Cookies

1. призначення cookies
2. зберігання cookies
3. Приклади web програмування із застосуванням cookie
4. SpyWare cookies та Tracking Cookies
5. Шляхи витоку зберігається в cookies інформації
6. Основні загрози, створювані cookie
7. Пошук cookie, які містять конфіденційну інформацію
8. Налаштування параметрів роботи з Cookie для IE 6
9. Налаштування параметрів роботи з Cookie для Mozilla Firefox
10. Висновок

Наша взаимовыгодная связь https://banwar.org/

Головна / Інформаційна безпека / статті

Технологія cookies давно знаходиться в полі зору фахівців із захисту інформації. Однією з основних причин є те, що багато антишпигунські програми містять засоби пошуку «шкідливих» cookies і значні бази сигнатур для реалізації такого пошуку. Детектування cookies в якості одного з різновидів шпигунського ПЗ в свою чергу викликає безліч питань у користувачів - наскільки це небезпечно і чи слід застосовувати спеціальні заходи захисту. Завданням даної статті є розгляд технології Cookie, створюваних їй потенційних загроз, методик аналізу і протидії.

призначення cookies

Отже, варто почати з відповіді на питання "що таке cookies". Cookies - це текстова інформація невеликого обсягу, яка зберігається на комп'ютері користувача за запитом WEB сервера і віддається йому при повторних відвідинах. Основним призначенням cookies є:

1. Організація сесій в ході роботи користувача з On -Line магазинами, форумами та іншими інтерактивними системами з Web інтерфейсом, наприклад з системами документообігу або поштовими сервісами з web інтерфейсом. В цьому випадку в cookie зберігаються деякі параметри сесії, наприклад її унікальний ідентифікатор;

2. Зберігання різних параметрів користувача. Часто в cookie зберігаються не самі дані, а якийсь ідентифікатор, що дозволяє програмному забезпеченню web сервера впізнати користувача;

3. Ідентифікація користувача в рейтингових системах, лічильниках, системах баннерного показу, on -line голосуваннях. Часто застосовується як елемент захисту від так званої «накрутки» лічильників відвідування

Існують три способи створення cookie:

1. За допомогою поля в заголовку HTTP відповіді. У цьому випадку сервер передає в HTTP відповіді одне або кілька полів Set-Cookie: <визначення cookies>. Приклад заголовка HTTP відповіді сервера:

HTTP / 1.0 200 OK

Date: Thu, 22 Dec 2005 6:41:30 GMT

Expires: Thu, 01 Jan 1970 00:00:01 GMT

Content-type: image / gif

Set-Cookie: ruid = AjkABppKqkPzAAAAAZEAnFyrv; path = /; domain = .rambler.ru; expires = Sun, 20-Dec-15 6:41:30 GMT

1. За допомогою META тега в заголовку HTML сторінки. Тег має вигляд <META HTTP - EQUIV = "Set - Cookie" CONTENT = "визначення cookies", причому в одній сторінці таких тегів може бути кілька. Даний тег еквівалентний полю Set -Cookie в заголовку HTTP відповіді;
2. За допомогою скриптів HTML сторінки. В JavaScript, наприклад, для доступу до cookie передбачено властивість document.cooki e. Розглянемо найпростіший скрипт, який виводить на сторінці поточне значення document.cookie, а потім створює cookie з ім'ям «test -cookie -1»

<Html>

<Head>

<SCRIPT LANGUAGE = "JavaScript">

document.write ( "Cookie text = '" + document.cookie + "'");

document.cookie = "data = test-cookie-1-data; expires = Thursday, 14-Feb-2007 18:49:21 GMT";

</ Script>

</ Head>

<Body>

</ Body>

</ Html>

Перший запуск прикладу повинен відобразити порожній рядок, другий і наступні - рядок «data = test-cookie-1 data». Файл з даними прикладом додається до статті, ім'я файлу - cookie-1.htm. Приклад ще стане в нагоді для тестування аналізатора cookies, мова про який піде далі.

При створенні cookie може бути вказано час її зберігання за допомогою параметра expires. В даному параметрі вказується дата і час, до якого браузеру рекомендується зберігати cookie. Важливо відзначити, що саме рекомендується - браузер не зобов'язаний зберігати cookie з протягом заданого часу. Якщо в момент створення cookie з'ясується, що в параметрі expires задана дата менше поточної, то cookie з таким ім'ям буде знищений. Крім того, існують так звані сеансу cookie - у них не задано час зберігання і вони існують лише під час сеансу роботи. Сеансові cookie часто застосовуються як засіб підтримки сесії користувача.

Передача cookie web-сервер виробляється в заголовку HTTP запиту, в поле Cookie:, ось приклад типового HTTP запиту:

GET http://top100-images.rambler.ru/top100/banner-88x31-rambler-black2.gif HTTP / 1.0

Accept: * / *

Referer: http://virusinfo.info

Accept-Language: ru

Proxy-Connection: Keep-Alive

User-Agent: Mozilla / 4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: top100-images.rambler.ru

Pragma: no-cache

Cookie: ruid = yQAAAEBPWkIOagAAAawJAAA =

Детальну специфікацію cookie англійською мовою можна знайти за адресою http: // wp .netscape .com / newsref / std / cookie _spec .html

зберігання cookies

Методика зберігання cookie залежить від браузера. Internet Explorer зберігає дані cookies у вигляді окремих текстових файлів в папці Cookies, розташованої в профілі користувача. Єдиним засобом захисту даної папки є наявність у неї атрибута «Системний», що робить її невидимою для провідника. Самі файли мають розширення txt і можуть бути переглянуті за допомогою звичайного блокнота.

Браузер Mozilla Firefox зберігає cookie в профілі користувача, у файлі Application Data \ Mozilla \ Firefox \ Profiles \ <ім'я користувача> \ cookies.txt. Цей файл має вельми просту структуру - коментарі починаються з символу #, дані cookie йдуть по одній на кожен рядок, роздільником полів є знак табуляції.

Приклади web програмування із застосуванням cookie

Для ілюстрації базових прийомів роботи з cookie до статті докладено чотири простих прикладу CGI програм на мові Delphi (у вигляді вихідних текстів і відкомпільованих програм). Відкомпілювалися програми необхідно розмістити в каталозі WEB сервера, для якого дозволено виконання CGI програм. У випадку з Microsoft IIS для вивчення прикладів рекомендується створити окрему папку, в настройках для неї дозволити запуск сценаріїв і виконуваних файлів.

Приклад номер 1 (cookies1.exe) є прикладом найпростішого CGI програми, що створює і зчитує cookie. Другий приклад трохи складніше і демонструє можливість створення, отримання та видалення cookie під керуванням CGI програми. Приклад номер три демонструє роботу з сеансовими cookie, імітуючи механізм найпростішої ідентифікації користувача і підтримки сесії. Нарешті приклад 4 демонструє створення лічильника відвідувань з найпростішої захистом він «накрутки» за допомогою cookie.

Приклади докладно коментувати і можуть бути відкомпільовані на будь-якої версії Delphi починаючи з 5.0.

SpyWare cookies та Tracking Cookies

Два даних назви як правило відносяться до приблизно ідентичним типу cookies, які застосовуються розробниками різних рейтингових і банерних систем для відстеження відвідування користувачем сторінок, що містять елементи цих систем. Cookie в даному випадку використовується для своєрідної «позначки» користувача, причому подібна «позначка» як правило не може бути асоційована з конкретним користувачем і його персональними даними, так як є простим унікальним ідентифікатором. Схема роботи вже згадувалася в статті про SpyWare, вона показана на малюнку 1

Припустимо для визначеності, що користувач відвідує два сайти, що містять на своїх сторінках лічильник однієї і тієї ж рейтингової системи. Будемо вважати, що у браузера користувача дозволені прийом і передача cookie.

При відвідуванні сайту A відбудеться дві операції - завантаження сторінки з сайту A (крок 1) і звернення до сайту рейтингової системи (крок 2) для отримання малюнка з даними лічильника або логотипом рейтингової системи. Якщо це перше звернення користувача до сайту рейтингової системи, то на його комп'ютері немає її cookies. Не отримавши cookie рейтингова система, в свою чергу, надає користувачеві унікальний ідентифікатор і в заголовку HTTP відповіді передає поле Set-Cookie, що наказує браузеру зберегти cookie для сайту рейтингової системи. Класичним прикладом може послужити рейтинг rambler .ru, який використовує єдиний cookie виду «ruid = <унікальний ідентифікатор, присвоєний користувачеві>».

Потім користувач відвідує сайт B (крок 3) і відбувається повторне звернення до сайту рейтингової системи (крок 4), в ході якого передається cookie, який було збережено на кроці 2. Отримавши і проаналізувавши cookie рейтингова система «дізнається» користувача по його унікальним ідентифікатором. В результаті рейтингова система може не просто фіксувати факт відвідування сайту, але і відстежувати «траєкторію» переходів користувача по сайтам (природно тільки по сайтам, сторінки якої містять лічильники цієї рейтингової системи).

Далі припустимо, що користувач повторно відвідав сайти A і B. В цьому випадку рейтингова система фіксує факт повторного відвідування, що дозволяє побудувати захист від «накрутки» лічильника, здійснювати облік кількості унікальних відвідувачів ресурсу за одиницю часу і обчислювати середньостатистичне кількість постійних користувачів ресурсу.

Важливо відзначити, що за допомогою cookie будь-який сайт може реєструвати факт повторного відвідування, але не може визначити ніяких персональних даних користувача. Исключеним є випадок, коли користувач сам передав будь-які дані, заповнюючи форми реєстрації на сайті - але навіть в цьому випадку подібні дані дуже рідко зберігаються безпосередньо в cookie. Зазвичай подібні дані заносяться в базу даних на стороні WEB сервера. Однак тут все залежить від WEB програмістів, що створюють відвідувані користувачем сайти - далі описана утиліта, що дозволяє перевірити cookies на своєму комп'ютері.

Шляхи витоку зберігається в cookies інформації

Розглянемо кілька найбільш типових шляхів, за якими зберігається в cookie інформація може бути отримана зловмисниками:

1. Міжсайтовий скриптинг. Це найбільш простий і популярний метод викрадення cookie. Він заснований на впровадження в легітимну WEB сторінку невеликого троянського скрипта, передає доступні вузлу cookie зловмисникові. Особливістю міжсайтового скриптинга є те, що з його допомогою можна викрасти сеансу cookie;
2. Експлуатація вразливостей браузера.
3. Впровадження на комп'ютер користувача троянської програми, яка проаналізує міститься в cookes інформацію і передасть її творцям. Як варіант, троянська програма може не тільки проаналізувати cookie, а й модифікувати їх. Створити таку програму досить просто, так як Internet Explorer і Mozilla Firefox зберігають cookie у відкритому вигляді;
4. Використання комп'ютера в місцях публічного доступу (бібліотеки, Інтернет-кафе і т.п.). Багато користувачів не замислюються про необхідність видалення журналів роботи і cookies при завершенні роботи
5. Перехоплення cookie за допомогою засобів аналізу мережевого трафіку.
6. Реєстрація даних cookie в протоколі proxy-сервера. Залежно від налаштувань proxy-сервер може проводити запис не тільки повного URL, але і заголовків HTTP запиту і відповіді

Основні загрози, створювані cookie

C cookie пов'язано кілька основних видів загроз:

1. Витік конфіденційної інформації. Може статися в разі отримання зловмисником зберігаються в cookie даних будь-яким способом;
2. Несанкціонований доступ зловмисника до деяких Web сервісів від імені користувача. Це в першу чергу пов'язано з отримання зберігається в cookie ідентифікатора сесії, що зберігається в cookie імені та пароля користувача або їх еквівалента;
3. Проведення аналізу, які вузли відвідувалися користувачем останнім часом. В даному випадку cookie поряд з журналами браузера і кешем сторінок дозволяють отримати досить повну картину про те, які сайти відвідувалися користувачем. Подібний аналіз зазвичай проводиться фахівцями спецслужб або служби безпеки в якості одного з елементів вивчення комп'ютера.

Пошук cookie, які містять конфіденційну інформацію

Для оперативного аналізу вмісту Cookies можна застосувати антивірусну утиліту AVZ, що містить засіб пошуку заданих текстових фрагментів у вмісті cookies, які зберігаються браузерами Internet Explorer і Mozilla Firefox. Вікно системи пошуку викликається з меню «Сервіс / Пошук cookies». Особливістю системи пошуку є те, що пошук може вестися одночасно по кільком текстовим зразкам (при цьому зразки розділяються пропуском або «;»). Пошук ведеться з урахуванням того, що дані в cookie можу бути представлені в форматі Base 64, UUE, url -encoding або quoted -printable. Аналізовані формати можна вибрати на закладці «Налаштування», за замовчуванням ведеться спроба пошуку у всіх форматах.

Для проведення аналізу в рядку «Зразок» необхідно ввести фрагменти e -mail адрес користувача, що застосовуються для реєстрації на Інтернет сайтах імена і паролі, фрагменти номерів кредитних карт або іншу інформацію, яка вводилася в WEB форми і витік якої, на думку користувача, представляє для нього загрозу. При вказівці зразків пошуку слід враховувати, що по суті ведеться пошук входження зазначених зразків в даних cookie, тому часто для ефективного пошуку досить вказати унікальні фрагменти, наприклад "newvirus" замість «newvirus @z -oleg .com» або останні 5 цифр номера кредитної картки замість її повного номера.

Після завдання зразків необхідно натиснути кнопку «Пуск» для запуску пошуку. Пошук може зайняти деякий час, як правило, не більше 10-20 секунд. Після завершення пошуку формується протокол, в якому зазначено, в яких cookie зустрічалися зазначені зразки. На закладці «Знайдені Cookies» можна переглянути список знайдених Cookies, при натисканні кнопки «Переглянути Cookie» на екран виводиться вміст поточного Cookie для детального аналізу.

Перевірити роботу аналізатора можна за допомогою прикладеного до статті приклад - після запуску test -cookie -1. htm можна провести пошук за зразком "test-cookie-1 data".

Даний аналізатор дозволяє користувачеві дізнатися, які сайти зберігають в cookies критичну для нього інформацію - надалі для цих сайтів можна створити правила, які блокують прийом від них cookies.

Налаштування параметрів роботи з Cookie для IE 6

Налаштування параметрів роботи з cookies в IE проводиться на закладці "Конфіденційність" у властивостях браузера. За замовчуванням встановлений рівень конфіденційності «Середній», в це режимі частина сторонніх cookie (різні лічильники, рейтинги) блокується. Максимальним рівнем є «блокувати всі cookie", що блокує прийом cookie і передачу вже існуючих на комп'ютері. При установці мінімального рівня дозволяється прийом cookie від всіх вузлів.

Кнопка «Вузли» дозволяє задавати винятку. Це дуже корисна функція, так як виключення мають пріоритет над автоматичним аналізом. Кнопка «Вузли» недоступна при виборі мінімального і максимального рівня конфіденційності, тому що не має для них сенсу.

Натискання цієї кнопки викликає вікно, що дозволяє ввести адресу сторінки і вибрати застосовується для нього дію - «Блокувати» або «Дозволити», що дозволяє вручну заборонити або дозволити cookie для певних вузлів. Зокрема, можна встановити високий рівень конфіденційності і потім свою згоду на отримання cookie для певних вузлів.

Кнопка «Додатково» дозволяє перекрити автоматичну обробку файлів cookie і однозначно задати реакцію браузера на «основні» (створювані для вузла, з якого відкривається сторінка) і «сторонні» cookie (створювані елементами, розміщеними на інших вузлах - зокрема, це відноситься до банерів і лічильників).

Можна відзначити, що в разі перекриття автоматичної обробки рекомендується заборонити прийом сторонніх cookie і дозволити роботу з сеансовими (вони зберігаються тільки протягом сеансу і тому не становлять особливої ​​небезпеки).

Якщо в ході перегляду WEB сторінки IE блокує cookie, то в його рядку статусу відображається значок, при натисканні по якому виводиться список заблокованих cookie

Контекстне меню списку дозволяє задати політику роботу з cookie для будь-якого з відображених в списку вузлів - можна запобігти отриманню cookie або дозволити його.

Видалення всіх зберігаються cookie проводиться при натисканні кнопки «Видалити cookie» на закладці «Загальні» у властивостях браузера.

Говорячи про налаштування конфіденційності в IE варто згадати про протокол P 3P (Platform for Privacy Preferences, http://www.w3.org/P3P) . Цей протокол підтримується в IE 6, ідея P 3P полягає в тому, що творці WEB ресурсу описують «політику приватності» свого сайту в XML форматі і розміщують в файлі /w3c/p3p.xml. Цей файл може бути завантажений браузером для аналізу і порівняння з діючою політикою безпеки, що допомагає прийняти рішення про те, чи приймати cookie від даного вузла або відхилити їх. Приклад P 3P опису можна подивитися, завантаживши такий файл з одного з великих російських сайтів, наприклад http://www.rambler.ru/w3c/p3p.xml , http://top.mail.ru/w3c/p3p.xml . Аналізуючи P 3P файли слід звернути увагу на присутню в них посилання на розгорнутий опис політики, яке розміщується в окремому файлі, посилання на який дається в тезі POLICY-REF (для Rambler це файл http://www.rambler.ru/w3c/p3p .rambler.xml).

Налаштування параметрів роботи з Cookie для Mozilla Firefox

Налаштування параметрів роботи з cookie для Firefox дещо відрізняється від налаштувань IE - все пов'язані з приватних даних настройки (журнали, управління збереженими даними форм і паролями, настройка роботи з cookies) зібрані в групі "Налаштування" вікна налаштувань.

Налаштування Firefox дозволяють вмикати / вимикати прийом cookies, при включеному прийомі можн про свою згоду на отримання cookie лише з того-ж сайту, що і відкривається сторінка (це аналог блокування сторонніх cookie в IE). Крім того, можна примусово управляти терміном зберігання cookie. За умовчанням вони зберігаються відповідно до зазначеного при їх створенні часом дії, можна включити зберігання cookie до закриття вікна Firefox. У налаштуванні можна задати виключення (цей параметр аналогічна настройці IE) і переглянути наявні cookies. Вікно перегляду cookies викликається при натисканні кнопки «Перегляд Cookies».

Наявність можливості перегляду прийнятих cookies є дуже корисною функцією Firefox - для кожного cookie можна побачити розшифровку всіх його параметрів, зокрема термін дії і значення.

Кнопка «Видалити cookie» дозволяє вибірково видаляти будь-cookie, кнопка «Видалити все cookies" виробляє видалення всіх зберігаються на комп'ютері cookie.

Особливу увагу варто приділити перемикача внизу вікна - його включення дозволяє автоматично створювати правила блокування для сайтів, яким належать видаляються cookie.

Висновок

У даній статті описана технологія cookies і подаються їй потенційні загрози. Аналіз показує, що при правильному налаштуванні браузера cookie не уявляють суттєвої небезпеки.

На закінчення можна сформулювати ряд порад для користувача:

1. Не слід приділяти велику увагу повідомленнями антішпіонскіх програм, які рапортують про виявлення на підприємстві, що перевіряється комп'ютері безлічі «шпигунських» cookie - в більшості випадків це cookie різних лічильників, рейтингів і банерних рулеток, і їх наявність не представляє для користувача суттєвої загрози;

2. Рекомендується періодично аналізувати зберігаються на комп'ютері cookie на предмет наявності в них конфіденційної інформації. Створюють такі cookie сайти варто внести в чорні списки, дозволивши для них тільки сеансу cookie;

3. Після завершення роботи на комп'ютері в місцях публічного доступу рекомендується видалити всі cookie;

4. Набудовуючи браузер можна запобігти отриманню сторонніх cookie. Це, як правило, не позначається на перегляді WEB сайтів, але істотно зменшує кількість збережених cookie;