Так что куки - это только цветочки.
 
Последнее редактирование:

Кто просматривает тему: (Всего: 2, Пользователи: 0, Гости: 2)