Computer finestre Internet
Espandere
casa

Cosa sono i cookie e come eliminare i cookie nei browser moderni. Metodi per rubare i cookie

I cookie sono una tecnologia collaudata che consente a un sito Web di "ricordare" l'utente,
salvare le sue impostazioni e non chiedere ogni volta login e password. Può
pensa che se elimini i cookie nel tuo browser, il sito non ti riconoscerà. Ma questo
la fiducia inganna.

Puoi preoccuparti quanto vuoi del tuo anonimato, usa un proxy
e VPN, falsificare le intestazioni delle richieste HTTP che forniscono il sistema in uso,
versione del browser, fuso orario e molte altre informazioni, ma al sito Web non interessa
ci saranno modi per riconoscere il fatto che l'hai già visitato. In molti
casi, questo non è particolarmente critico, ma non in una situazione in cui su alcuni
il servizio deve presentarsi come un altro utente o è banale risparmiare
anonimato. È facile immaginare come il sistema antifrode di un certo condizionale
organizzazione finanziaria, se determina che da un computer sono stati eseguiti
autorizzazione sotto i conti di persone completamente diverse. Ed è davvero bello?
sapere che qualcuno sul Web può seguire i tuoi movimenti? Difficilmente. Ma
su tutto in ordine.

Come funzionano i cookie?

Per secoli, i cookie sono stati utilizzati per identificare un utente.
I cookie (dall'inglese "cookie") sono piccole informazioni di testo,
che il server invia al browser. Quando l'utente accede al server
(digita il suo indirizzo nella riga del browser), il server può leggere informazioni,
contenuti nei cookie, e in base alla sua analisi per eseguire eventuali azioni.
Ad esempio, in caso di accesso autorizzato a qualcosa via web nei cookie
il login e la password vengono salvati durante la sessione, il che consente all'utente di non
immetterli nuovamente quando richiesto per ogni documento protetto da password. Così
così, il sito web può "ricordare" l'utente. Tecnicamente sembra
nel seguente modo. Quando si richiede una pagina, il browser invia un breve
il testo con la richiesta HTTP.

Ad esempio, per accedere a www.example.org/index.html il browser
invia la seguente richiesta al server www.example.org:

GET /index.html HTTP / 1.1
Ospite: www.example.org

Il server risponde inviando la pagina richiesta insieme al testo,
contenente una risposta HTTP. Può indicare al browser di salvare i cookie:

HTTP / 1.1 200 OK
Tipo di contenuto: testo / html
Set-Cookie: nome = valore

Se è presente una stringa Set-cookie, il browser ricorda la stringa nome = valore (nome =
value) e lo rinvia al server ad ogni successiva richiesta:

GET /spec.html HTTP / 1.1
Ospite: www.example.org
Cookie: nome = valore
Accetta: * / *

Tutto è molto semplice. Se il server ha ricevuto cookie dal client e li ha in
base, può sicuramente elaborarli. Quindi, se si trattasse di biscotti con
alcune informazioni sull'autorizzazione, l'utente al momento della visita non avrà
verranno richiesti login e password. I cookie hanno una certa durata per lo standard.
(anche se può essere molto grande), dopo di che muoiono. E qualsiasi
i cookie salvati possono essere facilmente eliminati dall'utente utilizzando
l'opzione corrispondente, disponibile in qualsiasi browser. Questo fatto è forte
frustra i proprietari di molte risorse che non vogliono perdere il contatto con
visitatore. Per loro è importante rintracciarlo, capire che "questa persona era con noi
ieri e l'altro ieri, ecc. "Questo è particolarmente vero per vari analizzatori
traffico, sistemi per la tenuta delle statistiche, reti di banner, ecc. Qui è dove
inizia il divertimento, perché gli sviluppatori usano ogni sorta di
trucchi che molti utenti non conoscono nemmeno. Nel corso vai
vari trucchi.

Cookie flash

Il fatto è che oltre ai soliti "panini" HTTP, a cui è stato di tutto
prima, ora vengono utilizzati attivamente archivi alternativi, dove il browser
può scrivere dati sul lato client. La prima cosa da menzionare è
archiviazione di Flash sia amato che odiato allo stesso tempo (per quegli utenti che
quale è installato). I dati sono conservati nei cosiddetti LSO (Local Shared
Oggetti) - file simili ai cookie, che vengono salvati localmente su
il computer dell'utente. L'approccio è per molti versi simile alle solite "chicche" (in questo
nello stesso caso, una piccola quantità di
dati di testo), ma presenta alcuni vantaggi:

  • I cookie flash sono condivisi da tutti i browser sul computer (al contrario di
    dal classico cookie che è legato al browser). Impostazioni, informazioni
    sulla sessione, come, ad esempio, un identificatore per tracciare l'utente,
    non sono legati a nessun browser specifico, ma diventano comuni per
    tutti.
  • I cookie flash consentono di memorizzare molti più dati (come
    solitamente 100 Kb), che aumenta il numero di impostazioni utente,
    disponibile per il salvataggio.

In pratica, LSO diventa una tecnologia di tracciamento molto semplice e conveniente.
utente. Pensaci: se ti offrissi di togliere tutti i "panini" in
sistema, pensereste ai cookie Flash? Probabilmente no. Ora prova a prendere
qualsiasi visualizzatore, ad esempio, gratuito

FlashCookiesVisualizza e vedi quante cose interessanti sono registrate in
Archivi flash. Viene visualizzato immediatamente un elenco di siti che in realtà non vogliono apparire.
perdere la traccia, anche se pulisci la cache del browser (insieme alle "chicche").

Biscotti ovunque con evercookie

Ma se gli utenti esperti e un po' bravi hanno sentito parlare di LSO
sviluppatori, l'esistenza di altre tecniche di memorizzazione dei dati, a volte molto
sofisticato (ma efficace), molti non sospettano nemmeno. Prendi almeno quelli nuovi
volte che è apparso in
(Archiviazione della sessione,
Local Storage, Global Storage, Database Storage tramite SQLite) di cui puoi parlare
leggi nell'articolo "". Questo problema è stato seriamente confuso da uno specialista polacco
dalla sicurezza di Samy Kamkar. Di conseguenza, uno speciale
La libreria JavaScript evercookie, progettata specificamente per
creare i cookie più persistenti nel browser. Qualcuno potrebbe chiedere: "Perché?
è necessario?". Molto semplice: per identificare in modo univoco
visitatore della pagina se torna. Questi cookie difficili da uccidere sono spesso
sono chiamati cookie di tracciamento e sono addirittura definiti da alcuni antivirus come
minaccia alla privacy. Evercookie può ridurre tutti i tentativi di rimanere anonimi a
zero.

Il segreto è che evercookie utilizza tutto ciò che è disponibile per il browser in una volta.
archivi: cookie HTTP regolari, LSO, contenitori HTML5. Inoltre, usiamo
diversi trucchi difficili che, con non meno successo, ti permettono di partire
etichetta ambita dal computer. Tra questi: generazione di immagini PNG speciali,
utilizzando la cronologia del browser, archiviando i dati utilizzando ETag, container
userData in Internet Explorer: si scopre che ci sono molte opzioni.

Puoi vedere come funziona efficacemente sul sito web.
sviluppatore -
http://samy.pl/evercookie. Se fai clic su "Fai clic per creare un'immagine"
evercookie ", i cookie con un numero casuale verranno generati nel browser. Prova
eliminare i cookie ove possibile. Scommetto che lo sei adesso
pensato: "Dove altro puoi cancellare i cookie, se non nelle impostazioni del browser?".
Sei sicuro di aver cancellato tutto? Ricarica la pagina per essere sicuro, puoi anche ricaricare
aprire un browser. Ora sentiti libero di fare clic sul pulsante "Fai clic per riscoprire i cookie".
WTF? Ciò non ha impedito al sito di prendere dati da qualche parte - nei campi della pagina
visualizzato il numero che è stato salvato nel cookie. Ma li abbiamo strofinati? Come
ha funzionato? Proviamo a capire alcune delle tecniche.

Biscotti PNG

Una tecnica estremamente interessante utilizzata in Evercookie è l'approccio
memorizzare i dati nelle immagini PNG memorizzate nella cache. Quando evercookie imposta
cookie, fa riferimento allo script evercookie_png.php con uno speciale "bun" HTTP,
diverso da quello utilizzato per memorizzare le informazioni standard su
sessione. Questi cookie speciali vengono letti da uno script PHP che crea
Immagine PNG in cui sono abbinati tutti i valori RGB (colore)
con informazioni sulla sessione. Alla fine il file PNG viene inviato al browser client
contrassegnato: "il file deve essere memorizzato nella cache per 20 anni".

Dopo aver ricevuto questi dati, evercookie cancella lo speciale creato in precedenza
cookie HTTP, quindi effettua la stessa richiesta allo stesso script PHP, ma non
fornire informazioni sull'utente. Vede che i dati che gli interessano
no, e non può generare un PNG. Invece, ritorna al browser
risposta HTTP falsa "304 Not Modified", che gli fa estrarre il file da
cache locale. L'immagine dalla cache viene inserita nella pagina utilizzando il tag
Tela HTML5. Non appena accade, evercookie legge ogni pixel
contenuto del Canvas estraendo i valori RGB e quindi ripristinando
i dati del cookie originale che è stato memorizzato nell'immagine. Voilà a tutti
lavori.

Suggerimento con Cronologia web

Un altro trucco è usare direttamente la cronologia del browser. Non appena il browser
installa un panino, evercookie codifica i dati utilizzando l'algoritmo Base64,
che devono essere preservati. Supponiamo che questo dato sia una stringa,
ottenuto da "bcde" dopo la conversione in Base64. Libreria in sequenza
diventa sfondo ai seguenti URL:

google.com/evercookie/cache/b
google.com/evercookie/cache/bc
google.com/evercookie/cache/bcd
google.com/evercookie/cache/bcde
google.com/evercookie/cache/bcde-

Pertanto, questi URL vengono archiviati nella cronologia. Poi arriva uno speciale
trucco - CSS History Knocker, che con lo script JS e CSS consente
controlla se l'utente ha visitato o meno la risorsa specificata (maggiori dettagli qui -
samy.pl/csshack). Per
evercookie buns controlla tutti i possibili caratteri Base64 su
google.com/evercookie/cache, iniziando dal carattere "a" e andando avanti, ma solo
un personaggio. Non appena lo script vede l'URL a cui è stato effettuato l'accesso,
inizia a scorrere il carattere successivo. Si scopre una sorta di forza bruta. In pratica
questa selezione viene effettuata in tempi estremamente rapidi, perché nessuna richiesta di
server non vengono eseguiti. La cronologia viene cercata localmente al massimo
a breve termine. La biblioteca sa di aver raggiunto la fine della riga quando l'URL è
terminare con un carattere "-". Decodifichiamo Base64 e otteniamo i nostri dati. Come
nominare gli sviluppatori del browser che lo consentono?

Prova a cancellare

Cosa succede se l'utente cancella i propri cookie? Una caratteristica importante della libreria stessa
evercookie è che l'utente dovrà sforzarsi di farlo
eliminare i cookie lasciati in luoghi diversi - ora ce ne sono 10. Se almeno uno
i dati dei cookie rimarranno al loro posto, verranno automaticamente ripristinati in tutti gli altri
posti. Ad esempio, se un utente non solo elimina i cookie predefiniti, ma
e ripulire i dati LSO, ripulire l'archiviazione HTML5, che è già improbabile, comunque
i cookie creati con il PNG memorizzato nella cache e la cronologia web rimarranno. In
la prossima volta che visiterai il sito con evercookie, la libreria non solo sarà in grado di trovare
panino nascosto, ma li ripristinerà anche in tutti gli altri posti che
supporta il browser client. Un punto interessante relativo al trasferimento
"chicche" tra i browser. Se l'utente riceve i cookie in un browser,
cioè, è altamente probabile che vengano riprodotti in altri. L'unica cosa
un prerequisito per questo è la memorizzazione dei dati nel cookie Local Shared Object.

Come usare?

La libreria Evercookie è completamente open source, quindi puoi liberamente
usalo, personalizzalo in base alle tue esigenze. Il server non viene presentato con nessuno
requisiti seri. Tutto ciò di cui hai bisogno è l'accesso a uno script JS in cui
contiene il codice evercookie. Per utilizzare i cookie Flash (oggetto condiviso locale),
nella cartella con lo script deve esserci un file evercookie.swf, e per far funzionare il tecnico,
basato sulla memorizzazione nella cache PNG e sull'utilizzo dell'archiviazione ETag, accesso a
Script PHP evercookie_png.php e evercookie_etag.php. Usa evercookie
è possibile su qualsiasi pagina del sito collegando il seguente script:




Non hai trovato risposta alla tua domanda? Guarda qui
Alternative per sostituire il tasto della riga di comando di Microsoft Office VisioAlternative per sostituire il tasto della riga di comando di Microsoft Office Visio
Installazione e configurazione di Mhotspot Il computer non si è riavviato dopo l'installazioneInstallazione e configurazione di Mhotspot Il computer non si è riavviato dopo l'installazione
Una storia di tre bottoni. Colonna di Evgeny Zobnin. Otteniamo pulsanti Home, Indietro e Menu personalizzabili sullo schermo su qualsiasi dispositivo Android (tasti virtuali mobili) Assegnazione di pulsanti sul telefonoUna storia di tre bottoni. Colonna di Evgeny Zobnin. Otteniamo pulsanti Home, Indietro e Menu personalizzabili sullo schermo su qualsiasi dispositivo Android (tasti virtuali mobili) Assegnazione di pulsanti sul telefono