Xavfsiz cookie-fayl - Secure cookie

Xavfsiz cookie fayllari ning bir turi HTTP cookie-fayllari cookie-fayllar doirasini "xavfsiz" kanallar bilan cheklaydigan Secure atributlar to'plamiga ega (bu erda "xavfsiz" foydalanuvchi agenti tomonidan belgilanadi, odatda veb-brauzer ).[1] Agar cookie-fayl Secure atributiga ega bo'lsa, foydalanuvchi agenti cookie-faylni HTTP so'roviga kiritadi, agar so'rov xavfsiz kanal (odatda HTTPS) orqali uzatilsa.[1] Cookie fayllarini faol tarmoq tajovuzkorlaridan himoya qilish uchun foydali ko'rinishga ega bo'lsa-da, Secure atributi faqat cookie-fayllarning maxfiyligini himoya qiladi. Faol tarmoq tajovuzkori xavfli kanaldan "Xavfsiz" cookie-fayllarini yozib qo'yishi va ularning butunligini buzishi mumkin. Ushbu masala rasmiy ravishda zaif yaxlitlik deb nomlanadi.[1] Biroq, ba'zi brauzerlar, jumladan Chrome 52 va undan yuqori versiyalari va Firefox 52 va undan yuqori versiyalari xavfsizlikni ta'minlash uchun ushbu xususiyatdan voz kechishadi va xavfli saytlarni taqiqlashadi (HTTP ) bilan cookie fayllarini o'rnatishdan Xavfsiz direktiv.[2]

Hatto bilan Xavfsiz, maxfiy ma'lumotlar kerak hech qachon cookie-fayllarda saqlang, chunki ular o'zlariga nisbatan xavfli bo'lib, ushbu bayroq haqiqiy himoyani ta'minlay olmaydi.[2] Xavfsiz atribut cookie-fayllarni himoya qilishning yagona mexanizmi emas, shuningdek, mavjud HttpOnly va SameSite atributlar. HttpOnly atributi cookie-faylga kirishni cheklaydi, masalan, JavaScript, esa SameSite atribut faqat cookie-faylni dasturga yuborishga imkon beradi, agar so'rov xuddi shu domendan kelib chiqqan bo'lsa.

Fon

An HTTP cookie-fayllari ma'lumotlar to'plami[3] veb-serverdan foydalanuvchiga yuboriladi veb-brauzer. Cookie-fayllarning ikki turi mavjud:

Cookie fayllari HTTP ulanishi orqali yuboriladigan va veb-brauzerlarda saqlanadigan parollar va kredit karta raqamlari kabi maxfiy ma'lumotlarni o'z ichiga olishi mumkin. Oddiy matn. Tajovuzkorlarning ushbu ma'lumotni o'g'irlashiga yo'l qo'ymaslik uchun kukilar atributlar bilan himoyalangan bo'lishi mumkin.

Cookie-fayllarni o'g'irlash va olib qochish

Cookie-fayllarni olib qochishning turli xil usullari mavjud.[4] Barcha usullarni amalga oshirish qiyin emas va foydalanuvchi yoki tashkilotga katta zarar etkazishi mumkin. Foydalanuvchi nomlari, parollar va seans identifikatorlari kabi maxfiy ma'lumotlarni o'z ichiga olgan cookie-fayllarni ushbu vositalar yordamida saytdan veb-brauzerga yuklab olgandan yoki kompyuterning qattiq diskidan foydalangan holda olish mumkin.[5]

Tarmoq tahdidlari

Shifrlanmagan kanallar orqali yuborilgan cookie-fayllar ta'sir qilishi mumkin tinglash, ya'ni cookie-fayl tarkibini tajovuzkor o'qishi mumkin. Ushbu turdagi tahdidlarning oldini olish mumkin Xavfsiz soket qatlami yoki serverlarda va Internet-brauzerlarda SSL protokoli, ammo bu faqat cookies-fayllar tarmoqda bo'lsa ishlaydi.[6] Shuningdek, ma'lumot almashinadigan yukning to'liq miqdori o'rniga faqat maxfiy ma'lumotlar shifrlangan cookie-fayllardan foydalanish mumkin.[7]

Tizim tahdidlarini tugatish

Cookie fayllari foydalanuvchidan o'g'irlanishi yoki ko'chirilishi mumkin, bu cookie-fayllardagi ma'lumotlarni oshkor qilishi yoki tajovuzkorga cookie-fayllar tarkibini tahrirlashi va foydalanuvchilarning nomini ko'rsatishi mumkin. Bu brauzerning so'nggi tizimida joylashgan va mahalliy diskda yoki xotirada aniq matnda saqlangan cookie faylini o'zgartirganda yoki foydalanuvchini bilmagan holda bir kompyuterdan boshqasiga ko'chirganda sodir bo'ladi.[6]

Cookie-fayllarni yig'ish

Hujumchi foydalanuvchilardan cookie-fayllarni qabul qilib, veb-saytga taqlid qilishga urinishi mumkin. Hujumchi cookie-fayllarni olgandan so'ng, ushbu cookie-fayllarni uchinchi tomon cookie-fayllarini qabul qiladigan veb-saytlar uchun ishlatishi mumkin. Ushbu tahdidning misoli, foydalanuvchi tomonidan yomon niyatli bo'lgan ma'lumotlar ko'rsatiladigan veb-saytning zaifliklaridan foydalanishni o'z ichiga olgan "Saytlararo skriptlar" hujumi.[8] Masalan, tajovuzkor munozarali forumda, xabar taxtasida yoki elektron pochtada joylashtirilgan URL-ga skriptni joylashtirishi mumkin, keyin maqsad gipergiperni ochganda faollashadi.[8]

Shuningdek qarang

Adabiyotlar

  1. ^ a b v Barth, A. (aprel, 2011). "RFC 6265 - HTTP davlat boshqaruv mexanizmi". IETF RFC.
  2. ^ a b "HTTP cookies". MDN veb-hujjatlari. Olingan 2018-10-06.
  3. ^ Bortz, Endryu; Barth, Adam; Cheskis, Aleksey. "Origin Cookies: veb-ilovalar uchun sessiyaning yaxlitligi" (PDF). Arxivlandi (PDF) asl nusxasidan 2018-05-13. Olingan 2018-05-13.
  4. ^ Chjen, Xiaofeng; Tszyan, Tszian; Liang, Jinjin; Duan, Xaysin; Chen, Shuo; Van, Tao; Weaver, Nikolay (2016-08-12). "Cookies-larda benuqsonlik mavjud emas: hayotga ta'siri" (PDF). 24-USENIX xavfsizlik simpoziumi materiallari. ISBN  978-1-931971-232. Arxivlandi (PDF) asl nusxasidan 2018-05-13. Olingan 2018-05-13.
  5. ^ Dubrawskiy, Ido (2009). CompTIA Security + Sertifikatlash bo'yicha o'quv qo'llanma: imtihon SY0-201 3E. Burlington, MA: Sinxronlik. p. 105. ISBN  9781597494267.
  6. ^ a b Atluri, Vijay; Xeyl, Jon (2013). Ma'lumotlar bazasi va axborot tizimlari xavfsizligi bo'yicha tadqiqot yutuqlari. Berlin: Springer Science + Business Media, MChJ. pp.52. ISBN  9781475764116.
  7. ^ Benantar, Messaoud (2006). Kirish nazorati tizimlari: xavfsizlik, shaxsni boshqarish va ishonchli modellar. Heidelberg: Springer Science + Business Media. pp.127. ISBN  9780387004457.
  8. ^ a b Jajodiya, Sushil; Wijesekera, Duminda (2005). Ma'lumotlar va ilovalar xavfsizligi XIX. Berlin: Springer Science & Business Media. pp.317. ISBN  9783540281382.

Tashqi havolalar