Računala Windows Internet
Proširiti
Dom

Što su kolačići i kako ih izbrisati u modernim preglednicima. Načini krađe kolačića

Kolačići su provjerena tehnologija koja web stranici omogućuje da se "sjeti" korisnika,
spremite njegove postavke i ne tražite svaki put njegovo korisničko ime i lozinku. Limenka
mislite da ako izbrišete kolačiće u svom pregledniku, stranica vas neće prepoznati. Ali ovo
samopouzdanje vara.

Svoje anonimnosti možete gnjaviti koliko god želite, upotrijebite proxy
i VPN, lažna zaglavlja HTTP zahtjeva koja odaju sustav koji se koristi,
verziju preglednika, vremensku zonu i puno drugih podataka, ali web stranicu nije briga
ostat će načina da prepoznate činjenicu da ste već bili na tome. U mnogim
slučajevima, to nije osobito kritično, ali ne i u situaciji kada na nekim
usluga se mora predstaviti kao drugi korisnik ili je spretno spremiti
anonimnost. Lako je zamisliti kako je sustav protiv prijevara određenog uvjetovanog
financijske organizacije, ako utvrdi da su s jednog računala izvršena
autorizacija pod računima potpuno različitih ljudi. I je li zaista lijepo
shvaćate da netko na webu može pratiti vaša kretanja? Jedva. Ali
o svemu po redu.

Kako kolačići rade?

Stoljećima su se kolačići koristili za identifikaciju korisnika.
Kolačići (od engleskog "cookie") mali su dio tekstualnih informacija,
koje poslužitelj šalje pregledniku. Kada korisnik pristupi poslužitelju
(upisuje svoju adresu u redak preglednika), poslužitelj može čitati informacije,
sadržane u kolačićima i na temelju njihove analize izvršiti bilo koju radnju.
Na primjer, u slučaju autoriziranog pristupa nečemu putem weba u kolačićima
prijava i lozinka spremaju se tijekom sesije, što korisniku omogućuje da to ne čini
ponovno ih unesite kada se od vas zatraži svaki dokument zaštićen lozinkom. Tako
stoga se web stranica može "sjetiti" korisnika. Tehnički izgleda
na sljedeći način. Prilikom traženja stranice preglednik šalje kratku poruku
tekst s HTTP zahtjevom.

Na primjer, za pristup www.example.org/index.html pregledniku
šalje sljedeći zahtjev poslužitelju www.example.org:

GET /index.html HTTP / 1.1
Domaćin: www.example.org

Poslužitelj odgovara slanjem tražene stranice zajedno s tekstom,
koji sadrži HTTP odgovor. Pregledniku može uputiti spremanje kolačića:

HTTP / 1.1 200 U redu
Vrsta sadržaja: text / html
Set-Cookie: naziv = vrijednost

Ako postoji niz Set-cookie, preglednik pamti niz string name = value (name =
vrijednost) i šalje ga natrag poslužitelju sa svakim sljedećim zahtjevom:

GET /spec.html HTTP / 1.1
Domaćin: www.example.org
Kolačić: naziv = vrijednost
Prihvati: * / *

Sve je vrlo jednostavno. Ako je poslužitelj primio kolačiće od klijenta i ima ih u sebi
baze, on ih definitivno može obraditi. Dakle, ako su to kolačići sa
neke podatke o autorizaciji korisnik u vrijeme posjete neće imati
tražit će se prijava i lozinka. Prema standardima, kolačići imaju određeni životni vijek.
(iako može biti vrlo velik), nakon čega umiru. I bilo koje
spremljene kolačiće korisnik može lako izbrisati
odgovarajuću opciju koja je dostupna u bilo kojem pregledniku. Ova je činjenica snažna
frustrira vlasnike mnogih resursa s kojima ne žele izgubiti kontakt
posjetitelj. Važno im je da ga prate, da shvate da je „ta osoba bila s nama
jučer, i prekjučer itd. "To se posebno odnosi na razne analizatore
promet, sustavi za vođenje statistike, banner mreže itd. Ovo je gdje
zabava počinje jer programeri koriste sve vrste
trikove za koje mnogi korisnici i ne znaju. Na tečaj idi
razne smicalice.

Flash kolačići

Stvar je u tome da osim uobičajenih HTTP "lepinja", kojima je sve bilo
nekad, sada se aktivno koriste alternativna skladišta, gdje se nalazi preglednik
može pisati podatke na strani klijenta. Prvo što treba spomenuti je
pohranu i voljenog i omraženog Flasha u isto vrijeme (za one korisnike koji
koji je instaliran). Podaci se pohranjuju u takozvane LSO-ove (Local Shared)
Objekti) - datoteke slične kolačićima, koje se spremaju lokalno na
računalo korisnika. Pristup je na mnogo načina sličan uobičajenim "dobrotama" (u ovome
u istom slučaju, mala količina
tekstualni podaci), ali ima neke prednosti:

  • Flash kolačiće dijele svi preglednici na računalu (za razliku od
    iz klasičnog kolačića koji je vezan za preglednik). Postavke, informacije
    o sesiji, poput, recimo, nekog identifikatora za praćenje korisnika,
    nisu vezani za neki određeni preglednik, ali postaju uobičajeni za
    svatko.
  • Flash kolačići omogućuju pohranu mnogo više podataka (npr
    obično 100 Kb), što povećava broj korisničkih postavki,
    dostupno za spremanje.

U praksi, LSO postaje vrlo jednostavna i pristupačna tehnologija praćenja.
korisnik. Razmislite: ako sam vam ponudio da uklonite sve "lepinje" u
sustavu, biste li razmišljali o Flash kolačićima? Vjerojatno ne. Sada pokušajte uzeti
bilo koji gledatelj, na primjer, besplatan

FlashCookiesView i vidjeti koliko je zanimljivih stvari zapisano u
Flash pohrane. Tu je i popis web stranica koje to ne žele
izgubiti trag, čak i ako očistite predmemoriju preglednika (zajedno s "dobricama").

Kolačići posvuda s evercookiejem

No ako su napredni korisnici i pomalo dobri čuli za LSO
programeri, postojanje drugih tehnika pohrane podataka, ponekad vrlo
sofisticirani (ali učinkoviti), mnogi ni ne sumnjaju. Uzmi barem nove
svodovi koji su se pojavili u
(Pohrana sesije,
Local Storage, Global Storage, Database Storage via SQLite) o kojima možete govoriti
pročitajte u članku "". Ovaj je problem ozbiljno zbunio poljski stručnjak
by Samy Kamkar security. Kao rezultat toga, poseban
JavaScript biblioteka evercookie, koja je posebno dizajnirana za
stvoriti najupornije kolačiće u pregledniku. Netko bi se mogao upitati: "Zašto
je li potrebno? ". Vrlo jednostavno: radi jedinstvene identifikacije
posjetitelj stranice ako se ponovno pojavi. Takvi kolačići koje je teško ubiti često su
nazivaju se kolačićima za praćenje, a neki antivirusi ih čak definiraju kao
prijetnja privatnosti. Evercookie može smanjiti sve pokušaje da ostane anoniman
nula.

Tajna je u tome da evercookie koristi sve što je pregledniku dostupno odjednom.
spremišta: obični HTTP kolačići, LSO -i, HTML5 spremnici. Osim toga, koristimo se
nekoliko lukavih trikova koji vam, s ništa manje uspjeha, omogućuju da nastavite
računala željena naljepnica. Među njima: stvaranje posebnih PNG slika,
korištenje povijesti preglednika, pohranjivanje podataka pomoću oznake ETag, spremnika
userData u Internet Exploreru - ispada da postoji mnogo opcija.

Koliko učinkovito djeluje možete vidjeti na web stranici.
programer -
http://samy.pl/evercookie. Ako kliknete na "Kliknite za stvaranje
evercookie ", kolačići sa slučajnim brojem bit će generirani u pregledniku. Pokušajte
brisanje kolačića kad god je to moguće. Kladim se da si sada
pomislio: "Gdje još možete izbrisati kolačiće, osim u postavkama preglednika?".
Jeste li sigurni da ste sve izbrisali? Ponovno učitajte stranicu kako biste bili sigurni, čak se možete i ponovno učitati
otvorite preglednik. Sada slobodno kliknite gumb "Kliknite za ponovno otkrivanje kolačića".
WTF? To web -mjesto nije spriječilo u preuzimanju podataka odnekud - u poljima stranica
prikazao broj koji je spremljen u kolačić. Ali jesmo li ih trljali? Kako
je li upalilo? Pokušajmo shvatiti neke od tehnika.

PNG kolačići

Izuzetno zanimljiva tehnika koja se koristi u Evercookieju je pristup
spremanje podataka u predmemorirane PNG slike. Kad se evercookie postavi
kolačići, odnosi se na skriptu evercookie_png.php s posebnom HTTP "lepinjom",
drugačiji od onog koji se koristi za pohranu standardnih podataka o
sjednica. Ove posebne kolačiće čita PHP skripta koja stvara
PNG slika u kojoj se podudaraju sve RGB (boje) vrijednosti
s podacima o sjednici. Na kraju se PNG datoteka šalje u preglednik klijenta
označeno: "datoteka mora biti predmemorirana 20 godina."

Nakon što primi ove podatke, evercookie briše prethodno stvoreni specijal
HTTP kolačići, zatim šalje isti zahtjev istoj PHP skripti, ali ne
pružanje podataka o korisniku. On vidi da su mu podaci od interesa
ne, i ne može generirati PNG. Umjesto toga, vraća se u preglednik
lažni HTTP odgovor "304 Not Modified", zbog čega izvlači datoteku
lokalna predmemorija. Slika iz predmemorije umetnuta je u stranicu pomoću oznake
HTML5 platno. Čim se to dogodi, evercookie čita svaki piksel
sadržaj platna, izdvaja RGB vrijednosti i tako se obnavlja
izvorne podatke o kolačićima koji su pohranjeni na slici. Voila, svima
djela.

Savjet s web -poviješću

Još jedan trik je izravno korištenje povijesti preglednika. Čim se pojavi preglednik
instalira punđu, evercookie kodira podatke pomoću algoritma Base64,
koje treba sačuvati. Pretpostavimo da su ti podaci niz,
dobiveno "bcde" nakon konverzije u Base64. Knjižnica uzastopno
postaje pozadini na sljedeće URL -ove:

google.com/evercookie/cache/b
google.com/evercookie/cache/bc
google.com/evercookie/cache/bcd
google.com/evercookie/cache/bcde
google.com/evercookie/cache/bcde-

Stoga su ti URL -ovi pohranjeni u povijesti. Slijedi poseban
trik - CSS History Knocker, koji s JS skriptom i CSS -om dopušta
provjerite je li korisnik posjetio navedeni resurs ili ne (više pojedinosti ovdje -
samy.pl/csshack). Za
evercookie buns provjerava sve moguće Base64 znakove na
google.com/evercookie/cache, počevši od znaka "a" i nastavljajući dalje, ali samo
jedan lik. Čim skripta vidi URL kojem je pristupljeno, to je to
počinje ponavljati sljedeći znak. Ispada neka vrsta grube sile. U praksi
ovaj odabir provodi se iznimno brzo jer nema zahtjeva za
poslužitelj se ne izvršava. Povijest se maksimalno traži lokalno
kratkoročno. Knjižnica zna da je došla do kraja retka kada je URL
završava znakom "-". Dekodiramo Base64 i dobijemo naše podatke. Kako
imenovati programere preglednika koji to dopuštaju?

Pokušajte izbrisati

Što se događa ako korisnik obriše svoje kolačiće? Važna značajka same knjižnice
evercookie je da će se korisnik morati jako potruditi
izbrišite kolačiće ostavljene na različitim mjestima - sada ih je 10. Ako je barem jedan
podaci kolačića ostat će na mjestu, automatski će se vratiti u sve ostale
mjesta. Na primjer, ako korisnik ne samo da briše zadane kolačiće, nego
i očistiti LSO podatke, očistiti HTML5 pohranu, što je ionako malo vjerojatno
kolačići stvoreni s predmemoriranim PNG -om i web -poviješću ostat će. Na
sljedeći put kada posjetite web mjesto s evercookie, knjižnica neće samo moći pronaći
skrivenu punđu, ali će ih i vratiti na sva druga mjesta koja
podržava klijentski preglednik. Zanimljiva točka vezana za transfer
"dobrote" između preglednika. Ako korisnik prima kolačiće u jednom pregledniku,
odnosno postoji velika vjerojatnost da će se reproducirati u drugima. Jedina stvar
preduvjet za to je spremanje podataka u kolačić lokalnog zajedničkog objekta.

Kako koristiti?

Knjižnica Evercookie potpuno je otvorenog koda, pa možete slobodno
koristite ga, prilagodite ga svojim potrebama. Poslužitelj nije predstavljen
ozbiljni zahtjevi. Sve što trebate je pristup JS skripti u kojoj
sadrži kôd evercookie. Za korištenje Flash kolačića (lokalni zajednički objekt),
u mapi sa skriptom mora postojati datoteka evercookie.swf, a da bi tehničar radio,
na temelju PNG keširanja i korištenja pohrane ETag, pristup
PHP skripte evercookie_png.php i evercookie_etag.php. Koristite evercookie
možete na bilo kojoj stranici web mjesta povezivanjem sljedeće skripte:




Niste pronašli odgovor na svoje pitanje? Pogledajte ovdje
Što je bolje za iPhone 6s ili 6 plusŠto je bolje za iPhone 6s ili 6 plus
Gdje su snimke zaslona i igre u mapi Steam?Gdje su snimke zaslona i igre u mapi Steam?
Kako izbrisati ili vratiti sve izbrisane dijaloge VKontakte odjednom?Kako izbrisati ili vratiti sve izbrisane dijaloge VKontakte odjednom?