Файлы куки (cookie), что это такое и чем они опасны?

Уязвимости, взломы и способы защиты. Вирусы здесь не обсуждаются

Модераторы: Tim308, phantom

Ответить
Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Файлы куки (cookie), что это такое и чем они опасны?

Сообщение DesignerMix » 26 апр 2014, 14:41


Не так давно мне пришлось делать систему авторизации для дипломного проекта, и именно тогда я столкнулся с куками впервые, нашел пару примеров кода, как передать их пользователю и как обработать то, что вернулось обратно. И изучая все это меня заинтересовала проблема безопасности, а почитав вики и пару статей журнала хакер, я понял что мои опасения небезосновательны.

Немного подумав, я решил сделать видео наглядно показывающее пользователям какие нерешенные проблемы есть в механизме cookie, и спустя неделю работы вот оно (я старался сделать его максимально технически точным, надеюсь что это у меня получилось.):



Так как в данном ролике я только вкратце упомянул о способах защиты, я и решил написать этот пост, в котором хочу подробнее разобраться, в том числе и самому, с тем, как можно хоть немного обезопасить свое пребывание в интернете.

Начну по пунктам из видео:

1) Использование протокола HTTPS

Здесь вариантов, на сколько я понимаю, не особенно много, и нужно просто использовать поддерживающие HTTPS ресурсы на которых вы работаете с важными данными (деньги, персональная переписка и пр.). Другой вариант, хотя я в нем не до конца уверен, использовать прокси с включенным HTTPS, либо воспользоваться проектом TOR или-же настроить VPN. И если в случае с прокси, ваши данные может использовать сам владелец прокси, то с тором и VPN ситуация выглядит лучше.

2) Проверять cookie на стороне сервера

Этот пункт относиться уже не к пользователям, а к создателям сайтов. И заключается он в том, что-бы проверить значение важных переменных в куках полученных от пользователя и если там не то, что ожидает скрипт, то просто изменить это значение. Например — Set-Cookie: CUSTOMER=WILE_E_COYOTE; path=/; expires=Wednesday, 09-Nov-99 23:12:40 GMT Если пользователь изменит здесь значение expiries, то изменится время жизни куков. Для проверки этого параметра достаточно внести например в БД оригинальную дату, и проверять изменен-ли этот параметр, и если да, то менять его на оригинал при передаче пользователю.

3) Включить функцию Do Not Track

Читайте про нее здесь и здесь

PS: Ролик сделан в стиле типографики при помощи программы Adobe After Effects.

Аватара пользователя

Lukas_Bertoni
Интересующийся
Сообщения: 54
Зарегистрирован: 10 ноя 2014, 01:25
Репутация: 2
Контактная информация:
Статус: Не в сети

Re: Файлы куки (cookie), что это такое и чем они опасны?

Сообщение Lukas_Bertoni » 10 ноя 2014, 01:49


Вопрос,возможно глупый и не совсем по теме,такой:
Существует ли возможность заинжектит код JavaScript у себя на странице в ВК?
Вложения
1415260443.jpg

Аватара пользователя

Lukas_Bertoni
Интересующийся
Сообщения: 54
Зарегистрирован: 10 ноя 2014, 01:25
Репутация: 2
Контактная информация:
Статус: Не в сети

Файлы куки (cookie), что это такое и чем они опасны?

Сообщение Lukas_Bertoni » 24 янв 2015, 17:24


С чем может быть связана причина того что куки с другой сети ( другого WAN IP ) не работают?

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Файлы куки (cookie), что это такое и чем они опасны?

Сообщение DesignerMix » 24 янв 2015, 17:36


Lukas_Bertoni писал(а):С чем может быть связана причина того что куки с другой сети ( другого WAN IP ) не работают?

Вероятнее всего на сайте есть проверка по IP. На этом форуме кстати такая проверка есть.

Отправлено спустя 3 минуты 53 секунды:
Кстати возможно что проверяется еще и браузер включая его версию. На самом деле можно сделать довольно много разных проверок...

Аватара пользователя

Lukas_Bertoni
Интересующийся
Сообщения: 54
Зарегистрирован: 10 ноя 2014, 01:25
Репутация: 2
Контактная информация:
Статус: Не в сети

Файлы куки (cookie), что это такое и чем они опасны?

Сообщение Lukas_Bertoni » 24 янв 2015, 17:44


Вероятнее всего на сайте есть проверка по IP. На этом форуме кстати такая проверка есть.
Это проверка только со стороны сервера? Если я физически к примеру папку браузера скопирую себе и заменю ее?
Еще назревает вопрос почему если я с планшета в разных местах захожу в ВК или на другие ресурсы то у меня сесия не пропадает?
Если можно то опишите пожалуста по подробнее процес проверки куки на сервере или дайте ссылку

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Файлы куки (cookie), что это такое и чем они опасны?

Сообщение DesignerMix » 24 янв 2015, 18:13


Lukas_Bertoni писал(а):Источник цитаты Это проверка только со стороны сервера?

Конечно. Например я могу задать на маску вроде A.B.C.D по которой буду проверять адрес с которого заходят пользователи. Например если вы заходили на сайт с сессией сохраненной в фалах cookie с адреса в котором группы A и B совпадают а C и D не совпадают с тем адресом с которого вы начали сессию, то она будет действительна, а если группа A совпадает а B, C и D нет, то она будет недействительна.
Lukas_Bertoni писал(а):Источник цитаты Если я физически к примеру папку браузера скопирую себе и заменю ее?

Не совсем понял вопрос... Имеется ввиду что будет если вы скопируете профиль браузера со всей сохраненной историей и файлами cookie? Если да, то часть сессий будет сохранена а часть скорее всего разорвется т.к. разные сайты проверяют разные параметры... Тут нужно говорить конкретно по каждому сайту, а я к сожалению не могу знать что например проверяет вконтакте или одноклассники.

Lukas_Bertoni писал(а):Источник цитаты Еще назревает вопрос почему если я с планшета в разных местах захожу в ВК или на другие ресурсы то у меня сесия не пропадает?

Опять таки вопрос сложный и конкретно на него ответить не смогу, но предполагаю что помимо файлов cookie с сессией есть какие-то другие пути проверки. Например я недавно узнал что в HTML 5 есть локальные хранилища в которые сайт может поместить файлы cookie и они будут оттуда восстановлены даже в случае очистки кеша и удаления файлов cookie... век живи век учись :computer:

Аватара пользователя

Lukas_Bertoni
Интересующийся
Сообщения: 54
Зарегистрирован: 10 ноя 2014, 01:25
Репутация: 2
Контактная информация:
Статус: Не в сети

Файлы куки (cookie), что это такое и чем они опасны?

Сообщение Lukas_Bertoni » 24 янв 2015, 18:48


Например я недавно узнал что в HTML 5 есть локальные хранилища в которые сайт может поместить файлы cookie и они будут оттуда восстановлены даже в случае очистки кеша и удаления файлов cookie... век живи век учись
Оно а ссылку можно?

Аватара пользователя

Автор темы
DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Файлы куки (cookie), что это такое и чем они опасны?

Сообщение DesignerMix » 24 янв 2015, 19:03


Lukas_Bertoni, ссылка на рабочем компьютере, если не забуду в понедельник скину.


fomi4
Новичок
Сообщения: 6
Зарегистрирован: 10 ноя 2014, 09:08
Репутация: 0
Статус: Не в сети

Файлы куки (cookie), что это такое и чем они опасны?

Сообщение fomi4 » 11 мар 2015, 21:48


DesignerMix, каким образом можно использовать куки мобильных приложений?

Аватара пользователя

Member
Новичок
Сообщения: 4
Зарегистрирован: 20 мар 2016, 18:00
Репутация: 0
Статус: Не в сети

Файлы куки (cookie), что это такое и чем они опасны?

Сообщение Member » 16 ноя 2016, 07:26


Да тотальная слежка!