Hogyan lehet feltörni jelszavakat csak úgy? Ez úgy történik, mint a filmekben, hogy ír egy hosszú parancsot (vagy inkább program) és kész? (részlezek lent)

<input type="password" name="asdasd">

[link]

Először is: A böngésző nem tudja azt, hogy melyik input mezőre mit tervezett a programozó. Nem gondolat olvasó! Tehát, így minden megfelelő beviteli mezőre adott egy típus érték.

type="X"

Ahol a X határozza, meg hogy micsoda. Email? Adat? Dátum? és lehetne sorolni. Tehát, ha átírod a típusát, így a böngésző másként fogja megjeleníteni/kezelni. Tehát semmi oka sincs rejtegetni, mert onnantól nem jelszó mező. Persze vannak eszközök, amivel e átírást is megakadályozzák, de sok fejlesztő nem veszi a fáradságot.

Pl.: id-t adni az inputnak és jQuery-vel figyelni. Persze, ha kitörlik az id-t, már is megvan kerülve ez is...

Másodszor: Hiába van ott az a *** a jelszónál, attól az még NEM titkos! A böngésző 2 féle módon tud kommunikálni a szerverrel. POST ill. GET módon. Míg a POST esetén normális esetben nem látod az adatokat, de kiloggolni kilehet, meg a kommunikációt is meglehet jeleníteni debugokkal. A GET meg alapból az URL-ben jelenik meg.

Pl.: GET-re: www.valami.hu/?a=1&b=2&c=3

?a=1&b=2&c=3 <-- ez a GET része, ahol "a" veszi fel a 3-as értéket, "b" a 2-est és így tovább.

Szerver oldalról (legyen PHP, mert az a legelterjedtebb) $__POST[<input name része>] tömb hivatkozással lehívható az adat. Ez igaz a GET-re is, csak a szavakat kell kicserélni.

$valtozo = $__GET["a"]; // $valtozo értéke ezennel 1 lesz

$jelszo = $__POST["asdasd"]; // $jelszo változó értéke a böngészőn beírt jelszó TITKOSÍTATLANUL! Amennyiben JavaScript oldalon nem történt meg. És általában nem is történik meg.

Megj.: A szerver oldalhoz sose férsz hozzá, csak az oldal szolgáltatója/üzemeltetője/fejlesztője.

Egészen a beírástól számítva, interneten át a cél szerverig alap esetben nincs letitkosítva. Ez akkor, és csak is akkor él, ez az állítás, ha " http://" látsz, de van hogy ezt a böngészők ki se írják. (Persze JavaScripttel még mindig megoldható a jelszó titkosítása.)

" https://" esetén S mint Security. Ezt egy piros vagy zöld lakattal jelenítik meg egyes böngészőkben. Azaz titkosított adatkapcsolat. Tehát lásd előző hozzászólást RSA eljárással generálódik egy publikus és egy privát kulcs. Te megkapod a másik fél publikusát, és te is odaadod a te publikus kulcsodat. Amit a szerver titkosított a te publikus kulccsal, azt csak te tudod visszafejteni a privát kulccsal. Tehát az interneten mint adat folyosón titkosított. De mihelyt megérkezik, első dolog az, hogy vissza fejted. Tehát, te ebből nem látsz semmit. Menny fel facebook-ra és ott lesz a Security s betű a http után.

"És az miért van hogy a weblapok forráskódját tudod módosítani? "

Nem tudod. Azaz te otthon biztosan nem tudod. Igen, rákattinthatsz, hogy megtekinted az oladl HTML(!!!) forrását, azt még szerkeszteni is tudod, sőt el is mentheted a gépedre. De ettől még nem változtattad meg az oldalt. Ráadásul "csak" egy HTML kódot szerkesztettél, amivel nem sokra mész: abban nincs adatbáziskezelés, de még csak egy nyamvadt fájlművelet sem. A HTML csak egy megjeleníthető valami, amit valamilyen scriptben írnak, például PHP-ben. Ami a háttérben rengeteg olyan műveletet elvégez, amiről neked tudomásod sincs. Tehát attól, hogy te kapsz egy másolatot egy festményről, amit összefirkálsz, attól még az eredeti festmény a múzeumban ugyanolyan marad.

"És számítógépről hogyan lehet feltörni egy ilyen Tojás appot? Meglehet jeleníteni a forráskódját ennek is?"

Android app esetében simán meg lehet nyitni egy apk-t, persze ahhoz, hogy átírj benne valamit már kell tudás is.