Как защитить куки файлы

Обновлено: 05.07.2024

Файлы «cookie» («куки») могут делать гораздо больше, чем просто отслеживать вашу активность в интернете. Теперь, кажется, хакеры нашли способ украсть и ваши пароли тоже.

«Куки» - это небольшой файл, который посещаемые вами веб-сайты сохраняют на ваш компьютер. Обычно они совершенно безвредны, но даже весьма полезны. На самом деле, многие веб-сайты, которые вы посещаете каждый день, используют файлы с «куками» для более корректной работы.

«Куки» были разработаны для того, чтобы стать для веб-сайтов надежным механизмом, позволяющим помнить требуемую информацию и записывать историю посещений своих пользователей. Эти крошечные текстовые файлы могут быть использованы для хранения регистрационной информации и некоторых данных о банковской карте, а также они могут помочь рекламодателям показывать вам рекламу, которая, по их мнению, будет соответствовать вашим предпочтениям.

Файлы cookie могут быть полезны, например, для экономии времени при вводе регистрационных данных на ранее посещенном веб-сайте. «Куки» напрямую не отображают пароли, а вместо этого они содержат хэш, который хранит ваш пароль. Когда пароль был хэширован, он был зашифрован таким образом, чтобы прочитать его мог только тот веб-сайт, с которого он был записан в «куки» . Каждый сайт использует уникальный алгоритм шифрования для кодирования хэша и его раскодирования.

Обычно хакеры любят красть пароли, но кража ваших файлов с «куками» также может принести хакерам выгоды. Установив ваши файлы cookie с хэшированными паролями в свой веб-браузер, кибер-преступник может немедленно получить доступ к вашему аккаунту на этом сайте , при этом ему не понадобится вводить ваши регистрационные данные.

Ваши «куки» могут быть использованы для того, чтобы быстро и просто можно было взломать ваши аккаунты в социальных сетях, в электронной почте и на многих других онлайн-сервисах.

Если хакеры могут получить доступ к вашему компьютеру или вашей сети , они, вероятно, смогут украсть ваши файлы cookie. Иногда они также могут украсть их непосредственно с небезопасного веб-сервера.

Люди становятся все умнее в вопросах защиты своих компьютеров от вредоносных программ, а потому все чаще устанавливают на компьютеры надежные антивирусные программы (например, вы можете скачать бесплатную пробную версию Panda Dome здесь ). В результате этого преступникам приходится прибегать к более совершенным методам, таким как кража информации, проходящей через публичные сети Wi - Fi .

Все, что нужно хакеру, чтобы заполучить ваши «куки», - это, например, расширение для браузера Firefox под названием Firesheep . Firesheep – это расширение,Что я могу сделать, чтобы защитить мои «куки»? которое использует технологию обнаружения и копирования файлов с «куками», отправляемых по беспроводной сети. Когда расширение обнаруживает файлы с «куками», оно создает список на компьютере хакера. Затем хакер у себя на компьютере может просто нажать на требуемый файл с «куками», после чего он войдет на соответствующий сайт вместо вас (как будто это вы зашли).

Простой, но эффективный способ остановить хакеров от кражи вашей личной информации – это просто регулярно удалять файлы «куки» . Специалисты рекомендуют делать это каждые 7-14 дней . Они также советуют никогда не хранить информацию о своей банковской карте на сайте , особенно, если он не является надежным. Однако удаление файлов с «куками» имеет один недостаток – вам придется повторно вводить пароли и личную информацию при следующем входе на соответствующий веб-сайт. Это может быть неудобно и раздражительно, но все же это гораздо безопаснее в долгосрочной перспективе, т.к. такой подход позволит защитить вас от кражи «куков».

И если у вас есть проблемы с запоминанием большого количества паролей, подумайте о том, чтобы использовать менеджер паролей для их безопасного хранения. Для получения дополнительной информации взгляните на наше руководство о том, как защитить свой пароль и подальше держаться от хакеров .

Используя продукты Контура, специалисты делают внутренний контроль бизнеса систематизированным, снижают объем ручной работы и эффективно предупреждают нарушения.

Все, что вы хотели знать о куках, кукисах, веб-cookie или просто печеньках.

22 февраля 2017

Благодаря таким удобствам наша онлайн-жизнь становится чуть лучше и человечнее. При этом cookie-файлы также помогают маркетологам отслеживать вашу онлайн-активность, чтобы рекламодателям было проще показывать рекламу подходящей аудитории.

Как добиться баланса?

Как же можно добиться оптимального сочетания удобства и приватности? Начните с простого разделения на основные и сторонние cookie-файлы. Основные cookie-файлы действуют только в пределах своего сайта. Если вы ушли с сайта, cookie не будут следить за вами. Основные cookie только записывают ваши предпочтения на конкретном сайте и в большинстве случаев нужны для запоминания учетных записей.

Но сторонние cookie-файлы этим не ограничиваются. Сторонний cookie может принадлежать рекламодателю, размещающему рекламные объявления на нескольких сайтах, которые вы посещаете. Он знает, что, например, вы заходили на Amazon в поисках ноутбука. Теперь же, если вы попадаете на другой сайт, где данный рекламодатель размещает рекламу (например, сайт какого-нибудь издания), вы увидите рекламу того же самого ноутбука, который вы искали на Amazon. Или рекламу того, что там же искал ваш супруг (супруга). Или, скажем, ваш супруг (супруга) может сесть за тот же компьютер, зайти на Facebook и увидеть, что вы хотели купить ему (ей) на день рождения, испортив сюрприз.

На самом деле это еще наименее раздражающие аспекты сторонних cookie-файлов. Давайте не будем забывать, что информация о вас не исчезает, а накапливается в базах данных, на основе которых неизвестные вам организации составляют ваш полный портрет, чтобы использовать его для собственной выгоды. При этом им по большому счету абсолютно плевать на ваше право на частную жизнь.

Помимо этого cookie могут быть сессионными и постоянными. Сессионные cookie следят за пользователем, пока он находится на определенном сайте. Поменяйте язык на сайте — и другие страницы сайта также будут отображаться на этом языке. Если на следующий день вы вернетесь на этот сайт, вам, возможно, снова придется менять язык — когда вы закрываете браузер, сессионные cookie удаляются.

Постоянные cookie живут в вашем компьютере до тех пор, пока срок их жизни не истечет или пока вы их сами не удалите.

Как управлять cookie-файлами в Google Chrome

  1. Кликните на выпадающее меню в правом верхнем углу и выберите Настройки → Показать дополнительные настройки… → Настройки контента.
  2. В пункте Cookie выберите Удалять локальные данные при закрытии браузера.
  3. Поставьте галочку напротив пункта Блокировать сторонние cookie и данные сайтов.

Как управлять cookie-файлами в Mozilla Firefox

  1. Кликните на выпадающее меню в правом верхнем углу и выберите Настройки.
  2. Выберите Приватность в панели слева.
  3. В пункте История выберите Будет использовать ваши настройки хранения истории из выпадающего меню, а затем кликните Никогда в пункте Принимать куки со сторонних сайтов.
  4. Установите значение настройки Сохранять куки на До закрытия мною Firefox.

Как управлять cookie-файлами в Microsoft Edge или Internet Explorer

В Internet Explorer:

  1. Вызовите выпадающее меню в верхнем правом углу и выберите Настройки Интернета…
  2. Во вкладке Приватность кликните на Дополнительно.
  3. Поставьте галочку напротив Отключить автоматическое управление куки.
  4. Выберите Блокировать для сторонних cookie-файлов и поставьте галочку напротив Всегда разрешать основные куки.

В Edge:

Файлы cookie используются в веб-браузерах на протяжении 25 лет. Рекламодатели используют файлы cookie для показа рекламы, владельцы веб-сайтов — для оценки своей аудитории, Разработчикам они. помогают обеспечивать более персонализированное и удобное посещение сайтов. Например, файлы cookie позволяют сайтам запоминать вас: ваш логин, настройки входа в систему, языковые настройки, корзины покупок и многое другое.

Без файлов cookie просмотр веб-страниц был бы гораздо менее удобным для пользователя. Вам пришлось бы логиниться гораздо чаще. Фактически, каждый раз, когда вы покидаете сайт, обновляете корзину покупок или случайно закрываете страницу.

Сами файлы cookie не вредны. Они не могут заражать компьютеры вирусами или другим вредоносным ПО. Но, если киберпреступнику удастся получить файлы cookie на вашем компьютере, он сможет получить доступ к вашим сеансам просмотра Интернета. Однако основная проблема с файлами cookie — это использование для отслеживания истории посещений пользователя в Интернете. То есть для определения интересов и профиля человека.

С момента изобретения файлов cookie вся отрасль полагалась на возможность отслеживать пользователей сайта. Сторонние файлы (которые вы получаете при посещении веб-сайта от других, «третьих лиц») считаются самым популярным механизмом, для идентификации пользователя, который перемещается между разными сайтами.

Локальное хранилище, хранилище сеансов, IndexedDB, ETag и параметры последнего изменения, веб-кеш, назначение уникального идентификатора и так далее уже позволяют успешно обойти ограничения «плохих файлов cookie». Существует множество альтернатив уникальной идентификации и отслеживания пользователей. С технологической точки зрения на текущий момент нет явного лидера.

Как защитить себя?

Рекомендуем не принимать файлы cookie автоматически. Как вариант, можно отклонять все и проанализировать, будет ли удобно вводить личные данные с каждым новым посещением веб-страниц. Кроме того, пользователи могут регулярно удалять эти файлы вручную.

Также режим инкогнито — простое решение, при котором cookie удаляются сами после завершения сеанса в браузере. Вместо привычных поисковиков типа Google или Bing можно стоит рассмотреть поисковик DuckDuckGo.

Плюс ко всему повысить безопасность поможет использование VPN. Он обеспечивает зашифрованное подключение между юзером и веб-сервисом, защищая данные о геолокации.

А примером защиты конфиденциальности пользователей стала компания Google. Она объявила, что к 2022 году прекратит использование cookie от третьих лиц в браузере Chrome.

Для сохранения конфиденциальности, и экономии места на устройствах мы рекомендуем регулярно удалять сookies. Кроме того, не забывайте и об элементарных правилах кибергигиены. Обновляйте ПО, меняйте пароли, смотрите, на какие сайты заходите и какие ссылки открываете, используйте антивирусы. И не подключайтесь к Wi-Fi в незнакомых местах.

Заметил большую дыру в безопасности своего сайта (благо пока работает локально). В куки, после авторизации пользователя, записывается его id (в не шифрованном виде, то есть $_COOKIE['id'] = 1), далее по этой куке вытаскивается различная информация из бд для этого пользователя и т.д. Если подменить номер этой куки в браузере, скажем с 1 на 2, то вуаля, мы авторизованы под пользователем с id 2 :D Вот хочу спросить, как защитить эту куку, можно конечно зашифровать её, но есть ли другие способы проверки, например соответствие куки ip или что то в этом роде?

Ни как не надо их защищать, в куке надо хранить шифрованые данные авторизации, все остальное - сессия на сервере.

Во-первых, хранить любые данные на клиенте надо зашифрованными. Во-вторых, Данные об авторизации лучше хранить в сессии. В-тртьих, хранить лучше не id, а хэш(вышеупомянутый md5, sha1 или их комбинация) от логина+пароля+юзерагента+мусора aka соли. И авторизовывать юзера на каждом запросе.

Пример можете посмотреть в коде любой CMS, где есть авторизация, да и просто в инете много их.

14.3k 1 1 золотой знак 19 19 серебряных знаков 34 34 бронзовых знака Если кто-то боится перебора пароля - сделайте sha512 xDDD

Такая дыра заделывается с помощью специального хеша в базе данных для каждого пользователя.

При поставлении другого id, хеш будет неверный и пользователь будет разлогинен.

И не нужно никакие id хешировать!


4,969 1 1 золотой знак 23 23 серебряных знака 51 51 бронзовый знак понял, частично. то есть залогинился, сгенерировали, записали. а дальше? каждый раз проверять id на совпадение с записью в БД, эт получается нужно ко всем страницам сайта подключить эту проверку на id, правильно? а если тот же человек зашел с 2 разных браузеров сразу (ну мало ли), получится что опять несовпадение и постоянно его будет кидать на страницу логина, ибо в базе для него 2 хэша а сравнивается он с первой записью в БД (почему то, а не проходит по всем), тоесть хэш второго браузера в БД к примеру 12345, а для первого браузера хэш 54321, вот и сравнивает всегда 12345=54321 Все правильно, работайте с одного браузера. Это безопасность.

куки и IP - ИМХО не лучший вариант, т.к. IP у меня меняется раз в час, т.е. мне постоянно нужно будет проходить авторизацию.

Сделай лучше так.

Далее когда он авторизуется в БД в какую-нить таблицу можно записать соль авторизации (вожно помнить пользователь может зайти с 1,2 и 10 машин, работа, дом, подруга, друг и там может не нажать "ВЫХОД с сайта") для этого нужно хранить эту "соль" постоянно как в гугле кто видел, там можно посмотреть с какие IP открыт аккаунт, и потом если что удалить все.

Так вот, записываешь эту "соль" вида? можно добавить и время и дату, что выгоднее и лучше, я просто суть пишу.

Ну и при входе узера с этого IP проверяешь куку и то что в БД лежит, подходит авторизуешь, не подходит говоришь ему пусть залогинится.

Читайте также: