کوکی های مرورگر چیست، چرا باید آنها را حذف کنید و چگونه می توانید این کار را انجام دهید؟ روش های سرقت کوکی ها

تصویر نشان می دهد که کوکی حاوی خط wordpress_logged_in_263d663a02379b7624b1028a58464038=admin است. این مقدار به صورت رمزگذاری نشده در کوکی است و به راحتی با استفاده از ابزار آشیل قابل رهگیری است، اما در بیشتر موارد در آشیل فقط می توانید هش یک ورودی خاص را ببینید. قبل از ارسال درخواست به سرور، می توانید سعی کنید این خط را با هر خط مشابه جایگزین کنید (اگرچه در این مورد هیچ نکته ای وجود ندارد) - تعداد تلاش ها محدود نیست. سپس با ارسال این درخواست به سرور با استفاده از دکمه Send می توانید پاسخی از سرور در نظر گرفته شده برای مدیر دریافت کنید.

در مثال قبلی، می توانید از جعل مستقیم شناسه کاربری استفاده کنید. علاوه بر این، نام پارامتری که جایگزینی مقدار آن فرصت‌های اضافی را برای هکر فراهم می‌کند، می‌تواند به صورت زیر باشد: کاربر (به عنوان مثال USER=JDOE)، هر عبارت با یک رشته ID (مثلا USER=JDOE یا SESSIONID= BLAHBLAH)، admin (مثلا ADMIN= TRUE)، session (مثلا SESSION=ACTIVE)، سبد خرید (مثلاً CART=FULL)، و همچنین عباراتی مانند TRUE، FALSE، ACTIVE، INACTIVE. به طور معمول، فرمت کوکی ها بسیار به برنامه ای که برای آن استفاده می شود بستگی دارد. با این حال، این نکات برای یافتن نقص برنامه با استفاده از کوکی ها تقریباً برای همه فرمت ها اعمال می شود.

اقدامات متقابل سمت مشتری در برابر استخراج کوکی

به طور کلی، کاربران باید مراقب وب سایت هایی باشند که از کوکی ها برای احراز هویت و ذخیره داده های حساس استفاده می کنند. همچنین لازم به یادآوری است که وب سایتی که از کوکی ها برای احراز هویت استفاده می کند باید حداقل از پروتکل SSL برای رمزگذاری نام کاربری و رمز عبور پشتیبانی کند، زیرا در صورت عدم وجود این پروتکل، داده ها به صورت رمزگذاری نشده ارسال می شوند که امکان رهگیری آن را فراهم می کند. با استفاده از ساده ترین نرم افزاربرای مشاهده داده های ارسال شده از طریق شبکه

نرم افزار Kookaburra ابزاری را برای تسهیل استفاده از کوکی ها ایجاد کرده است. این ابزار CookiePal نام دارد ( http://www.kburra.com/cpal.html (به www.kburra.com مراجعه کنید)). این برنامهدر نظر گرفته شده است تا زمانی که یک وب سایت تلاش می کند یک کوکی روی دستگاه نصب کند به کاربر هشدار می دهد و کاربر می تواند این عمل را مجاز یا رد کند. عملکردهای مشابه مسدود کردن کوکی ها امروزه در همه مرورگرها موجود است.

یکی دیگر از دلایل نصب منظم به روز رسانی مرورگر وب این است که نقص های امنیتی در این برنامه ها به طور مداوم شناسایی می شود. بنابراین، Bennet Haselton و Jamie McCarthy یک اسکریپت ایجاد کردند که پس از کلیک بر روی پیوند، کوکی‌ها را از دستگاه مشتری بازیابی می‌کند. در نتیجه، تمام محتویات کوکی‌هایی که روی دستگاه کاربر هستند در دسترس قرار می‌گیرند.

این نوع هک را می توان با استفاده از دسته نیز انجام داد

برای اطمینان از اینکه چنین مواردی داده های شخصی ما را تهدید نمی کند، من خودم این کار را انجام می دهم و به همه توصیه می کنم همیشه نرم افزارهایی را که با کد HTML کار می کند (کاربرهای ایمیل، پخش کننده های رسانه، مرورگرها و غیره) به روز کنند.

بسیاری از مردم ترجیح می‌دهند به سادگی کوکی‌ها را مسدود کنند، اما اکثر وب‌سایت‌ها به مرور کوکی‌ها نیاز دارند. نتیجه گیری - اگر در آینده نزدیک یک فناوری نوآورانه ظاهر شود که به شما امکان می دهد بدون کوکی کار کنید ، برنامه نویسان و مدیران نفس راحتی می کشند ، اما در حال حاضر کوکی ها برای یک هکر یک لقمه خوشمزه باقی می مانند! این درست است، زیرا جایگزین بهتری هنوز وجود ندارد.

اقدامات متقابل سمت سرور

در صورت توصیه هایی برای اطمینان از امنیت سرور، کارشناسان یک توصیه ساده می کنند: از مکانیزم کوکی استفاده نکنید مگر اینکه کاملاً ضروری باشد! هنگام استفاده از کوکی‌هایی که پس از پایان جلسه ارتباط در سیستم کاربر باقی می‌مانند، باید دقت خاصی کرد.

البته درک این نکته مهم است که از کوکی ها می توان برای تامین امنیت سرورهای وب برای احراز هویت کاربر استفاده کرد. اگر برنامه شما نیاز به استفاده از کوکی دارد، باید مکانیسم کوکی را طوری پیکربندی کنید که از کلیدهای کوتاه مدت متفاوت برای هر جلسه استفاده کند و سعی کنید اطلاعاتی را که می‌تواند توسط هکرها برای هک استفاده شود (مانند ADMIN=TRUE) در این فایل‌ها قرار ندهید. .

علاوه بر این، برای اطمینان از امنیت بیشتر هنگام کار با کوکی ها، می توانید از رمزگذاری کوکی برای جلوگیری از استخراج استفاده کنید اطلاعات مهم. البته رمزگذاری تمام مشکلات امنیتی را هنگام کار با فناوری کوکی حل نمی کند، اما این روش از ابتدایی ترین هک هایی که در بالا توضیح داده شد جلوگیری می کند.

می توانید رمزهای عبور ذخیره شده را از یک مرورگر به مرورگر دیگر منتقل کنید.

کجا می توان رمزهای عبور به یاد ماندنی را پیدا کرد ?

هر مرورگر مدرنی اطلاعات ورود به سیستم را به دو روش ذخیره می کند.

حتما متوجه شده اید که اولین باری که وارد هر سایتی می شوید، مرورگر پیامی را نمایش می دهد که از شما می خواهد پسورد وارد شده را به خاطر بسپارید. اگر چه، در برخی موارد، اگر کاربر چنین عملکردی را در تنظیمات غیرفعال کرده باشد، چنین پیامی ظاهر نمی شود. هر مرورگر رمزهای عبور ذخیره شده را متفاوت ذخیره می کند. به عنوان مثال، IE و Edge برای این اهداف از مدیریت حساب استاندارد ویندوز استفاده می کنند.

و اینجا مرورگر کروماین داده ها را در مدیر خود ذخیره می کند. اگرچه برای دسترسی به رمزهای عبور همچنان باید رمز عبور حساب ویندوز خود را وارد کنید.

در چنین مدیری، رمزهای عبور همیشه ذخیره می شوند تا زمانی که کاربر آنها را حذف کند. به هر حال، محبوبیت خدمات ابری که با تمام مرورگرهای مدرن ارائه می شود، روز به روز بیشتر می شود. آنها به شما این امکان را می دهند که همه موارد خود را همگام کنید حساب ها، در اینترنت، در تمام دستگاه های شما و نیازی به وارد کردن رمز عبور جداگانه برای هر سایت خاص نیست.

استفاده از کوکی ها

آیا متوجه شده اید که در فرم ورود به سیستم بسیاری از سایت ها یک مورد ویژه "مرا به خاطر بسپار" وجود دارد؟ اما برای دیگران، منطق کمی برعکس است و سایت همیشه شما را به خاطر می‌سپارد مگر اینکه کادر کنار «رایانه شخص دیگری» را علامت بزنید.

اما بسیاری از مردم نمی دانند که این با چه چیزی مرتبط است و چرا باید چنین جعبه هایی را بررسی کنند (یا علامت نزنند). و حتی برخی از کاربران به دلیل وجود دو گزینه بسیار گیج شده اند: "به خاطر بسپار" و "به خاطر نخواهند آورد".

و همه اینها با کوکی ها مرتبط است (کوکی - ترجمه شده به عنوان "کوکی ها"). آنها اعتبارنامه ها را ذخیره می کنند و این به شما امکان می دهد رمز ورود خود را در هر بار بازدید از سایت وارد نکنید؛ هر بار به سایتی منتقل می شوید که در آن به طور خودکار وارد می شوید.

کوکی ها را می توان در پوشه مرورگر شما یافت؛ هر مرورگر اینترنتی آنها را در قالب خود ذخیره می کند. به عنوان مثال، برای مرورگرهای ساخته شده بر روی پلت فرم Chromium، کوکی ها در قالب SQLite نسخه 3 ذخیره می شوند. با استفاده از این مسیر می توانید کوکی ها را در کروم پیدا کنید:

%LocalAppData%\Google\Chrome\User Data\Default

تمام کوکی‌های ذخیره‌شده تا زمانی که کاربر یک کوکی خاص را حذف کند یا همه کوکی‌ها را پاک کند، ذخیره می‌شوند. همچنین می توان آنها را پس از اتمام مدت اعتبار آنها که توسط سایت تنظیم می شود حذف کرد. اگر سایت‌های مبتنی بر وردپرس را به عنوان مثال در نظر بگیریم، کوکی‌های آن‌ها تنها تا دو هفته پس از آخرین به‌روزرسانی ذخیره می‌شوند.

چگونه با استفاده از برنامه کوکی ها کوکی ها را در کروم مدیریت کنیم؟

اغلب، برای انتقال رمزهای عبور، کافی است یک نمایه مرورگر وارد کنید، یا به سادگی خود فایل کوکی را کپی کنید. اما اتفاق می افتد که به دلایلی این غیرممکن یا به سادگی غیرعملی است. بنابراین، در این مورد، عملکرد و مدیریت "کوکی ها" را با استفاده از یک برنامه ویژه برای کروم بررسی خواهیم کرد. این برنامه دقیقاً به آن می‌گویند - کوکی‌ها. قابلیت های بسیار گسترده ای دارد و از جمله مهمترین آنها انتقال و دانلود کوکی ها در سطح دامنه است.

خود برنامه دارای یک رابط انگلیسی زبان است و کار با آن خیلی ساده نیست. بنابراین، اکنون به طور مفصل به نحوه مدیریت آن خواهیم پرداخت.

رابط برنامه

به تصویر بالا نگاه کنید، در اینجا عناصر زیر را می بینیم:

1. خود ذخیره کوکی؛
2. جستجوی دامنه؛
3. لیست کوکی ها برای یک دامنه خاص؛
4. "کوکی" به طور جداگانه انتخاب شده است.
5. محتویات کوکی هش رمز عبور، ورود به سیستم و سایر اطلاعات لازم برای مجوز در اینجا قرار خواهد گرفت.
6. تاریخ انقضای کوکی (شما می توانید آن را تغییر دهید و سایر پارامترها را به صورت دستی تنظیم کنید).

ذخیره سازی امن (رمزگشایی شده).

این برنامه به شما اجازه می دهد تا یک فضای ذخیره سازی رمزگذاری شده ویژه ایجاد کنید که در هنگام انتقال کوکی ها بسیار توصیه می شود. هنگام باز کردن خزانه برای اولین بار، باید یک رمز عبور جدید ایجاد و مشخص کنید. هر بار که به فضای ذخیره‌سازی دسترسی پیدا می‌کنید، باید آن را وارد کنید.

انتقال کوکی ها

کل فرآیند را می توان به دو مرحله اصلی تقسیم کرد.

مرحله اول - دانلود کوکی ها از کامپیوتر اصلی.

سعی کنید این رمز عبور را فراموش نکنید، می توانید آن را در جایی یادداشت کنید، همچنین هنگام ذخیره کوکی ها در رایانه دیگری برای شما مفید خواهد بود. ما فایل را با پسوند .db در هر پوشه مناسب و با هر نامی ذخیره می کنیم. پس از آن، آن را به رایانه دیگری منتقل کنید.

مرحله دوم این است که کوکی را در رایانه دیگری ذخیره کنید.

اکنون کوکی ها را روی دستگاه مورد نظر وارد می کنیم. همچنین باید برنامه کوکی را نصب کرده باشد.

کوکی ها به حافظه اصلی در مرورگر جدید منتقل می شوند.

اکنون می توانید بررسی کنید و به سایتی بروید (که "کوکی ها" از آنجا آمده اند). همه چیز باید عالی کار کند و شما باید بتوانید به راحتی بدون وارد کردن رمز عبور به حساب خود دسترسی داشته باشید. علاوه بر این، می‌توانید مدت اعتبار کوکی‌ها را افزایش دهید تا اطمینان حاصل کنید که در صورت عدم استفاده طولانی مدت از بین نمی‌روند.

چگونه کوکی ها در مرورگرهای دیگر منتقل می شوند؟

اگر روش‌های انتقال کوکی‌ها در سایر مرورگرهای محبوب ذکر نشده باشد، مقاله کاملاً مفید نخواهد بود، زیرا همه کاربران از Chrome استفاده نمی‌کنند. ما آنها را با جزئیات کمتری بررسی خواهیم کرد، زیرا از بسیاری جهات این روش ها بسیار شبیه به روش هایی است که در بالا توضیح داده شد، و در مورد فایرفاکس و اپرا، من شخصا آنها را در عمل آزمایش نکرده ام. اگر می دانید بهترین راه، که بسیار راحت تر یا سریعتر است، می توانید با خیال راحت آن را در نظرات توضیح دهید.

یاندکس

در اینجا همه چیز شبیه کروم است، ما از برنامه کوکی ها استفاده می کنیم و کوکی ها را طبق دستورالعمل های ذکر شده قبلی منتقل می کنیم.

اپرا

متأسفانه، این مرورگر نمی تواند برنامه کوکی ها را که در اینجا توضیح داده شده است، مدیریت کند. اما افزونه دیگری با عملکرد مشابه برای آن ایجاد شد - این کوکی را ویرایش کنید. با استفاده از آن می توانید به سایت مورد نیاز بروید و کوکی ها را صادر کنید. آنها در یک فایل JSON ذخیره می شوند و پس از آن می توانند به راحتی به دستگاه دیگری منتقل شوند.

مزیت اصلی این افزونه این است که می توانید این کوکی ها را به آن منتقل کنید مرورگرهای مختلف: Opera، Chrome و Yandex. اما یک اشکال نیز وجود دارد: برای هر کوکی باید یک فایل جداگانه ایجاد کنید، اگر بخواهید تعداد زیادی کوکی را به طور همزمان ذخیره کنید، این کار خیلی راحت نیست.

حاشیه، غیرمتمرکز

در زمان نگارش این مقاله، مرورگر مایکروسافت توانایی انتقال کوکی ها را نداشت.

اینترنت اکسپلورر

در اینجا می توانید همه کوکی ها را به طور همزمان در یک فایل متنی ذخیره کنید. برای انجام این کار، کلید Alt را فشار دهید، سپس در منوی "File"، "Import and Export"، سپس "Export to File" و در نهایت "Cookies" را انتخاب کنید. این فایل را می توان با دفترچه یادداشت معمولی ویرایش کرد. تمام کوکی‌ها در مرورگر موجود خواهند بود؛ در صورت لزوم، می‌توانید کوکی‌های غیرضروری را حذف کنید. جایزه، این فایلرا می توان در کنسول بارگذاری کرد

- ایگور (مدیر)

کوکی ها فایل های متنی کوچکی هستند که حاوی اطلاعاتی هستند که مرورگرها روی رایانه شما می گذارند. و تقریباً هر وب سایتی یک یا چند کوکی در رایانه شما به جا می گذارد. بخشی از قسمت پایین برای شناسایی سریع شما هنگام بازگشت به سایت، بخشی برای ذخیره داده های میانی مانند اقدامات ناتمام، بخشی برای ذخیره تنظیمات مانند آخرین گزینه های انتخاب شده و غیره استفاده می شود. با این حال، همه کوکی ها به طور جداگانه برای هر مرورگر ذخیره می شوند، بنابراین اگر نیاز به تغییر یا حذف آنها دارید، معمولاً باید هر مرورگر را جداگانه باز کنید و کوکی ها را تغییر دهید. علاوه بر این، تقریباً در همه مرورگرها، مدیر کوکی استاندارد به شما امکان می‌دهد همه کوکی‌های سایت را به یکباره یا فقط یکی در یک زمان حذف کنید، که وقتی فقط نیاز به پاک کردن کوکی‌های غیر ضروری برای سایت دارید، فوق‌العاده ناخوشایند است. با این حال، یک راه بسیار ساده تر وجود دارد - این برنامه مدیر Cookie Spy است که به شما امکان می دهد کوکی های اکثر مرورگرهای شناخته شده را در یک مکان بخوانید و ویرایش کنید.

توجه داشته باشیدتوجه: لطفاً توجه داشته باشید که به‌طور پیش‌فرض حجم داده‌هایی که می‌توان برای ذخیره کوکی‌ها استفاده کرد بسیار محدود است، که ممکن است در برخی از سایت‌ها مشکل ایجاد کند.

همانطور که در تصویر بالا می بینید، CookieSpy یک رابط نسبتا ساده و شهودی دارد. ویژگی اصلی این برنامه این است که به شما امکان می دهد نه تنها کوکی های مرورگرهای معروف مانند IE، Firefox، Chome، Chomium، Safari، Opera، SeaMonkey، Comodo Dragon، Maxthon و غیره را بخوانید و ویرایش کنید، بلکه می توانید به آن متصل شوید. نسخه های قابل حملمرورگرها و مدیریت کوکی های آنها (این مورد از طریق منوی تنظیمات انجام می شود). CookieSpy از زبان روسی پشتیبانی می کند، بنابراین درک تنظیمات دشوار نخواهد بود. همه کوکی‌ها در جدولی نمایش داده می‌شوند که از مرتب‌سازی بر اساس هر فیلد پشتیبانی می‌کند، بنابراین یافتن کوکی‌های مناسب پس از فیلتر بسیار آسان‌تر از استفاده از مدیران مرورگر استاندارد خواهد بود. یکی دیگر از ویژگی های خوب این برنامه این است که CookieSpy به شما امکان می دهد چندین کوکی را به طور همزمان حذف کنید. این قابلیت به ویژه برای کسانی که بارها و بارها با کار خسته کننده حذف کوکی ها در یک زمان مواجه شده اند جذاب خواهد بود.

با استفاده از این لینک می توانید CookieSpy را از وب سایت توسعه دهنده دانلود کنید. به گفته VirusTotal، نصب کننده برنامه تنها حدود 0.5 مگابایت وزن دارد و حاوی ویروس نیست. البته باید بدانید که نصب کننده در حین نصب حدود 6 مگابایت از اینترنت دانلود می کند.

توجه داشته باشید: هنگام استفاده از آن مراقب باشید، زیرا حذف برخی از کوکی ها ممکن است منجر به از دست رفتن داده های وارد شده قبلی در سایت ها شود. به عنوان مثال، معمولاً پس از ورود به سایت، توالی های خاصی از کاراکترها در کوکی ها ثبت می شود که با ورود مجدد به سایت، امکان شناسایی فوری شما را فراهم می کند. حذف چنین کوکی هایی باعث می شود که مجبور شوید دوباره وارد سایت شوید.

اکنون، می دانید که مدیریت کوکی ها برای همه مرورگرها از یک مکان چقدر آسان است.

احتمالاً هنگام استفاده از اینترنت با اصطلاح کوکی برخورد کرده اید. آن چیست؟ اساساً کوکی ها یک فایل یا چندین فایل کوچک هستند که ذخیره می شوند اطلاعات متنی. آنها زمانی ایجاد می شوند که از سایت هایی بازدید می کنید که از این فناوری پشتیبانی می کنند.

کوکی ها چگونه کار می کنند؟

همه چیز بسیار ساده است. به محض اینکه مرورگر صفحه وب خاصی را از سایت دریافت می کند، ارتباط بین آن و رایانه شخصی شما قطع می شود. اگر تصمیم دارید به صفحه دیگری از همان منبع بروید یا صفحه فعلی را به روز کنید، یک اتصال جدید برقرار خواهد شد. در سایت هایی که مجوز کاربر وجود ندارد، این مشکلی ایجاد نمی کند. اما در صورت لزوم، بدون اقدامات اضافی، منبع نمی تواند افرادی را که از آن بازدید می کنند "به خاطر بیاورد" و اطلاعات را مطابق با ترجیحات هر یک از آنها نمایش دهد. کوکی‌ها به جلوگیری از موقعیتی کمک می‌کنند که در آن هنگام جابجایی بین صفحات مختلف یک سایت، یک شخص توسط سرویس به عنوان یک بازدیدکننده جدید و غیرمجاز درک نشود. شما قبلاً می دانید که این اطلاعات متنی است. و کوکی‌ها بسیار ساده کار می‌کنند: وقتی از یک صفحه به صفحه دیگر منتقل می‌شوید، سرور درخواستی را برای داده‌های کوکی‌ها به رایانه ارسال می‌کند. او با استفاده از آنها متوجه می شود چه کسی قرار است چنین عملی را انجام دهد و سپس بر اساس اطلاعات دریافتی درخواست را اجابت یا رد می کند. هنگام ایجاد فروشگاه های آنلاین از کوکی ها نیز استفاده می شود. به لطف آنها است که سبد خرید آشنا می تواند وجود داشته باشد، که در آن اطلاعات مربوط به کالاهای انتخاب شده اما هنوز خریداری نشده است. و این کوکی‌ها هستند که به محصولات مشخص شده اجازه می‌دهند هنگام مرور بخش‌های دیگر کاتالوگ و ثبت سفارش، از آن محو نشوند.

کوکی ها چگونه مفید هستند؟

شما قبلاً در مورد چندین جنبه استفاده از کوکی ها می دانید. ما همچنین موفق شدیم بفهمیم که چیست. حالا بیایید در مورد چیزهای دیگری که می تواند مفید باشد صحبت کنیم این تکنولوژیو در چه مواردی نمی توانید بدون آن انجام دهید.

مطمئناً می دانید که اکنون بسیاری از خدمات به اصطلاح "برنامه های وابسته" دارند. تقریباً همه آنها طولانی مدت هستند و ماهها یا حتی سالها دوام می آورند. در تمام این مدت، اطلاعات روی هارد دیسک ذخیره می شود که به لطف آن، اگر کاربری که پیوند او را دنبال می کند، سرویس یا محصولی را به فروشنده سفارش دهد، شریک درصد خود را دریافت می کند.

هنگام کار با شمارنده های بازدید، سیستم های رتبه بندی و رأی گیری، از کوکی ها نیز استفاده می شود. این در این مورد چه می دهد؟ کوکی‌ها ضروری هستند تا سیستم بتواند تشخیص دهد که یک کاربر قبلاً پیوندی را دنبال کرده یا رأی خود را ترک کرده است. یعنی نوعی بیمه در برابر نشانه گذاری های مصنوعی وجود دارد. راه هایی برای دور زدن چنین حفاظتی وجود دارد، اما به کاربران عادیاین نتیجه بیش از حد کافی است.

باید مراقب چه چیزی بود؟

هنگام کار با کوکی ها، مهم است که به یاد داشته باشید که در برخی موارد، اطلاعات متنی به ظاهر بی ضرر می تواند خطرناک باشد.

کوکی ها یکی از مهم ترین دلایل بالقوه نقض حریم خصوصی آنلاین هستند. چرا این اتفاق می افتد؟ سایت های تبلیغاتی همیشه ردیابی می کنند که یک کاربر خاص کدام تبلیغات را مشاهده می کند. کوکی ها داده هایی را در مورد تبلیغاتی که شخص قبلاً دیده است ذخیره می کنند و موضوعات مورد علاقه او را دنبال می کنند. و در حالی که ما در مورد کوکی ها برای یک سایت صحبت می کنیم، نیازی به صحبت در مورد نشت اطلاعات شخصی نیست. اما اگر ما در مورد بزرگ صحبت می کنیم شبکه های تبلیغاتی، که کدهای آن در اکثریت قریب به اتفاق منابع موجود است ، همه چیز پیچیده تر می شود. بنابراین، به لطف سیستم، می تواند تقریباً تمام اطلاعات مربوط به فعالیت های آنلاین یک فرد را جمع آوری کند. و اگر نام و نام خانوادگی خود را در برخی از وب سایت ها وارد کند، امکان ارتباط همه این اقدامات با یک شخص واقعی وجود دارد.

مشکلات دیگری در ارتباط با کوکی ها وجود دارد. برنامه نویسانی که کد سند می نویسند بیشتر با آنها مواجه می شوند. کوکی ها برای سایت های مختلف بدون مطالعه اولیه منابع حرفه ای، می توانید اجازه دهید لاگین ها و رمزهای عبور سایت در کوکی ها ذخیره شوند. در نتیجه، گرفتن آنها و استفاده از آنها برای اهداف خود بسیار آسان می شود. با این حال، تقریباً تمام سایت‌های کم و بیش جدی رمز عبور و ورود به سیستم را در یک پایگاه داده روی سرور ذخیره می‌کنند. کوکی ها در اینجا به سادگی به عنوان یک شناسه شرطی برای کاربر استفاده می شوند. علاوه بر این، فقط برای مدت کوتاهی صادر می شود. یعنی حتی اگر یک هکر بتواند به کوکی ها دسترسی پیدا کند، هیچ اطلاعات ارزشمندی در آنجا پیدا نمی کند.

چگونه کوکی ها را فعال، غیرفعال و پاک کنیم؟

اگر تصمیم دارید کوکی‌ها را غیرفعال کنید، لطفاً توجه داشته باشید که هر بار که از سایتی بازدید می‌کنید که به آنها نیاز دارد، باید دوباره آنها را فعال کنید.

برای موزیلا فایرفاکس. به "ابزارها" بروید. بعد، باید مورد "تنظیمات" و در آن - تب "حریم خصوصی" را پیدا کنید. در مقابل فایرفاکس، در قاب "History"، باید از لیست گزینه "به یاد نمی آورم" را انتخاب کنید.

برای گوگل کروم. با کلیک بر روی دکمه موجود در فرم، "Options" را باز کنید. پس از آن، به "Advanced" -> "Content Settings" بروید. در پنجره ای که ظاهر می شود، باید Cookie را انتخاب کنید و سپس کادری را که سایت ها را از ذخیره داده ها منع می کند علامت بزنید.

همانطور که می بینید، غیرفعال کردن یا فعال کردن مجدد کوکی ها در کروم و موزیلا فایرفاکس، محبوب ترین مرورگرها، بسیار ساده است. در سایر مرورگرها، این کار به همین ترتیب و با استفاده از برگه های "Security"، "Privacy" و غیره انجام می شود.

اگر نیاز به پاک کردن کوکی‌ها دارید، انجام این کار بدون استفاده سریع‌تر و آسان‌تر است به معنی استانداردمرورگر، و استفاده از ابزار ویژه- cCleaner قبل از تمیز کردن، باید همه مرورگرها را ببندید، در غیر این صورت نمی توانید همه کوکی ها را حذف کنید.

اما به طور کلی بهترین گزینه- یکی از برنامه هایی که کار با کوکی ها را خودکار می کند را نصب کنید. امروزه تعداد زیادی از چنین برنامه هایی وجود دارد که وزن آنها بسیار زیاد است و کاربران را از نیاز به تغییر مداوم پارامترها به صورت دستی رها می کند.

بیسکویت ها - اطلاعات در فرم فایل متنی، توسط یک وب سایت در رایانه کاربر ذخیره می شود. حاوی داده های احراز هویت (ورودی / رمز عبور، شناسه، شماره تلفن، آدرس). صندوق پستی)، تنظیمات کاربر، وضعیت دسترسی. در نمایه مرورگر ذخیره می شود.

هک کوکی دزدی (یا "ربایش") جلسه بازدیدکنندگان منبع وب است. اطلاعات خصوصی نه تنها برای فرستنده و گیرنده، بلکه برای شخص ثالث - شخصی که رهگیری را انجام داده است، در دسترس قرار می گیرد.

ابزارها و تکنیک های هک کوکی ها

سارقان رایانه، مانند همکاران خود در زندگی واقعی، علاوه بر مهارت، مهارت و دانش، البته، ابزارهای خاص خود را نیز دارند - نوعی زرادخانه از کلیدها و پروب های اصلی. بیایید نگاهی به محبوب ترین ترفندهایی که هکرها برای استخراج کوکی ها از کاربران اینترنت استفاده می کنند بیندازیم.

اسنیفرها

برنامه های ویژهبرای نظارت و تجزیه و تحلیل ترافیک شبکه نام آنها از فعل انگلیسی "sniff" (sniff) گرفته شده است، زیرا. بسته های ارسالی بین گره ها به معنای واقعی کلمه "بوی کردن" است.

اما مهاجمان از یک sniffer برای رهگیری داده‌های جلسه، پیام‌ها و سایر اطلاعات محرمانه استفاده می‌کنند. اهداف حملات آنها عمدتاً شبکه های محافظت نشده هستند، جایی که کوکی ها در یک جلسه HTTP باز ارسال می شوند، یعنی عملاً رمزگذاری نمی شوند. (وای فای عمومی در این زمینه آسیب پذیرترین است.)

برای جاسازی یک sniffer در کانال اینترنت بین گره کاربر و وب سرور، از روش های زیر استفاده می شود:

• "استماع" رابط های شبکه(هاب ها، سوئیچ ها)؛
• انشعاب و کپی ترافیک؛
• اتصال به شکاف کانال شبکه؛
• تجزیه و تحلیل از طریق حملات ویژه ای که ترافیک قربانی را به sniffer هدایت می کند (MAC-spoofing، IP-spoofing).

مخفف XSS مخفف Cross Site Scripting است. برای حمله به وب سایت ها به منظور سرقت اطلاعات کاربران استفاده می شود.

اصل XSS به شرح زیر است:

• یک مهاجم کد مخرب (یک اسکریپت پنهان خاص) را در صفحه وب یک وب سایت، انجمن یا در یک پیام (مثلاً هنگام مکاتبه در یک شبکه اجتماعی) وارد می کند.
• قربانی از صفحه آلوده بازدید می کند و فعال می شود کد نصب شدهدر رایانه شخصی شما (کلیک می کند، پیوند را دنبال می کند، و غیره)؛
• به نوبه خود، کد مخرب اجرا شده داده های محرمانه کاربر را از مرورگر (به ویژه کوکی ها) "استخراج" می کند و آن را به وب سرور مهاجم ارسال می کند.

هکرها برای «کاشتن» مکانیزم نرم‌افزاری XSS از انواع آسیب‌پذیری‌ها در سرورهای وب، سرویس‌های آنلاین و مرورگرها استفاده می‌کنند.

تمام آسیب پذیری های XSS به دو نوع تقسیم می شوند:

• منفعل. حمله با درخواست یک اسکریپت خاص در یک صفحه وب به دست می آید. کدهای مخرب را می توان به اشکال مختلف در یک صفحه وب (مثلاً در نوار جستجوی یک سایت) تزریق کرد. مستعدترین نسبت به XSS غیرفعال منابعی هستند که تگ های HTML را هنگام رسیدن داده ها فیلتر نمی کنند.
• فعال. مستقیماً روی سرور قرار دارد. و در مرورگر قربانی فعال می شوند. آنها به طور فعال توسط کلاهبرداران در انواع وبلاگ ها، چت ها و فیدهای خبری استفاده می شوند.

هکرها با دقت اسکریپت های XSS خود را "استتار" می کنند تا قربانی به چیزی مشکوک نشود. آنها پسوند فایل را تغییر می دهند، کد را به عنوان تصویر ارسال می کنند، آنها را تشویق می کنند که پیوند را دنبال کنند و با محتوای جالب آنها را جذب می کنند. در نتیجه: یک کاربر رایانه شخصی که قادر به کنترل کنجکاوی خود نیست، با دست خود (با یک کلیک ماوس) کوکی های جلسه (با ورود به سیستم و رمز عبور!) را برای نویسنده اسکریپت XSS - شرور رایانه ارسال می کند.

جایگزینی کوکی

همه کوکی‌ها بدون هیچ تغییری - به شکل اصلی - با همان مقادیر، رشته‌ها و سایر داده‌ها، ذخیره می‌شوند و به سرور وب (که از آنجا آمده‌اند) ارسال می‌شوند. تغییر عمدی پارامترهای آنها را جایگزینی کوکی می گویند. به عبارت دیگر، هنگام جایگزینی کوکی‌ها، مهاجم وانمود می‌کند که یک تفکر آرزویی است. به عنوان مثال، هنگام پرداخت در یک فروشگاه آنلاین، کوکی مقدار پرداخت را به سمت پایین تغییر می دهد - بنابراین، "صرفه جویی" در خرید اتفاق می افتد.

کوکی‌های جلسه دزدیده شده در یک شبکه اجتماعی از حساب شخص دیگری در جلسه دیگری و در رایانه شخصی دیگر «درج» می‌شوند. صاحب کوکی های دزدیده شده دریافت می کند دسترسی کاملبه حساب قربانی (مکاتبات، محتوا، تنظیمات صفحه) تا زمانی که او در صفحه خود باشد.

"ویرایش" کوکی ها با استفاده از موارد زیر انجام می شود:

• عملکردهای "مدیریت کوکی ها..." در مرورگر اپرا.
• افزونه‌های مدیریت کوکی‌ها و مدیریت کوکی پیشرفته برای فایرفاکس.
• ابزارهای IECookiesView (فقط برای اینترنت اکسپلورر);
• ویرایشگر متنمانند AkelPad، NotePad یا Notepad ویندوز.

دسترسی فیزیکی به داده ها

خیلی مدار سادهپیاده سازی شامل چندین مرحله است. اما تنها در صورتی مؤثر است که رایانه قربانی با یک جلسه باز، به عنوان مثال VKontakte، بدون مراقبت رها شود (و برای مدت طولانی!):

1. وارد نوار آدرس مرورگر شوید تابع جاوا اسکریپت، تمام کوکی های ذخیره شده را نمایش می دهد.
2. پس از فشار دادن "ENTER" همه آنها در صفحه ظاهر می شوند.
3. کوکی ها کپی می شوند، در یک فایل ذخیره می شوند و سپس به یک درایو فلش منتقل می شوند.
4. در رایانه دیگری، کوکی ها در یک جلسه جدید جایگزین می شوند.
5. دسترسی به حساب قربانی داده شده است.

به عنوان یک قاعده، هکرها از ابزارهای بالا (+ ابزارهای دیگر) هم به صورت ترکیبی (از آنجایی که سطح حفاظت در بسیاری از منابع وب بسیار بالا است) و هم به طور جداگانه (زمانی که کاربران بیش از حد ساده لوح هستند) استفاده می کنند.

XSS + sniffer

1. یک اسکریپت XSS ایجاد می‌شود که آدرس یک sniffer آنلاین (خواه خانگی یا یک سرویس خاص) را مشخص می‌کند.
2. کد مخرب با پسوند .img (فرمت تصویر) ذخیره می شود.
3. این فایل سپس در یک صفحه وب سایت، چت یا پیام شخصی آپلود می شود - جایی که حمله انجام خواهد شد.
4. توجه کاربر به "تله" ایجاد شده جلب می شود (این جایی است که مهندسی اجتماعی به اجرا در می آید).
5. اگر تله فعال شود، کوکی‌های مرورگر قربانی توسط sniffer رهگیری می‌شوند.
6. مهاجم لاگ های اسنیفر را باز می کند و کوکی های دزدیده شده را بازیابی می کند.
7. در مرحله بعد، برای به دست آوردن حقوق صاحب حساب با استفاده از ابزارهای بالا، جایگزینی را انجام می دهد.

محافظت از کوکی ها در برابر هک شدن

1. از یک اتصال رمزگذاری شده (با استفاده از پروتکل ها و روش های امنیتی مناسب) استفاده کنید.
2. به پیوندها، تصاویر یا پیشنهادات وسوسه انگیز برای آشنایی با "نرم افزار رایگان جدید" پاسخ ندهید. مخصوصاً از غریبه ها.
3. فقط از منابع وب قابل اعتماد استفاده کنید.
4. جلسه مجاز را با کلیک بر روی دکمه "خروج" (نه فقط بستن برگه!) پایان دهید. به خصوص اگر نه از یک رایانه شخصی، بلکه مثلاً از رایانه شخصی در یک کافی نت وارد حساب خود شده باشید.
5. از ویژگی «ذخیره رمز عبور» مرورگر استفاده نکنید. داده های ثبت شده ذخیره شده خطر سرقت را به میزان قابل توجهی افزایش می دهد. تنبل نباشید، در ابتدای هر جلسه چند دقیقه وقت خود را با وارد کردن رمز عبور و لاگین خود تلف نکنید.
6. پس از گشت و گذار در وب - بازدید از شبکه های اجتماعی، انجمن ها، چت ها، وب سایت ها - کوکی های ذخیره شده را حذف کنید و کش مرورگر را پاک کنید.
7. مرورگرها و نرم افزارهای آنتی ویروس را به طور مرتب به روز کنید.
8. از افزونه های مرورگر استفاده کنید که در برابر حملات XSS محافظت می کنند (به عنوان مثال، NoScript برای FF و Google Chrome).
9. به صورت دوره ای در حساب ها.

و مهمتر از همه، هنگام استراحت یا کار در اینترنت، هوشیاری و توجه خود را از دست ندهید!