In che modo Netflix conosce la mia password?

8

Ogni volta che vado alla pagina principale di Netflix in Firefox, accedo automaticamente.

Tuttavia, quando apro l'elenco di password salvate di Firefox, noto che Netflix non è tra i siti in cui Firefox mantiene le password per ( Options -> Security -> Saved Passwords)

In che modo Netflix conosce la password se Firefox non la memorizza e dove viene archiviata?

firefox  passwords  netflix 
Raven Dreamer
fonte
21
Non riesco a vedere quale parte di questo scenario ti faccia pensare che conoscano la tua password. Fondamentalmente tutto quello che hai detto è "Ho appena ricevuto un Chromecast". e "Firefox non ha salvato la mia password Netflix." Cosa c'è in quei due fatti che ti fanno credere che Netflix abbia la tua password? Immagino che questo malinteso sia nato da qualcosa di diverso da quello che hai elencato nella tua domanda attuale. Forse potresti modificare per spiegare cos'è quel "qualcosa"?
Ajedi32,
1
@ Ajedi32 Onestamente, ho appena avuto un errore mentale, e ho pensato che dato che sono loggato ogni volta che apro Netflix, è stato Firefox a fare il login. Dimenticato totalmente che i biscotti erano una cosa.
Raven Dreamer,
4
Quindi, in effetti, il Chromecast è completamente irrilevante.
David Z,
@DavidZ A meno che qualcuno non avesse informazioni su come usarlo tramite Firefox ... sì.
Raven Dreamer,
@RavenDreamer Sarebbe una domanda diversa; così irrilevante a prescindere.
OJFord,

Risposte:

31

Per rispondere alla tua prima domanda, Netflix non conosce la tua password .

Ciò che Netflix e tutti gli altri siti Web competenti là fuori è l'hash della password usando uno schema di hashing unidirezionale ( MD5 , SHA-1 , SHA-2 , ecc.).

Ciò che fa essenzialmente è creare un'impronta digitale esadecimale a lunghezza fissa unica che identifica la stringa di testo che è la tua password. Ad esempio, ecco come appare my-secure-password dopo essere stato eseguito l'hashing con MD5:

Hash MD5

Memorizzano questo hash nel loro database interno e ogni volta che accedi a Netflix, la password che fornisci durante il processo di accesso viene nuovamente inclusa nello stesso schema e viene confrontata con la copia della password con hash memorizzata nel loro database.

Se corrispondono, sanno che hai inserito la password corretta e ti viene concesso l'accesso. In caso contrario, non sei autenticato. Questo è il motivo per cui quando fai clic su una variante del link Password dimenticata non ti inviano la tua vecchia password ma ti chiedono piuttosto di sceglierne una nuova. È perché non sanno neanche quale sia la tua password.

Quindi, come si effettua l'accesso se Firefox non memorizza la password per Netflix?

La risposta è i cookie di sessione . Quando hai effettuato l'accesso a Netflix (forse qualche tempo fa), potresti aver scelto di ricordare la tua sessione.
Ricordati di me?

In tal caso, Firefox memorizza sul computer una piccola quantità di informazioni che ti identificano in modo univoco ogni volta che visiti Netflix. Questi "cookie", come vengono chiamati, generalmente persistono per un breve periodo di tempo fino a quando la sessione è attiva e quindi scade. Alcuni tuttavia possono durare settimane o più. Elimina quel cookie e Netflix non si ricorderà di te.

Cookie Netflix

Per quanto riguarda la tua seconda domanda, se Firefox non ha "ricordato" la password, non viene memorizzata da nessuna parte. Ciò che è memorizzato è il cookie. Firefox li memorizza nella sua cartella Profili nel file cookies.sqliteche è un file di database SQLite .

Infine, se hai scelto di accedere tramite il tuo account Facebook, non avresti bisogno di una password e quindi Firefox non ne memorizzerebbe una.

accedi usando Facebook

Tuttavia, verrebbe comunque creato un cookie per identificare la sessione.

Vinayak
fonte
23
MD5 è a senso unico perché è una funzione hash. Dire che non lo è significherebbe che potresti in qualche modo ottenere i dati originali da un hash MD5 attraverso un processo crittografico. Non puoi. Gli strumenti che menzioni possono "invertire" l'hash solo perché hanno investito una notevole potenza del computer per forzare brutalmente ogni sorta di combinazione di password per arrivare alla stringa di password originale. Ciò non significa che MD5 sia reversibile. L'hashing è diverso dalla crittografia in cui è possibile decrittografare i dati se si dispone della chiave. Anche con l'hash, indipendentemente dalla durata dell'input, l'output è sempre a lunghezza fissa.
Vinayak,
16
@Derek 朕 會 功夫 MD5 è crittografato "rotto", ma si tratta di collisioni , non di pre-immagini (che contano per le password). MD5 è dannoso anche per le password, ma è perché è veloce , quindi puoi forzare molte password in breve tempo (e questo è lo stesso per funzioni hash più all'avanguardia come SHA-2 e SHA -3). Vedi crypto.stackexchange.com/a/28/58 .
Paŭlo Ebermann,
9
Devo votare solo per l'esempio MD5, per quanto buono possa essere il resto della risposta. Questo non è qualcosa che vuoi leggere nel 2014 (che presto sarà il 2015). Non è mai stata una buona idea usare l'MD5 grezzo (anche con un sale) per memorizzare le password, e la maggior parte delle persone se ne è accorta nel corso degli ultimi 10 anni. -1
Thomas,
8
@Thomas Mi dispiace che la pensi così, ma la mia risposta non avrebbe mai dovuto essere una guida per scegliere il miglior schema di hashing. SuperUser non è StackOverflow e piaccia o no, MD5 è ancora una funzione di hash crittografica, quindi non vedo cosa c'è di sbagliato nello spiegare cos'è un hash con l'esempio di MD5.
Vinayak,
7
@kasperd "E infatti fino ad oggi l'utilizzo di una singola invocazione di MD5 con un salt è ancora sicuro per quegli utenti che usano buone password." No. Si prega di non diffondere disinformazione. Una singola chiamata di MD5 è completamente inadeguata.
Ayrx,
10

Netflix - come la maggior parte degli altri siti Web - non si preoccupa della tua password durante la normale navigazione. Invece, quando effettui l'accesso, Netflix ha nel browser un "cookie" con l'ID della sessione di accesso. Il browser lo rispedisce ogni volta che richiede una nuova pagina. (Allo stesso modo, l'archiviazione della password in Firefox non viene utilizzata durante la normale navigazione, ma solo per compilare automaticamente il campo della password nelle pagine di accesso.)

I cookie di sessione sono generalmente generati casualmente e non hanno alcuna relazione con il tuo login o password - solo Netflix stesso può collegarlo al tuo account.

Per vederli, fai clic con il pulsante destro del mouse sulla pagina, seleziona "Visualizza informazioni sulla pagina" e sotto "Sicurezza" fai clic su "Visualizza cookie".

grawity
fonte
5

Non c'è niente di sbagliato in Netflix. Proprio come quasi tutti i siti Web a cui è possibile accedere, memorizza un cookie sul PC che, tra le altre cose, memorizza i dati crittografati che rappresentano la password.

Non hai visto lo stesso comportamento su Google, Facebook, Yahoo, Windows Live e qualsiasi account ti venga in mente?

Alcuni servizi Web possono utilizzare cookie validi solo per un breve periodo di tempo o solo nella sessione corrente (ad esempio Yahoo e Facebook a meno che non selezioni un'opzione Ricordami su questo computer ). Ma a quanto pare Netflix utilizza cookie validi per un periodo di tempo più lungo che ti mantiene connesso a meno che non elimini la cronologia del browser, in particolare i cookie.

Ora, potresti chiederti a che serve l'archivio password nel browser. È molto semplice Se esci da Netflix (o qualsiasi altra cosa) il cookie viene eliminato. Se si desidera accedere nuovamente, è necessario inserire sia il nome utente dell'account sia la password. Se hai salvato la password nel browser, completerà automaticamente quel campo quando digiti il ​​nome utente.

Cornelius
fonte
10
Chiarimento: i cookie non contengono dati che rappresentano password. Piuttosto, contengono dati casuali che identificano una sessione associata al tuo account. Le sessioni sono memorizzate sul server.
ntoskrnl,
0

Hai controllato i tuoi cookie? La tua password, o una copia crittografata della tua password, potrebbe essere lì.

Hymie
fonte
5
Sarebbe un design terribilmente insicuro. La pratica comune è utilizzare un cookie di sessione che non sia in alcun modo correlato alla password.
Kasperd,
Non importa esattamente esattamente cosa trova lì. Dovrebbe controllare i suoi biscotti.
hymie,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.