Cookie muitos não gostam por causa de sua insegurança. Muitos analistas dizem que isso não é um problema, e nada de errado em usar esta tecnologia pode ser feito. Eu discordo profundamente que, se alguém pode ler informações do cookie de arquivo (s), então não é seguro. Aqui está um exemplo puramente teóricos, que, se desejado, não é difícil fazer uma realidade.
1. Por exemplo, o usuário foi para o local mail, preencheu um formulário com login e senha, que é gravado em um cookie, mesmo que seja através de um Secure Socket Nível. Um invasor escreveu um e-mail para o usuário em formato HTML com os parâmetros ler cookie com senhas. Leia Cookies, um arquivo HTML ou solicita ao usuário a permissão para enviar informações para o atacante, onde o usuário pode ser enganado falsa inscrição à la "Erros em scripts JavaScript!". Mesmo usuário bastante experiente sem hesitação clica em OK, eo login e senha enviará atacante. Ou um atacante pode adicionar o quadro 0, que irá fornecer informação temporariamente do Cookie, que em resposta à e-mail, vai ser inserido na extremidade da e-mail. Tudo isso é fácil de fazer, utilizando o formulário e javascript.
2. Um exemplo de uma loja virtual.
Suponha que temos um shop.provider.com loja hipotética. Fazer compras na loja, o usuário armazena as informações em um cookie. Ao mesmo tempo, ou antes de entrar na loja, o usuário foi para um hacker.provider.com página Cookies hipotético, que mudou as configurações de cookie da loja virtual. Um atacante pode alterar o número de compras, o nome, endereço, e tudo o que está armazenado no cookie. Eu acho que você não gostaria que suas compras acrescentou um par de monitores ou transportou a comprar o usuário errado. Torná-lo muito fácil, se temos uma página no domínio armazena um segundo ou terceiro nível.
Assim, a tecnologia para o cookie do usuário é de alguns arquivos na pasta% Windows% cookies (por padrão no Internet Explorer), ou apenas um único cookie.txt arquivo (se o Netscape Navigator e outros navegadores). Sites são periodicamente adicionadas às informações no cookie e ele tira. Naturalmente, no caderno de encargos do Cookie fornecido alguns recursos de segurança.
Total de cookies não podem ser mais do que 300 caracteres.
Cada Cookie não pode ter mais do que 4KB.
Com uma DLV (mais sub-níveis) não pode ser obtido mais de 20 Cookiess.
Informações do cookie a partir de um domínio de segundo nível (mais sub-níveis) não podem ser lidos por outros domínios.
Se o documento estiver armazenado em cache, as informações do cookie não é armazenado em cache.
Vistos informações de cookie pode transferir para usar SSL.
Se o limite for esgotado, os primeiros registros são excluídos. Se Cookies é superior a 4 kb, os primeiros bytes são cortadas.
Formato Cookie.
As especificações completas podem ser encontradas em Inglês em http://www.netscape.com/newsref/std/cookie_spec.html. Em meu artigo abreviado única descrição.
As informações no cookie é definido princípio NAME = VALUE. Um documento pode conter vários cookies (não mais de 20). Campo mínimo descrição do Cookie parecido com este:
Set-Cookie: NAME = VALUE;
Max se parece com isso:
Set-Cookie: NAME = VALUE; expira = data; path = PATH; domain = DOMAIN_NAME; proteger
NAME = VALUE - nome - nome Cookie, VALOR - valor. Você pode mudar o nome, e valor. Usar qualquer caractere, exceto nova linha, dois pontos, vírgula e espaço.
Exemplo: Nome de utilizador = Bob
expira = DATA - Data de expiração do Cookie. Eu só DATE. Escreva isso: "expira = Número Dia den AAAA HH: MM: SS GMT". Se não indicado expirar, cookie é armazenado antes de fechar a janela do navegador.
Exemplo: expira = Fri, 14-Sep-2005 13:13:13 GMT
domain = DOMAIN_NAME - o domínio no qual Cookies válido. Escreva isso: "domain = domain.com". Cookie será válido para www.domain.com, e para myname.domain.com. Na área do RU e as outras áreas locais não estão funcionando. É utilizado somente para COM, EDU, NET, ORG, GOV, MIL, e INT. Se o domínio não é indicada, o servidor de nome de domínio é usado com Cookie.
Exemplo 1: domain = mamapapa.com
Exemplo 2: domain = gazzzeta.da.ru
path = PATH - Especifica os nomes do documento usa, que é realmente o valor do Cookie. Escreva isso: "path = / palavra". Cookie é enviado para o diretório / palavra, / Word2000 e arquivos no diretório atual com nomes word.htm, wordchampion.html. Para aplicar a todo o Cookies servidor indica o diretório raiz do servidor /. Se o caminho não for especificado, Cookie aplica-se somente ao diretório atual.
Exemplo 1: path = / gazzzeta
Exemplo 2: path = /
seguro - Se especificado, o uso de Cookies transmissão HTTPS (HTTP com SSL - Secure Socket Nível). Se seguro não for especificado, Cookie é transmitido HTTP.
Se Cookies usa o mesmo nome de valor, domínio e caminho - o valor antigo será substituído.
Cookie Box em HTML.
Insira Cookies várias maneiras. O mais simples - é através da tag META. Um método alternativo é JavaScript e várias outras técnicas (CGI, PHP, SSI, etc.). Tratar CGI, PHP, SSI e outros que não, porque isto requer o seu nome de domínio, que é a página, a possibilidade de utilizar essas tecnologias, que nem sempre acontece.
Uso de Cookies através da tag META.
Entre as tags e Cookies se encaixa bem:
Você pode usar a tag META-MULTI com Cookies em um único documento.
Exemplo:
Uso de Cookies através de javascript.
Política de Cookies usando javascript é o método mais popular, porque é muito simples para o desenvolvedor não requer software de servidor específico e pode usar dados dinâmicos gerados pelo Javasript-script interno, ou a entrada do usuário.
Aqui está um exemplo de script, javascript, ispolzueschego Cookie. O script não é minha, mas descreve com precisão as oportunidades que estamos a falar. Infelizmente, o autor do roteiro, eu não sei porque eu não posso especificar.
Debruçar sobre este script não faz sentido, um artigo sobre Cookie, em vez de javascript.
Como você pode ver, o cookie tecnologia oferece enormes oportunidades para desenvolvedores de sites. Cookie é suportado por todos os browsers mais ou menos conhecidos, como o Netscape, Microsoft Edge, Google chorme, Opera e outros, desde as primeiras versões.
Rompendo o cookie
Por que eu preciso de tudo isso é necessário?
Tecnologia de cookie é usado no preenchimento dos campos de armazenamento de informação a um carrinho de compras virtual em uma loja de Internet, em redes de banners, e muito mais. Mas como a tecnologia é utilizada por hackers para atingir seus objetivos.
1. A alegria de maldade.
O primeiro exemplo é baseado no facto de que de acordo com as especificações, o navegador pode armazenar mais do que 20 entradas de um domínio. Quando este limite é completo, registros antigos são substituídos por novos.
Aplicação: Para baixar um arquivo HTML para o servidor, de onde vieram cookie. Você pode enviar um e-mail, se a vítima lê o e-mail na Web, todos os cookies de seu servidor de correio serão apagados. Se você deseja excluir todos os cookies com um * .domen.com, substitua a linha de exemplo,
Ele só funciona com domínios COM, EDU, NET, ORG, GOV, MIL, INT. Ele mesmo um arquivo de exemplo: ...
Mantenha esse arquivo como cook.htm, ele deu-nos mais útil.
2. porcaria completa.
O segundo é baseado em coisas que o número total de cookies pode ser superior a 300. Quando o limite de transbordamento, registros mais antigos são substituídos como novo. Travado ideia? Substitui todos os cookies vítima. Primeiro você tem que fazer as contas para 15 páginas em servidores diferentes. Nós vamos para todos os tipos de narod.com.br, para criar uma conta cook.site1.com.br, cook.site2.com.br etc. para cook.site15.com.br. Em seguida, encher cada cook.htm arquivo de página, que temos utilizado na merda passado. Em tudo isso, você não deve tomar mais de uma hora em condições normais dedos de layout m /. Crie um arquivo index.html e se encaixa ao seguinte: ...
Preencha o arquivo criado em qualquer local, como cook.narod.com.br Ao acessar este site, o usuário vai ter limpado para fora todos os cookies, acumuladas ao longo dos anos, por um par de segundos.
3. Por que não pode marcar ou fazer o estouro de buffer espaço em disco?
O facto de cada Cookies não pode ser mais do que 4 kb. Se o limite for excedido, o início do cookie é apagado. O máximo que pode ser feito - para marcar o espaço vítima 1,2mb com uma boa qualidade de comunicação da vítima ou da vítima disconnect'it uma conexão ruim. Para isso, eu estava na linha cook.htm ao seguinte:
Proteção.
Um método de protecção de alguns, e cada método é bastante desconfortável.
1. Desative o cookie no navegador.
A desvantagem é que o usuário é, na verdade, recusando-se a ir em um grande número de sites.
2. Inicie o programa a partir do Gerenciador classe Cookie.
A desvantagem é que é necessário manter um programa especial. E isso é para o usuário da Internet permitiu que o monitor de firewall, anti-vírus, ICQ, etc. Dialer'om bastante incômodo.
3. Não se envolva em relações casuais.
A desvantagem é que o seu amigo "confiável", também, pode pregar uma peça em você, e não se envolver em relacionamentos casuais - em seguida, ficar em casa e aproveitar os locais em 127.0.0.1.
0 comentários :
Postar um comentário