Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Lajme
  • Si të përgjoni cookies. Një mënyrë e thjeshtë për të vjedhur një cookie

Si të përgjoni cookies. Një mënyrë e thjeshtë për të vjedhur një cookie

15.01.2021 Lajme

Shumë përdorues as nuk e kuptojnë se duke plotësuar hyrjen dhe fjalëkalimin kur regjistrohen ose autorizohen në një burim të mbyllur të internetit dhe shtypni ENTER, këto të dhëna mund të përgjohen lehtësisht. Shumë shpesh ato transmetohen përmes rrjetit në një formë të pambrojtur. Prandaj, nëse faqja në të cilën po përpiqeni të identifikoheni përdor protokollin HTTP, atëherë është shumë e lehtë të kapni këtë trafik, ta analizoni atë duke përdorur Wireshark dhe më pas të përdorni filtra dhe programe speciale për të gjetur dhe deshifruar fjalëkalimin.

Vendi më i mirë për të përgjuar fjalëkalimet është në thelbin e rrjetit, ku trafiku i të gjithë përdoruesve shkon në burime të mbyllura (për shembull, postë) ose përpara ruterit për të hyrë në internet, kur regjistrohen me burime të jashtme. Ne vendosëm një pasqyrë dhe jemi gati të ndihemi si haker.

Hapi 1. Instaloni dhe ekzekutoni Wireshark për të kapur trafikun

Ndonjëherë mjafton të zgjedhim vetëm ndërfaqen përmes së cilës planifikojmë të kapim trafikun dhe të klikojmë butonin Start. Në rastin tonë, ne po bëjmë një kapje përmes rrjetit pa tel.

Kapja e trafikut ka filluar.

Hapi 2. Filtrimi i trafikut të kapur POST

Ne hapim një shfletues dhe përpiqemi të identifikohemi në çdo burim duke përdorur një emër përdoruesi dhe fjalëkalim. Pas përfundimit të procesit të autorizimit dhe hapjes së faqes, ne ndalojmë kapjen e trafikut në Wireshark. Më pas, hapni analizuesin e protokollit dhe shihni një numër të madh paketash. Është në këtë fazë që shumica e profesionistëve të IT heqin dorë sepse nuk dinë çfarë të bëjnë më pas. Por ne e dimë dhe jemi të interesuar për paketa specifike që përmbajnë të dhëna POST që gjenerohen në makinën tonë lokale kur plotësoni një formular në ekran dhe dërgohen në një server në distancë kur klikoni butonin "Hyrja" ose "Autorizimi" në shfletuesi.

Futni një filtër të veçantë në dritare për të shfaqur paketat e kapura: http.kërkesë.metoda == “POST"

Dhe në vend të një mijë paketave, ne shohim vetëm një me të dhënat që kërkojmë.

Hapi 3. Gjeni emrin e përdoruesit dhe fjalëkalimin

Një klikim i shpejtë me të djathtën e miut dhe zgjidhni artikullin nga menyja Ndiqni TCP Steam


Pas kësaj, teksti do të shfaqet në një dritare të re, e cila në kod rikthen përmbajtjen e faqes. Le të gjejmë fushat "password" dhe "user", të cilat korrespondojnë me fjalëkalimin dhe emrin e përdoruesit. Në disa raste, të dyja fushat do të jenë lehtësisht të lexueshme dhe as të koduara, por nëse po përpiqemi të kapim trafikun kur qasemi në burime shumë të njohura si Mail.ru, Facebook, Vkontakte, etj., atëherë fjalëkalimi do të kodohet:

HTTP / 1.1 302 U gjet

Serveri: Apache / 2.2.15 (CentOS)

X-Powered-By: PHP / 5.3.3

P3P: CP = "NOI ADM DEV PSAi COM NAV OUR OTRO STP IND DEM"

Set-Cookie: fjalëkalimi = ; skadon = E enjte, 07-Nëntor-2024 23:52:21 GMT; rruga = /

Vendndodhja: loggedin.php

Përmbajtja-Gjatësia: 0

Lidhja: mbyll

Lloji i përmbajtjes: tekst / html; grup karakteresh = UTF-8

Kështu, në rastin tonë:

Emri i përdoruesit: networkguru

Fjalëkalimi:

Hapi 4. Përcaktimi i llojit të kodimit për deshifrimin e fjalëkalimit

Ne shkojmë, për shembull, në faqen http://www.onlinehashcrack.com/hash-identification.php#res dhe futim fjalëkalimin tonë në dritaren e identifikimit. Më është dhënë një listë e protokolleve të kodimit sipas prioritetit:

Hapi 5. Deshifrimi i fjalëkalimit të përdoruesit

Në këtë fazë, ne mund të përdorim mjetin hashcat:

~ # hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Në dalje, ne morëm një fjalëkalim të deshifruar: fjalëkalim i thjeshtë

Kështu, duke përdorur Wireshark, ne jo vetëm që mund të zgjidhim problemet në funksionimin e aplikacioneve dhe shërbimeve, por edhe të provojmë veten si haker, duke përgjuar fjalëkalimet që përdoruesit futin në format e uebit. Ju gjithashtu mund të gjeni fjalëkalime për kutitë postare të përdoruesve duke përdorur filtra të thjeshtë për t'u shfaqur:

  • Protokolli dhe filtri POP duken kështu: pop.request.command == "USER" || pop.request.command == "KALONI"
  • IMAP dhe filtri do të jenë: imap.kërkesa përmban "login"
  • Protokolli SMTP dhe do t'ju duhet të futni filtrin e mëposhtëm: smtp.req.command == "AUTH"

dhe mjete më serioze për deshifrimin e protokollit të kodimit.

Hapi 6. Po nëse trafiku është i koduar dhe duke përdorur HTTPS?

Ka disa opsione për t'iu përgjigjur kësaj pyetjeje.

Opsioni 1. Lidhu për të shkëputur lidhjen ndërmjet përdoruesit dhe serverit dhe për të kapur trafikun në momentin e krijimit të lidhjes (SSL Handshake). Kur të vendoset lidhja, mund të përgjoni tastin e sesionit.

Opsioni 2. Mund të deshifroni trafikun HTTPS duke përdorur skedarin e regjistrit të çelësit të sesionit të regjistruar nga Firefox ose Chrome. Për ta bërë këtë, shfletuesi duhet të konfigurohet për të shkruar këta çelësa enkriptimi në një skedar log (shembull i bazuar në FireFox) dhe ju duhet të merrni këtë skedar log. Në thelb, ju duhet të vidhni skedarin e çelësit të sesionit nga hard disku i një përdoruesi tjetër (i cili është i paligjshëm). Epo, atëherë kapni trafikun dhe përdorni çelësin që rezulton për ta deshifruar atë.

Sqarim. Po flasim për shfletuesin e internetit të një personi që po përpiqet të vjedhë një fjalëkalim. Nëse nënkuptojmë deshifrimin e trafikut tonë HTTPS dhe duam ta praktikojmë, atëherë kjo strategji do të funksionojë. Nëse po përpiqeni të deshifroni trafikun HTTPS të përdoruesve të tjerë pa hyrë në kompjuterët e tyre, nuk do të funksionojë - kjo është edhe enkriptim edhe privatësi.

Pasi të keni marrë çelësat për opsionin 1 ose 2, duhet t'i regjistroni ato në WireShark:

  1. Shkoni te menyja Edit - Preferences - Protocols - SSL.
  2. Vendosni flamurin "Rivendosni të dhënat SSL që përfshijnë segmente të shumta TCP".
  3. "Lista e çelësave RSA" dhe klikoni Edit.
  4. Fusim të dhëna në të gjitha fushat dhe shkruajmë rrugën në skedar me çelës

A keni vënë re se duke u kthyer në një sajt që keni vizituar tashmë, faqja ju njeh dhe hapet me cilësimet që keni përdorur herën e fundit? Po, dhe mjaft shpesh? Kjo është për shkak të skedarëve kuki që ruajnë informacione rreth vizitorëve si login, fjalëkalimin, ID-në e sesionit dhe variabla të tjerë të nevojshëm për të identifikuar vizitorin dhe për të shfaqur përmbajtjen e faqes sipas preferencave të përdoruesit, të zgjedhura prej tij gjatë vizitës së fundit në burim. Programi WebCookiesSniffer do t'i tregojë përdoruesit cookies dhe përmbajtjen e tyre të sajteve që shikohen nga përdoruesi në shfletues.

Shikimi i Cookies

Ju hapni një faqe interneti dhe WebCookiesSniffer kap skedarët e skedarëve në kohë reale. Programi shton të gjitha skedarët e skedarëve të kapur në një tabelë që ruan të dhëna për hostin, shtegun e kërkesës, gjatësinë totale të skedarit të kukive, numrin e variablave në skedarin e kukive dhe vetë vargun e Cookie me emrat e variablave dhe vlerave. Informacioni i mbledhur rreth kukit WebCookiesSniffer mund të ruhet në një skedar teksti. Programi gjithashtu ka aftësinë për të gjeneruar një raport HTML për të gjitha ose të zgjedhura cookie. Që programi të funksionojë, duhet të instaloni drejtuesin WinPcap (i përfshirë në arkiv me WebCookiesSniffer). Për ta bërë gjuhën e programit WebCookiesSniffer në rusisht, kopjoni skedarin WebCookiesSniffer_lng.ini (gjithashtu i përfshirë në arkiv) në drejtorinë e shërbimeve.

Pamjet e ekranit të WebCookiesSniffer


Biskota - informacion në formën e një skedari teksti të ruajtur në kompjuterin e përdoruesit nga faqja e internetit. Përmban të dhëna vërtetimi (identifikimi / fjalëkalimi, ID, numri i telefonit, adresa e kutisë postare), cilësimet e përdoruesit, statusi i aksesit. Ruhet në profilin e shfletuesit.

Hakerimi i biskotave Është vjedhja (ose "rrëmbimi") i sesionit të vizitorëve të burimeve të internetit. Informacioni i mbyllur bëhet i disponueshëm jo vetëm për dërguesin dhe marrësin, por edhe për një palë të tretë - personin që ka përgjuar.

Mjetet dhe teknikat për thyerjen e biskotave

Përveç aftësive, shkathtësisë dhe njohurive, hajdutët e kompjuterave, si homologët e tyre në jetën reale, natyrisht, kanë mjetet e tyre - një lloj arsenali i çelësave dhe sondave master. Le të hedhim një vështrim në disa nga truket më të njohura të hakerëve që ata përdorin për të nxjerrë cookie nga publiku i gjerë në internet.

Sniffers

Programe speciale për monitorimin dhe analizimin e trafikut në rrjet. Emri i tyre vjen nga folja angleze "sniff" fjalë për fjalë "të nuhasin" paketat e transmetuara midis nyjeve.

Por sulmuesit përdorin një sniffer për të përgjuar të dhënat e sesionit, mesazhet dhe informacione të tjera konfidenciale. Objektet e sulmeve të tyre janë kryesisht rrjete të pasigurta, ku cookies dërgohen në një seancë të hapur HTTP, domethënë ato praktikisht nuk janë të koduara. (Wi-Fi publik është më i prekshmi në këtë drejtim.)

Metodat e mëposhtme përdoren për të injektuar një sniffer në kanalin e internetit midis faqes së përdoruesit dhe serverit të internetit:

  • "Dëgjimi" i ndërfaqeve të rrjetit (hubs, switch);
  • degëzimi dhe kopjimi i trafikut;
  • lidhje me hendekun në kanalin e rrjetit;
  • analiza me anë të sulmeve speciale që ridrejtojnë trafikun e viktimës në një sniffer (MAC-spoofing, IP-spoofing).

XSS do të thotë Skriptimi i faqeve të kryqëzuara. Përdoret për të sulmuar faqet e internetit për të vjedhur të dhënat e përdoruesve.

Mënyra se si funksionon XSS është si më poshtë:

  • një sulmues injekton kod me qëllim të keq (një skrip i veçantë i maskuar) në një faqe interneti, forum ose mesazh (për shembull, kur bisedon në një rrjet social);
  • viktima viziton faqen e infektuar dhe aktivizon kodin e instaluar në kompjuterin e tij (klikon, ndjek një lidhje, etj.);
  • nga ana tjetër, kodi me qëllim të keq i shkaktuar "nxjerrë" të dhënat konfidenciale të përdoruesit nga shfletuesi (në veçanti, cookies) dhe i dërgon ato në serverin e internetit të sulmuesit.

Për të "implantuar" motorin e softuerit XSS, hakerët shfrytëzojnë të gjitha llojet e dobësive në serverët e uebit, shërbimet online dhe shfletuesit.

Të gjitha dobësitë XSS ndahen në dy lloje:

  • Pasive. Sulmi merret duke kërkuar një skript specifik në një faqe interneti. Kodi me qëllim të keq mund të futet në forma të ndryshme në një faqe interneti (për shembull, në shiritin e kërkimit të sajtit). Më të ndjeshëm ndaj XSS pasive janë burimet që nuk kanë filtrim të etiketave HTML kur vijnë të dhënat;
  • Aktiv. E vendosur direkt në server. Dhe ato aktivizohen në shfletuesin e viktimës. Ato përdoren në mënyrë aktive nga mashtruesit në të gjitha llojet e blogeve, bisedave dhe burimeve të lajmeve.

Hakerët kamuflojnë me kujdes skriptet e tyre XSS në mënyrë që viktima të mos dyshojë për asgjë. Ata ndryshojnë shtrirjen e skedarit, japin kodin si foto, motivojnë të ndjekin lidhjen, tërheqin me përmbajtje interesante. Si rezultat: një përdorues i PC që nuk e ka zotëruar kureshtjen e tij, me dorën e tij (klikoni miun) i dërgon skedarët e sesionit (me një emër përdoruesi dhe fjalëkalim!) Autorit të skriptit XSS - një zuzar kompjuteri.

Zëvendësimi i biskotave

Të gjitha cookies ruhen dhe dërgohen në serverin e uebit (nga i cili "erdhën") pa asnjë ndryshim - në formën e tyre origjinale - me të njëjtat vlera, vargje dhe të dhëna të tjera. Modifikimi i qëllimshëm i parametrave të tyre quhet spoofing cookies. Me fjalë të tjera, kur një cookie zëvendësohet, sulmuesi është mendim i dëshiruar. Për shembull, kur bëni një pagesë në një dyqan online, shuma e pagesës në cookie ndryshon në rënie - kështu ka një "kursim" në blerjet.

Cookies të vjedhura për një seancë në një rrjet social nga llogaria e dikujt tjetër "futen" në një seancë tjetër dhe në një kompjuter tjetër. Pronari i kukive të vjedhura ka akses të plotë në llogarinë e viktimës (korrespondencë, përmbajtje, cilësimet e faqes) për sa kohë që ajo është në faqen e saj.

Cookies "redaktohen" duke përdorur:

  • funksionet "Menaxho cookies ..." në shfletuesin Opera;
  • Shtesat e Menaxherit të Cookies dhe të Advanced Cookie Manager për FireFox;
  • Shërbimet IECookiesView (vetëm Internet Explorer);
  • një redaktues teksti si AkelPad, NotePad ose Windows Notepad.

Qasje fizike në të dhëna

Një skemë shumë e thjeshtë zbatimi, ajo përbëhet nga disa hapa. Por është efektiv vetëm nëse kompjuteri i viktimës me një seancë të hapur, për shembull Vkontakte, lihet pa mbikëqyrje (dhe mjaftueshëm!):

  1. Një funksion javascript futet në shiritin e adresave të shfletuesit, duke shfaqur të gjitha cookie-t e ruajtura.
  2. Pasi të shtypni "ENTER" të gjitha shfaqen në faqe.
  3. Cookies kopjohen, ruhen në një skedar dhe më pas transferohen në një USB flash drive.
  4. Në një kompjuter tjetër, cookies zëvendësohen në një sesion të ri.
  5. Hapet qasja në llogarinë e viktimës.

Si rregull, hakerët përdorin mjetet e mësipërme (+ të tjera) si në kombinim (pasi niveli i mbrojtjes në shumë burime të internetit është mjaft i lartë) dhe veçmas (kur përdoruesit janë tepër naivë).

XSS + nuhatës

  1. Krijohet një skript XSS, i cili specifikon adresën e snifferit në internet (të prodhimit të tij ose të një shërbimi specifik).
  2. Kodi me qëllim të keq ruhet me shtesën .img (format imazhi).
  3. Më pas ky skedar ngarkohet në faqen e internetit, në chat ose në një mesazh privat - ku do të kryhet sulmi.
  4. Vëmendja e përdoruesit tërhiqet nga "kurthi" i krijuar (këtu hyn në fuqi inxhinieria sociale).
  5. Nëse kurthi aktivizohet, sniffer kap skedarët e skedarëve nga shfletuesi i viktimës.
  6. Crackeri hap regjistrat e nuhatësit dhe merr biskotat e vjedhura.
  7. Më pas, ai kryen një zëvendësim për të marrë të drejtat e pronarit të llogarisë duke përdorur mjetet e mësipërme.

Mbrojtja e cookies nga hakerimi

  1. Përdorni një lidhje të koduar (duke përdorur protokollet e duhura dhe metodat e sigurisë).
  2. Mos u përgjigjeni lidhjeve të diskutueshme, fotove, ofertave joshëse për t'u njohur me "softuerin e ri të lirë". Sidomos nga të huajt.
  3. Përdorni vetëm burime të besuara të internetit.
  4. Përfundoni një sesion të autorizuar duke shtypur butonin "Dalje" (dhe jo thjesht mbyllni skedën!). Sidomos nëse llogaria nuk është regjistruar nga një kompjuter personal, por, për shembull, nga një PC në një kafene interneti.
  5. Mos përdorni funksionin "Ruaj fjalëkalimin" të shfletuesit. Kredencialet e ruajtura rrisin rrezikun e vjedhjes në mënyrë dramatike. Mos u bëni dembel, mos kurseni disa minuta kohë për të futur fjalëkalimin tuaj dhe për t'u identifikuar në fillim të çdo sesioni.
  6. Pasi të lundroni në ueb - duke vizituar rrjetet sociale, forume, biseda, sajte - fshini skedarët e ruajtur të skedarëve dhe pastroni cache-in e shfletuesit.
  7. Përditësoni rregullisht shfletuesit dhe programet antivirus.
  8. Përdorni shtesat e shfletuesit që mbrojnë kundër sulmeve XSS (për shembull, NoScript për FF dhe Google Chrome).
  9. Periodikisht në llogari.

Dhe më e rëndësishmja - mos e humbni vigjilencën dhe vëmendjen tuaj ndërsa pushoni ose lundroni në internet!

Përshëndetje, do të doja t'i kushtoja këtë artikull të shkurtër, madje edhe një përshkrim të shkurtër, mënyrës më të thjeshtë për të përgjuar skedarët e skedarëve në një rrjet wi-fi. Cilat janë biskotat dhe pse nevojiten, nuk do t'ju them këtu nëse një person ka idenë për të përgjuar "mallrat e pjekura"; në një rrjet pa tel, mendoj se ai duhet të dijë se çfarë është dhe pse i nevojitet. Mund të them vetëm një gjë, me ndihmën e këtyre skedarëve mund të keni akses në llogaritë e njerëzve të tjerë në sajte të ndryshme që kërkojnë që përdoruesit të kalojnë procesin e vërtetimit (për shembull, mail.ru, vkontakte.ru, etj.).

Pra, le të fillojmë. Së pari, duhet të gjejmë vetë rrjetin pa tel, me një portë të hapur për të hyrë në internet dhe është e dëshirueshme që ky rrjet të ketë shumë klientë. Për shembull, çdo rrjet në qendrat e mëdha tregtare, aeroportet, kafenetë e ndryshme është i përshtatshëm, në vende të tilla njerëzit zakonisht përdorin qasje wi-fi në internet, për të lexuar postën, për të kontrolluar llogaritë në faqe të ndryshme takimesh, për të shfletuar LiveJournal dhe të gjitha llojet e forumeve . Kjo është e gjitha, vetëm ajo që na nevojitet. Pasi të kemi vendosur për zgjedhjen e vendndodhjes së rrjetit, duke studiuar orët specifike të numrit maksimal të klientëve, ne do të vazhdojmë drejtpërdrejt në armiqësitë. Për këtë ne kemi nevojë për një laptop me një përshtatës wi-fi dhe një grup të caktuar programesh. Në rastin tim, kam përdorur një laptop Acer Aspire 3610, një kartë wi-fi të klientit D-Link DWL G650 dhe të instaluar BackTrack3.

Unë ju këshilloj të përdorni këtë OS, pasi ai tashmë përfshin të gjithë grupin e programeve që mund t'ju nevojiten, dhe avantazhi më i rëndësishëm është se nuk keni nevojë të instaloni Backtrack në hard diskun tuaj, mund ta nisni këtë OS direkt nga një cd -disk ose flash drive.

Tani le të kalojmë te softueri i kërkuar. Kam përdorur kismet për të zbuluar rrjetet dhe WifiZoo për të përgjuar skedarët e skedarëve. Do të ndalem në programin e dytë në detaje. WifiZoo është një skaner pasiv ethernet dhe grumbullon mjaft informacione të dobishme si: pop3, trafik smtp, http cookies / authinfo, msn, kredencialet ftp, trafikun e rrjetit telnet, nbt, etj. E vetmja pengesë e këtij programi është mungesa e modalitetit të kërcimit të kanalit, WifiZoo thjesht dëgjon ndërfaqen me valë dhe nuk mund, si të thuash, të kërcejë nga kanali në kanal. Por ky disavantazh kompensohet nga një program tjetër, Kismet, i cili mbështet këtë modalitet. Për të ekzekutuar WifiZoo ju duhet:

  • piton
  • me gunga
  • Kismet

Pra, ne nisim programin, fillimisht hapim Kismet, për të mbështetur modalitetin e kërcimit të kanalit, më pas hapim drejtpërdrejt WifiZoo, duhet të shihni një dritare si kjo:

Tani ajo që mbetet është të uleni dhe të prisni derisa të përgjoni diçka, gjithçka që programi përgjon mund të gjendet në regjistrat, të cilët ndodhen në drejtorinë me programin / logs /. Ju gjithashtu mund të hapni ndërfaqen GUI, e cila automatikisht rritet në http në 127.0.0.1:8000

Unë nuk do të shkruaj për të gjitha veçoritë e këtij programi të mrekullueshëm, mendoj se ju vetë do të kuptoni pjesën tjetër të mundësive, dhe meqenëse për momentin ne jemi të interesuar vetëm për cookies. Klikoni në lidhjen e etiketuar "cookies" dhe shikoni se çfarë kemi përgjuar:

Fotografia tregon se cookie përmban rreshtin wordpress_logged_in_= admin. Kjo vlerë është e pakriptuar në cookie dhe mund të përgjohet lehtësisht duke përdorur programin e Akilit, por si rregull, në shumicën e rasteve në Achilles, ju mund të shihni vetëm hash-in e një hyrje të veçantë. Para se të dërgoni një kërkesë në server, mund të përpiqeni të zëvendësoni këtë varg me ndonjë të ngjashëm (megjithëse në këtë rast nuk ka kuptim) - numri i përpjekjeve nuk është i kufizuar. Më pas, duke e dërguar këtë kërkesë në server duke përdorur butonin Dërgo, mund të merrni një përgjigje nga serveri i destinuar për administratorin.

Në shembullin e mëparshëm, mund të anashkaloni drejtpërdrejt ID-në e përdoruesit. Për më tepër, emri i parametrit, zëvendësimi i vlerës së të cilit ofron mundësi shtesë për hakerin, mund të jetë si më poshtë: përdorues (për shembull, USER = JDOE), çdo shprehje me vargun ID (për shembull, USER = JDOE ose SESSIONID = BLAHBLAH), administratori (për shembull, ADMIN = E VËRTETË), sesioni (për shembull, SESSION = AKTIVE), karroca (për shembull, SHKORTJA = PLOTË) dhe shprehje të tilla si E VËRTETË, FALSE, AKTIVE, JOSHUAVE. Zakonisht, formati i cookies varet shumë nga aplikacioni për të cilin ato përdoren. Megjithatë, këto këshilla për gjetjen e të metave të aplikacionit duke përdorur cookie funksionojnë pothuajse për të gjitha formatet.

Kundërmasat nga ana e klientit për cookies

Në përgjithësi, përdoruesi duhet të jetë i kujdesshëm në lidhje me faqet e internetit që përdorin cookie për të vërtetuar dhe ruajtur të dhëna të ndjeshme. Duhet mbajtur mend gjithashtu se një faqe interneti që përdor cookie për vërtetim duhet të mbështesë të paktën SSL për të enkriptuar emrin e përdoruesit dhe fjalëkalimin, pasi në mungesë të këtij protokolli, të dhënat transmetohen të pakriptuara, gjë që lejon që ato të përgjohen duke përdorur softuerin më të thjeshtë. Për të parë të dhënat që dërgohen përmes rrjetit.

Kookaburra Software ka zhvilluar një mjet për të lehtësuar përdorimin e cookies. Mjeti quhet CookiePal ( http://www.kburra.com/cpal.html (shih www.kburra.com)). Ky program është krijuar për të paralajmëruar përdoruesin kur një faqe interneti përpiqet të instalojë një cookie në një makinë dhe përdoruesi mund ta lejojë ose mohojë këtë veprim. Funksione të ngjashme për bllokimin e cookies janë aktualisht të disponueshme në të gjithë shfletuesit.

Një arsye tjetër për instalimin e rregullt të përditësimeve të shfletuesit të internetit janë të metat e sigurisë të zbuluara vazhdimisht në këto programe. Për shembull, Bennet Haselton dhe Jamie McCarthy krijuan një skript që, pasi klikoni një lidhje, merr cookies nga një makinë klienti. Si rezultat, e gjithë përmbajtja e cookies që ndodhen në makinën e përdoruesit bëhet e disponueshme.

Ky lloj hakerimi mund të bëhet edhe duke përdorur dorezën

Për të mos lejuar që gjëra të tilla të kërcënojnë të dhënat tona personale, këtë e bëj vetë dhe i këshilloj të gjithëve që gjithmonë të përditësojnë softuerin që funksionon me kodin HTML (klientët e e-mail, media player, shfletues, etj.).

Shumë njerëz preferojnë thjesht të bllokojnë marrjen e cookies, megjithatë, shumica e faqeve të internetit kërkojnë që të shikohen skedarët e skedarëve. Përfundim - nëse në të ardhmen e afërt ekziston një teknologji inovative që bën të mundur heqjen e cookie-ve, programuesit dhe administratorët do të marrin frymë lehtësisht, dhe ndërsa cookie mbetet një kafshatë e shijshme për një haker! Ky është me të vërtetë rasti, pasi nuk ka ende alternativë më të mirë.

Kundërmasat nga ana e serverit

Në rastin e rekomandimeve për sigurinë e serverit, ekspertët japin një këshillë të thjeshtë: mos e përdorni pa nevojë mekanizmin e cookie-ve! Është veçanërisht e nevojshme të jeni të kujdesshëm kur përdorni cookie që mbeten në sistemin e përdoruesit pas përfundimit të sesionit të komunikimit.

Sigurisht, është e rëndësishme të kuptohet se skedarët e personalizimit mund të përdoren për të siguruar serverët e uebit për të vërtetuar përdoruesit. Nëse, megjithatë, aplikacioni në zhvillim duhet të përdorë cookie, atëherë ky mekanizëm duhet të konfigurohet në atë mënyrë që të përdoren çelësa të ndryshëm me një periudhë të shkurtër vlefshmërie për çdo seancë, dhe gjithashtu të përpiqet të mos vendosë informacion në këto skedarë që mund të përdoret nga hakerat për hakerim (si p.sh. ADMIN = E VËRTETË).

Përveç kësaj, për t'i bërë skedarët tuaj më të sigurtë, mund të përdorni enkriptimin për të parandaluar nxjerrjen e informacionit të ndjeshëm. Sigurisht, enkriptimi nuk i zgjidh të gjitha problemet e sigurisë kur punoni me teknologjinë e cookie-ve, por kjo metodë do të parandalojë hakimet më të thjeshta të përshkruara më sipër.

Artikujt kryesorë të lidhur

Programet më të mira për krijimin e muzikës bazë dhe elektronike
Programet më të mira për krijimin e muzikës bazë dhe elektronike
Struktura e përgjithshme e skedarëve me temë
Struktura e përgjithshme e skedarëve me temë
Parimet themelore të përdorimit të ngjyrave në web design
Parimet themelore të përdorimit të ngjyrave në web design
Kategoritë:
© 2021 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.