Mik azok a cookie-k az interneten. Mi az a süti? Hogyan működnek a cookie-k

Cookie-k(cookie-k) - webszerver által létrehozott egyszerű szöveges fájlok a számítógépen, amelyek a böngésző rejtett mappájában találhatók. Adatokat tárolnak a böngészők által felkeresett webhelyekről. Első pillantásra haszontalan szemétnek tűnnek, de nagyban leegyszerűsítik egy hétköznapi felhasználó életét.

1. Miért van szükség a cookie-kra?

A sütik szolgáltatási információkat tárolnak, amelyek leggyakrabban a következőket tartalmazzák:

  • Mentett jelszavak és bejelentkezési adatok
  • Statisztikák vezetése a felhasználókról
  • Webhelybeállítások (témák, widgetek, mentések, korábbi keresések stb.)
  • A hirdetésre leadott kattintások Cookie-ban is tárolhatók más apróhirdetések további megjelenítése céljából.
  • A felhasználó által meglátogatott oldalak címei

2. Cookie-biztonság

A sütik nem lehetnek vírusok vagy kémprogramok, mivel csak szöveges fájlok. Azonban fenyegetést jelentenek, mert titkosított jelszavakat és bejelentkezési adatokat tartalmaznak.

Ha a számítógépről az internetre továbbított forgalom nincs titkosítva, akkor a hackerek elolvashatják a cookie-t.

Minden felhasználó saját maga kikapcsolhatja a cookie-k használatát a böngésző beállításaiban, vagy választhat az alábbi lehetőségek közül:

  • A cookie-k teljes letiltása
  • Minden cookie törlése a böngészőből való kilépéskor
  • Harmadik féltől származó cookie-k használatának tilalma vagy korlátozása
  • „Fehér” és/vagy „fekete” lista létrehozása azokról a webhelyekről, amelyekről a cookie-k átadásra vagy letiltásra kerülnek.
  • Időben korlátozott cookie-k beállítása.

3. A cookie-k törlése

Jobb, ha időnként megtisztítja a cookie-kat, hogy ne tömje el információval a számítógépét. Minden böngésző rendelkezik ezzel a funkcióval. Nézzük meg az egyes böngészőkre vonatkozó utasításokat.

3.1. Sütik tisztítása az Operában

1. Nyissa meg a "Szolgáltatás" elemet, és kattintson a "Beállítások" gombra.

2. Kattintson a "Biztonság" gombra.

3. Görgessen le az "Összes cookie és webhelyadat" megtalálásához.

4. Itt törölhetjük az egyes cookie-kat, vagy törölhetjük a teljes előzményt.

3.2. Cookie-k tisztítása az Internet Explorer 8-ban

1. A menüben válassza a "Szolgáltatás" lehetőséget, majd a legördülő menüben az "Internet Options" menüpontot.

2. A "Böngészési előzmények" szakasz "Általános" lapján nyomja meg a "Törlés" gombot.

3. Válassza ki a cookie-k törlésének lehetőségét.

3.3. Cookie-k tisztítása a Mozilla Firefoxban

2. Válassza az "Adatvédelem" lehetőséget.

4. Kattintson az "Összes törlése" gombra.

3.4. Cookie-k tisztítása a Google Chrome-ban

1. Nyissa meg a "Beállítások" menüpontot.

3. Válassza a Személyes adatok részt, itt az "Előzmények törlése" gombra kattintunk

4. Válassza ki, hogy mit szeretnénk törölni, és kattintson az "Előzmények törlése" gombra.

3.5. Univerzális tisztítási módszer

A cookie-k tisztításához használhatja a speciális Clean Master programot (letöltheti a hivatalos webhelyről). Lehet, hogy már hallott egy ilyen programot az Android alkalmazásokból.

A Clean Master program oroszul is ingyenes. Mindenkinek ajánlom használatra.

4. Hol vannak a cookie-k a számítógépen

A Cookie helye a Google Chrome böngészőben

Windows XP C: \ Dokumentumok és beállítások \ (Saját_profil) \ Alkalmazásadatok \ Chromium \ Windows 7 C: \ Felhasználók \ (Saját_profil) \ AppData \ Helyi \ Chromium \ Felhasználói adatok \ Alapértelmezett \ Gyorsítótár \

A Cookie helye az Opera böngészőben

Windows XP C: \ Dokumentumok és beállítások \ (Saját_profil) \ Alkalmazásadatok \ Opera \ Windows 7 C: \ Felhasználók \ (Saját_profil) \ AppData \ Local \ Opera \ Opera \ cache \

A cookie-k helye a Firefoxban

Windows XP C: \ Dokumentumok és beállítások \ (Saját_profil) \ Alkalmazásadatok \ Mozilla \ Firefox \ Profiles \ Windows 7 C: \ Felhasználók \ (Saját_profil) \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles \

A cookie-k helye az Internet Explorerben

Windows XP C: \ Dokumentumok és beállítások \ Cookie-k \ Windows 7 C: \ Felhasználók \ (Saját_profil) \ AppData \ Roaming \ Microsoft \ Windows \ Cookies \

És hamisítás (például a fiókhoz való hozzáférés érdekében), ha a felhasználó titkosítatlan kapcsolatot használ a szerverrel. Veszélyben vannak azok a felhasználók, akik nyilvános Wi-Fi hotspotokon keresztül érik el az internetet, és nem használnak olyan mechanizmusokat, mint például az SSL. A titkosítás lehetővé teszi a továbbított adatok biztonságával kapcsolatos egyéb problémák megoldását is.

Számos tévhit kering a sütikkel kapcsolatban. Főleg azon a meggyőződésen alapulnak, hogy a cookie-k számítógépes programok. Valójában a cookie-k egyszerű szöveges adatok, egy webhelyhez intézett kérések során továbbított karakterkészletek, amelyek önmagukban nem hajthatnak végre semmilyen műveletet. A cookie-k különösen nem lehetnek sem vírusok, sem kémprogramok. Így a sütik csak az anonimizálás és a felhasználói műveletek nyomon követése szempontjából lehetnek veszélyesek.

A legtöbb modern böngésző lehetővé teszi a felhasználók számára, hogy eldöntsék, hogy elfogadják-e a cookie-kat vagy sem, de ezek letiltása lehetetlenné teszi bizonyos webhelyekkel való együttműködést. Ezenkívül a gyakori bejelentkezés és jelszó megadása kevésbé kényelmessé teszi a webhelyekkel való munkát.

Időpont egyeztetés

A cookie-kat a webszerverek a felhasználók megkülönböztetésére és róluk való adatok tárolására használják.

Például, ha egy webhelyre cookie-k segítségével lép be, akkor miután a felhasználó megadja adatait a bejelentkezési oldalon, a cookie-k lehetővé teszik a szerver számára, hogy emlékezzen arra, hogy a felhasználót már azonosították, és hozzáférhet a megfelelő szolgáltatásokhoz és műveletekhez.

Sok webhely cookie-kat is használ a felhasználói preferenciák mentésére. Ezek a beállítások használhatók a személyre szabáshoz, amely magában foglalja a megjelenés és a funkcionalitás kiválasztását. Például a Wikipédia lehetővé teszi a jogosult felhasználók számára, hogy webhelytervezést válasszanak. A Google keresőmotorja lehetővé teszi a felhasználóknak (beleértve azokat is, akik nem regisztráltak benne), hogy megválasszák az egy oldalon megjelenő keresési eredmények számát.

A cookie-k a felhasználói tevékenység nyomon követésére is szolgálnak az oldalon. Ez általában statisztikagyűjtés céljából történik, és a hirdető cégek az ilyen statisztikák alapján névtelen felhasználói profilokat alkotnak a hirdetések pontosabb célzása érdekében.

Koncepció

Lehetséges interakció a böngésző és a szerver között.

Technikailag a cookie-k olyan adatok, amelyeket kezdetben egy webszerver küld a böngészőnek. A webhely minden további látogatásával a böngésző visszaküldi azokat a szervernek. Cookie-k nélkül minden egyes weboldal-megtekintés egy elszigetelt tevékenység, amely nem kapcsolódik ugyanazon az oldalon lévő más oldalak megtekintéséhez, de a cookie-k segítségével azonosíthatja a különböző oldalak megtekintései közötti kapcsolatot. Amellett, hogy a webszerver sütiket küld, a cookie-kat szkriptek is generálhatják olyan nyelveken, mint a JavaScript, ha a böngésző támogatja és engedélyezve van.

A népszerű böngészőkben minden domainhez megfelelő maximálisan tárolt cookie-k vannak:

  • Firefox 1.5-50
  • Firefox 2.0-50

A gyakorlatban egyes böngészők szigorúbb korlátozásokat is előírhatnak. Például az Internet Explorer 4096 bájtot biztosít az összes cookie számára egy tartományban.

Az RFC 2965 3.1. szakasza értelmében a cookie-nevek nem különböztetik meg a kis- és nagybetűket.

A sütik beállíthatnak egy dátumot a törlésükhöz, ebben az esetben a böngésző automatikusan törli azokat a megadott időn belül. Ha a törlés dátuma nincs megadva, a cookie-k törlődnek, amint a felhasználó bezárja a böngészőt. Így a lejárati dátum megadása lehetővé teszi a cookie-k egynél több munkameneten keresztüli tárolását, és az ilyen cookie-kat állandónak nevezzük. Például egy online áruház perzisztens cookie-k segítségével tárolhatja azon termékek kódjait, amelyeket a felhasználó a kosárba helyezett – és még ha a felhasználó bezárja is a böngészőt vásárlás nélkül, a következő bejelentkezéskor nem lesz hogy újra összeállítsa a bevásárlókosarat.

A cookie-k tárolása a webszervertől, domaintől vagy aldomaintől függően is korlátozható, ahol létrehozták őket.

Sztori

Az egyik változat szerint a „süti” (cookie) kifejezés a „varázssüti” szóból származik – egy olyan adathalmaz, amelyet a program fogad, majd változatlanul küld vissza. 1994 júniusában Lou Montulli azzal az ötlettel állt elő, hogy webkapcsolaton használja őket. Abban az időben a Netscape Communications alkalmazottja volt, amely egy egyedi e-kereskedelmi csomagot fejleszt. A cookie-k megoldást jelentenek a virtuális bevásárlókosár megbízható elhelyezésének problémájára.

John Giannandrea segítségével Montulli ugyanabban az évben megírta a süti kezdeti specifikációját. Az 1994. október 13-án megjelent Mosaic Netscape 0.9beta már támogatta a cookie-kat. A cookie-kat először a Netscape webhely laborján kívül használták annak megállapítására, hogy egy felhasználó korábban járt-e az oldalon. Montulli 1995-ben nyújtott be szabadalmat, és 1998-ban megkapta. Az Internet Explorer az 1995 októberében kiadott 2-es verziójával kezdte meg a cookie-k támogatását.

Bár egyesek már 1995 első negyedévében tudtak a cookie-k létezéséről, a nagyközönség csak a Financial Times 1996. február 12-i cikke után értesült róluk. Ugyanebben az évben a cookie-k kerültek a média figyelmének középpontjába, különösen a potenciális adatvédelmi fenyegetés miatt. A sütiket az Egyesült Államok Szövetségi Kereskedelmi Bizottsága két meghallgatáson is felülvizsgálta 1996-ban és 1997-ben.

A sütik specifikációinak fejlődése nem állt meg itt. A hivatalos specifikációról szóló első megbeszélések 1995 áprilisában kezdődtek. Az IETF-en belül ad hoc munkacsoport alakult. A Netscape specifikációt választották kiindulópontnak. 1996 februárjában egy munkacsoport a harmadik féltől származó cookie-kat súlyos adatvédelmi fenyegetésként azonosította. Az így kapott specifikációt RFC 2109 néven adták ki 1997 februárjában. Kijelentette, hogy a harmadik féltől származó cookie-kat vagy le kell tiltani, vagy legalábbis alapértelmezés szerint nem működnek.

Abban az időben a reklámcégek már harmadik féltől származó cookie-kat használtak, és az RFC 2109 ajánlásokat sem a Netscape böngészők, sem az Internet Explorer nem támogatták. Később, 2000 októberében az RFC 2109-et felváltotta az új RFC 2965 specifikáció.

Tévképzetek

A sütik megjelenése óta a pletykák elkezdtek keringeni a médiában és az interneten. 1998-ban az Egyesült Államok Energiaügyi Minisztériumának (CIAC) számítástechnikai osztálya kijelentette, hogy a cookie-k nem veszélyesek, és elmagyarázta, hogy "az Ön honnan származik és milyen weboldalakat látogat meg, a webszerver naplófájljai tárolják." 2005-ben megjelentek egy tanulmány eredményei, amely szerint a válaszadók jelentős százaléka biztos abban, hogy:

  • a cookie-k, például a férgek és a vírusok, törölhetik az adatokat a felhasználó merevlemezéről;
  • a cookie-k előugró ablakokat okoznak;
  • a cookie-kat e-mail spamekhez használják;
  • a sütiket kizárólag reklámozásra használjuk.

A sütik a valóságban csak adatok, nem programkódok: nem tudnak információkat törölni vagy kiolvasni a felhasználó számítógépéről. A cookie-k azonban lehetővé teszik annak nyomon követését, hogy egy adott oldalon a felhasználó mely weboldalakat tekintette meg, és ezek az információk a felhasználói profilban tárolhatók. Ezek a profilok gyakran névtelenek, és nem tartalmaznak felhasználói személyes adatokat (név, cím stb.). Pontosabban, addig nem tartalmazhatják, amíg a felhasználó nem tette elérhetővé ezt az információt. De még névtelenségük ellenére is, ezek a profilok adatvédelmi viták tárgyává váltak.

Hogyan működnek a cookie-k

Cookie-k beállítása

Oldal lekérésekor a böngésző rövid szöveget küld HTTP kéréssel a webszervernek. Például a http://www.example.org/index.html oldal eléréséhez a böngésző a következő kérést küldi a www.example.org szervernek:

A Set-cookie karakterlánc csak akkor kerül elküldésre, ha a szerver azt akarja, hogy a böngésző tárolja a cookie-t. Ebben az esetben, ha a böngésző támogatja a cookie-kat, és azok elfogadása engedélyezett, a böngésző megjegyzi a name = value karakterláncot, és minden további kéréssel visszaküldi a szervernek. Például a következő http://www.example.org/spec.html oldal lekérésekor a böngésző a következő kérést küldi el a www.example.org szervernek:

GET /spec.html HTTP / 1.1
Házigazda: www.example.org
Cookie: név = érték
Elfogad: * / *
böngésző szerver

Ez a kérés abban különbözik az első kéréstől, hogy tartalmazza azt a karakterláncot, amelyet a szerver korábban küldött a böngészőnek. Így a szerver tudja, hogy ez a kérés kapcsolódik az előzőhöz. A szerver a kért oldal elküldésével és esetleg új cookie-k hozzáadásával válaszol.

A cookie értékét a szerver módosíthatja új sorok küldésével Set-Cookie: name = newvalue. A böngésző ezután az azonos nevű régi cookie-t egy új sorral helyettesíti.

A Set-Cookie karakterláncot általában nem maga a HTTP-kiszolgáló adja hozzá a HTTP-válaszhoz, hanem a mellette futó CGI-program. A HTTP szerver csak egy ilyen program eredményét küldi el a böngészőnek.

A cookie-kat olyan nyelvű programok is telepíthetik, mint például az oldalak szövegébe ágyazott JavaScript, vagy a böngészőben futó hasonló szkriptek. A JavaScript ehhez a document.cookie objektumot használja. Például a document.cookie = "temperature = 20" egy "hőmérséklet" nevű cookie-t hoz létre, amelynek értéke 20.

Cookie-attribútumok

A név/érték páron kívül a cookie tartalmazhat egy lejárati dátumot, elérési utat és domain nevet is. Az RFC 2965 megköveteli a cookie-k verziószámát is, de ezt ritkán használják. Ezeknek az attribútumoknak a név = újérték pár után kell érkezniük, és pontosvesszővel kell elválasztani őket. Például:

Set-Cookie: név = újérték; lejár = dátum; elérési út = /; domain = .example.org.

Példa a google.com HTTP-válaszra, amely egy hozzárendelt cookie-t tartalmaz.

A tartomány és az elérési út közli a böngészővel, hogy a cookie-t vissza kell küldeni a szervernek, amikor URL-t kérnek a megadott tartományhoz és elérési úthoz. Ha nincs megadva, a rendszer a kért oldal tartományát és elérési útját használja.

Valójában a cookie-kat egy hármas név-tartomány-útvonal paraméter határozza meg (az eredeti Netscape specifikáció csak név-útvonal párnak számított). Más szóval, a különböző elérési utakkal vagy tartományokkal rendelkező cookie-k különböző cookie-k, még akkor is, ha azonos a nevük. Ennek megfelelően a cookie csak akkor változik újra, ha az új cookie neve, elérési útja és domainje megegyezik.

A lejárati dátum jelzi a böngészőnek, hogy mikor kell törölni a cookie-kat. Ha nincs megadva lejárati dátum, a cookie a felhasználói munkamenet végén, vagyis a böngésző bezárásakor törlődik. Lejárati dátum megadása esetén a süti addig a dátumig állandóvá válik. A lejárati dátum "Ned, DD Mes YYYY ÓÓ: MM: SS GMT" formátumban van megadva. Például:

Cookie beállítása: RMID = 732423sdfs73242; lejár = péntek, 2010. december 31., 23:59:59 GMT; elérési út = /; domain = .example.net

a fenti példából származó cookie neve RMID és értéke „732423sdfs73242”. Megőrzési ideje 2010. december 31-én 23:59:59-kor jár le. A „/” elérési út és az „example.net” tartomány arra utasítja a böngészőt, hogy küldjön egy cookie-t az example.net domain bármely oldalának megtekintésekor.

Lejárati feltételek

A sütik a következő esetekben járnak le:

  1. A munkamenet végén (például a böngésző bezárásakor), ha a cookie-k nem állandóak.
  2. Meghatározták a lejárati dátumot, és a megőrzési időszak lejárt.
  3. A böngésző a felhasználó kérésére törölte a cookie-kat.

Vegye figyelembe, hogy a szerver csak akkor tudja meg, hogy a cookie mikor jár le, amikor a böngésző elküldi ezt az információt a szervernek.

Hitelesítés

A kiszolgáló cookie-kat használhat a korábban hitelesített felhasználók azonosítására. Ez így megy:

  1. A felhasználó beírja a felhasználónevét és jelszavát a bejelentkezési oldal szövegmezőibe, és elküldi a szervernek.
  2. A szerver kap egy felhasználónevet és jelszót, ellenőrzi azokat, és ha helyes, sikeres bejelentkezési oldalt küld, amelyhez egy cookie-t csatol valamilyen munkamenet-azonosítóval. Ez a cookie csak az aktuális böngészőmunkamenetre érvényes, de beállítható hosszú távú tárolásra.
  3. Minden alkalommal, amikor egy felhasználó oldalt kér a szervertől, a böngésző automatikusan elküld egy munkamenet-azonosító cookie-t a szervernek. A szerver ellenőrzi az azonosítót az azonosítóbázisához képest, és ha van ilyen azonosító az adatbázisban, akkor "felismeri" a felhasználót.

Ezt a módszert széles körben használják számos webhelyen, például a Yahoo! , a Wikipédián és a Facebookon.

Sok böngésző (különösen az Opera, FireFox) a cookie-k tulajdonságainak szerkesztésével szabályozhatja a webhelyek viselkedését. A nem perzisztens (munkamenet) cookie-k lejárati dátumának megváltoztatásával például formálisan korlátlan munkamenetet kaphat egy webhelyen történő engedélyezés után. A cookie-k szabványos eszközökkel történő szerkesztése nem érhető el az Internet Explorerben. Más mechanizmusok, például a JavaScript használatával azonban a felhasználó módosíthatja a cookie-t. Ezenkívül lehetőség van a munkamenet-cookie-k állandó (lejárati dátumú) cookie-kra cserélésére.

A szerverszoftver azonban képes nyomon követni az ilyen próbálkozásokat. Ennek érdekében a szerver meghatározott ideig sütiket bocsát ki, és minden alkalommal rögzíti a cookie lejárati dátumát, amikor a felhasználó hozzáfér a szerverhez. Ha a böngésző által küldött süti lejárati dátuma eltér a szerveren tárolttól, akkor kísérlet történik a cookie lejárati dátumának módosítására. A szerver válaszolhat például a felhasználó újbóli engedélyezésére.

Böngésző beállítása

Cookie-k megtekintése és konfigurálása a Firefox 3.0 böngészőben

A legtöbb modern böngésző támogatja a cookie-kat. És általában a felhasználó eldöntheti, hogy használja-e a sütiket vagy sem. A leggyakoribb böngészőbeállítások a következők:

A JavaScriptet támogató legtöbb böngésző lehetővé teszi a felhasználó számára az adott webhelyen aktív cookie-k megjelenítését a javascript: alert ("Cookie-k:" + document.cookie) vagy a javascript: prompt ("Cookie-k:", document.cookie) beírásával a böngésző címébe. rúd. Egyes böngészők tartalmaznak egy cookie-kezelőt, amely lehetővé teszi a felhasználó számára a böngészőben tárolt cookie-k szelektív megtekintését és törlését.

Adatvédelem és harmadik féltől származó cookie-k

A sütik jelentősen befolyásolják az internethasználók magánéletét és anonimitását. Bár a cookie-kat csak annak a tartománynak a szerverei küldik el, amelyhez szánják őket, a weboldalak képeket vagy egyéb összetevőket tölthetnek be más tartományokból. Azokat a cookie-kat, amelyeket akkor kap, amikor ezek az összetevők más domainről töltődnek be, "harmadik fél" cookie-knak nevezzük.

A reklámcégek harmadik féltől származó cookie-kat használnak annak nyomon követésére, hogy a felhasználók hogyan mozognak a webhelyeken. Egy hirdetőcég különösen nyomon követheti a felhasználókat minden olyan webhelyen, ahol a szalaghirdetéseket telepítették. A felhasználó által meglátogatott oldalak ismerete lehetővé teszi a hirdetés irányának megváltoztatását a felhasználó preferenciáitól függően.

A felhasználói profil létrehozása potenciális adatvédelmi fenyegetésnek tekinthető még akkor is, ha egyetlen domainen belül követi nyomon, de ez különösen igaz, ha több domainen keresztül követi nyomon harmadik féltől származó cookie-kat. Emiatt egyes országokban a sütiket törvény szabályozza.

Az Európai Unió 2002-es elektronikus adatvédelmi irányelve szabályokat tartalmaz a cookie-k használatára vonatkozóan. Az 5. cikk (3) bekezdése különösen úgy rendelkezik, hogy az adatok (beleértve a cookie-kat is) tárolása csak akkor lehetséges, ha:

  1. a felhasználó tájékoztatást kap ezen adatok felhasználásáról;
  2. a felhasználónak lehetősége van lemondani erről.

Ez a cikk azonban azt is kimondja, hogy a műszakilag szükséges adatok tárolása mentesül ezen előírások alól. Az irányelv várhatóan 2003 októberében lép hatályba, de a 2004. decemberi jelentés megjegyzi, hogy ezeket a rendelkezéseket a gyakorlatban nem alkalmazták, és egyes államokban (Szlovákiában, Lettországban, Görögországban, Belgiumban és Luxemburgban) ezeket a rendelkezéseket nem építették be az irányelvbe. nemzeti jogszabályokat. A jelentés a szerződésben részt vevő államok helyzetének alapos elemzését javasolja.

Ezt a problémát úgy lehet megoldani, hogy titkosított kapcsolatot hozunk létre a felhasználó és a szerver között a HTTPS protokoll használatával. A szerver speciális jelzőt is használhat a cookie-k beállításakor, ami után a böngésző ezeket csak biztonságos csatornán, például SSL kapcsolaton keresztül továbbítja.

Azonban számos webhely, még biztonságos HTTPS-munkamenetek használatával is a felhasználó hitelesítésére, sütiket és egyéb adatokat küld egy egyszerűbb, titkosítatlan HTTP-kapcsolaton. A támadók könnyen elkaphatják más felhasználók cookie-jait, és felhasználhatják azokat a megfelelő webhelyeken.

Webhelyek közötti szkriptelés: A cookie-kat csak a szerver és a kliens között kell kicserélni, és azokat harmadik félnek kell elküldeni.

Annak biztosítása érdekében, hogy a cookie-k továbbítása csak HTTPS-munkameneten keresztül történjen, a cookie-knak rendelkezniük kell a Secure attribútummal.

A webhelyek közötti parancsfájl következő típusát általában olyan webhelyeken használják, ahol a felhasználók HTML-tartalmú üzeneteket küldhetnek. A megfelelő PHP/Javascript kód beillesztésével az üzenetbe a támadó megszerezheti más felhasználók cookie-jait.

Ezek a támadások megelőzhetők a HttpOnly jelző beállításával, amely elérhetetlenné teszi a cookie-kat az ügyféloldali szkriptek számára. A webfejlesztőknek azonban fontolóra kell venniük a webhelyek közötti parancsfájlok védelmét a webhely tervezési szakaszában.

Cookie-k helyettesítése

Cookie-hamisítás: A támadó hamisított cookie-kat küld a szervernek, esetleg módosítja a kiszolgálótól korábban kapott legitim cookie-kat.

Míg elméletileg a cookie-kat meg kell őrizni, és változatlanul vissza kell küldeni a szervernek, a támadó megváltoztathatja a tartalmukat a küldés előtt. Például egy cookie tartalmazhatja azt a teljes összeget, amelyet a felhasználónak fizetnie kell a vásárlásaiért; ennek az értéknek a megváltoztatásával a támadó a megadott összegnél kevesebbet is fizethet. A cookie-k tartalmának megváltoztatásának folyamatát ún a cookie-k helyettesítése.

Az ilyen támadások elleni védelem érdekében a legtöbb webhely csak a munkamenet-azonosítót tárolja a cookie-kban – ez egy véletlenszerűen generált szám vagy karakterkészlet, amely a munkamenet azonosítására szolgál, míg az összes többi információt a szerver tárolja. Ebben az esetben a cookie-k helyettesítése sokkal nehezebb.

Webhelyek közötti cookie-k

A támadó egy böngészőhibát használ, hogy hamis sütiket küldjön a szervernek.

Minden webhelynek saját cookie-kkal kell rendelkeznie, és az example.com nem módosíthatja vagy állíthatja be a másik example.org webhely cookie-jait. A webböngészők biztonsági rései lehetővé teszik, hogy a rosszindulatú webhelyek megsértsék ezt a szabályt. Ez hasonló a cookie küldéséhez, de itt a támadó sebezhető böngészőkkel támadja meg a felhasználókat, nem pedig közvetlenül a webhelyet. Ezek a támadások munkamenet-azonosítókat célozhatnak meg.

Instabilitás a kliens és a szerver között

A sütik konfliktusokat okozhatnak a kliens és a szerver között. Ha a felhasználó cookie-t kap, majd a böngészőben a „Vissza” gombra kattint, akkor a böngésző állapota eltér attól, amikor a cookie-t megkapta. Vegyünk például egy e-shopot egy süti alapú bevásárlókosárral: a felhasználó a vásárlást a kosárba helyezi, majd rákattint a vissza gombra, de a vásárlás a kosárban marad, még akkor is, ha a felhasználó esetleg el akarja mondani a vásárlást. Ez zavarhoz és hibákhoz vezethet. A webfejlesztőknek ezt szem előtt kell tartaniuk, és lépéseket kell tenniük az ilyen helyzetek kezelésére.

Cookie lejárati dátuma

A tartós cookie-kat szakértők kritizálták hosszú eltarthatóságuk miatt, amely lehetővé teszi a webhelyek számára, hogy nyomon kövessék és profilozzák a felhasználókat az idő múlásával. Itt biztonsági kérdések is felmerülnek, mivel az ellopott állandó cookie-k jelentős ideig használhatók.

Ezen túlmenően egy megfelelően megtervezett, a felhasználó azonosítása után elindítható rosszindulatú program munkamenet-cookie-kat is képes átvinni a támadó számítógépére, ami első közelítésként lehetővé teszi a védett oldal meglátogatását felhasználónév és jelszó megadása nélkül, bármennyi ideig.

A sütik alternatívái

Egyes műveletek, amelyekhez cookie-kat használnak, más mechanizmusok segítségével is végrehajthatók. Ezeknek az alternatíváknak azonban megvannak a hátrányai, amelyek a gyakorlatban néha előnyösebbé teszik a sütiket. Ezen alternatívák többsége lehetővé teszi a felhasználók nyomon követését, bár kevésbé megbízható módon, mint a cookie-k. Ennek eredményeként az adatvédelem még akkor is veszélyben marad, ha a böngésző letiltja a cookie-kat, vagy nem telepíti őket a szerver.

IP-cím

A felhasználók nyomon követésének ez a megbízhatatlan módszere az oldalakat megtekintő számítógépek IP-címeinek tárolásán alapul. Ez a technika a World Wide Web kezdete óta elérhető, amihez az oldal betöltéséhez az ügyfél IP-címének ismerete szükséges. Ezek az információk a szerveren tárolhatók, függetlenül attól, hogy használnak-e sütiket vagy sem.

Ez a módszer azonban kevésbé megbízható, mint a cookie-k, mivel a számítógépeket és a proxykat több felhasználó is megoszthatja, és egy számítógép különböző IP-címeket használhat különböző munkamenetekben (leggyakrabban ez egy betárcsázós kapcsolatra, ún.

Ebben a tekintetben a lekérdezési karakterlánc és a cookie-k nagyon hasonlóak: a böngésző által visszaküldött szerverinformációk töredékei. Vannak azonban bizonyos különbségek is: mivel a lekérdezési karakterlánc az URL része, így az URL újrafelhasználásakor ugyanaz az információ kerül elküldésre a szervernek. Például, ha a felhasználói beállítások egy URL-lekérdezési karakterláncban vannak kódolva, és a felhasználó elküldi ezt az URL-t egy másik felhasználónak, akkor ezek a beállítások a másik felhasználóra is érvényesek lesznek.

Ezen túlmenően, még ha a felhasználó többször is felkeresi ugyanazt az oldalt, nincs garancia arra, hogy a lekérdezési karakterlánc ugyanaz marad. Például, amikor a webhely belső oldalairól és külső keresőmotorokból navigál, a lekérdezési karakterláncok eltérőek lesznek, ha a cookie-k változatlanok maradnak.

A lekérdezési karakterlánc másik hibája biztonsági problémával jár: a munkamenet-azonosító lekérdezési karakterláncban való tárolása megkönnyíti a támadás végrehajtását. Az azonosító sütikben való átadása biztonságosabb.

Rejtett űrlapmezők

A munkamenet kiszolgálóoldali programmal történő nyomon követésének egyik módja a rejtett mezőket tartalmazó webes űrlapok használata. Ez a módszer nagyon hasonlít egy URL-lekérdezési karakterlánchoz, és szinte ugyanazokkal az előnyökkel és hátrányokkal rendelkezik, és ha az űrlapparamétereket HTTP GET metódussal küldik el, akkor a mezők valójában annak az URL-nek a részévé válnak, amelyet a böngésző küld a szervernek. A legtöbb űrlapot azonban a HTTP POST dolgozza fel, ahol az információ nem része sem az URL-nek, sem a cookie-nak.

Ennek a megközelítésnek két előnye van a nyomon követés szempontjából: egyrészt az információk beillesztése a HTML-kódba és a POST-ba, és nem az URL-be, azt jelenti, hogy az átlagos felhasználó egyszerűen nem veszi észre, másrészt a munkamenet információit nem másolják át az URL másolása (például amikor a felhasználó e-mailben linket küld). Ennek a módszernek az a hátránya, hogy a munkamenet-információkat a HTML kód tartalmazza, így a weboldalt minden kéréskor le kell generálni, ami növeli a webszerver terhelését.

HTTP hitelesítés

A HTTP protokoll alapvető hitelesítést és titkosítást tartalmaz, amely csak akkor teszi lehetővé az oldalhoz való hozzáférést, ha a felhasználó megadja a megfelelő felhasználónevet és jelszót. Ha a szerver ilyet kér, a böngésző felveszi a kapcsolatot a felhasználóval, és miután megkapta a szükséges adatokat, elmenti és felhasználja más oldalak eléréséhez anélkül, hogy a felhasználónak újra meg kellene adnia azokat. A felhasználó szemszögéből nézve a hatás ugyanaz, mint a cookie-k használatakor: csak egyszer kell felhasználónév és jelszó megadása, majd a felhasználó hozzáférhet az oldalhoz. Az alapszintű hitelesítéssel a felhasználónév és a jelszó kombinációja tiszta szövegben kerül elküldésre a szervernek minden böngészőkérésre. Ez azt jelenti, hogy ha valaki elfogja a forgalmat, megszerezheti ezt az információt, és ezt követően felhasználhatja. Titkosított hitelesítés esetén a felhasználónév és a jelszó titkosítása a szerver által generált véletlen kulccsal történik.

Ügyféloldali kitartás

Egyes webböngészők lehetővé teszik egy oldal számára, hogy helyi információkat tároljon későbbi visszakeresés céljából. Az Internet Explorer például támogatja az információk elmentését az előzményekbe, a kedvencekbe, az XML-tárolóba, vagy lehetővé teszi a weboldal közvetlen lemezre mentését.

Kissé eltérő mechanizmust használnak azok a böngészők, amelyek gyorsítótárazzák a weboldalon használt javascript fájlokat. Például egy oldal tartalmazhat hivatkozást

2021 wisemotors.ru. Hogyan működik. Vas. Bányászati. Kriptovaluta.