IRCERT - کو‌کي‌ها و مسائل امنيتي

صفحه اول > مقالات

کو‌کي‌ها و مسائل امنيتي

بررسي انواع کوکي‌

علاوه بر کوکي‌هاي موقت و ماندگار که در مقاله قبل در مورد آن صحبت شد، کوکي‌ها دسته‌بندي ديگري نيز دارند:

کوکي‌هاي شخص‌اول! در مقابل کوکي‌هاي شخص‌ثالث: يک کوکي شخص‌اول از وب‌سايتي نشات مي‌گيرد يا به آن فرستاده مي‌شود که در آن زمان در حال مشاهده آن هستيد. اين کوکي‌ها معمولا براي ذخيره اطلاعات مانند اولويتهاي شما استفاده مي‌شوند. يک کوکي شخص ثالث از وب‌سايت متفاوت با آنچه در حال مشاهده آن هستيد نشات مي‌گيرد يا به آن فرستاده مي‌شود. وب‌سايتهاي شخص‌ثالث معمولا محتوياتي روي وب‌سايتي که در حال مشاهده هستيد، ارائه مي‌کنند. براي مثال، بسياري سايتها از تبليغات وب‌سايتهاي شخص‌ثالث استفاده مي‌کنند و آن وب‌سايتها ممکن است از کوکي استفاده کنند. يک استفاده معمول براي اين نوع از کوکي رديابي استفاده از صفحه‌وب شما براي تبليغات يا ساير مقاصد بازاريابي است. اين نوع کوکي‌ها مي‌توانند موقت يا ماندگار باشند.

نوعي از کوکي‌ها هستند که بعنوان کوکي‌هاي ناخوشايند ناميده مي‌شوند. کوکي‌هايي هستند که ممکن است اجازه دسترسي به اطلاعات شخصا قابل‌شناسايي شما را براي اهداف ثانويه بدون اجازه شما، فراهم کنند.

مزايا و معايب کوکي‌ها از ديد کاربران اينترنت

اگرچه خيلي‌ها از کوکي‌ها تصورات بدي دارند، اما اکنون مي‌دانيد که کابردهاي خوبي نيز دارند. بسياري از افراد کوکي‌ها را دوست ندارند زيرا آنها را ابزار “بردار بزرگ” (کسي که همواره ناظر بر اعمال و رفتار آنهاست) مي‌دانند. بعبارتي بعلت رديابي شدن توسط کوکي‌ها، به آنها سوءظن دارند. اين افراد بايد بدانند که اين نوع ردگيري مي‌تواند توسط تکنيک‌هاي ديگر نيز انجام گيرد، اما از کوکي‌ها بدليل ثبات بيشتر آنها نسبت به ساير روش‌ها استفاده مي‌شود. براي آنان که دوست ندارند ديگران بدانند در اينترنت چه مي‌کنند يا به کدام سايتها سر مي‌زنند، اين امر مساله ساز است.

مردم همچنان کوکي‌ها دوست ندارند، زيرا آنها را موجوداتي ‌‌”آب‌زيرکاه” مي‌دانند. مگر اينکه نسخه‌هاي جديد مرورگرها را داشته باشيد تا بتوانيد با تنظيماتي که انجام مي‌دهيد از ورود آنها مطلع شويد، در غير اينصورت آنها بدون هيچ نشاني وارد هارد شما مي‌شوند. سيس مي‌توانند بدون اطلاع کاربر کارهاي خاصي انجام دهند (شايد هدف قرار دادنتان براي اعمال تبليغاتي).

بهرحال فکر کردن به اين موضوع خوشايند نيست که در آينده نزديک علائق خصوصي ما ممکن است براي کساني که دوست نداريم، فاش شود. اين نگراني و عيب اصلي کوکي‌هاست. تقريبا قرار دادن ويروس از طريق کوکي فعلا ممکن نيست و جاي نگراني ندارد. همچنين کوکي‌ها نمي‌توانند به هارد شما صدمه وارد کنند، يا از آنچه روي هارد خود داريد، تصويري تهيه کنند يا هر کار ديگري شبيه اينها. کوکي‌ها فقط آنچه را شما به آنها مي‌گوييد، ميدانند. بهرحال اگر شما اطلاعاتي را در وب‌سايتي وارد کنيد، مطمئنا در جايي در يک کوکي قرار خواهد گرفت. جايگزينهاي آينده بجاي کوکي‌ها بايد با آغوش باز پذيرفته شود و اگرچه ممکن است همه چيز را حل نکنند، اما بعضي از نگرانيها را از بين خواهند برد.

مسائل امنيتي مربوط به کوکي‌ها

کوکي‌ها باعث بعضي خطرات امنيتي مي‌شوند. مي‌توانند توسط افرادي که بسته‌هاي اطلاعاتي را شنود مي‌کنند براي اهداف غيراخلاقي استفاده شوند و باعث دسترسي غيرمجاز به وب‌سايت‌ها يا تراکنش‌هاي غيرمجاز شوند. (يک سيستم شنود، کامپيوتري است که نرم‌افزارهايي را اجرا مي‌کند تا تمام بسته‌هاي TCP/IP وارد و خارج‌شونده را بررسي ‌کند)

ايجادکنندگان وب‌سايتها کوکي‌ها را مي‌سازند تا امکان دسترسي بهتر به سايتشان را فراهم کنند، يا در انواع ديگر تراکنش با سرورشان استفاده مي‌شوند. آنها بايد از امکان وقوع اين امر مطلع باشند و سيستم را طوري طراحي کنند تا خطر را به حداقل ممکن برسانند.

چند مورد وجود دارد که ايجادکننده وب‌سايت مي‌تواند انجام دهد:

· مطمئن شود که کوکي‌ها کمترين اطلاعات خصوصي را دربردارند.

· مطمئن شود که اطلاعات حساس قرارگرفته در کوکي‌ها هميشه رمزنگاري مي‌شود. (هرگز و هرگز شناسه‌ها و کلمات عبور نبايد بصورت متن رمز‌نشده استفاده و ذخيره شوند)

· کل کوکي را رمز کند.

کوکي‌ها بايد اطلاعات کافي را براي تاييد اينکه فرد استفاده کننده از کوکي، مجاز به استفاده از آن است، دارا باشند. بيشتر سايتهاي استفاده‌کننده از کوکي، اطلاعات زير را نيز لحاظ مي‌کنند:

· اطلاعات لازم براي دادن اجازه به فرد

· ساعت و تاريخ

· آدرس IP استفاده کننده وب

· تاريخ انقضاء

· کد MAC (Message Authenticity Check)

قراردادن آدرس IP به اين منظور است که کوکي تنها در صورتي تاييد شود که آدرس IP ذخيره‌شده در سرور با آدرس IP مرورگر فرستنده کوکي يکسان باشد. تاريخ انقضاء مدت زمان استفاده از يک کوکي را محدود مي‌کند و MAC تضمين مي‌کند که کوکي دچار تغيير نشده است.

کد MAC شامل يک رشته ادغامي از فيلدهاي داده در کوکي و يک رشته مخفي است که به آن اضافه مي‌شود. اطلاعات کد مي‌شود سپس مجددا ادغام مي‌شود و دوباره کد مي‌شود. نتيجه نهايي در داده کوکي قرار مي‌گيرد. هنگامي که کوکي به سرور برمي‌گردد، سرور خود، MAC را توليد مي‌کند و با MAC موجود در کوکي مقايسه مي‌کند. در صورت يکسان بودن، نشانه عدم تغيير کوکي است.

کار با کوکي‌ها

مرورگرهاي جديد اجازه نحوه کار با کوکي‌ها را به شما مي‌دهند؛ مي‌توانيد تنظيمات مرورگر خود را طوري انجام دهيد که به شما قبل از قراردادن کوکي روي کامپيوترتان خبر داده شود. (اين کار به شما اين امکان را مي‌دهد که اجازه قراردادن کوکي را بدهيد يا خير)؛ همچنين مي‌توانيد توسط مرورگر خود جلوي ورود تمام کوکي‌ها را بگيريد.

بعنوان مثال در اينترنت اکسپلورر امکان تنظيم نحوه برخورد با کوکي‌ها از سايتهاي مشخص گرفته تا کل سايتها وجود دارد. براي اطلاع يافتن بيشتر از نحوه کار با کوکي‌ها راهنماي مرورگر خود را مطالعه کنيد.

منبع: www.securitydocs.com