1. Úvod
Cookie , alebo HTTP cookie, web cookie, cookie prehliadača je malá časť údajov odoslaná z webovej stránky a uložená v prehliadači používateľa pri prehliadaní tejto webovej stránky. Zakaždým, keď používateľ načíta webovú stránku, prehliadač automaticky odošle súbory cookie na webový server, aby upozornil webovú stránku na predchádzajúce akcie používateľa.
Súbory cookie sú navrhnuté ako spoľahlivý mechanizmus, ktorý pomáha webovým stránkam zapamätať si informácie o stave (napríklad položky v nákupnom košíku) alebo ukladať aktivity používateľov (vrátane kliknutí), odkaz, prihlásenie, stránky navštívené počas týždňa, mesiaca alebo roka,... ).
Hoci súbory cookie nemôžu prenášať vírusy ani nemôžu inštalovať škodlivý softvér do vášho počítača, používanie sledovacích súborov cookie a najmä súborov cookie tretích strán sa považuje za spôsob identifikácie osobných údajov z histórie prehliadania používateľov. Súbory cookie môžu ukladať heslá alebo obsah, ktorý používatelia zadávajú do formulárov html, ako sú čísla kreditných kariet alebo osobné adresy.
Keď používateľ prvýkrát navštívi webovú stránku, z webového servera sa do prehliadača odošle súbor cookie a uloží sa do jeho počítača. Potom, keď sa vráti na webovú stránku, webová lokalita ho rozpozná na základe informácií uložených v súbore cookie.
Autentifikačné súbory cookie sú bežnou metódou používanou na určenie, či je používateľ prihlásený na webovú stránku alebo nie. Bez takéhoto mechanizmu bude pre webová lokalita ťažké vedieť, kedy má používateľovi odoslať osobné údaje, a prinútiť používateľa viackrát sa prihlásiť. Autentifikačné súbory cookie, aj keď sú veľmi pohodlné, vytvárajú príležitosti pre hackerov na čítanie citlivých údajov v súboroch cookie, čím vykonávajú činnosti, ktoré poškodzujú používateľov.
2. Prehľad HTTP Cookies
2.1. História
Pojem cookie je odvodený od pojmu magický súbor cookie, čo je nemenná časť údajov odosielaných a prijímaných počítačovým programom. Programátor menom Lou Montuli prišiel s myšlienkou používania magických cookies vo webovej komunikácii v roku 1994. V tom čase pracoval pre Netscape Communications na projekte vývoja aplikácií elektronického obchodu pre MCI. Súbory cookie sa používajú ako riešenie pri vytváraní virtuálnych nákupných košíkov, ktoré pomáhajú serverom MCI, aby nemuseli ukladať stav transakcií, ale namiesto toho sa ukladajú na počítač používateľa.
Spolu s Johnom Giannandreom napísal Montuli prvú špecifikáciu súborov cookie Netscape. Verzia 0.0beta Mosaic Netscape, vydaná 13. októbra 1994, podporovala súbory cookie. Prvé použitie cookies (mimo laboratória) skontrolovalo, či zákazník navštevujúci webovú stránku Netscape už predtým navštívil alebo nie. Montuli získal patent na cookies v roku 1995. A Internet Explorer verzie 2 (vydaný v októbri 1995) začlenil používanie cookies.
Zavedenie cookies nebolo v tomto období rozšírené. Predovšetkým súbory cookie sú štandardne akceptované, používatelia nie sú upozornení na ich prítomnosť. Verejnosť sa o cookies dozvedela až po tom, čo o nich 12. februára 1996 vyšiel článok vo Financial Times. Odvtedy sa súborom cookie venuje veľká pozornosť, najmä súkromným informáciám, ktoré sú v nich obsiahnuté. O cookies sa diskutovalo na dvoch vypočutiach americkej Federálnej obchodnej komisie v rokoch 1996 a 1997.
Prvá diskusia o formálnej špecifikácii cookies sa začala v apríli 1995. Za účelom vykonania tejto práce bola vytvorená špeciálna skupina v rámci Internet Engineering Task Force (IETF). Nakoniec špecifikáciu zverejnila skupina vo februári 1997. Špecifikácia definovala súbory cookie tretích strán buď ako neprijateľné pre všetkých, alebo aspoň nie ako štandardne povolené. V apríli 2011 bola v dokumente RFC 6265
zverejnená štandardná špecifikácia cookies v praxi .
2.2. Terminológia
Súbory cookie relácie
Súbory cookie relácie, nazývané aj súbory cookie v pamäti alebo dočasné súbory cookie, existujú iba v dočasnej pamäti, kým používateľ prejde na webovú stránku. Ak v čase vytvárania súboru cookie nie je nastavený dátum vypršania platnosti alebo interval platnosti, nastaví sa súbor cookie relácie. Za normálnych okolností webové prehliadače automaticky vymažú súbory cookie relácie, keď používateľ zatvorí prehliadač.
Trvalé súbory cookie
Trvalé súbory cookie predlžujú reláciu používateľa. Ak je trvalý súbor cookie nastavený na maximálny vek 1 rok, počas tohto obdobia sa počiatočná hodnota nastavená v súbore cookie odošle serveru zakaždým, keď používateľ navštívi webovú stránku. Môže sa použiť na zaznamenanie dôležitých informácií, napríklad ako používateľ prvýkrát navštívil webovú stránku. Z tohto dôvodu sa trvalé cookies nazývajú aj sledovacie cookies.
Zabezpečené súbory cookie
Zabezpečený súbor cookie je atribút zabezpečenia povolený pri používaní protokolu HTTPS, ktorý zabezpečuje, že súbor cookie je pri prenose z klienta na server vždy zašifrovaný, čo mu pomáha zabrániť odpočúvaniu a odhaleniu informácií. Okrem toho musia všetky súbory cookie spĺňať zásady rovnakého pôvodu prehliadača.
Súbory cookie typu HttpOnly
Atribút súborov cookie HttpOnly podporuje väčšina prehliadačov. Súbor cookie relácie HttpOnly sa použije iba v jednej požiadavke HTTP (alebo HTTPS), čím sa obmedzí prístup pre iné ako HTTP API, ako je Javascript. Toto obmedzenie zmierňuje, ale neodstraňuje krádež súborov cookie prostredníctvom chýb zabezpečenia skriptovania medzi stránkami (XSS).
Súbory cookie tretích strán
Súbory cookie prvej strany sú súbory cookie patriace do rovnakej domény (alebo subdomén v rámci tej istej domény) zobrazené v paneli s adresou prehliadača. Súbory cookie tretích strán sú súbory cookie patriace do rôznych domén zobrazených v paneli s adresou prehliadača. Webové stránky môžu mať obsah z domén tretích strán (napríklad bannerové reklamy), z ktorých možno sledovať históriu prehliadania používateľov. Väčšina nastavení ochrany osobných údajov prehliadačov blokuje súbory cookie sledovania tretích strán.
Predpokladajme napríklad, že používateľ navštívi webovú lokalitu example1.com . Táto webová stránka obsahuje reklamu z ad.foxytracking.com. Po načítaní sa uložia súbory cookie ad.foxytracking.com. Potom navštívi inú webovú stránku (example2.com), ktorá tiež obsahuje reklamu z ad.foxytracking.com a tiež nastaví súbor cookie patriaci ad.foxytracking.com. Nakoniec sa oba tieto súbory cookie odošlú inzerentovi pri načítaní reklám alebo pri prístupe na ich webovú stránku. Inzerenti môžu tieto súbory cookie použiť na vytvorenie histórie prehliadania používateľa na všetkých webových stránkach obsahujúcich ich reklamy.
V roku 2014 existovalo niekoľko webových stránok, ktoré nastavovali súbory cookie, ktoré bolo možné čítať pre viac ako 100 domén tretích strán. V priemere bude mať webová lokalita nastavených približne 10 súborov cookie, pričom maximálny počet súborov cookie je vyšší ako 800.
Supercookie
Supercookie je súbor cookie pochádzajúci z domény najvyššej úrovne, napríklad .com, alebo verejnej prípony, napríklad .co.uk. Je dôležité, aby boli supercookies blokované prehliadačmi kvôli niektorým bezpečnostným problémom. Ak dôjde k odblokovaniu, útočník ovládajúci škodlivú webovú stránku môže nastaviť supercookie na vydávanie sa za požiadavky používateľov a odosielať požiadavky iným webovým stránkam, ktoré zdieľajú rovnakú doménu najvyššej úrovne alebo verejnú príponu. Napríklad supercookie pochádzajúci z domény .com by mohol poškodiť požiadavky na example.com, aj keď súbor cookie nepochádza z example.com. Môže byť zneužitý na falošné prihlásenie alebo zmenu informácií o používateľovi.
Zombie sušienky
Zombie cookies sú cookies, ktoré sa automaticky znovu vytvárajú potom, čo ich používateľ vymaže. Robí to skript, ktorý ukladá obsah súboru cookie na iné miesto, ako je napríklad obchod s obsahom Flash, obchod HTML5 alebo nejaký iný mechanizmus na strane klienta.
2.3. Štruktúra cookies
Súbor cookie s veľkosťou 4 kB obsahuje 7 hlavných komponentov:
Prvé dve zložky (názov a hodnota) sú povinné.
2.4. Použite
Správa relácií
Súbory cookie možno použiť na uchovávanie údajov súvisiacich s používateľmi pri viacerých návštevách webových stránok. Súbory cookie sú riešením na vytvorenie nákupného košíka, virtuálneho nákupného košíka, ktorý používateľom pomáha ukladať položky, ktoré si vyberú pri prehliadaní produktov.
Súčasné aplikácie nákupných košíkov často ukladajú zoznam položiek v košíku do databázy na strane servera namiesto toho, aby ho uložili do súboru cookie na strane klienta. Webový server zvyčajne odošle súbor cookie obsahujúci identifikátor relácie - ID relácie (ktoré je jedinečné). Webový prehliadač vráti toto ID relácie pri každej nákupnej požiadavke používateľa.
Umožnenie používateľom prihlásiť sa na webové stránky je ďalšou aplikáciou súborov cookie. Za normálnych okolností počas prvého prihlásenia webový server odošle klientovi súbor cookie obsahujúci ID relácie. Používatelia zašlú svoje informácie a webová aplikácia overí reláciu a potom používateľovi umožní používať jej služby.
Súbory cookie poskytujú rýchly a pohodlný mechanizmus interakcie klient/server. Jednou z výhod súborov cookie je, že ukladajú informácie o používateľovi do súboru umiestneného v počítači používateľa. To výrazne znižuje úložný priestor servera a čas spracovania.
Personalizované
Súbory cookie je možné použiť na zapamätanie osobných údajov používateľa pri návšteve webovej lokality, aby sa tomuto používateľovi zobrazil relevantnejší obsah pri každej ďalšej návšteve webovej lokality.
Výrazným príkladom je funkcia odporúčania kníh na amazon.com. Keď používateľ klikne na knihu, Amazon mu navrhne ďalšie knihy, ktoré by si mal používateľ prečítať. Tieto návrhy sú založené na knihách, ktoré si používatelia predtým prezerali a ktoré knihy sa rozhodli kúpiť.
Ďalším príkladom je funkcia návrhov vyhľadávania vo Vyhľadávaní Google. Keď sa prihlásite pomocou svojho osobného účtu a vykonáte vyhľadávanie, Google poskytne návrhy „iba pre vás“ a požadované výsledky sa vždy zobrazia na začiatku zoznamu.
Monitor
Sledovacie súbory cookie možno použiť na sledovanie histórie prehliadania používateľa. Dá sa to urobiť aj pomocou IP adresy počítača odosielajúceho požiadavku na webovú stránku alebo spoliehaním sa na pole Referrer v hlavičke HTTP požiadavky, ale súbory cookie poskytujú väčšiu presnosť. Toto sa robí nasledovne:
2.5. Nasadenie
Cookies sú dáta odosielané zo servera do prehliadača. Prehliadač ho potom odošle späť na server bez toho, aby zmenil obsah vo vnútri, zakaždým, keď používateľ odošle požiadavku na webovú stránku. Súbory cookie je možné nastaviť aj pomocou skriptovacieho jazyka, ako je napríklad Javascript.
Každý webový prehliadač môže uložiť aspoň 300 súborov cookie do súboru s veľkosťou 4 kB a aspoň 20 súborov cookie na server alebo doménu.
Nastavte súbory cookie
Webový server a prehliadač spolu komunikujú cez HTTP (HyperText Transfer Protocol). Napríklad na prístup na stránku http://www.example.org/index.html sa prehliadač pripojí k serveru odoslaním požiadavky HTTP, ako je táto:
Server odpovie odoslaním jednoduchého textového paketu prehliadaču, ktorý sa nazýva HTTP odpoveď. Tento paket môže obsahovať riadok obsahujúci obsah súboru cookie:
Set-Cookie je pole, ktoré dáva pokyn prehliadaču, aby uložil súbor cookie a odoslal ho na server v budúcnosti vždy, keď sa na server vyskytne požiadavka (ak platnosť súboru cookie stále vypršala). Prehliadač napríklad odošle požiadavku na adresu http://www.example.org/spec.html odoslaním požiadavky HTTP, ako je táto:
Toto je požiadavka na inú stránku patriacu rovnakému serveru. V tomto prípade server pochopí, že táto požiadavka súvisí s predchádzajúcou požiadavkou, a odpovie odoslaním požadovanej webovej stránky do prehliadača, prípadne pridaním ďalších hodnôt cookie.
Hodnotu cookie môže server upraviť odoslaním poľa Set-Cookie: meno=hodnota v HTTP odpovedi do prehliadača. Prehliadač potom nahradí starú hodnotu súboru cookie touto novou hodnotou.
Hodnota súboru cookie môže obsahovať akýkoľvek vytlačiteľný znak ASCII okrem „,“, „;“ a biele miesto. Názvy súborov cookie tiež nemôžu obsahovať znak '=', pretože to je znak, ktorý oddeľuje názov a hodnotu.
Termín drobný súbor cookie sa niekedy používa na označenie páru názov-hodnota súboru cookie.
Cookies môžu byť nastavené aj Javascriptom alebo podobným skriptovacím jazykom. V Javascripte sa na nastavenie cookies používa objekt document.cookie. Atribút HttpOnly je zodpovedný za zabránenie chybným skriptom čítať obsah súborov cookie.
Vlastnosti súborov cookie
Okrem páru názov-hodnota môže server nastaviť aj množstvo ďalších vlastností cookie: Domain, Path, Expirse, Max-Age, Secure a HttpOnly. Prehliadač tieto atribúty nepošle na server, odošle iba pár názov-hodnota. Tieto atribúty používa prehliadač na určenie, kedy sa majú súbory cookie vymazať, zablokovať alebo odoslať na server.
Doména a cesta
Doména a cesta určujú rozsah súboru cookie. Umožňujú prehliadaču určiť, kedy má odoslať súbory cookie na server. Ak nie sú špecifikované, predvolene sa použijú na doménu a cestu požadovaného objektu. Existuje však rozdiel medzi súborom cookie pre foo.com bez atribútu domény a súborom cookie s atribútom domain foo.com. V prvom prípade bude súbor cookie odoslaný iba vtedy, keď existuje požiadavka na foo.com. V druhom prípade sa súbor cookie odošle na všetky subdomény foo.com. Nasleduje príklad direktívy Set-Cookie z webovej lokality po prihlásení používateľa, z požiadavky na docs.foo.com:
Prvý súbor cookie LSID nemá atribút domény a má cestu /accounts. Prehliadač odošle súbory cookie iba vtedy, keď sa požadovaná stránka nachádza na docs.foo.com/accounts. Zostávajúce dva súbory cookie, HSID a SSID, sa odošlú späť na server, ak existuje požiadavka na akúkoľvek subdoménu foo.com.
Súbory cookie je možné nastaviť len pre najvyššiu doménu a jej poddomény. Nastavenie cookies na www.foo.com z www.bar.com nebude z bezpečnostných dôvodov povolené.
Vyprší a maximálny vek
Atribút Expires informuje prehliadač, kedy má súbor cookie odstrániť. Dátum v Expires vyzerá takto: „Wdy, DD Mon YYYY HH:MM:SS GMT“. Maximálny vek sa používa aj na označenie dátumu vypršania platnosti súboru cookie. Uvažujme o nasledujúcom príklade:
Platnosť prvého súboru cookie je nastavená na 15. januára 2013 a prehliadač ho použije po uplynutí tejto doby. Platnosť druhého súboru cookie made_write_conn nevyprší a používa sa ako súbor cookie relácie, po vypnutí prehliadača sa vymaže. Tretí súbor cookie reg_fb_gate, má dátum vypršania platnosti v minulosti, bude okamžite vymazaný.
Secure a HttpOnly
Vlastnosti Secure a HttpOnly sú nulové; namiesto toho ich prítomnosť naznačuje, že sú použité základy Secure a HttpOnly.
Atribút Secure udržuje prenos súborov cookie v rámci šifrovaného pripojenia. Ak webový server nastaví súbor cookie s atribútom secure z nezabezpečeného pripojenia, súbor cookie môže byť stále zachytený útokom typu man-in-the-middle.
Atribút HttpOnly dáva pokyn prehliadaču, aby nevystavoval súbory cookie prostredníctvom iného pripojenia ako HTTP (alebo HTTPS), ako je napríklad Javascript, a preto sťažuje získavanie súborov cookie zneužívaním chýb zabezpečenia skriptovania medzi stránkami (XSS).
3. Niektoré bezpečnostné problémy pri používaní cookies
Ak webová lokalita používa ID relácie na identifikáciu relácie používateľa, útočník by mohol potenciálne ukradnúť súbor cookie, aby sa vydával za používateľa. Tu sú niektoré bežné scenáre krádeže súborov cookie:
Odpočúvanie
Prevádzku v sieti môže zachytiť a prečítať tretia strana (iná ako príjemca a odosielateľ). Táto návštevnosť zahŕňa súbory cookie. Ak prenos nie je šifrovaný, útočník si môže prečítať citlivé informácie obsiahnuté v súbore cookie. A využitím týchto informácií sa útočníci budú vydávať za používateľov, aby vykonali nebezpečné akcie, ako sú bankové transakcie.
Tento problém je možné vyriešiť použitím zabezpečeného protokolu medzi počítačom používateľa a serverom – protokolom HTTPS. Server môže pri nastavovaní cookies použiť príznak Secure. Súbor cookie sa potom odošle iba cez šifrovaný kanál, ako je napríklad pripojenie SSL.
Skriptovanie medzi stránkami
Skriptovacie jazyky, ako je Javascript, môžu čítať hodnoty súborov cookie a odosielať ich na ľubovoľné servery.
Predpokladajme, že webová stránka má chybu skriptovania medzi stránkami, hackeri môžu vložiť škodlivý kód, ako napríklad:
Keď obeť klikne na vyššie uvedený odkaz, prehliadač spustí skript v atribúte onclick: odošle súbor cookie obete na server attacker.com.
Cross-site scripting je jednou z bežných zraniteľností webových stránok (v roku 2013 sa umiestnil na treťom mieste v top 10 najčastejších zraniteľností – podľa OWASP).
Riziko tejto zraniteľnosti možno obmedziť nastavením príznaku HttpOnly pre súbory cookie. V tom čase nebudú k súborom cookie pristupovať skriptovacie jazyky.
Falšovanie žiadostí medzi stránkami
CSRF (Cross-site request forgery) alebo útok jedným kliknutím je metóda na zneužívanie zraniteľností webových stránok, pri ktorej obete – používatelia, ktorí sú autorizovaní webovou stránkou bez ich vedomia, vykonávajú neoprávnené príkazy.
CSRF oklame prehliadač obete, aby odoslal http požiadavky do webových aplikácií. V prípade, že relácia obete nevypršala, vyššie uvedené požiadavky budú predložené s právami obete na autentifikáciu.
Napríklad obeť Bob vykonáva transakciu na webovej stránke určitej banky X. Fred je útočník, tento chlapík vie, ako funguje web banky X, keď chce previesť peniaze z účtu A na účet B takto:
http://banka.example.com/vybrat?account=accountA&amount=100&for=accountB
Pošle Bobovi škodlivú správu.
Ak banka X uloží overovacie informácie používateľa do súboru cookie a Bob klikne na vyššie uvedený odkaz, Bobove peniaze sa prevedú Fredovi.
Na obmedzenie tohto rizika je možné pre súbory cookie nastaviť parametre Expires.
4. Záver
Súbory cookie sa dnes používajú vo väčšine webových aplikácií. Obsahuje aj potenciálne riziká, ktoré výrazne ovplyvňujú používateľov. Na strane vývojára preto musíme jasne rozumieť cookies a vedieť nastaviť potrebné parametre, aby bola aplikácia bezpečnejšia pred útokmi hackerov.
Statická adresa IP je pevná adresa IP nakonfigurovaná v nastaveniach počítača alebo smerovača. Niektorí poskytovatelia internetových služieb (ISP) vyžadujú, aby ste na svojom počítači zadali statickú IP adresu alebo nastavenia TCP/IP smerovača, aby sa mohli pripojiť na internet.
Podľa spôsobu infekcie patrí PublicBoardSearch do kategórie únoscov prehliadača. Ide o typ malvéru, ktorý je navrhnutý tak, aby prevzal nastavenia známeho prehliadača.
Zbierka tapiet s vysokým rozlíšením pre používateľov počítačov a notebookov s plným rozlíšením od Full HD po 4K.
Unixový systém, tiež známy ako „loopback“, môže posielať a prijímať sieťovú komunikáciu cez virtuálne sieťové zariadenie. Počítač môže posielať správy sám sebe, čo umožňuje komunikáciu bez aktívnej siete.
Pravdepodobne ste už počuli príslovie, že dostanete to, za čo zaplatíte, ale čo keď príde na antivírusový softvér? Mali by ste si radšej kúpiť softvérové balíky, než sa rozhodnúť pre bezplatné riešenia ochrany? Možno to tak nie je a tu je dôvod!
V dnešnom článku Quantrimang zhrnie populárne značky antivírusového softvéru na trhu a zistí, ako sa líšia medzi Windows PC a macOS.
Nie je jasné, čo prinesie Sun Valley okrem zmien a vylepšení používateľského rozhrania najvyššej úrovne. Tu je teda to, čo používatelia dúfajú, že uvidia od veľkej aktualizácie systému Windows 10 Sun Valley, ktorá bude uvedená na trh budúci rok.
Systém Windows poskytuje možnosť Spustiť ako správca, ktorá používateľom umožňuje spúšťať aplikácie a programy s oprávneniami správcu. Môžete ho použiť aj na riešenie problémov s počítačom. Čo ak však táto funkcia zlyhá a odoberie vám práva správcu?
Chyby súvisiace s jednotkou vášho počítača môžu zabrániť správnemu spusteniu systému a obmedziť prístup k vašim súborom a aplikáciám.
Niektoré varianty malvéru môžu používať rôzne moduly na zmenu spôsobu, akým ovplyvňujú cieľový systém. Čo je teda modulárny malvér a ako funguje?
