Файлы куки (cookie), что это такое и чем они опасны?

[DesignerMix]

Не так давно мне пришлось делать систему авторизации для дипломного проекта, и именно тогда я столкнулся с куками впервые, нашел пару примеров кода, как передать их пользователю и как обработать то, что вернулось обратно. И изучая все это меня заинтересовала проблема безопасности, а почитав вики и пару статей журнала хакер, я понял что мои опасения небезосновательны.

Немного подумав, я решил сделать видео наглядно показывающее пользователям какие нерешенные проблемы есть в механизме cookie, и спустя неделю работы вот оно (я старался сделать его максимально технически точным, надеюсь что это у меня получилось.):

Так как в данном ролике я только вкратце упомянул о способах защиты, я и решил написать этот пост, в котором хочу подробнее разобраться, в том числе и самому, с тем, как можно хоть немного обезопасить свое пребывание в интернете.

Начну по пунктам из видео:

1) Использование протокола HTTPS

Здесь вариантов, на сколько я понимаю, не особенно много, и нужно просто использовать поддерживающие HTTPS ресурсы на которых вы работаете с важными данными (деньги, персональная переписка и пр.). Другой вариант, хотя я в нем не до конца уверен, использовать прокси с включенным HTTPS, либо воспользоваться проектом TOR или-же настроить VPN. И если в случае с прокси, ваши данные может использовать сам владелец прокси, то с тором и VPN ситуация выглядит лучше.

2) Проверять cookie на стороне сервера

Этот пункт относиться уже не к пользователям, а к создателям сайтов. И заключается он в том, что-бы проверить значение важных переменных в куках полученных от пользователя и если там не то, что ожидает скрипт, то просто изменить это значение. Например — Set-Cookie: CUSTOMER=WILE_E_COYOTE; path=/; expires=Wednesday, 09-Nov-99 23:12:40 GMT Если пользователь изменит здесь значение expiries, то изменится время жизни куков. Для проверки этого параметра достаточно внести например в БД оригинальную дату, и проверять изменен-ли этот параметр, и если да, то менять его на оригинал при передаче пользователю.

3) Включить функцию Do Not Track

Читайте про нее здесь и здесь

PS: Ролик сделан в стиле типографики при помощи программы Adobe After Effects.

[Lukas_Bertoni]

Вопрос,возможно глупый и не совсем по теме,такой:
Существует ли возможность заинжектит код JavaScript у себя на странице в ВК?

[Lukas_Bertoni]

С чем может быть связана причина того что куки с другой сети ( другого WAN IP ) не работают?

[DesignerMix]

С чем может быть связана причина того что куки с другой сети ( другого WAN IP ) не работают?

Вероятнее всего на сайте есть проверка по IP. На этом форуме кстати такая проверка есть.

Отправлено спустя 3 минуты 53 секунды:
Кстати возможно что проверяется еще и браузер включая его версию. На самом деле можно сделать довольно много разных проверок...

[Lukas_Bertoni]

Вероятнее всего на сайте есть проверка по IP. На этом форуме кстати такая проверка есть.

Это проверка только со стороны сервера? Если я физически к примеру папку браузера скопирую себе и заменю ее?
Еще назревает вопрос почему если я с планшета в разных местах захожу в ВК или на другие ресурсы то у меня сесия не пропадает?
Если можно то опишите пожалуста по подробнее процес проверки куки на сервере или дайте ссылку

[DesignerMix]

Это проверка только со стороны сервера?

Конечно. Например я могу задать на маску вроде A.B.C.D по которой буду проверять адрес с которого заходят пользователи. Например если вы заходили на сайт с сессией сохраненной в фалах cookie с адреса в котором группы A и B совпадают а C и D не совпадают с тем адресом с которого вы начали сессию, то она будет действительна, а если группа A совпадает а B, C и D нет, то она будет недействительна.

Если я физически к примеру папку браузера скопирую себе и заменю ее?

Не совсем понял вопрос... Имеется ввиду что будет если вы скопируете профиль браузера со всей сохраненной историей и файлами cookie? Если да, то часть сессий будет сохранена а часть скорее всего разорвется т.к. разные сайты проверяют разные параметры... Тут нужно говорить конкретно по каждому сайту, а я к сожалению не могу знать что например проверяет вконтакте или одноклассники.

Еще назревает вопрос почему если я с планшета в разных местах захожу в ВК или на другие ресурсы то у меня сесия не пропадает?

Опять таки вопрос сложный и конкретно на него ответить не смогу, но предполагаю что помимо файлов cookie с сессией есть какие-то другие пути проверки. Например я недавно узнал что в HTML 5 есть локальные хранилища в которые сайт может поместить файлы cookie и они будут оттуда восстановлены даже в случае очистки кеша и удаления файлов cookie... век живи век учись

[Lukas_Bertoni]

Например я недавно узнал что в HTML 5 есть локальные хранилища в которые сайт может поместить файлы cookie и они будут оттуда восстановлены даже в случае очистки кеша и удаления файлов cookie... век живи век учись

Оно а ссылку можно?

[DesignerMix]

Lukas_Bertoni, ссылка на рабочем компьютере, если не забуду в понедельник скину.

[fomi4]

DesignerMix, каким образом можно использовать куки мобильных приложений?