На картинке видно, что в cookie присутствует строка wordpress_logged_in_263d663a02379b7624b1028a58464038=admin. Это значение находится в незашифрованном виде в файле cookie и его легко перехватить с помощью утилиты Achilles, но как правило в большинстве случаев в Achilles можно увидеть лишь хеш той или иной записи. Перед отсылкой запроса на сервер можно попытаться заменить эту строку на любую подобную (хотя в данном случае смысла нет) - количество попыток не ограничено. Затем, отослав этот запрос на сервер с помощью кнопки Send, можно получить ответ от сервера, предназначающийся администратору.
В предыдущем примере можно использовать прямую подмену идентификатора пользователя. Кроме того, название параметра, подмена значения которого предоставляет дополнительные возможности хакеру, может быть следующим: user (например, USER=JDOE), любое выражение со строкой ID (например, USER=JDOE или SESSIONID=BLAHBLAH), admin (например, ADMIN=TRUE), session (например, SESSION=ACTIVE), cart (например, CART=FULL), а также такие выражения, как TRUE, FALSE, ACTIVE, INACTIVE. Обычно формат файлов cookie очень зависит от приложения, для нужд которого они используются. Однако приведенные советы по поиску изъянов приложений с помощью файлов cookie годятся практически для всех форматов.
Меры противодействия извлечению информации из файлов cookie, выполняемые на стороне клиента
В общем случае пользователь должен осторожно относиться к Web-узлам, использующим файлы cookie для аутентификации и хранения важных данных. Также необходимо помнить, что Web-узел, использующий для аутентификации файлы cookie, должен поддерживать хотя бы протокол SSL для шифрования имени пользователя и пароля, так как в случае отсутствия этого протокола данные передаются в незашифрованном виде, что позволяет перехватывать их, используя простейшие программные средства для просмотра данных, пересылаемых по сети.
Компания Kookaburra Software разработала инструмент, облегчающий использование файлов cookie. Называется инструмент CookiePal (http://www.kburra.com/cpal.html (см. www.kburra.com) ). Данная программа предназначена для предупреждения пользователя при попытке Web-узла установить на машину файл cookie, при этом пользователь может разрешить или запретить это действие. Подобные функции блокирования файлов cookie на сегодня есть во всех браузерах.
Еще одной причиной регулярной установки обновлений Web-броузера, является постоянно выявляемые изъяны системы безопасности этих программ. Так, Бенет Хэйзелтон (Bennet Haselton) и Джеми МакКарти (Jamie McCarthy) создали сценарий, который после щелчка на ссылке извлекает файлы cookie с машины клиента. В результате становится доступным все содержимое файлов cookie, которые находятся на машине пользователя.
Взлом подобного рода может быть также осуществлен с помощью дескриптора
Для того, чтоб подобные вещи не грозили нашим личным данным, сам так делаю и всем советую всегда обновлять ПО, работающее с HTML-кодом (e-mail клиенты, медиа-проигрыватели, браузеры и т.д.).
Многие предпочитают просто блокировать получение файлов cookie, однако, большинству Web-узлов для просмотра необходима поддержка cookie. Вывод – если в скором будущем появится инновационная технология, позволяющая обходится без cookie, программисты и администраторы с облегчением вздохнут, а пока cookie остается лакомым куском для хакера! Это действительно так, поскольку более качественной альтернативы пока не существует.
Меры противодействия, выполняемые на стороне сервера
В случае рекомендаций по обеспечению безопасности сервера специалисты дают один простой совет: не используйте механизм cookie без особой на то необходимости! Особенно необходимо быть осторожными при использовании файлов cookie, которые остаются в системе пользователя после завершения сеанса связи.
Конечно же, важно понимать, что файлы cookie могут использоваться в целях обеспечения безопасности Web-серверов для осуществления авторизации пользователей. Если все же разрабатываемому приложению необходимо использовать файлы cookie, то этот механизм следует настроить таким образом, чтобы при каждом сеансе использовались различные ключи с коротким периодом действия, а также стараться не помещать в эти файлы информацию, которая может быть использована хакерами для взлома (такую как ADMIN=TRUE).
Кроме того, для обеспечения большей безопасности при работе с файлами cookie можно использовать их шифрование для предотвращения извлечения важной информации. Конечно же, шифрование не решает всех проблем безопасности при работе с технологией cookie, однако этот метод позволит предотвратить наиболее простые взломы, описанные выше.
Куки (анг. cookie) — это небольшие файлы служебного типа с текстовой информацией, которые хранятся в браузере компьютера. Они содержат определённые данные сайтов, которые вы посещаете. Простейший пример работы куки — это запоминание ваших регистрационных данных аккаунтов на различных сайтах. Если вы, вводя логин и пароль на каком-то сайте, разрешите браузеру запомнить их, вам не потребуется в следующий раз вводить эти данные, чтобы посетить сайт. Вы будете автоматически авторизированы при входе на сайт. И заходить на этот сайт с автоматической авторизацией вы будете до тех пор, пока на сервере сайта не произойдёт сброс настроек или пока вы не удалите браузер с помощью специальных программ-деинсталляторов. Таковые после непосредственного удаления самого браузера из системы обеспечивают последующую чистку оставшихся данных.
Куки – это хранители не только ваших регистрационных данных на сайтах, куки могут хранить и другие ваши настройки – например, дизайн оформления, ваш регион и т.п.
С помощью куки веб-сервера ведут статистику о вас, показывая вам нужную . Наверняка вы замечали рекламу на сайтах именно по тематике ключевых запросов, которые вы недавно вводили в поисковик. Поисковые системы, как никто другой, заинтересованы показывать вам свою рекламу именно по теме того, что вы ищите в них. Если вы, находясь на каком-то сайте, нажмёте на размещённый там рекламный баннер, куки могут проанализировать ваше действие и определить тематику баннера, чтобы в дальнейшем показывать вам рекламу именно в этой тематической нише.
Практически все сайты с авторизацией – сервисы, социальные площадки, интернет-магазины — требуют, чтобы пользовательский браузер принимал куки. Особую роль играют куки в работе интернет-магазинов. Покупатель может выбрать в интернет-магазине несколько товаров, и, прежде чем он совершит покупку, он может проделать массу ходов по сайту в поисках нужных товаров. И ему явно не понравится, что часть товаров, которые тот выбрал в первую очередь, бесследно исчезнет, не дождавшись окончания шоппинга. Какие именно товары выбрал покупатель – эти данные хранят куки, тем самым обеспечивая покупателям комфортный шоппинг в онлайне.
Что будет, если удалить куки?
Если вы хотите очистить браузер от куки, вам не обязательно проводить полное удаление браузера, можно удалить только куки. Если удалить куки, исчезнут все введённые логины, пароли, региональные и дизайн-настройки, вам больше не будет показываться тематическая реклама. Вы получите чистый браузер, как только что после его инсталляции, правда, с вашими закладками, настройками экспресс-панели, установленными расширениями и т.п.
Как видите, ничего потенциально важного не исчезнет, региональные или дизайн-настройки любимых сайтов можно запросто восстановить, а логины и пароли ввести заново. Единственной проблемой может стать то, что вы не помните пароли к какому-то важному сайту. Хранить логины и пароли от важных сайтов лучше в отдельном текстовом файле или пользоваться специальным софтом для хранения паролей. Браузер, если к компьютеру или ноутбуку есть доступ у нескольких пользователей – далеко не самое надёжное место для хранения конфиденциальных данных.
Зачем периодически удалять куки?
Куки всегда вызывали обеспокоенность у продвинутых пользователей Интернета – тех, кто знают об их существовании и выполняемой роли. Отслеживание данных, вводимых в браузер — по сути, это слежка за личной жизнью людей. Более того, если пользователь не использует шифрование при соединении с веб-сервером, куки достаточно легко перехватить и подменить. К примеру, чтобы получить доступ к аккаунту этого пользователя на каком-то сайте. Ведь куки хранят не только регистрационные данные аккаунта пользователя на том или ином сайте, но и идентификатор сессии его пребывания на этом сайте.
Итого — имеем две главные причины, чтобы периодически удалять куки:
— Чтобы веб-сервисы не собирали данные о посещении вами тех или для своих рекламных целей;
— Чтобы предотвратить кражу злоумышленниками ваших конфиденциальных данных и не дать им возможности действовать в Интернете от вашего имени.
Как удалить куки?
Рассмотрим ниже способы удаления куки через меню отдельных браузеров и с помощью специальной программы CCleaner.
Как удалить куки в Opera?
В браузере откройте главное меню и выберите «Настройки ».
Затем в «Настройках » войдите во вкладку «Конфиденциальность и безопасность ».
В разделе «Cookie » вы можете отключить куки или разрешить их хранение только во время одного сеанса до выхода из браузера. Для этого установите галочки на соответствующих опциях. Чтобы удалить куки, жмите «Все cookie и данные сайта ».
В открывшемся окошке вы можете вручную выбрать отдельные сайты и удалить их куки. Кнопка «Удалить все », соответственно, удалит все куки.
Как удалить куки в Mozilla Firefox?
В браузере Mozilla Firefox откройте меню «Инструменты », затем — «Настройки ».
В «Настройках » откройте вкладку «Приватность ». Здесь также можно выставить опции отключения куки в разделе «Отслеживание ».
В открывшемся окошке выберите отдельные сайты и удаляйте куки для каждого такого сайта отдельно или воспользуйтесь кнопкой «Удалить все куки
».
Как удалить куки в Google Chrome?
Для удаления куки в браузере Google Chrome зайдите в его «Настройки ».
В «Настройках » отыщите раздел «Личные данные » и жмите опцию «Настройки контента ».
В открывшемся окошке жмите «Все файлы cookie и данные сайтов »
Кнопка «Удалить все » — соответственно, удалит все куки. Для удаления куки отдельных сайтов отыщите эти сайты и удалитеих куки соответствующей кнопкой.
Удалить куки из браузера Internet Explorer можно также в его «Настройках ». Откройте их и выберите «Свойства браузера ».
Общие Удалить ».
Со старта откроется нужная вкладка — «Общие », здесь необходимо нажать кнопку «Удалить ».
Это меню содержит отдельные параметры очистки браузера. Чтобы удалить куки, снимите галочки с ненужных опций и оставьте заданную по умолчанию опцию «Файлы cookie и данные веб-сайтов ». Жмите кнопку «Удалить ».
Если вы пользуетесь разными браузерами, чтобы не копаться в их настройках, проще изучить пару функций одной-единственной прощаемы, предназначенной для чистки и оптимизации системы. CCleaner – это бесплатная программа из числа «Must-have », которая обеспечивает базовую гигиену компьютера – чистка и оптимизация системного реестра, чистка системы от ненужных файлов, удаление программ, настройки автозагрузки и т.п. Удаление куки входит в функцию CCleaner по очистке системы от ненужных файлов.
Откройте CCleaner и оставайтесь на первой открывшейся вкладке «Очистка ».
Здесь уже предустановлены некоторые опции очистки системы от файлов, препятствующих её быстродействию, и удаление куки – в числе этих опций. Во вкладке «Windows » находятся опции очистки браузера Internet Explorer, опции очистки других браузеров – всех, которые установлены на компьютере — размещаются в соседней вкладке – «Приложения ».
Внимательно ознакомьтесь с опциями очистки системы программой CCleaner, если вы впервые с ней сталкиваетесь. Снимите галочки с тех данных, которые вы пока что не хотите удалять. Затем жмите кнопку «Анализ ».
Ещё раз просмотрите данные, которые CCleaner подготовила к удалению. И (если вы не передумали что-то удалять) жмите кнопку «Очистка ». Следуйте программным указаниям.
– Игорь (Администратор)Cookies это небольшие текстовые файлы с информацией, которые оставляют браузеры на вашем компьютере. И практически каждый веб-сайт оставляет после себя один или более куков на вашем компьютере. Часть из низ используется для быстрой идентификации вас, при повторном заходе на сайт, часть для хранения промежуточных данных, таких как неоконченные действия, часть для хранения настроек, таких как последние выбранные опции, и так далее. Однако, все cookies хранятся отдельно для каждого браузера, поэтому если вам необходимо изменить их или удалить, то, обычно, для этого придется открывать по отдельности каждый браузер и изменять cookies. Кроме того, практически во всех браузерах стандартный менеджер куков позволяет удалять либо все куки сайта сразу, либо только по одному, что безумно неудобно, когда вам необходимо просто почистить лишние куки для сайта. Тем не менее, есть способ гораздо проще - это программа менеджер Cookie Spy, которая позволяет считывать и редактировать куки большинства известных браузеров в одном месте.
Примечание : Помните, что по умолчанию размер данных, который можно использовать для хранения куков (cookie) сильно ограничен, из-за чего на некоторых сайтах могут возникать проблемы.
CookieSpy имеет достаточно простой и интуитивно понятный интерфейс, как вы можете видеть на рисунке выше. Основной особенностью программы является то, что она позволяет не только считывать и редактировать куки известных браузеров, таких как IE, Firefox, Chome, Chomium, Safari, Opera, SeaMonkey, Comodo Dragon, Maxthon и других, но и подключать портативные версии браузеров и управлять их куками (последнее делается через меню настроек). CookieSpy поддерживает русский язык, поэтому разобраться с настройками не составит особого труда. Все cookie отображаются в таблице, поддерживающей сортировку по каждому из полей, поэтому найти нужные куки после фильтра будет намного проще, чем из стандартных менеджеров браузеров. Еще одной приятной особенностью программы является то, что CookieSpy позволяет удалять одновременно сразу несколько куков. Эта функциональность особенно понравится тем, кто не раз сталкивался с рутинной задачей удаления cookie по одному.
Скачать CookieSpy вы можете с сайта разработчика по этой ссылке . Инсталлятор программы весит всего около 0,5 Мб и не содержит вирусов по мнению VirusTotal. Тем не менее, вам необходимо знать, что инсталлятор во время установки скачивает еще около 6 Мб из интернета.
Примечание : Будьте внимательны и аккуратны при его использовании, так как удаление некоторых куков может приводить к потере ранее введенных данных на сайтах. Так например, после входа на сайт, обычно, в куки записываются специальные последовательности символов, которые, при повторном заходе на сайт, позволяют сразу идентифицировать вас. Удаление таких куков приведет к тому, что вам придется повторно заходить на сайт.
Теперь, вы знаете как легко и просто управлять куками всех браузеров из одного места.
