Jump to content

Безопасный файл cookie

Edit links

Безопасные файлы cookie  — это тип отключаемых файлов cookie HTTP с установленным атрибутом Secure, который ограничивает область действия файлов cookie «безопасными» каналами (где «безопасность» определяется пользовательским агентом, обычно веб-браузером). Если файл cookie имеет атрибут Secure, пользовательский агент будет включать файл cookie в HTTP-запрос только в том случае, если запрос передается по защищенному каналу (обычно HTTPS). Хотя атрибут Secure кажется полезным для защиты файлов cookie от активных сетевых злоумышленников, он защищает только конфиденциальность файлов cookie. Активный сетевой злоумышленник может перезаписать безопасные файлы cookie из незащищенного канала, нарушив их целостность. Эта проблема официально называется «Слабая целостность». Однако некоторые браузеры, включая Chrome 52 и выше и Firefox 52 и выше, отказываются от этой спецификации в пользу большей безопасности и запрещают небезопасным сайтам (HTTP) устанавливать файлы cookie с помощью Secureдиректива.

Даже с Secure, некоторые источники рекомендуют никогда не хранить конфиденциальную информацию в файлах cookie, поскольку они по своей сути небезопасны и этот флаг не может обеспечить реальную защиту. Атрибут Secure — не единственный механизм защиты файлов cookie. Существуют также атрибуты HttpOnly и SameSite. Атрибут HttpOnly ограничивает доступ к файлу cookie, например, из JavaScript, а атрибут SameSite позволяет отправлять файл cookie приложению только в том случае, если запрос исходит из того же домена.

Фон

[ редактировать ]

Файл cookie HTTP — это небольшой пакет данных, который отправляется с веб-сервера в веб-браузер пользователя. Существует два типа файлов cookie:

  • Постоянные файлы cookie — файлы cookie, которые сохраняют информацию в браузере пользователя в течение длительного времени.
  • Непостоянные файлы cookie — файлы cookie, срок действия которых обычно истекает при закрытии браузера.

Файлы cookie могут содержать конфиденциальную информацию, такую ​​как пароли и номера кредитных карт, которые передаются через HTTP-соединение и могут храниться в веб-браузерах в виде обычного текста. Чтобы злоумышленники не украли эту информацию, файлы cookie можно защитить с помощью атрибутов.

[ редактировать ]

Существуют различные методы перехвата файлов cookie. Методы несложны в реализации и могут нанести существенный ущерб пользователю или организации. Файлы cookie, содержащие конфиденциальную информацию, такую ​​как имена пользователей, пароли и идентификаторы сеансов, могут быть перехвачены с помощью этих инструментов после их загрузки с сайта в веб-браузер или доступа к ним через жесткий диск компьютера.

Сетевые угрозы

[ редактировать ]

Файлы cookie, отправляемые по незашифрованным каналам, могут быть перехвачены, т. е. злоумышленник может прочитать содержимое файла cookie. Эти типы угроз можно предотвратить с помощью использования протокола Secure Sockets Layer или SSL на серверах и интернет-браузерах, хотя это работает только в том случае, если файлы cookie находятся в сети. Можно также использовать файлы cookie, в которых зашифрована только конфиденциальная информация, а не вся передаваемая полезная нагрузка данных.

Конец системным угрозам

[ редактировать ]

Файлы cookie могут быть украдены или скопированы у пользователя, что может либо раскрыть информацию в файлах cookie, либо позволить злоумышленнику редактировать содержимое файлов cookie и выдавать себя за пользователей. Это происходит, когда файл cookie, который находится в конечной системе браузера и хранится на локальном диске или в памяти в виде открытого текста, изменяется или копируется с одного компьютера на другой с ведома пользователя или без него.

[ редактировать ]

Злоумышленник может попытаться выдать себя за веб-сайт, принимая файлы cookie от пользователей. Как только злоумышленник получит файлы cookie, он сможет использовать их для веб-сайтов, которые принимают сторонние файлы cookie. Примером этой угрозы является так называемая атака с использованием межсайтовых сценариев, которая предполагает использование уязвимостей веб-сайта, отображающего данные, предоставленные пользователем, которые имеют в основе злонамеренные намерения. Злоумышленник, например, может встроить сценарий в URL-адрес, который он разместил на дискуссионном форуме, доске объявлений или в электронном письме, который затем активируется, когда цель открывает гиперссылку.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Secure_cookie&oldid=1199235621"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: ca624dc1e349d593a3d8faa8cef5220e__1706270400
URL1:https://arc.ask3.ru/arc/aa/ca/0e/ca624dc1e349d593a3d8faa8cef5220e.html
Заголовок, (Title) документа по адресу, URL1:
Secure cookie - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)