Računalniki Windows Internet
Razširi
doma

Kaj so piškotki in kako jih počistiti v sodobnih brskalnikih. Načini kraje piškotkov

Piškotki so preizkušena tehnologija, ki omogoča, da si spletno mesto "zapomni" uporabnika,
shranite njegove nastavitve in ne prosite vsakič za njegovo prijavo in geslo. Lahko
mislite, da če v brskalniku izbrišete piškotke, vas spletno mesto ne bo prepoznalo. Ampak to
zaupanje vara.

S svojo anonimnostjo se lahko trudite, kolikor želite, uporabite proxy
in VPN, lažne glave zahtevkov HTTP, ki razkrivajo uporabljeni sistem,
različico brskalnika, časovni pas in veliko drugih informacij, vendar spletnega mesta to ne zanima
obstajajo načini za prepoznavanje dejstva, da ste ga že obiskali. V veliko
primerih to ni posebej kritično, vendar ne v položaju, ko na nekaterih
storitev se mora predstaviti kot drug uporabnik ali pa je prihranjeno
anonimnost. Lahko si predstavljamo, kako je sistem proti goljufijam določen pogojno
finančno organizacijo, če ugotovi, da so bili izvedeni iz enega računalnika
avtorizacijo pod računi popolnoma različnih ljudi. In ali je res lepo
se zavedate, da lahko nekdo na spletu spremlja vaša gibanja? Komaj. Ampak
o vsem po vrsti.

Kako piškotki delujejo?

Piškotki se že stoletja uporabljajo za identifikacijo uporabnika.
Piškotki (iz angleškega "cookie") so majhen del besedilnih informacij,
ki jih strežnik pošlje brskalniku. Ko uporabnik dostopa do strežnika
(vnese svoj naslov v vrstico brskalnika), strežnik lahko prebere informacije,
ki jih vsebujejo piškotki in na podlagi njihove analize izvede kakršna koli dejanja.
Na primer v primeru pooblaščenega dostopa do nečesa prek spleta v piškotkih
prijava in geslo se shranita med sejo, kar uporabniku omogoča, da tega ne stori
jih znova vnesite, ko boste pozvani za vsak dokument, zaščiten z geslom. Torej
tako se lahko spletna stran "spomni" uporabnika. Tehnično izgleda tako
na naslednji način. Ko zahteva stran, brskalnik pošlje kratko
besedilo z zahtevo HTTP.

Za dostop na primer do brskalnika www.example.org/index.html
strežniku www.example.org pošlje naslednjo zahtevo:

GET /index.html HTTP / 1.1
Gostitelj: www.example.org

Strežnik se odzove tako, da skupaj z besedilom pošlje zahtevano stran,
ki vsebuje odgovor HTTP. Brskalniku lahko naroči, da shrani piškotke:

HTTP / 1.1 200 V redu
Vrsta vsebine: besedilo / html
Set-Cookie: ime = vrednost

Če obstaja niz Set-cookie, si brskalnik zapomni niz ime = vrednost (ime =
vrednost) in jo z vsako naslednjo zahtevo pošlje nazaj strežniku:

GET /spec.html HTTP / 1.1
Gostitelj: www.example.org
Piškotek: ime = vrednost
Sprejmi: * / *

Vse je zelo preprosto. Če je strežnik od odjemalca prejel piškotke in jih ima v njem
bazo, jih vsekakor lahko obdela. Če bi bili torej piškotki z
nekaj podatkov o avtorizaciji uporabnik v času obiska ne bo imel
vprašali se boste za prijavo in geslo. Piškotki imajo standardno določeno življenjsko dobo.
(čeprav je lahko zelo velik), potem pa umrejo. In katera koli
shranjene piškotke lahko uporabnik enostavno izbriše
ustrezno možnost, ki je na voljo v katerem koli brskalniku. To dejstvo je močno
razočara lastnike številnih virov, s katerimi ne želijo izgubiti stika
obiskovalec. Pomembno jim je, da mu sledijo, da razumejo, da je "ta oseba bila z nami
včeraj in predvčerajšnjim itd. "To še posebej velja za različne analizatorje
promet, sistemi za vodenje statistike, pasice itd. Tukaj je
zabava se začne, saj razvijalci uporabljajo vse vrste
triki, za katere se mnogi uporabniki niti ne zavedajo. Na tečaj pojdi
različne zvijače.

Flash piškotki

Stvar je v tem, da poleg običajnih "žemljic" HTTP, do katerih je bilo vse
včasih, zdaj se aktivno uporabljajo alternativne shrambe, kjer je brskalnik
lahko zapiše podatke na stranki odjemalca. Najprej je treba omeniti
shranjevanje tako ljubljenega kot sovražnega Flasha hkrati (za tiste uporabnike, ki
ki je nameščen). Podatki so shranjeni v tako imenovanih LSO (Local Shared)
Objekti) - datoteke, podobne piškotkom, ki se shranijo lokalno
uporabnikov računalnik. Pristop je v marsičem podoben običajnim "dobrotam" (v tem
v istem primeru majhna količina
besedilni podatki), vendar ima nekaj prednosti:

  • Flash piškotke delijo vsi brskalniki v računalniku (v nasprotju z
    iz klasičnega piškotka, ki je vezan na brskalnik). Nastavitve, informacije
    o seji, na primer nekem identifikatorju za sledenje uporabniku,
    niso vezani na noben poseben brskalnik, ampak postanejo običajni za
    vsi.
  • Flash piškotki omogočajo shranjevanje veliko več podatkov (npr
    običajno 100 Kb), kar poveča število uporabniških nastavitev,
    na voljo za shranjevanje.

V praksi postane LSO zelo preprosta in cenovno dostopna tehnologija sledenja.
uporabnik. Pomislite: če bi vam ponudil, da odstranite vse "žemljice"
sistem, bi pomislili na piškotke Flash? Verjetno ne. Zdaj poskusite vzeti
kateri koli gledalec, na primer brezplačno

FlashCookies Oglejte si, v koliko zanimivosti je zapisanih
Shrambe flash. Takoj se prikaže seznam spletnih mest, ki se res ne želijo prikazati.
izgubite sled, tudi če počistite predpomnilnik brskalnika (skupaj z »dobrotami«).

Piškotki povsod z evercookie

Če pa so za LSO slišali napredni in nekoliko dobri uporabniki
razvijalci, obstoj drugih tehnik shranjevanja podatkov, včasih zelo
prefinjene (vendar učinkovite), mnogi niti ne sumijo. Vzemite vsaj nove
oboki, ki so se pojavili v
(Shranjevanje sej,
Local Storage, Global Storage, Database Storage via SQLite), o katerem lahko govorite
preberite v članku "". Ta problem je poljski specialist resno zmedil
avtorja Samy Kamkar security. Posledično posebna
Knjižnica JavaScript evercookie, ki je posebej zasnovana za
ustvarite najbolj obstojne piškotke v brskalniku. Nekdo se lahko vpraša: "Zakaj
ali je to potrebno? "Zelo preprosto: za enolično identifikacijo
obiskovalec strani, če pride znova. Takšni piškotki, ki jih je težko ubiti, so pogosto
imenujemo sledilni piškotki in jih nekateri protivirusni programi celo definirajo kot
grožnja zasebnosti. Evercookie lahko zmanjša vse poskuse, da ostane anonimen
nič.

Skrivnost je, da evercookie hkrati uporablja vse, kar je na voljo brskalniku
shrambe: običajni piškotki HTTP, LSO, vsebniki HTML5. Poleg tega uporabljamo
več zvijačnih trikov, ki vam z nič manj uspeha omogočajo, da ne nadaljujete
računalniško priljubljena nalepka. Med njimi: ustvarjanje posebnih slik PNG,
uporaba zgodovine brskalnika, shranjevanje podatkov z oznako ETag, vsebnikom
userData v Internet Explorerju - izkazalo se je, da obstaja veliko možnosti.

Kako učinkovito deluje, si lahko ogledate na spletnem mestu.
razvijalec -
http://samy.pl/evercookie. Če kliknete gumb »Kliknite, da ustvarite
evercookie ", bodo v brskalniku ustvarjeni piškotki z naključno številko. Poskusite
brisanje piškotkov, kjer je to mogoče. Stavim, da ste zdaj
pomislil: "Kje drugje lahko izbrišete piškotke, razen v nastavitvah brskalnika?".
Ste prepričani, da ste vse izbrisali? Če želite znova naložiti stran, jo lahko celo znova naložite
odprite brskalnik. Zdaj lahko kliknete gumb »Kliknite, da znova odkrijete piškotke«.
WTF? To mestu ni preprečilo, da bi podatke vzelo od nekod - v poljih strani
prikazala številko, ki je bila shranjena v piškotku. Toda ali smo jih drgnili? Kako
ali je delovalo? Poskusimo ugotoviti nekatere tehnike.

Piškotki PNG

Izjemno zanimiva tehnika, uporabljena v Evercookieju, je pristop
shranjevanje podatkov v predpomnjenih slikah PNG. Ko se evercookie nastavi
piškotki, se nanaša na skript evercookie_png.php s posebno "bunto" HTTP,
drugačen od tistega, ki se uporablja za shranjevanje standardnih informacij o
sejo. Te posebne piškotke prebere skript PHP, ki ustvari
Slika PNG, v kateri se ujemajo vse vrednosti RGB (barve)
s podatki o seji. Na koncu se datoteka PNG pošlje v brskalnik odjemalca
z oznako: "datoteko je treba predpomniti 20 let."

Ko prejme te podatke, evercookie izbriše prej ustvarjeno posebno
Piškotki HTTP, nato vloži isto zahtevo za isti skript PHP, vendar ne
podajanje podatkov o uporabniku. Vidi, da so zanj zanimivi podatki
ne in ne more ustvariti PNG. Namesto tega se vrne v brskalnik
lažni odgovor HTTP "304 ni spremenjen", zaradi česar datoteko potegne iz
lokalni predpomnilnik. Slika iz predpomnilnika se vstavi na stran z oznako
Platno HTML5. Takoj, ko se to zgodi, evercookie prebere vsak piksel
vsebino platna, izvleče vrednosti RGB in s tem obnovi
izvirne podatke o piškotkih, ki so bili shranjeni na sliki. Voila, vsi
dela.

Namig s spletno zgodovino

Drug trik je neposredna uporaba zgodovine brskalnika. Takoj, ko brskalnik
namesti bun, evercookie kodira podatke z algoritmom Base64,
ki jih je treba ohraniti. Recimo, da so ti podatki niz,
pridobljeno s "bcde" po pretvorbi v Base64. Knjižnica zaporedno
postane ozadje na naslednje URL -je:

google.com/evercookie/cache/b
google.com/evercookie/cache/bc
google.com/evercookie/cache/bcd
google.com/evercookie/cache/bcde
google.com/evercookie/cache/bcde-

Tako so ti URL -ji shranjeni v zgodovini. Sledi posebnost
trik - Knocker za zgodovino CSS, ki s skriptom JS in CSS omogoča
preverite, ali je uporabnik obiskal določeni vir ali ne (več podrobnosti tukaj -
samy.pl/csshack). Za
evercookie buns preveri vse možne znake Base64
google.com/evercookie/cache, začenši pri znaku "a" in nadaljujte, vendar le
en lik. Takoj, ko skript vidi URL, do katerega je bil dostopen, ga
začne ponavljati naslednji znak. Izkazalo se je za nekakšno grobo silo. V praksi
ta izbor se izvede izredno hitro, ker ni zahtev za
strežnik niso izvedeni. Zgodovina je lokalno iskana do maksimuma
kratkoročno. Knjižnica ve, da je dosegla konec vrstice, ko bo URL
konča z znakom "-". Dekodiramo Base64 in dobimo naše podatke. Kako
poimenovati razvijalce brskalnikov, ki to dopuščajo?

Poskusite izbrisati

Kaj se zgodi, če uporabnik izbriše svoje piškotke? Pomembna lastnost knjižnice same
evercookie je, da se bo moral uporabnik zelo potruditi
izbrišite piškotke, ki so ostali na različnih mestih - zdaj jih je 10. Če je vsaj eden
podatki o piškotkih bodo ostali na mestu, samodejno pa bodo obnovljeni v vseh drugih
krajev. Na primer, če uporabnik ne izbriše samo privzetih piškotkov, ampak
in očistiti podatke LSO, očistiti shrambo HTML5, kar je tako ali tako malo verjetno
piškotki, ustvarjeni s predpomnjenim PNG -om in spletno zgodovino, bodo ostali. Ob
naslednjič, ko obiščete spletno mesto z evercookie, knjižnica ne bo mogla le najti
skrito žemljico, vendar jih bo obnovila tudi na vseh drugih mestih, ki
podpira brskalnik odjemalcev. Zanimiva točka je povezana s prenosom
"dobrote" med brskalniki. Če uporabnik v enem brskalniku prejme piškotke,
to pomeni, da je zelo verjetno, da se bodo reproducirali v drugih. Edina stvar
predpogoj za to je shranjevanje podatkov v piškotku Local Shared Object.

Kako uporabiti?

Knjižnica Evercookie je popolnoma odprtokodna, zato jo lahko prosto
uporabite, prilagodite svojim potrebam. Strežnik ni predstavljen z nobenim
resne zahteve. Potreben je le dostop do skripta JS, v katerem
vsebuje kodo evercookie. Če želite uporabiti piškotke Flash (lokalni predmet v skupni rabi),
v mapi s skriptom mora biti datoteka evercookie.swf in za delo tehnik,
na podlagi predpomnjenja PNG in uporabe shrambe ETag, dostop do
Skripti PHP evercookie_png.php in evercookie_etag.php. Uporabite evercookie
lahko na kateri koli strani spletnega mesta povežete naslednji skript:




Niste našli odgovora na svoje vprašanje? Poglej tukaj
Napake v singularnosti?Napake v singularnosti?
Just Cause 2 se zrušiJust Cause 2 se zruši
Terraria se ne zažene, kaj naj storim?Terraria se ne zažene, kaj naj storim?