Вебмайстер
Яндекс для вебмайстрів
Як Яндекс індексує сайти
Сайт на сторінці результатів пошуку
Сервіс «Яндекс.Вебмайстер»
Налаштування індексування
Вміст сайту
Сайт у результатах пошуку
Безпека сайтів
Сервіси Яндекса на вашому сайті

Файли cookie

Стаття "Забезпечення безпеки веб-сайтів" надана Sophos Plc і SophosLabs.

Грудень 2007 р.

Одна з основних проблем під час проектування веб-програми полягає в тому, що запит нової сторінки завжди обробляється поза контекстом попередніх запитів. Попросити веб-програму «запам'ятати користувача» складніше, ніж зазвичай.

Більшість браузерів підтримують два методи, які веб-програми можуть використати для «запам'ятовування» відвідувачів: звичайні файли cookie та файли cookie-сеансу.

  • Файл cookie — це невеликий файл, який створюється браузером і зберігається на комп'ютері користувача. Його зміст не регламентується, але зазвичай у таких файлах зберігаються назва, дата закінчення строку дії та деякий обсяг даних, наприклад: «Count = 100» або «Member = false».

  • Файл cookie-сеансу схожий на звичайний, але при цьому він дозволяє веб-програмам зберігати дані в пам'яті.

Відмінність полягає в тому, що звичайний файл cookie зберігається на комп'ютері користувача та залишається на ньому до моменту видалення користувачем. Файл cookie-сеансу, навпаки, зберігається лише протягом часу роботи комп'ютера та автоматично втрачається у разі закриття програми-браузера. Проте, у них є загальна риса: вони можуть бути піддані маніпуляціям ззовні.

Розробники часто схильні вважати дані з файлів cookie надійними, адже вони самі розробляють відповідний код. Вони помиляються. Хакер може з легкістю змінити файл cookie (а в деяких випадках — і дані активного сеансу), щоб обманом змусити веб-сайт надати доступ до закритої сторінки.

Під час проектування системи ніколи не можна покладатися на надійність даних користувача, що вводяться відвідувачами безпосередньо або надходять через файли cookie. Намагайтеся обмежити обсяг даних, які зберігаються у файлах cookie, особливо тоді, коли ці дані не слід зберігати у відкритому доступі. Оптимальний підхід — вважати всі дані, які зберігаються на комп'ютері користувача, ненадійними.

У 2007 році сайт MySpace.com піддався атаці за допомогою трояна JS/SpaceStalk-A, який крав інформацію, що зберігається у файлах cookie, і передавав її на віддалений сервер. Така інформація може містити конфіденційні відомості — імена користувачів, адреси улюблених сайтів та паролі.

До наступного розділу

Оцініть статтю
Дякуємо за ваш відгук!