Как Netflix знает мой пароль?


8

Всякий раз, когда я захожу на главную страницу Netflix в Firefox, я автоматически захожу в систему.

Однако, когда я открываю список сохраненных паролей Firefox, я замечаю, что Netflix не входит в число сайтов, для которых Firefox хранит пароли ( Options -> Security -> Saved Passwords)

Как Netflix знает пароль, если Firefox не хранит его, и где он хранится?


21
Я не вижу, какая часть этого сценария заставляет вас думать, что они знают ваш пароль. По сути, все, что вы сказали: «Я только что получил Chromecast». и «Firefox не сохранил мой пароль Netflix». Что в этих двух фактах заставляет вас думать, что у Netflix есть ваш пароль? Я предполагаю, что это недоразумение возникло не из того, что вы перечислили в своем текущем вопросе. Возможно, вы могли бы отредактировать, чтобы объяснить, что это за «что-то»?
Ajedi32

1
@ Ajedi32 Честно говоря, у меня только что произошла осечка, и я предположил, что, поскольку я вхожу в систему всякий раз, когда открываю Netflix, это был Firefox, выполняющий вход в систему. Совершенно забыл, что куки были вещи.
Мечтатель ворона

4
Так что на самом деле Chromecast совершенно не имеет значения.
Дэвид Z

@DavidZ Если у кого-то не было информации о том, как использовать его через Firefox ... да.
Мечтатель ворона

@RavenDreamer Это был бы другой вопрос; так не имеет значения независимо.
OJFord

Ответы:


31

Чтобы ответить на ваш первый вопрос, Netflix не знает ваш пароль .

Netflix и любой другой компетентный веб-сайт делают хэширование вашего пароля с использованием односторонней схемы хеширования ( MD5 , SHA-1 , SHA-2 и т. Д.).

По сути, это создает уникальный шестнадцатеричный отпечаток фиксированной длины, который идентифицирует строку текста, которая является вашим паролем. Например, вот как выглядит мой-безопасный-пароль после хеширования с использованием MD5:

MD5 хэширование

Они хранят этот хэш в своей внутренней базе данных, и каждый раз, когда вы входите в Netflix, пароль, который вы вводите в процессе входа в систему, снова хэшируется по той же схеме и сопоставляется с копией хешированного пароля, хранящегося в их базе данных.

Если они совпадают, они знают, что вы ввели правильный пароль и вам предоставлен доступ. Если они этого не делают, вы не аутентифицированы. Вот почему, когда вы нажимаете на какое-либо изменение ссылки Забыли пароль, они не отправляют вам ваш старый пароль, а вместо этого просят вас выбрать новый. Это потому, что они не знают, какой у вас пароль.

Так как вы вошли в систему, если Firefox не сохранил пароль для Netflix?

Ответ на это - сеансовые куки . Когда вы вошли в Netflix (возможно, некоторое время назад), вы, возможно, решили запомнить свою сессию.
Запомни меня?

Если вы это сделали, Firefox хранит небольшой кусочек информации на вашем компьютере, который однозначно идентифицирует вас при каждом посещении Netflix. Эти «куки», как их называют, обычно сохраняются в течение короткого периода времени, пока сеанс не станет активным, а затем истечет. Некоторые, однако, могут длиться недели или дольше. Удалите этот файл cookie, и Netflix не запомнит вас.

Печенье Netflix

Что касается вашего второго вопроса, если Firefox не «запомнил» пароль, он нигде не хранится. Что хранится это печенье. Firefox хранит их в своей папке Profiles в файле, cookies.sqliteкоторый является файлом базы данных SQLite .

Наконец, если вы решили войти через свою учетную запись Facebook, вам не понадобится пароль, поэтому Firefox не будет его хранить.

войти через Facebook

Однако для идентификации вашего сеанса все равно будет создан файл cookie.


23
MD5 является односторонним , потому что это хэш - функция. Сказать, что это не так, означает, что вы можете каким-то образом получить исходные данные из хеша MD5 с помощью криптографического процесса. Ты не можешь. Упомянутые вами инструменты могут «перевернуть» хеш-код только потому, что они вложили значительные вычислительные ресурсы в компьютер, чтобы перебрать все виды комбинаций паролей для получения исходной строки пароля. Это не значит, что MD5 обратим. Хеширование отличается от шифрования, где вы можете расшифровать данные, если у вас есть ключ. Также с хэшированием, независимо от того, как долго вводится, вывод всегда фиксированной длины.
Винаяк,

16
@Derek 朕 會 功夫 MD5 криптографически «сломан», но речь идет о коллизиях , а не о предварительных изображениях (которые имеют значение для паролей). MD5 также плохо подходит для паролей, но это потому, что он быстрый , поэтому вы можете за короткое время взломать много паролей (и то же самое для более современных хеш-функций, таких как SHA-2 и SHA -3). См. Crypto.stackexchange.com/a/28/58 .
Paŭlo Ebermann

9
Я должен понизить только для примера MD5, каким бы хорошим ни был ответ. Это просто не то, что вы хотите прочитать в 2014 году (скоро будет 2015). Никогда не было хорошей идеей использовать сырой MD5 (даже с солью) для хранения паролей, и большинство людей поняли это за последние 10 лет. -1
Томас

8
@ Томас Мне жаль, что ты так думаешь, но мой ответ никогда не должен был служить руководством для выбора наилучшей схемы хеширования. SuperUser - это не StackOverflow и, нравится это или нет, MD5 по-прежнему является криптографической хэш-функцией, поэтому я не вижу, что не так с объяснением того, что такое хеш-код на примере MD5.
Винаяк

7
@kasperd "И фактически до сегодняшнего дня использование одного вызова MD5 с солью все еще безопасно для тех пользователей, которые используют надежные пароли." Пожалуйста, не распространяйте дезинформацию. Одного вызова MD5 совершенно недостаточно.
Ayrx

10

Netflix, как и большинство других веб-сайтов, не заботится о вашем пароле при обычном просмотре. Вместо этого, когда вы входите в систему, Netflix хранит в браузере «cookie» с идентификатором сеанса входа. Браузер отправляет его обратно каждый раз, когда запрашивает новую страницу. (Аналогично, хранилище паролей в Firefox не используется во время обычного просмотра, но только для автоматического заполнения поля пароля на страницах входа в систему.)

Сессионные куки-файлы обычно генерируются случайным образом и не имеют никакого отношения к вашему логину или паролю - только сам Netflix может связать его с вашей учетной записью.

Чтобы просмотреть их, щелкните правой кнопкой мыши страницу, выберите «Просмотр информации о странице» и в разделе «Безопасность» нажмите «Просмотр файлов cookie».


5

С Netflix все в порядке. Как и почти все веб-сайты, на которые вы можете войти, он сохраняет на вашем компьютере cookie, который, помимо прочего, хранит зашифрованные данные, представляющие ваш пароль.

Разве вы не видели такого же поведения в Google, Facebook, Yahoo, Windows Live и любой другой учетной записи, о которой вы можете подумать?

Некоторые веб-службы могут использовать файлы cookie, которые действительны только в течение короткого периода времени или только в текущем сеансе (например, Yahoo и Facebook, если вы не выбрали опцию Запомнить меня на этом компьютере ). Но, очевидно, Netflix использует куки, которые действительны в течение более длительного периода времени, что позволяет войти в систему, если вы не удалите историю браузера - особенно куки.

Теперь вы можете спросить, какой смысл использовать хранилище паролей в браузере. Это очень просто. Если вы выходите из Netflix (или чего-либо еще), cookie удаляется. Если вы хотите войти снова, вам нужно будет ввести как имя пользователя учетной записи, так и пароль. Если вы сохранили свой пароль в браузере, он автоматически заполнит это поле при вводе имени пользователя.


10
Уточнение - куки не содержат никаких данных, представляющих пароли. Скорее, они содержат случайные данные, которые идентифицируют сеанс, связанный с вашей учетной записью. Сессии хранятся на сервере.
ntoskrnl

0

Вы проверяли свои куки? Ваш пароль или зашифрованная копия вашего пароля, возможно, там.


5
Это был бы ужасно небезопасный дизайн. Обычной практикой является использование файла cookie сеанса, который никак не связан с паролем.
kasperd

Это не имеет особого значения, что именно он там находит. Он должен проверить его печенье.
hymie
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.