Куки (анг. cookie) — это небольшие файлы служебного типа с текстовой информацией, которые хранятся в браузере компьютера. Они содержат определённые данные сайтов, которые вы посещаете. Простейший пример работы куки — это запоминание ваших регистрационных данных аккаунтов на различных сайтах. Если вы, вводя логин и пароль на каком-то сайте, разрешите браузеру запомнить их, вам не потребуется в следующий раз вводить эти данные, чтобы посетить сайт. Вы будете автоматически авторизированы при входе на сайт. И заходить на этот сайт с автоматической авторизацией вы будете до тех пор, пока на сервере сайта не произойдёт сброс настроек или пока вы не удалите браузер с помощью специальных программ-деинсталляторов. Таковые после непосредственного удаления самого браузера из системы обеспечивают последующую чистку оставшихся данных.
Куки – это хранители не только ваших регистрационных данных на сайтах, куки могут хранить и другие ваши настройки – например, дизайн оформления, ваш регион и т.п.
С помощью куки веб-сервера ведут статистику о вас, показывая вам нужную . Наверняка вы замечали рекламу на сайтах именно по тематике ключевых запросов, которые вы недавно вводили в поисковик. Поисковые системы, как никто другой, заинтересованы показывать вам свою рекламу именно по теме того, что вы ищите в них. Если вы, находясь на каком-то сайте, нажмёте на размещённый там рекламный баннер, куки могут проанализировать ваше действие и определить тематику баннера, чтобы в дальнейшем показывать вам рекламу именно в этой тематической нише.
Практически все сайты с авторизацией – сервисы, социальные площадки, интернет-магазины — требуют, чтобы пользовательский браузер принимал куки. Особую роль играют куки в работе интернет-магазинов. Покупатель может выбрать в интернет-магазине несколько товаров, и, прежде чем он совершит покупку, он может проделать массу ходов по сайту в поисках нужных товаров. И ему явно не понравится, что часть товаров, которые тот выбрал в первую очередь, бесследно исчезнет, не дождавшись окончания шоппинга. Какие именно товары выбрал покупатель – эти данные хранят куки, тем самым обеспечивая покупателям комфортный шоппинг в онлайне.
Что будет, если удалить куки?Если вы хотите очистить браузер от куки, вам не обязательно проводить полное удаление браузера, можно удалить только куки. Если удалить куки, исчезнут все введённые логины, пароли, региональные и дизайн-настройки, вам больше не будет показываться тематическая реклама. Вы получите чистый браузер, как только что после его инсталляции, правда, с вашими закладками, настройками экспресс-панели, установленными расширениями и т.п.
Как видите, ничего потенциально важного не исчезнет, региональные или дизайн-настройки любимых сайтов можно запросто восстановить, а логины и пароли ввести заново. Единственной проблемой может стать то, что вы не помните пароли к какому-то важному сайту. Хранить логины и пароли от важных сайтов лучше в отдельном текстовом файле или пользоваться специальным софтом для хранения паролей. Браузер, если к компьютеру или ноутбуку есть доступ у нескольких пользователей – далеко не самое надёжное место для хранения конфиденциальных данных.
Зачем периодически удалять куки?Куки всегда вызывали обеспокоенность у продвинутых пользователей Интернета – тех, кто знают об их существовании и выполняемой роли. Отслеживание данных, вводимых в браузер — по сути, это слежка за личной жизнью людей. Более того, если пользователь не использует шифрование при соединении с веб-сервером, куки достаточно легко перехватить и подменить. К примеру, чтобы получить доступ к аккаунту этого пользователя на каком-то сайте. Ведь куки хранят не только регистрационные данные аккаунта пользователя на том или ином сайте, но и идентификатор сессии его пребывания на этом сайте.
Итого — имеем две главные причины, чтобы периодически удалять куки:
— Чтобы веб-сервисы не собирали данные о посещении вами тех или для своих рекламных целей;
— Чтобы предотвратить кражу злоумышленниками ваших конфиденциальных данных и не дать им возможности действовать в Интернете от вашего имени.
Как удалить куки?Рассмотрим ниже способы удаления куки через меню отдельных браузеров и с помощью специальной программы CCleaner.
Как удалить куки в Opera?В браузере откройте главное меню и выберите «Настройки ».
Затем в «Настройках » войдите во вкладку «Конфиденциальность и безопасность ».
В разделе «Cookie » вы можете отключить куки или разрешить их хранение только во время одного сеанса до выхода из браузера. Для этого установите галочки на соответствующих опциях. Чтобы удалить куки, жмите «Все cookie и данные сайта ».
В открывшемся окошке вы можете вручную выбрать отдельные сайты и удалить их куки. Кнопка «Удалить все », соответственно, удалит все куки.
В браузере Mozilla Firefox откройте меню «Инструменты », затем — «Настройки ».
В «Настройках » откройте вкладку «Приватность ». Здесь также можно выставить опции отключения куки в разделе «Отслеживание ».
В открывшемся окошке выберите отдельные сайты и удаляйте куки для каждого такого сайта отдельно или воспользуйтесь кнопкой «Удалить все куки
».
Для удаления куки в браузере Google Chrome зайдите в его «Настройки ».
В «Настройках » отыщите раздел «Личные данные » и жмите опцию «Настройки контента ».
В открывшемся окошке жмите «Все файлы cookie и данные сайтов »
Кнопка «Удалить все » — соответственно, удалит все куки. Для удаления куки отдельных сайтов отыщите эти сайты и удалитеих куки соответствующей кнопкой.
Удалить куки из браузера Internet Explorer можно также в его «Настройках ». Откройте их и выберите «Свойства браузера ».
Общие Удалить ».
Со старта откроется нужная вкладка — «Общие », здесь необходимо нажать кнопку «Удалить ».
Это меню содержит отдельные параметры очистки браузера. Чтобы удалить куки, снимите галочки с ненужных опций и оставьте заданную по умолчанию опцию «Файлы cookie и данные веб-сайтов ». Жмите кнопку «Удалить ».
Если вы пользуетесь разными браузерами, чтобы не копаться в их настройках, проще изучить пару функций одной-единственной прощаемы, предназначенной для чистки и оптимизации системы. CCleaner – это бесплатная программа из числа «Must-have », которая обеспечивает базовую гигиену компьютера – чистка и оптимизация системного реестра, чистка системы от ненужных файлов, удаление программ, настройки автозагрузки и т.п. Удаление куки входит в функцию CCleaner по очистке системы от ненужных файлов.
Откройте CCleaner и оставайтесь на первой открывшейся вкладке «Очистка ».
Здесь уже предустановлены некоторые опции очистки системы от файлов, препятствующих её быстродействию, и удаление куки – в числе этих опций. Во вкладке «Windows » находятся опции очистки браузера Internet Explorer, опции очистки других браузеров – всех, которые установлены на компьютере — размещаются в соседней вкладке – «Приложения ».
Внимательно ознакомьтесь с опциями очистки системы программой CCleaner, если вы впервые с ней сталкиваетесь. Снимите галочки с тех данных, которые вы пока что не хотите удалять. Затем жмите кнопку «Анализ ».
Ещё раз просмотрите данные, которые CCleaner подготовила к удалению. И (если вы не передумали что-то удалять) жмите кнопку «Очистка ». Следуйте программным указаниям.
На картинке видно, что в cookie присутствует строка wordpress_logged_in_263d663a02379b7624b1028a58464038=admin. Это значение находится в незашифрованном виде в файле cookie и его легко перехватить с помощью утилиты Achilles, но как правило в большинстве случаев в Achilles можно увидеть лишь хеш той или иной записи. Перед отсылкой запроса на сервер можно попытаться заменить эту строку на любую подобную (хотя в данном случае смысла нет) - количество попыток не ограничено. Затем, отослав этот запрос на сервер с помощью кнопки Send, можно получить ответ от сервера, предназначающийся администратору.
В предыдущем примере можно использовать прямую подмену идентификатора пользователя. Кроме того, название параметра, подмена значения которого предоставляет дополнительные возможности хакеру, может быть следующим: user (например, USER=JDOE), любое выражение со строкой ID (например, USER=JDOE или SESSIONID=BLAHBLAH), admin (например, ADMIN=TRUE), session (например, SESSION=ACTIVE), cart (например, CART=FULL), а также такие выражения, как TRUE, FALSE, ACTIVE, INACTIVE. Обычно формат файлов cookie очень зависит от приложения, для нужд которого они используются. Однако приведенные советы по поиску изъянов приложений с помощью файлов cookie годятся практически для всех форматов.
Меры противодействия извлечению информации из файлов cookie, выполняемые на стороне клиентаВ общем случае пользователь должен осторожно относиться к Web-узлам, использующим файлы cookie для аутентификации и хранения важных данных. Также необходимо помнить, что Web-узел, использующий для аутентификации файлы cookie, должен поддерживать хотя бы протокол SSL для шифрования имени пользователя и пароля, так как в случае отсутствия этого протокола данные передаются в незашифрованном виде, что позволяет перехватывать их, используя простейшие программные средства для просмотра данных, пересылаемых по сети.
Компания Kookaburra Software разработала инструмент, облегчающий использование файлов cookie. Называется инструмент CookiePal (http://www.kburra.com/cpal.html (см. www.kburra.com) ). Данная программа предназначена для предупреждения пользователя при попытке Web-узла установить на машину файл cookie, при этом пользователь может разрешить или запретить это действие. Подобные функции блокирования файлов cookie на сегодня есть во всех браузерах.
Еще одной причиной регулярной установки обновлений Web-броузера, является постоянно выявляемые изъяны системы безопасности этих программ. Так, Бенет Хэйзелтон (Bennet Haselton) и Джеми МакКарти (Jamie McCarthy) создали сценарий, который после щелчка на ссылке извлекает файлы cookie с машины клиента. В результате становится доступным все содержимое файлов cookie, которые находятся на машине пользователя.
Взлом подобного рода может быть также осуществлен с помощью дескриптора , встраиваемого в HTML-текст на Web-странице (или в HTML-содержимое электронного письма или рассылки групп новостей) для похищения файлов cookie. Рассмотрим следующий пример:
Для того, чтоб подобные вещи не грозили нашим личным данным, сам так делаю и всем советую всегда обновлять ПО, работающее с HTML-кодом (e-mail клиенты, медиа-проигрыватели, браузеры и т.д.).
Многие предпочитают просто блокировать получение файлов cookie, однако, большинству Web-узлов для просмотра необходима поддержка cookie. Вывод – если в скором будущем появится инновационная технология, позволяющая обходится без cookie, программисты и администраторы с облегчением вздохнут, а пока cookie остается лакомым куском для хакера! Это действительно так, поскольку более качественной альтернативы пока не существует.
Меры противодействия, выполняемые на стороне сервераВ случае рекомендаций по обеспечению безопасности сервера специалисты дают один простой совет: не используйте механизм cookie без особой на то необходимости! Особенно необходимо быть осторожными при использовании файлов cookie, которые остаются в системе пользователя после завершения сеанса связи.
Конечно же, важно понимать, что файлы cookie могут использоваться в целях обеспечения безопасности Web-серверов для осуществления авторизации пользователей. Если все же разрабатываемому приложению необходимо использовать файлы cookie, то этот механизм следует настроить таким образом, чтобы при каждом сеансе использовались различные ключи с коротким периодом действия, а также стараться не помещать в эти файлы информацию, которая может быть использована хакерами для взлома (такую как ADMIN=TRUE).
Кроме того, для обеспечения большей безопасности при работе с файлами cookie можно использовать их шифрование для предотвращения извлечения важной информации. Конечно же, шифрование не решает всех проблем безопасности при работе с технологией cookie, однако этот метод позволит предотвратить наиболее простые взломы, описанные выше.
Wenn Sie die Websites von AVG aufrufen (einschließlich ) oder unsere Produkte benutzen, speichern wir kleine Datenmengen auf Ihrem Gerät. Dazu gehören kleine Textdateien („Cookies“) und weitere „anonyme Kennungen“, die aus einer zufälligen Zeichenfolge bestehen, die für dieselben Zwecke verwendet werden wie Cookies.
Welche Funktionen führen Cookies und andere anonyme Kennungen aus?Wir verwenden viele verschiedene Arten von Cookies und anonymen Kennungen, doch kurz gesagt: Diese anonymen Kennungen sollen Ihnen eine effizientere Verwendung unserer Sites und Produkte sowie personalisierte Werbung ermöglichen und bestimmte Funktionen auf der Website oder Produktfunktionen aktivieren.
Beispielsweise können Cookies oder andere anonyme Kennungen für folgende Zwecke verwendet werden:
- Sie erleichtern Ihnen das Navigieren zwischen verschiedenen Seiten unserer Site.
- Sie speichern die von Ihnen angegebenen Anmeldedaten und Einstellungen, das spart Zeit und Umstände.
- Sie messen, wie Sie unsere Produkte und Dienste nutzen, damit wir diese verbessern und das Surfen für Sie angenehmer gestalten können.
- Sie ermöglichen personalisierte Werbung mit Inhalten, die für Sie von Interesse sind.
Die folgende Tabelle enthält die auf unseren Sites verwendeten Cookies und ihre Verwendungszwecke:
| Technische Cookies | Diese Cookies werden benötigt, damit bestimmte Teile unserer Site ordnungsgemäß funktionieren: Sie aktivieren den E-Commerce-Bereich unserer Site, zeigen Ihnen die in Ihrer Region gültigen Kombinationen aus Produkten und Preisen an, ermöglichen uns den Lastenausgleich zwischen Servern, zeichnen Benutzereinstellungen für die Verwendung von Cookies auf usw. Cookies dieser Kategorie beinhalten sowohl Cookies für den einmaligen Besuch der Site als auch dauerhafte Cookies. Da unsere Sites ohne diese Cookies nur mit Einschränkungen oder gar nicht funktionieren, werden solche Cookies ohne Rücksicht auf Benutzereinstellungen immer verwendet. Die Cookies in dieser Kategorie werden immer von unseren Sites gesetzt und nicht von Domains anderer Anbieter.
|
| Analyse-Cookies | Mithilfe dieser Cookies erfassen wir Daten dazu, wie Sie unsere Sites nutzen. Wir verwenden diese Informationen, um Berichte zu erstellen und um unsere Websites zu verbessern, sie benutzerfreundlicher zu gestalten und ihre ordnungsgemäße Funktionsweise zu überwachen. Die Cookies erfassen Daten in anonymer Form zu Ihren Aktivitäten auf unseren Sites, einschließlich der von Ihnen aufgerufenen Seiten und der Webseite, die Sie auf unsere Sites weitergeleitet hat. Die Cookies in dieser Kategorie werden ggf. von unseren Sites gesetzt oder von Domains anderer Anbieter. Weitere Informationen zu bestimmten Cookies finden Sie im folgenden Absatz über anonyme Kennungen.
|
| Tracking Cookies von Drittanbietern | Mithilfe dieser Cookies werden Daten dazu erfasst, wie Sie unsere Sites nutzen und über welche Schlüsselwörter sie auf unsere Sites gelangt sind, welche Websites sie besucht haben und auf welchem Wege Sie auf unsere Sites gelangt sind. Wir nutzen diese Informationen zu Berichtszwecken und zur Verbesserung unserer Sites. Außerdem helfen sie uns, Ihnen speziell auf Sie zugeschnittene Produkte und Dienstleistungen anzubieten. Diese Cookies werden entweder von unseren Sites oder von Domains anderer Anbieter gesetzt.
|
| Integrations-Cookies von Drittanbietern | Diese Cookies dienen zur Integration von Drittanbieterfunktionen in unsere Sites, z. B. YouTube ™ -Videos, Feedback-Formularen oder Social-Media-Symbolen, damit die Besucher unsere Inhalte dort freigeben können. Cookies in dieser Kategorie werden möglicherweise von Dritten gesetzt und umfassen ohne Einschränkung Cookies von den folgenden Domains: YouTube.com, Twitter.com, LinkedIn.com und Facebook.com. |
Unsere Android-basierten Produkte nutzen ggf. die Werbe-ID von Google für bestimmte Zwecke, einschließlich interessenbezogener Werbung und Erstellung eines anonymen Profils.
Einige unserer Sites und Produkte verwenden Google Analytics, einen Webanalysedienst von Google Inc. Google Analytics setzt Cookies ein, mit deren Hilfe AVG analysieren kann, wie Benutzer unsere Sites und Produkte verwenden. Die Informationen (einschließlich Ihrer IP-Adresse), die von den Cookies bezüglich Ihrer Verwendung unserer Sites und Produkte generiert und durch Google Analytics erfasst werden („Google Analytics-Daten“), können auf Server in den USA übertragen und von Google dort gespeichert werden. Soweit vertraglich zulässig, werden wir Google verpflichten, das letzte Oktett der IP-Adresse abzuschneiden bzw. zu anonymisieren, unter anderem bei Benutzern mit Standorten in den Mitgliedstaaten der Europäischen Union sowie bei anderen Unterzeichnern des Vertrags über den Europäischen Wirtschaftsraum. Nur in bestimmten Fällen wird die vollständige IP-Adresse an Google-Server in den USA gesendet. Google verwendet die Google Analytics-Daten im Namen von AVG dazu, Ihre Verwendung unserer Sites und Produkte auszuwerten, Berichte über Site- und Produkt-Aktivitäten für AVG zu erstellen und für AVG weitere Dienstleistungen in Verbindung mit Site- und Produkt-Aktivitäten und Internetnutzung zu erbringen. Google darf erfasste Google Analytics-Daten außerdem dazu verwenden, die Anzeigen in seinem eigenen Werbenetz kontextabhängig zu machen und zu personalisieren.
Derzeit verwenden wir zwei Dienste für Absturzberichte auf unseren mobilen Anwendungen: Firebase Crash Reporting von Google und Fabric Crashlytics von Twitter, Inc. Wir verwenden diese Dienste für Absturzberichte, um Informationen zu den von Ihnen verwendeten Geräten und Ihrer Verwendung unserer Anwendungen zu erfassen (beispielsweise den Zeitstempel beim Starten der Anwendung und den Zeitpunkt des Absturzes). Dadurch können wir eine Diagnose und Behebung der Fehler durchführen, um Ihre Benutzererfahrung zu verbessern und die Stabilität unserer mobilen Anwendungen zu erhöhen. Die erfassten Daten werden von Google (Firebase Crash Reporting) und Twitter (Fabric Crashlytics) auf Server weltweit übertragen und dort gespeichert.
Wie kann ich meine Einstellungen für Cookies sowie Tracking- und Analysedienste von Drittanbietern verwalten?Wenn Sie unsere Sites aufrufen oder unsere Produkte verwenden, wird je nachdem, wo Sie sich befinden, eine Meldung angezeigt, in der wir erklären, wie und warum wir Cookies verwenden, und wir ermöglichen Ihnen, sich gegen die Verwendung bestimmter Cookies zu entscheiden (mit Ausnahme der technischen Cookies, die zum Erbringen unserer Dienstleistungen notwendig sind). Wenn Sie nach dieser Meldung keine Änderungen vornehmen, gehen wir davon aus, dass Sie dieser Verwendung zustimmen.
Beachten Sie, dass AVG „do not track“-Signale ignoriert. Sie können sich jederzeit gegen die Verwendung bestimmter Cookies entscheiden, indem Sie klicken. Wenn Sie sich dagegen entscheiden, werden die von AVG von unseren Sites aus gesetzten Cookies (mit Ausnahme der technischen Cookies) von Ihrem Gerät gelöscht. Sie können Cookies außerdem über Ihre Webbrowser-Einstellungen deaktivieren. Beachten Sie jedoch, dass Sie dadurch eventuell daran gehindert werden, bestimmte Teile von Websites im Internet (einschließlich unserer Sites) zu nutzen und/oder es sich negativ darauf auswirken kann, wie Sie unsere Sites und Dienstleistungen erleben. Wenn Sie Google Chrome verwenden, bietet AVG auch die Möglichkeit, die -Erweiterung herunterzuladen. Dieses kostenlose Plugin verhindert Website-überschreitende Cookie-Verfolgungen. Ferner haben Sie die Möglichkeit, Ihre Werbe-ID von Google zurückzusetzen oder sich gegen interessenbezogene Werbung oder anonyme Profilbildung zu entscheiden, indem Sie die Einstellungen in Ihrem Android-Gerät ändern. Informationen zur Vorgehensweise finden Sie unter https://support.google.com/googleplay/android-developer/answer/6048248 .
Sie können verhindern, dass Google die Google Analytics-Daten erfasst und verwendet, indem Sie das unter https://tools.google.com/dlpage/gaoptout verfügbare Browser-Plugin herunterladen und installieren.
Die Datenerfassung durch Firebase Crash Reporting und Fabric Crashlytics können Sie deaktivieren, indem Sie die Anwendungseinstellungen in unseren mobilen Anwendungen verwenden.
Einige unserer Produkte nutzen die Flurry Analytics-Plattform. Sie können die Erfassung und Verwendung der Daten durch Flurry verhindern, indem Sie den Anweisungen von Flurry unter https://dev.flurry.com/secure/optOut.do folgen.
Zuletzt aktualisiert am 6. März 2017.
Cookies - верная технология, позволяющая веб-сайту "запомнить" пользователя,
сохранить его настройки и не спрашивать каждый раз его логин и пароль. Можно
подумать, что если удалить кукисы в браузере, то сайт тебя не узнает. Но эта
уверенность обманчива.
Можно сколько угодно заморачиваться о своей анонимности, использовать прокси
и VPN, подделывать заголовки HTTP-запросов, выдающие используемую систему,
версию браузера, часовой пояс и море другой инфы, но у веб-сайта все равно
останутся способы распознать факт того, что ты на нем уже бывал. Во многих
случаях это не особо критично, но только не в ситуации, когда на каком-то
сервисе необходимо представиться другим пользователем или банально сохранить
анонимность. Легко представить, как среагирует антифрод-система некой условной
финансовой организации, если определит, что с одного компьютера были выполнены
авторизации под аккаунтами совершенно разных людей. Да и разве приятно
осознавать, что кто-то в Сети может отслеживать твои перемещения? Едва ли. Но
обо всем по порядку.
Чтобы идентифицировать пользователя, испокон веков использовались кукисы.
Cookies (от англ. "печенье") - это небольшая порция текстовой информации,
которую сервер передает браузеру. Когда пользователь обращается к серверу
(набирает его адрес в строке браузера), сервер может считывать информацию,
содержащуюся в cookies, и на основании ее анализа совершать какие-либо действия.
Например, в случае авторизованного доступа к чему-либо через веб в cookies
сохраняются логин и пароль в течение сессии, что позволяет пользователю не
вводить их снова при запросах каждого документа, защищенного паролем. Таким
образом, веб-сайт может "запомнить" пользователя. Технически это выглядит
следующим образом. Запрашивая страницу, браузер отправляет веб-серверу короткий
текст с HTTP-запросом.
Например, для доступа к странице www.example.org/index.html браузер
отправляет на сервер www.example.org следующий запрос:
GET /index.html HTTP/1.1
Host: www.example.org
Сервер отвечает, отправляя запрашиваемую страницу вместе с текстом,
содержащим HTTP-ответ. Там может содержаться указание браузеру сохранить куки:
HTTP/1.1 200 OK
Content-type: text/html
Set-Cookie: name=value
Если есть строка Set-cookie, браузер запоминает строку name=value (имя =
значение) и отправляет ее обратно серверу с каждым последующим запросом:
GET /spec.html HTTP/1.1
Host: www.example.org
Cookie: name=value
Accept: */*
Все очень просто. Если сервер получил от клиента куки и они есть у него в
базе, он однозначно может их обработать. Таким образом, если это были кукисы с
некоторой информацией об авторизации, у пользователя в момент посещения не будет
спрашиваться логин и пароль. По стандарту куки имеют определенный срок жизни
(хоть он и может быть очень большим), после которого умирают. А любые
сохраненные кукисы пользователь без труда может удалить, воспользовавшись
соответствующей опцией, которая есть в любом браузере. Этот факт сильно
расстраивает владельцев многих ресурсов, которые не желают терять связь с
посетителем. Им важно отслеживать его, понимать, что "вот этот человек был у нас
вчера, а еще позавчера и т.д.". Особенно это касается различных анализаторов
трафика, систем для ведения статистики, баннерных сетей и т.п. Вот тут-то и
начинается самое интересное, потому что разработчики используют всякие
ухищрения, о которых многие пользователи даже не подозревают. В ход идут
различные уловки.
Все дело в том, что помимо обычных HTTP "плюшек", к которым все давно
привыкли, сейчас активно используются альтернативные хранилища, где браузер
может записать данные на стороне клиента. Первое, что нужно упомянуть - это
хранилище любимого и ненавистного одновременно Flash (для тех пользователей, у
которых он установлен). Данные хранятся в так называемых LSO (Local Shared
Objects) - схожих с cookies по формату файлах, которые сохраняются локально на
компьютере пользователя. Подход во многом аналогичен обычным "плюшкам" (в этом
случае на компьютере пользователя точно так же сохраняется небольшое количество
текстовых данных), но имеет некоторые преимущества:
- Flash-кукисы являются общими для всех браузеров на компьютере (в отличие
от классической cookie, которая привязана к браузеру). Настройки, информация
о сессии, как и, скажем, некий идентификатор для отслеживания пользователя,
не привязываются к какому-то конкретному браузеру, а становятся общими для
всех. - Flash cookie позволяет сохранять намного больший объем данных (как
правило, 100 Кб), что увеличивает количество настроек пользователя,
доступных для сохранения.
На практике LSO становится очень простой и доступной технологией для трекинга
пользователя. Задумайся: если бы я предлагал тебе удалить все "плюшки" в
системе, ты бы вспомнил о Flash-кукисах? Вероятно, нет. А теперь попробуй взять
любой просмотрщик, например, бесплатный
FlashCookiesView и посмотреть, сколько всего интересного записано в
хранилищах Flash. Тут же вырисовывается и список сайтов, которые очень не хотят
потерять твой след, даже если ты подчистишь кэш браузера (вместе с "плюшками").
Но если об LSO слышали продвинутые пользователи и мало-мальски хорошие
разработчики, то о существовании других техник хранения данных, подчас очень
изощренных (но действенных), многие даже не подозревают. Взять хотя бы новые
хранилища, которые появлялись в
(Session Storage,
Local Storage, Global Storage, Database Storage via SQLite), о которых ты можешь
прочитать в статье " ". Этой проблемой всерьез заморочился польский специалист
по безопасности Samy Kamkar. В результате на свет появилась специальная
JavaScript-библиотека evercookie, которая специально создана для того, чтобы
создавать максимально живучие кукисы в браузере. Кто-то может спросить: "Зачем
это нужно?". Очень просто: для того, чтобы однозначно идентифицировать
посетителя страницы, если он придет вновь. Такие сложно убиваемые кукисы часто
называются Tracking cookies и даже определяются некоторыми антивирусами как
угроза приватности. Evercookie может свести все попытки остаться анонимным к
нулю.
Секрет в том, что evercookie использует сразу все доступные для браузера
хранилища: обычные HTTP-кукисы, LSO, контейнеры HTML5. Кроме того, в ход идет
несколько хитрых приемов, которые с не меньшим успехом позволяют оставить на
компьютере желанную метку. Среди них: генерация особых PNG-изображений,
использование history браузера, хранение данных с помощью тега ETag, контейнер
userData в Internet Explorer - оказывается, что вариантов-то очень много.
В том, насколько это эффективно работает, можно убедиться на сайте
разработчика -
http://samy.pl/evercookie . Если нажать на кнопку "Click to create an
evercookie", в браузере будут созданы кукисы со случайным числом. Попробуй
удалить кукисы везде, где это только возможно. Бьюсь об заклад, сейчас ты
задумался: "Где еще можно удалить кукисы, кроме как в настройках браузера?".
Уверен, что все удалил? Перезагрузи страницу для верности, можешь даже заново
открыть браузер. Вот теперь смело нажимай на кнопку "Click to rediscover cookies".
WTF? Сайту это не помешало откуда-то взять данные - в полях страницы
отобразилось число, которые было сохранено в кукисах. Но мы же их потерли? Как
это получилось? Попробуем разобраться с некоторыми техниками.
Крайне интересным приемом, используемым в Evercookie, является подход
хранения данных в кэшированных PNG-изображениях. Когда evercookie устанавливает
куки, он обращается к скрипту evercookie_png.php со специальной HTTP "плюшкой",
отличной от той, которая используется для хранения стандартной информации о
сессии. Эти специальные кукисы считываются PHP-сценарием, создающим
PNG-изображение, в котором все значения RGB (цветов) выставляются в соответствии
с информацией о сессии. В конечном итоге PNG-файл отправляется браузеру клиента
с пометкой: "файл необходимо кэшировать 20 лет".
Получив эти данные, evercookie удаляет созданные ранее специальные
HTTP-кукисы, затем выполняет тот же самый запрос к тому же PHP-сценарию, но не
предоставляя информации о пользователе. Тот видит, что интересующих его данных
нет, и сгенерировать PNG он не может. Вместо этого браузеру возвращается
поддельный HTTP-ответ "304 Not Modified", что заставляет его вытащить файл из
локального кэша. Изображение из кэша вставляется на страницу с помощью тега
HTML5 Canvas. Как только это происходит, evercookie считывает каждый пиксель
содержимого Canvas, извлекая RGB-значения и, таким образом, восстанавливая
данные изначальных кукисов, которые были сохранены в изображении. Вуаля, все
работает.
Другой прием напрямую использует историю браузера. Как только браузер
устанавливает плюшку, evercookie с помощью алгоритма Base64 кодирует данные,
которые необходимо сохранить. Предположим, что этими данными является строка,
полученная "bcde" после преобразований в Base64. Библиотека последовательно
обращается в фоновом режиме к следующим URL:
google.com/evercookie/cache/b
google.com/evercookie/cache/bc
google.com/evercookie/cache/bcd
google.com/evercookie/cache/bcde
google.com/evercookie/cache/bcde-
Таким образом, эти URL сохраняются в history. Далее в ход идет специальный
прием - CSS History Knocker, который с помощью JS-скрипта и CSS позволяет
проверить, посещал ли пользователь указанный ресурс или нет (подробнее тут -
samy.pl/csshack). Для
проверки плюшек evercookie пробегается по всем возможным символам Base64 на
google.com/evercookie/cache, начиная с символа "a" и двигаясь далее, но только
на один символ. Как только скрипт видит URL-адрес, к которому было обращение, он
начинает перебор следующего символа. Получается своеобразный брутфорс. На деле
этот подбор осуществляется чрезвычайно быстро, потому что никакие запросы к
серверу не выполняются. Поиск в history осуществляется локально в максимально
короткий срок. Библиотека знает, что достигла конца строки, когда URL будет
заканчиваться символом "-". Декодируем Base64 и получаем наши данные. Как
назвать разработчиков браузеров, которые это позволяют?
А что будет, если юзер потрет свои кукисы? Важная фишка самой библиотеки
evercookie в том, что пользователю придется основательно постараться, чтобы
удалить кукисы, оставленные в разных местах - сейчас их 10. Если хотя бы в одном
месте останутся данные куки, то они автоматически восстановятся и во всех других
местах. Например, если пользователь не только удалит свои стандартные кукисы, но
и очистит данные LSO, подчистит HTML5-хранилища, что уже маловероятно, все равно
останутся куки, созданные с помощью кэшированного PNG и web history. При
следующем же посещении сайта с evercookie библиотека не только сможет найти
запрятанную плюшку, но и восстановит их во всех остальных местах, которые
поддерживает браузер клиента. Интересный момент связан с передачей
"плюшек" между браузерами. Если пользователь получает кукисы в одном браузере,
то есть большая вероятность, что они воспроизведутся и в других. Единственное
необходимое для этого условие - сохранение данных в Local Shared Object куке.
Библиотека Evercookie полностью открытая, поэтому ты можешь свободно
пользоваться ей, подгонять под свои нужды. К серверу не предъявляется никаких
серьезных требований. Все что нужно - это доступ к JS-сценарию, в котором
содержится код evercookie. Чтобы использовать Flash-кукисы (Local Shared Object),
в папке со скриптом должен быть файл evercookie.swf, а для работы техник,
основанных на PNG-кэшировании и использовании хранилища ETag, необходим доступ к
PHP-сценариям evercookie_png.php и evercookie_etag.php. Использовать evercookie
можно на любой страничке сайта, подключив следующий скрипт:
var ec = new evercookie();
// устанавливаем cookie "id" со значением "12345"
// синтаксис: ec.set(key, value)
ec.set("id", "12345");
// восстанавливаем кукису с именем "id"
ec.get("id", function(value)
{
alert("Cookie value is " + value)
});
Есть также другой способ получения кукисов, основанный на использовании более
продвинутой callback-функции. Это позволяет извлечь значения кукисов из
различных используемых хранилищ и сравнить их между собой:
function getCookie(best_candidate, all_candidates)
{
alert("The retrieved cookie is: " + best_candidate + "\n" + "You
can see what each storage mechanism returned " + "by looping through the all
candidates object.");
For (var item in all_candidates) document.write("Storage
mechanism " + item + " returned: " + all_candidates + "
");
}
ec.get("id", getCookie);
Библиотека evercookie доступна каждому. Это немного пугает, особенно если
совершенно не представляешь, что можно против нее предпринять.
Проблем с тем, чтобы подчистить куки в браузере и Flash’е, нет. Но попробуй
удали данные везде, где наследила evercookie! Ведь если оставишь куки в одном
месте - скрипт автоматически восстановит значение и во всех остальных
хранилищах. По сути, эта библиотека является хорошей проверкой режима
приватности, который сейчас есть практически у всех браузеров. И вот что я тебе
скажу: из Google Chrome, Opera, Internet Explorer и Safari только последний в
режиме "Private Browsing" полностью блокировал все методы, используемые
evercookie. То есть после закрытия и открытия браузера скрипт не смог
восстановить оставленное им значение. Есть повод задуматься. Тем более что в
ближайшее время разработчик evercookie обещал добавить в библиотеку еще
несколько техник хранения данных, в том числе с помощью технологии Isolated
Storage в Silverlight, а также Java-апплета.
Cookies (куки) — информация в виде текстового файла, сохраняемая на компьютере пользователя веб-сайтом. Содержит данные об аутентификации (логин/пароль, ID, номер телефона, адрес почтового ящика), пользовательские настройки, статус доступа. Хранится в профиле браузера.
Взлом куки — это кража (или «угон») сессии посетителя веб-ресурса. Закрытая информация становится доступной не только отправителю и получателю, но и ещё третьему лицу — человеку осуществившему перехват.
Инструменты и методы взлома кукиУ компьютерных воров, как и у их коллег в реале, помимо навыков, сноровки и знаний, конечно же, есть и свой инструментарий — своеобразный арсенал отмычек и щупов. Ознакомимся с наиболее популярными хитростями хакеров, которые они применяют для выуживания куки у обывателей сети Интернет.
СнифферыСпециальные программы для отслеживания и анализа сетевого трафика. Их название происходит от английского глагола «sniff» (нюхать), т.к. в буквальном смысле слова «вынюхивают» передаваемые пакеты между узлами.
А вот злоумышленники при помощи сниффера перехватывают сессионые данные, сообщения и другую конфиденциальную информацию. Объектом их атак становятся в основном незащищённые сети, где куки пересылаются в открытой HTTP-сессии, то есть практически не шифруются. (Наиболее уязвимы в этом плане публичные Wi-Fi.)
Для внедрения сниффера в интернет-канал между узлом пользователя и веб-сервером используются следующие методы:
- «прослушивание» сетевых интерфейсов (хабов, свитчей);
- ответвление и копирование трафика;
- подключение в разрыв сетевого канала;
- анализ посредством специальных атак, перенаправляющих трафик жертвы на сниффер (MAC-spoofing, IP-spoofing).
Аббревиатура XSS означает Cross Site Scripting — межсайтовый скриптинг. Применяется для атаки на веб-сайты с целью похищения данных пользователя.
Принцип действия XSS заключается в следующем:
- злоумышленник внедряет вредоносный код (специальный замаскированный скрипт) на веб-страницу сайта, форума либо в сообщение (например, при переписке в соцсети);
- жертва заходит на инфицированную страницу и активирует установленный код на своём ПК (кликает, переходит по ссылке и т.д.);
- в свою очередь приведённый в действие зловредный код «извлекает» конфиденциальные данные пользователя из браузера (в частности, куки) и отправляет их на веб-сервер злоумышленника.
Для того, чтобы «вживить» программный XSS-механизм, хакеры используют всевозможные уязвимости в веб-серверах, онлайн-сервисах и браузерах.
Все XSS-уязвимости разделяются на два типа:
- Пассивные . Атака получается методом запроса к конкретному скрипту веб-страницы. Вредоносный код может вводиться в различные формы на веб-странице (например, в строку поиска по сайту). Наиболее подвержены пассивному XSS ресурсы, на которых отсутствует при поступлении данных фильтрация HTML-тегов;
- Активные . Находятся непосредственно на сервере. И приводятся в действие в браузере жертвы. Активно используются мошенниками во всевозможных блогах, чатах и новостных лентах.
Хакеры тщательно «камуфлируют» свои XSS-скрипты, чтобы жертва ничего не заподозрила. Меняют расширение файлов, выдают код за картинку, мотивируют пройти по ссылке, привлекают интересным контентом. В итоге: пользователь ПК, не совладавший с собственным любопытством, своей же рукой (кликом мышки) отправляет куки сессии (с логином и паролем!) автору XSS-скрипта — компьютерному злодею.
Подмена кукиВсе куки сохраняются и отправляются на веб-сервер (с которого они «пришли») без каких-либо изменений — в первозданном виде — с такими же значениями, строками и другими данными. Умышленная модификация их параметров называется подменна куки. Другими словами говоря, при подмене куки злоумышленник выдаёт желаемое за действительное. Например, при осуществлении платежа в интернет-магазине, в куки изменяется сумма оплаты в меньшую сторону — таким образом происходит «экономия» на покупках.
Украденные куки сессии в соцсети с чужого аккаунта «подкладываются» в другую сессию и на другом ПК. Владелец украденных кук получает полный доступ к аккаунту жертвы (переписка, контент, настройки страницы) до тех пор пока, она будет находится на своей странице.
«Редактирование» кук осуществляется при помощи:
- функции «Управление cookies... » в браузере Opera;
- аддонов Cookies Manager и Advanced Cookie Manager для FireFox;
- утилиты IECookiesView (только для Internet Explorer);
- текстового редактора типа AkelPad, NotePad или блокнота Windows.
Очень простая схема по реализации, состоит из нескольких шагов. Но действенна лишь в том случае, если компьютер жертвы с открытой сессией, например Вконтакте, оставлен без присмотра (и достаточно надолго!):
Как правило, хакеры используют вышеперечисленные инструменты (+ другие) как в комплексе (поскольку уровень защиты на многих веб-ресурсах достаточно высок), так и по отдельности (когда пользователи проявляют чрезмерную наивность).
XSS + снифферИ самое главное — не теряйте бдительность и внимание во время отдыха или работы в Интернете!
