Que sont les cookies sur Internet. Qu'est-ce qu'un cookie ? Comment fonctionnent les cookies

Biscuits(cookies) - fichiers en texte brut sur un ordinateur créés par un serveur Web, qui se trouvent dans un dossier caché du navigateur. Ils stockent des données sur les sites Web visités par les navigateurs. À première vue, ils ressemblent à des ordures inutiles, mais ils simplifient grandement la vie d'un utilisateur ordinaire.

1. Pourquoi les cookies sont-ils nécessaires

Les cookies stockent des informations de service, qui contiennent le plus souvent :

  • Mots de passe et identifiants enregistrés
  • Tenir des statistiques sur les utilisateurs
  • Paramètres du site (thèmes, widgets, sauvegardes, recherches passées, etc.)
  • Les clics publicitaires peuvent également être stockés dans un cookie dans le but d'afficher davantage d'autres petites annonces.
  • Les adresses des pages visitées par l'utilisateur

2. Sécurité des cookies

Les cookies ne peuvent pas être des virus ou des logiciels espions car ce ne sont que des fichiers texte. Cependant, ils constituent une menace car contiennent des mots de passe et des identifiants cryptés.

Si le trafic transmis de l'ordinateur à Internet n'est pas crypté, les pirates peuvent lire le cookie.

Chaque utilisateur peut désactiver lui-même l'utilisation des cookies dans les paramètres du navigateur ou choisir l'une des options suivantes :

  • Désactiver complètement les cookies
  • Effacer tous les cookies en quittant le navigateur
  • Interdiction ou restriction de l'utilisation de cookies tiers
  • Création d'une liste « blanche » et/ou « noire » de sites, dont les cookies seront soit transmis soit bloqués.
  • Paramétrage des cookies à durée limitée.

3. Comment effacer les cookies

Il est préférable de nettoyer les cookies de temps en temps afin de ne pas encombrer votre ordinateur d'informations. Chaque navigateur a cette fonctionnalité. Regardons les instructions pour chaque navigateur.

3.1. Nettoyer les cookies dans Opera

1. Ouvrez "Service" et cliquez sur "Paramètres"

2. Cliquez sur "Sécurité".

3. Faites défiler vers le bas pour trouver "Tous les cookies et données de site".

4. Ici, nous pouvons supprimer des cookies individuels ou effacer tout l'historique.

3.2. Nettoyage des cookies dans Internet Explorer 8

1. Dans le menu, sélectionnez "Service" et dans le menu déroulant "Options Internet".

2. Dans l'onglet "Général" de la section "Historique de navigation", appuyez sur le bouton "Supprimer".

3. Sélectionnez l'option pour supprimer les cookies.

3.3. Nettoyer les cookies dans Mozilla Firefox

2. Sélectionnez "Confidentialité".

4. Cliquez sur "Supprimer tout".

3.4. Nettoyer les cookies dans Google Chrome

1. Ouvrez "Paramètres".

3. Sélectionnez la section Données personnelles, ici nous cliquons sur le bouton "Effacer l'historique"

4. Sélectionnez ce que nous voulons supprimer et cliquez sur "Effacer l'historique"

3.5. Méthode de nettoyage universelle

Pour nettoyer les cookies, vous pouvez utiliser le programme spécial Clean Master (vous pouvez le télécharger sur le site officiel). Vous avez peut-être déjà entendu un tel programme dans les applications Android.

Le programme Clean Master est également gratuit en russe. Je le recommande à tout le monde pour son utilisation.

4. Où sont les cookies sur l'ordinateur

Emplacement du cookie dans le navigateur Google Chrome

Windows XP C: \ Documents and Settings \ (Your_Profile) \ Application Data \ Chromium \ Windows 7 C: \ Users \ (Your_Profile) \ AppData \ Local \ Chromium \ User Data \ Default \ Cache \

Emplacement du cookie dans le navigateur Opera

Windows XP C:\Documents and Settings\(Your_Profile)\Application Data\Opera\Windows 7 C:\Users\(Your_Profile)\AppData\Local\Opera\Opera\cache\

Emplacement des cookies dans Firefox

Windows XP C: \ Documents and Settings \ (Your_Profile) \ Application Data \ Mozilla \ Firefox \ Profiles \ Windows 7 C: \ Users \ (Your_Profile) \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles \

Emplacement des cookies dans Internet Explorer

Windows XP C: \ Documents and Settings \ Cookies \ Windows 7 C: \ Users \ (Your_Profile) \ AppData \ Roaming \ Microsoft \ Windows \ Cookies \

Et usurper (par exemple, pour accéder au compte) si l'utilisateur utilise une connexion non cryptée au serveur. Les utilisateurs qui accèdent à Internet à l'aide de points d'accès Wi-Fi publics et n'utilisent pas de mécanismes tels que SSL sont à risque. Le cryptage permet également de résoudre d'autres problèmes liés à la sécurité des données transmises.

Il existe un certain nombre d'idées fausses concernant les cookies. Ils sont principalement basés sur la croyance des gens que les cookies sont des programmes informatiques. En fait, les cookies sont de simples données textuelles, un ensemble de caractères transmis lors de demandes adressées à un site Web, et ils ne peuvent effectuer aucune action par eux-mêmes. En particulier, les cookies ne peuvent être ni des virus ni des logiciels espions. Ainsi, les cookies ne peuvent être dangereux qu'en termes de désanonymisation et de suivi des actions des utilisateurs.

La plupart des navigateurs modernes permettent aux utilisateurs de choisir d'accepter ou non les cookies, mais leur désactivation rend impossible le travail avec certains sites. De plus, la nécessité de saisir fréquemment un identifiant et un mot de passe rend le travail avec des sites moins pratique.

Rendez-vous

Les cookies sont utilisés par les serveurs Web pour distinguer les utilisateurs et stocker des données les concernant.

Par exemple, si le site est entré à l'aide de cookies, une fois que l'utilisateur a saisi ses données sur la page de connexion, les cookies permettent au serveur de se souvenir que l'utilisateur a déjà été identifié et il est autorisé à accéder aux services et opérations correspondants.

De nombreux sites utilisent également des cookies pour enregistrer les préférences des utilisateurs. Ces paramètres peuvent être utilisés pour la personnalisation, ce qui inclut le choix de l'apparence et des fonctionnalités. Par exemple, Wikipedia permet aux utilisateurs autorisés de choisir un design de site Web. Le moteur de recherche Google permet aux utilisateurs (y compris ceux qui n'y sont pas inscrits) de choisir le nombre de résultats de recherche affichés sur une page.

Les cookies sont également utilisés pour suivre l'activité des utilisateurs sur le site. En règle générale, cela est fait dans le but de collecter des statistiques, et les sociétés de publicité, sur la base de ces statistiques, forment des profils d'utilisateurs anonymes pour un ciblage plus précis de la publicité.

Concept

Interaction possible entre navigateur et serveur.

Techniquement, les cookies sont des données qui sont initialement envoyées d'un serveur Web à un navigateur. A chaque visite ultérieure sur le site, le navigateur les renvoie au serveur. Sans cookies, chaque vue de page Web est une activité isolée, non liée à la vue d'autres pages sur le même site, mais à l'aide de cookies, vous pouvez identifier la relation entre les vues de différentes pages. En plus du serveur Web qui envoie des cookies, les cookies peuvent être générés par des scripts dans des langages comme JavaScript s'ils sont pris en charge et activés dans le navigateur.

Les navigateurs populaires ont un maximum correspondant de cookies stockés pour chaque domaine :

  • Firefox 1.5 - 50
  • Firefox 2.0 - 50

En pratique, certains navigateurs peuvent imposer des restrictions plus strictes. Par exemple, Internet Explorer fournit 4096 octets pour tous les cookies d'un domaine.

Les noms de cookies sont insensibles à la casse conformément à la section 3.1 de la RFC 2965.

Les cookies peuvent fixer une date pour leur suppression, auquel cas ils seront automatiquement supprimés par le navigateur dans le délai spécifié. Si une date de suppression n'est pas précisée, les cookies sont supprimés dès que l'utilisateur ferme le navigateur. Ainsi, la spécification d'une date d'expiration permet aux cookies d'être stockés pendant plus d'une session et ces cookies sont appelés persistants. Par exemple, une boutique en ligne peut utiliser des cookies persistants pour stocker les codes des articles que l'utilisateur a placés dans le panier - et même si l'utilisateur ferme le navigateur sans effectuer d'achat, la prochaine fois qu'il se connectera, il n'aura pas pour former à nouveau le panier.

Le stockage des cookies peut également être limité en fonction du serveur Web, du domaine ou du sous-domaine où ils ont été créés.

Récit

Selon une version, le terme "cookie" (cookie) vient de "cookie magique" - un ensemble de données que le programme reçoit puis renvoie inchangées. En juin 1994, Lou Montulli a l'idée de les utiliser sur une connexion web. À l'époque, il était employé de Netscape Communications, qui développait une suite de commerce électronique sur mesure. Les cookies sont la solution au problème de la mise en place fiable d'un panier d'achat virtuel.

Avec l'aide de John Giannandrea, Montulli a écrit la spécification initiale des cookies la même année. Mosaic Netscape 0.9beta, sorti le 13 octobre 1994, prenait déjà en charge les cookies. Les cookies ont d'abord été utilisés en dehors du laboratoire sur le site Netscape pour déterminer si un utilisateur avait déjà visité le site. Montulli a déposé un brevet en 1995 et l'a obtenu en 1998. Internet Explorer a commencé à prendre en charge les cookies avec la version 2 publiée en octobre 1995.

Si certaines personnes connaissaient l'existence des cookies dès le premier trimestre 1995, le grand public n'en a eu connaissance qu'après un article du Financial Times du 12 février 1996. La même année, les cookies sont devenus le centre d'attention des médias, en particulier en raison de la menace potentielle pour la vie privée. Les cookies ont été examinés par la Federal Trade Commission des États-Unis lors de deux audiences en 1996 et 1997.

L'évolution des spécifications des cookies ne s'est pas arrêtée là. En particulier, les premières discussions sur la spécification formelle ont commencé en avril 1995. Un groupe de travail ad hoc a été constitué au sein de l'IETF. La spécification Netscape a été choisie comme point de départ. En février 1996, un groupe de travail a identifié les cookies tiers comme une menace sérieuse pour la vie privée. La spécification résultante a été publiée sous le nom de RFC 2109 en février 1997. Il a déclaré que les cookies tiers devraient être bloqués ou du moins ne pas fonctionner par défaut.

À cette époque, les sociétés de publicité utilisaient déjà des cookies tiers avec les recommandations de puissance et de main et RFC 2109 n'étaient pas prises en charge dans les navigateurs Netscape ou Internet Explorer. Plus tard, en octobre 2000, la RFC 2109 a été remplacée par la nouvelle spécification RFC 2965.

Illusions

Depuis l'avènement des cookies, des rumeurs ont commencé à circuler dans les médias et sur Internet. En 1998, le département informatique du Département de l'énergie des États-Unis (CIAC) a déclaré que les cookies n'étaient pas dangereux et a expliqué que « les informations sur votre provenance et les pages Web que vous visitez sont stockées dans les fichiers journaux du serveur Web ». En 2005, les résultats d'une étude ont été publiés, selon lesquels un pourcentage important de répondants est convaincu que :

  • les cookies, comme les vers et les virus, peuvent effacer les données du disque dur d'un utilisateur ;
  • les cookies provoquent des pop-ups ;
  • les cookies sont utilisés pour le spam par courrier électronique ;
  • les cookies sont utilisés uniquement à des fins publicitaires.

En réalité, les cookies ne sont que des données, pas du code de programme : ils ne peuvent ni effacer ni lire les informations de l'ordinateur d'un utilisateur. Cependant, les cookies permettent de suivre les pages Web qu'un utilisateur a consultées sur un site donné, et ces informations peuvent être stockées dans le profil de l'utilisateur. Ces profils sont souvent anonymes et ne contiennent pas d'informations personnelles de l'utilisateur (nom, adresse, etc.). Plus précisément, ils ne peuvent le contenir tant que l'utilisateur n'a pas mis ces informations à disposition. Mais même malgré leur anonymat, ces profils sont devenus l'objet d'une controverse sur la vie privée.

Comment fonctionnent les cookies

Paramétrage des cookies

Lorsqu'il demande une page, le navigateur envoie un court texte avec une requête HTTP au serveur Web. Par exemple, pour accéder à la page http://www.example.org/index.html, le navigateur envoie la requête suivante au serveur www.example.org :

La chaîne Set-cookie n'est envoyée que lorsque le serveur souhaite que le navigateur stocke le cookie. Dans ce cas, si les cookies sont pris en charge par le navigateur et que leur acceptation est activée, le navigateur mémorise la chaîne name = value et la renvoie au serveur à chaque requête ultérieure. Par exemple, lors de la demande de la page suivante http://www.example.org/spec.html, le navigateur enverra la demande suivante au serveur www.example.org :

OBTENIR /spec.html HTTP / 1.1
Hébergeur : www.exemple.org
Cookie : nom = valeur
J'accepte: * / *
navigateur serveur

Cette requête diffère de la première requête en ce qu'elle contient la chaîne que le serveur a envoyée plus tôt au navigateur. Ainsi, le serveur sait que cette requête est liée à la précédente. Le serveur répond en envoyant la page demandée et en ajoutant éventuellement de nouveaux cookies.

La valeur du cookie peut être modifiée par le serveur en envoyant de nouvelles lignes Set-Cookie : name = newvalue. Le navigateur remplace alors l'ancien cookie du même nom par une nouvelle ligne.

La chaîne Set-Cookie est généralement ajoutée à la réponse HTTP non pas par le serveur HTTP lui-même, mais par le programme CGI qui s'exécute à côté de lui. Le serveur HTTP envoie uniquement le résultat d'un tel programme au navigateur.

Les cookies peuvent également être installés par des programmes dans des langages tels que JavaScript intégré dans le texte des pages, ou des scripts similaires exécutés dans le navigateur. JavaScript utilise pour cela l'objet document.cookie. Par exemple, document.cookie = "temperature = 20" créera un cookie nommé "temperature" avec une valeur de 20.

Attributs des cookies

En plus d'un couple nom/valeur, un cookie peut contenir une date d'expiration, un chemin et un nom de domaine. La RFC 2965 exige également que les cookies aient un numéro de version, mais celui-ci est rarement utilisé. Ces attributs doivent venir après la paire name = newvalue et séparés par des points-virgules. Par exemple:

Set-Cookie : nom = nouvelle valeur ; expire = date ; chemin = /; domaine = .exemple.org.

Exemple de réponse HTTP google.com contenant un cookie attribué.

Le domaine et le chemin indiquent au navigateur que le cookie doit être renvoyé au serveur lorsqu'une URL est demandée pour le domaine et le chemin spécifiés. S'il n'est pas spécifié, le domaine et le chemin de la page demandée sont utilisés.

En fait, les cookies sont définis par un triple paramètre nom-domaine-chemin (la spécification originale de Netscape ne considérait qu'une paire nom-chemin). En d'autres termes, les cookies avec des chemins ou des domaines différents sont des cookies différents, même s'ils portent le même nom. En conséquence, le cookie est remplacé par un nouveau uniquement si le nouveau cookie a le même nom, chemin et domaine.

La date d'expiration indique au navigateur quand supprimer les cookies. Si aucune date d'expiration n'est précisée, le cookie est supprimé à la fin de la session de l'utilisateur, c'est-à-dire à la fermeture du navigateur. Si une date d'expiration est spécifiée, le cookie devient permanent jusqu'à cette date. La date d'expiration est au format "Ned, DD Mes YYYY HH: MM: SS GMT". Par exemple:

Set-Cookie : RMID = 732423sdfs73242 ; expire = vendredi 31 décembre 2010 23:59:59 GMT ; chemin = /; domaine = .exemple.net

le cookie de l'exemple ci-dessus porte le nom RMID et la valeur "732423sdfs73242". Sa durée de conservation expirera le 31 décembre 2010 à 23:59:59. Le chemin "/" et le domaine "example.net" indiquent au navigateur d'envoyer un cookie lors de l'affichage d'une page sur le domaine example.net.

Conditions d'expiration

Les cookies expirent dans les cas suivants :

  1. A la fin de la session (par exemple lorsque le navigateur est fermé) si les cookies ne sont pas persistants.
  2. Une date d'expiration a été spécifiée et la période de conservation a expiré.
  3. Le navigateur a supprimé les cookies à la demande de l'utilisateur.

Notez que le serveur ne peut savoir quand le cookie expire que lorsque le navigateur envoie ces informations au serveur.

Authentification

Les cookies peuvent être utilisés par le serveur pour identifier les utilisateurs préalablement authentifiés. Ça va comme ça:

  1. L'utilisateur entre le nom d'utilisateur et le mot de passe dans les zones de texte de la page de connexion et les soumet au serveur.
  2. Le serveur reçoit un nom d'utilisateur et un mot de passe, les vérifie et, s'il est correct, envoie une page de connexion réussie en joignant un cookie avec un identifiant de session. Ce cookie ne peut être valable que pour la session de navigation en cours, mais peut être configuré pour un stockage à long terme.
  3. Chaque fois qu'un utilisateur demande une page au serveur, le navigateur envoie automatiquement un cookie d'ID de session au serveur. Le serveur compare l'identifiant à sa base d'identifiants et, s'il existe un tel identifiant dans la base de données, il « reconnaît » l'utilisateur.

Cette méthode est largement utilisée sur de nombreux sites, tels que Yahoo! , sur Wikipédia et Facebook.

De nombreux navigateurs (notamment Opera, FireFox), en modifiant les propriétés des cookies, peuvent contrôler le comportement des sites Web. En modifiant la date d'expiration des cookies non persistants (de session), vous pouvez, par exemple, obtenir une session formellement illimitée après autorisation sur un site. La possibilité de modifier les cookies par des moyens standard n'est pas disponible dans Internet Explorer. Cependant, en utilisant d'autres mécanismes, tels que JavaScript, l'utilisateur peut modifier le cookie. De plus, il est possible de remplacer les cookies de session par des cookies persistants (avec une date d'expiration).

Cependant, le logiciel serveur peut suivre de telles tentatives. Pour ce faire, le serveur émet des cookies pour une certaine durée et enregistre la date d'expiration du cookie à chaque fois que l'utilisateur accède au serveur. Si le cookie envoyé par le navigateur a une date d'expiration différente de celle stockée sur le serveur, il y a alors une tentative de modification de la date d'expiration du cookie. Le serveur peut répondre, par exemple, en demandant à l'utilisateur de se ré-autoriser.

Paramétrage du navigateur

Affichage et configuration des cookies dans le navigateur Firefox 3.0

La plupart des navigateurs modernes prennent en charge les cookies. Et généralement, l'utilisateur peut choisir si les cookies doivent être utilisés ou non. Les paramètres de navigateur les plus courants sont :

La plupart des navigateurs prenant en charge JavaScript permettent à l'utilisateur de voir les cookies actifs sur un site donné en tapant javascript: alert ("Cookies:" + document.cookie) ou javascript: prompt ("Cookies:", document.cookie) dans l'adresse du navigateur bar. Certains navigateurs contiennent un gestionnaire de cookies qui permet à l'utilisateur de visualiser et de supprimer de manière sélective les cookies stockés dans le navigateur.

Confidentialité et cookies tiers

Les cookies affectent de manière significative la confidentialité et l'anonymat des internautes. Bien que les cookies ne soient envoyés qu'aux serveurs du domaine auquel ils sont destinés, une page Web peut charger des images ou d'autres composants d'autres domaines. Les cookies reçus lorsque ces composants sont chargés depuis d'autres domaines sont appelés cookies « tiers ».

Les sociétés de publicité utilisent des cookies tiers pour suivre la façon dont les utilisateurs se déplacent sur les sites. En particulier, une société de publicité peut suivre les utilisateurs sur tous les sites où leurs bannières publicitaires sont installées. Connaître les pages visitées par l'utilisateur permet de modifier le sens de la publicité en fonction des préférences de l'utilisateur.

La création de profils d'utilisateurs est considérée comme une menace potentielle pour la confidentialité, même lors du suivi au sein d'un seul domaine, mais cela est particulièrement vrai lors du suivi sur plusieurs domaines à l'aide de cookies tiers. Pour cette raison, dans certains pays, les cookies sont réglementés par la loi.

La directive de 2002 sur la protection des données électroniques de l'Union européenne contient des règles concernant l'utilisation des cookies. En particulier, le paragraphe 3 de l'article 5 prévoit que le stockage des données (y compris les cookies) ne peut être effectué que si :

  1. l'utilisateur reçoit des informations sur la manière dont ces données sont utilisées ;
  2. l'utilisateur a la possibilité de se retirer de cela.

Cependant, cet article précise également que le stockage de données techniquement nécessaires est exempté de ces réglementations. La directive devait entrer en vigueur en octobre 2003, mais le rapport de décembre 2004 note que ces dispositions n'ont pas été appliquées dans la pratique et que dans certains États (Slovaquie, Lettonie, Grèce, Belgique et Luxembourg) ces dispositions n'ont pas été intégrées dans législation nationale. Le rapport propose de procéder à une analyse approfondie de la situation dans les États participant au traité.

Ce problème peut être résolu en établissant une connexion cryptée entre l'utilisateur et le serveur à l'aide du protocole HTTPS. Le serveur peut également utiliser un indicateur spécial lors de la configuration des cookies, après quoi le navigateur ne les transmettra que via un canal sécurisé, par exemple via une connexion SSL.

Cependant, un grand nombre de sites Web, même en utilisant des sessions HTTPS sécurisées pour authentifier l'utilisateur, envoient ensuite des cookies et d'autres données dans une connexion HTTP plus simple et non cryptée. Les attaquants peuvent facilement intercepter les cookies d'autres utilisateurs et les utiliser sur les sites Web respectifs.

Cross-site scripting : les cookies ne doivent être échangés qu'entre le serveur et le client, et sont envoyés à un tiers.

Afin de garantir que les cookies ne sont transmis que sur une session HTTPS, les cookies doivent avoir l'attribut Secure.

Le type de script inter-sites suivant est généralement utilisé sur les sites où les utilisateurs sont autorisés à envoyer des messages avec du contenu HTML. En insérant le code PHP/Javascript approprié dans le message, l'attaquant peut obtenir les cookies des autres utilisateurs.

Ces attaques peuvent être évitées en définissant l'indicateur HttpOnly, qui rend les cookies inaccessibles aux scripts côté client. Cependant, les développeurs Web doivent envisager une protection contre les scripts intersites pendant la phase de conception du site Web.

Remplacement des cookies

Cookie Spoofing : Un attaquant envoie des cookies falsifiés au serveur, modifiant éventuellement les cookies légitimes précédemment reçus du serveur.

Alors qu'en théorie les cookies devraient être conservés et renvoyés au serveur sans modification, un attaquant pourrait modifier leur contenu avant l'envoi. Par exemple, un cookie peut contenir le montant total qu'un utilisateur doit payer pour ses achats ; en modifiant cette valeur, un attaquant peut payer moins que le montant spécifié. Le processus de modification du contenu d'un cookie est appelé remplacement des cookies.

Pour se protéger contre de telles attaques, la plupart des sites Web stockent dans les cookies uniquement l'ID de session - un nombre ou un jeu de caractères généré de manière aléatoire utilisé pour identifier la session, tandis que toutes les autres informations sont stockées sur le serveur. Dans ce cas, la substitution des cookies est beaucoup plus difficile.

Cookies intersites

L'attaquant utilise un bogue de navigateur pour envoyer de faux cookies au serveur.

Chaque site doit avoir ses propres cookies, et example.com ne doit pas modifier ou définir les cookies de l'autre site example.org. Les vulnérabilités des navigateurs Web permettent aux sites malveillants de violer cette règle. Ceci est similaire à l'envoi d'un cookie, mais ici, l'attaquant attaque les utilisateurs avec des navigateurs vulnérables plutôt que le site directement. Ces attaques peuvent cibler des identifiants de session.

Instabilité entre client et serveur

Les cookies peuvent provoquer des conflits entre le client et le serveur. Si l'utilisateur reçoit un cookie et clique ensuite sur le bouton "Retour" dans le navigateur, l'état du navigateur est différent de celui où le cookie a été reçu. Prenons l'exemple d'une boutique en ligne avec un panier d'achat basé sur des cookies : l'utilisateur ajoute un achat au panier, puis clique sur le bouton retour, mais l'achat reste dans le panier même si l'utilisateur souhaite annuler l'achat. Cela peut entraîner des confusions et des erreurs. Les développeurs Web doivent garder cela à l'esprit et prendre des mesures pour faire face à ces situations.

Date d'expiration des cookies

Les cookies persistants ont été critiqués par les experts pour leur longue durée de vie, ce qui permet aux sites Web de suivre et de profiler les utilisateurs au fil du temps. Des problèmes de sécurité sont également soulevés ici, car les cookies persistants volés peuvent être utilisés pendant une période de temps significative.

De plus, un programme malveillant correctement conçu qui peut être lancé après authentification de l'utilisateur peut transférer des cookies de session sur l'ordinateur de l'attaquant, ce qui, en première approximation, permettra de visiter un site protégé sans saisir de nom d'utilisateur et de mot de passe pendant un certain temps.

Alternatives aux cookies

Certaines des opérations pour lesquelles les cookies sont utilisés peuvent être mises en œuvre à l'aide d'autres mécanismes. Cependant, ces alternatives ont leurs inconvénients, qui rendent les cookies parfois plus préférables en pratique. La plupart de ces alternatives permettent le suivi des utilisateurs, bien que de manière moins fiable que les cookies. En conséquence, la confidentialité reste menacée même si les cookies sont désactivés par le navigateur ou ne sont pas installés par le serveur.

adresse IP

Cette méthode peu fiable de suivi des utilisateurs repose sur le stockage des adresses IP des ordinateurs qui consultent les pages. Cette technique est disponible depuis la création du World Wide Web, ce qui nécessite la connaissance de l'adresse IP du client afin de charger la page. Ces informations peuvent être stockées sur le serveur, que des cookies soient utilisés ou non.

Cependant, cette méthode est moins fiable que les cookies, car les ordinateurs et les proxys peuvent être partagés par plusieurs utilisateurs, et un ordinateur peut utiliser différentes adresses IP dans différentes sessions (le plus souvent, il s'agit d'une connexion commutée, la soi-disant.

À cet égard, la chaîne de requête et les cookies sont très similaires : ce sont des fragments d'informations de serveur renvoyés par le navigateur. Mais il y a aussi certaines différences : puisque la chaîne de requête fait partie de l'URL, alors lorsque cette URL est réutilisée, les mêmes informations seront envoyées au serveur. Par exemple, si les options utilisateur sont codées dans une chaîne de requête d'URL et que l'utilisateur envoie cette URL à un autre utilisateur, ces options s'appliqueront également à l'autre utilisateur.

De plus, même si l'utilisateur accède à plusieurs reprises à la même page, il n'y a aucune garantie que la chaîne de requête restera la même. Par exemple, lors de la navigation à partir des pages internes du site et des moteurs de recherche externes, les chaînes de requête seront différentes lorsque les cookies resteraient les mêmes.

Une autre faille dans la chaîne de requête vient avec un problème de sécurité : le stockage de l'ID de session dans la chaîne de requête facilite la réalisation d'une attaque. Le passage de l'identifiant dans les cookies est plus sécurisé.

Champs de formulaire masqués

Une façon de suivre une session avec un programme côté serveur consiste à utiliser des formulaires Web avec des champs masqués. Cette méthode est très similaire à une chaîne de requête d'URL et présente presque les mêmes avantages et inconvénients, et si les paramètres de formulaire sont soumis à l'aide d'une méthode HTTP GET, les champs feront en fait partie de l'URL que le navigateur envoie au serveur. Mais la plupart des formulaires sont traités par HTTP POST, où les informations ne font pas partie de l'URL ni du cookie.

Cette approche présente deux avantages en termes de suivi : d'une part, coller des informations dans le code HTML et dans le POST, et non dans l'URL, signifie que l'utilisateur moyen ne le remarquera tout simplement pas, et d'autre part, les informations de session ne sont pas copiées avec copier l'URL (par exemple, lorsqu'un utilisateur envoie un lien par e-mail). L'inconvénient de cette méthode est que les informations de session sont contenues dans le code HTML, donc la page Web doit être générée à chaque fois qu'elle est demandée, ce qui augmente la charge sur le serveur Web.

Authentification HTTP

Le protocole HTTP comprend une authentification et un cryptage de base, qui permettent d'accéder à la page uniquement lorsque l'utilisateur entre le nom d'utilisateur et le mot de passe corrects. Si le serveur demande une telle chose, le navigateur contacte l'utilisateur et, après avoir reçu les données nécessaires, les enregistre et les utilise pour accéder à d'autres pages, sans demander à l'utilisateur de les saisir à nouveau. Du point de vue de l'utilisateur, l'effet est le même que l'utilisation de cookies : un nom d'utilisateur et un mot de passe ne sont requis qu'une seule fois, puis l'utilisateur peut accéder au site. Avec l'authentification de base, la combinaison nom d'utilisateur et mot de passe est envoyée au serveur en texte clair à chaque requête du navigateur. Cela signifie que si quelqu'un intercepte du trafic, il peut obtenir ces informations et les utiliser par la suite. Avec l'authentification cryptée, le nom d'utilisateur et le mot de passe sont cryptés avec une clé aléatoire générée par le serveur.

Persistance côté client

Certains navigateurs Web permettent à une page de stocker des informations localement pour une récupération ultérieure. Internet Explorer, par exemple, prend en charge l'enregistrement des informations dans l'historique, les favoris, le stockage XML ou permet l'enregistrement direct d'une page Web sur le disque.

Un mécanisme légèrement différent est utilisé dans les navigateurs qui mettent en cache les fichiers javascript utilisés dans une page Web. Par exemple, une page peut contenir un lien

2021 wisemotors.ru. Comment ça fonctionne. Fer. Exploitation minière. Crypto-monnaie.