CFA LogoCFA Logo Computer
Новости Статьи Магазин Драйвера Контакты
Новости
RSS канал новостей
В конце марта компания ASRock анонсировала фирменную линейку графических ускорителей Phantom Gaming. ...
Компания Huawei продолжает заниматься расширением фирменной линейки смартфонов Y Series. Очередное ...
Компания Antec в своем очередном пресс-релизе анонсировала поставки фирменной серии блоков питания ...
Компания Thermalright отчиталась о готовности нового высокопроизводительного процессорного кулера ...
Компания Biostar сообщает в официальном пресс-релизе о готовности флагманской материнской платы ...
Самое интересное
Программаторы 25 SPI FLASH Адаптеры Optibay HDD Caddy Драйвера nVidia GeForce Драйвера AMD Radeon HD Игры на DVD Сравнение видеокарт Сравнение процессоров

АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2002 ГОД

Ку-ку информации

Ярослав МЕЛЬНИК wisepro@narod.ru

Как вы думаете, для чего были созданы cookies? Конечно же, большинство читателей даст правильный ответ: для повышения интерактивности — чтобы не регистрироваться и не заполнять ненужные формы каждый раз на сервере. Заметим, что во всяком уважающем себя компьютерном журнале или газете нет-нет да и появится статья о cookies (см. материал Заремы СЕЙДАМЕТОВОЙ «Коварное «печенье», МК № 12—14, 17—18 (183—185, 188—189)), но почему-то везде пишут, что cookies незачем опасаться. Может, это и так, но лишь при условии соблюдения некоторых предосторожностей: например, не указывать адрес электронной почты или другую контактную информацию в регистрационных формах. Вспомните , сколько раз вы посещали сайты и заполняли поля регистрации. Получалось удобно: зайдя на следующий раз, вам уже не приходилось стучать по клавиатуре. Сайт посылал вам куку, и при следующем посещении он мог определить вас по данным в файле. А вы не задумывались о том, что кто-то может заполучить этот самый файл и, вместо вас инициализировавшись на сайте, узнать все ваши данные: прочесть письма, завладеть web-ресурсом. И это не вымысел — это реальность.

Давайте рассмотрим внутренности этих файлов: что же нужно для получения этого файла на сервер, а именно: какой формат строки, добавляется к HTTP-заголовку?

Вот стандартный набор:

Разберем по пунктам:

Name=VALUE — задание имени Cookie;

Expires=DATE — дата истечения срока действия в формате wdy,dd-mn-yyyy hh:mm:ss gmt;

Domain=DOMAIN — имя домена или сервера, установившего данный cookie. Значение этого параметра может быть как полным именем сервера, так и частью его имени. В частности, наш cookie будет действителен для всех серверов указанного домена;

Path=PATH — имя URL, для которого cookie действительно;

Secure — уровень защиты информации в cookie.

Перечисленные атрибуты каждого cookie в период активной сессии браузера хранятся в его оперативном кэш-пространстве, а по завершении работы записываются в обычный текстовый файл, атрибуты которого определяются производителем и версией данного web-навигатора.

Как завербовать куку

Самый простой способ заключается в перехвате файлов cookies при передаче их по сети. Такую задачу можно решить с помощью любой утилиты перехвата пакетов, однако одной из лучших программ в сети считается программа Лаврентия НикулыSpyNet/PeepNet (особо любопытные пусть поищут на http://packetsstorm.securify.com). В состав SpyNet входят две утилиты, которые работают в комплексе. Программа CaptureNet захватывает сам пакет и сохраняет его на диске, а друга программа PeepNet открывает этот файл и преобразует в читабельный формат. Вот фрагмент восстановленного программой PeepNet сеанса связи, во время которого файл cookie служит для аутентификации и управления доступом к просматриваемым страницам (имена были изменены):

Из приведенного фрагмента видно, как работает cookie и запрос, поступающий на сервер. Наиболее важным является поле cuid=, в котором задается уникальный идентификатор, используемый для доступа к узлу http://www.server.com. Допустим, взломщик посетил данный сервер и получил такой же файл cookies, теперь ему нужно заменить поле cuid= в своем файле на полученный из перехваченного пакета. Теперь, если он снова посетит http://www.server.com, он будет принят за пользователя, чьи данные были перехвачены.

Но это не единственный способ получения доступа к вашим cookie: их можно попросту украсть с пользовательской машины.

Для этого надо каким-нибудь образом заставить потенциальную жертву посетить одну из страниц взломщика и щелкнуть на гипперссылке, внедрив заблаговременно дескрипторы iframe в html-код web-страницы, электронного сообщения в формате .html или сообщения из группы новостей. Сценарий, находящийся под этой ссылкой, извлекает файлы cookies с компьютера, в результате чего файл становится доступным для операторов этого web-узла.

Выход из ситуации

Что же делать? Очень просто: остерегаетесь узлов, на которых применяются файлы cookie или, по крайней мере, не сохраняйте их у себя на диске. Во-вторых, не доверяете сайтам, имеющим второй и ниже уровень домена: они могут спокойно перехватывать файлы cookie узла высшего относительно них уровня или любые другие данного сервера. Посещая узел, на котором файлы cookie служат для аутентификации, необходимо убедиться, что первоначально сообщаемые имя и пароль шифруются хотя бы с помощью протокола SSL. Тогда эта информация появится в окне программы PeepNet по меньшей мере не в виде простого текста. Постоянно обновляйте программное обеспечение — разработчики, как и хакеры не дремлют и совершенствуют программы. Не устанавливайте автоматическую регистрацию, а вводите пароли вручную. Каждый сайт придерживается спецификации P3P, он должен в XML-файле предоставить свою полную контактную информацию, описать, какие данные и с какой целью он собирает, когда использует файлы cookies. Проанализировав это файл, браузер определит, соответствует ли данный сайт спецификации P3P. Естественно, все это еще на стадии разработки, и немногие интернет-ресурсы поддерживают этот стандарт. Но пользователи Internet Explorer 6.x могут для каждого web-узла определить, разрешать или нет им работу с cookies. Также вы можете просмотреть политику, которую использует данная страница; для этого войдите в отчет по конфиденциальности и выберите интересующий вас сайт, после чего браузер выдаст вам подробный отчет по данному ресурсу. А тем, кому все эти методы не подходят, отвечу: если боитесь даже фалов cookie, тогда ложитесь спать и пусть вам снятся красивые сны.

Рекомендуем ещё прочитать:






Данную страницу никто не комментировал. Вы можете стать первым.

Ваше имя:
Ваша почта:

RSS
Комментарий:
Введите символы или вычислите пример: *
captcha
Обновить





Хостинг на серверах в Украине, США и Германии. © sector.biz.ua 2006-2015 design by Vadim Popov