Contacte

Ce sunt cookie-urile și cum să lucrați cu ele. Ce este un cookie și cum să ștergeți cookie-urile în browserele moderne Setarea cookie-urilor utilizând etichete META

Cookie-urile sunt o tehnologie dovedită care permite unui site web să-și „amintească” utilizatorul,
salvați-i setările și nu cereți de fiecare dată datele de conectare și parola. Poate sa
credeți că, dacă ștergeți cookie-urile din browser, site-ul nu vă va recunoaște. Dar asta
încrederea este înșelătoare.

Vă puteți deranja cât de mult doriți despre anonimatul dvs., utilizați un proxy
și VPN, antifoane de solicitare HTTP care falsifică sistemul utilizat,
versiunea browserului, fusul orar și multe alte informații, dar site-ului web nu îi pasă
vor exista modalități de a recunoaște faptul că l-ați vizitat deja. In multe
cazuri, acest lucru nu este deosebit de critic, dar nu într-o situație în care unele
serviciul trebuie să se prezinte ca un alt utilizator sau este greu de salvat
anonimat. Este ușor să ne imaginăm modul în care sistemul antifraudă al unui anumit condiționat
organizație financiară, dacă determină că de la un computer au fost efectuate
autorizare în conturile unor persoane complet diferite. Și este chiar frumos?
realizează că cineva de pe web îți poate urmări mișcările? Cu greu. Dar
despre totul în ordine.

Cum funcționează cookie-urile?

Timp de secole, cookie-urile au fost folosite pentru a identifica un utilizator.
Cookie-urile (din limba engleză „cookie”) reprezintă o mică informație de text,
pe care serverul le trimite browserului. Când utilizatorul accesează serverul
(își introduce adresa în linia browserului), serverul poate citi informații,
conținute în cookie-uri și pe baza analizei sale pentru a efectua orice acțiune.
De exemplu, în cazul accesului autorizat la ceva prin intermediul web prin cookie-uri
datele de conectare și parola sunt salvate în timpul sesiunii, ceea ce permite utilizatorului să nu o facă
introduceți-le din nou când vi se solicită fiecare document protejat prin parolă. Asa de
astfel, site-ul web poate „aminti” utilizatorul. Din punct de vedere tehnic se pare
în felul următor. Când solicitați o pagină, browserul trimite un scurt
textul cu cererea HTTP.

De exemplu, pentru a accesa www.example.org/index.html browserul
trimite următoarea solicitare către serverul www.example.org:

GET /index.html HTTP / 1.1
Gazdă: www.example.org

Serverul răspunde trimițând pagina solicitată împreună cu textul,
care conține un răspuns HTTP. Acesta poate instrui browserul să salveze cookie-urile:

HTTP / 1.1 200 OK
Tipul conținutului: text / html
Set-Cookie: nume = valoare

Dacă există un șir Set-cookie, browserul își amintește șirul nume = valoare (nume =
valoare) și o trimite înapoi la server cu fiecare solicitare ulterioară:

GET /spec.html HTTP / 1.1
Gazdă: www.example.org
Cookie: nume = valoare
Accept: * / *

Totul este foarte simplu. Dacă serverul a primit cookie-uri de la client și le are în
de bază, cu siguranță le poate prelucra. Astfel, dacă acestea ar fi cookie-uri cu
unele informații despre autorizare, utilizatorul la momentul vizitei nu va avea
datele de conectare și parola vor fi solicitate. Cookie-urile au o anumită durată de viață conform standardului.
(deși poate fi foarte mare), după care mor. Și orice
cookie-urile salvate pot fi șterse cu ușurință de către utilizator
opțiunea corespunzătoare, care este disponibilă în orice browser. Acest fapt este puternic
frustrează proprietarii de multe resurse cu care nu doresc să piardă legătura
vizitator. Este important pentru ei să-l urmărească, să înțeleagă că „această persoană a fost alături de noi
ieri și alaltăieri etc. "Acest lucru este valabil mai ales pentru diferiți analizatori
trafic, sisteme de păstrare a statisticilor, rețele de bannere etc. Aici e locul
distracția începe, deoarece dezvoltatorii folosesc tot felul de
trucuri pe care mulți utilizatori nici măcar nu le cunosc. În curs, du-te
diverse trucuri.

Cookie-uri Flash

Lucrul este că, pe lângă obișnuitele „chifle” HTTP, la care totul a fost
obișnuit, acum sunt utilizate în mod activ stocări alternative, în cazul în care browserul
poate scrie date din partea clientului. Primul lucru de menționat este
stocarea atât a Flash-ului iubit, cât și al celui urât în ​​același timp (pentru acei utilizatori care
pe care este instalat). Datele sunt stocate în așa-numitele LSO (Local Shared
Obiecte) - fișiere similare cookie-urilor, care sunt salvate local pe
computerul utilizatorului. Abordarea este în multe feluri similară cu „bunătățile” obișnuite (în acest document)
în același caz, o cantitate mică de
date text), dar are câteva avantaje:

  • Cookie-urile Flash sunt partajate de toate browserele de pe computer (spre deosebire de
    de la cookie-ul clasic care este legat de browser). Setări, informații
    despre sesiune, cum ar fi, să zicem, un identificator pentru a urmări utilizatorul,
    nu sunt legate de un anumit browser, ci devin obișnuite pentru
    toata lumea.
  • Cookie-urile Flash permit stocarea a mult mai multe date (cum ar fi
    de obicei 100 Kb), ceea ce mărește numărul de setări ale utilizatorului,
    disponibil pentru salvare.

În practică, LSO devine o tehnologie de urmărire foarte simplă și accesibilă.
utilizator. Gândește-te la asta: dacă ți-aș oferi să elimini toate „chiflele” din
sistem, te-ai gândi la cookie-urile Flash? Probabil ca nu. Acum încearcă să iei
orice vizualizator, de exemplu, gratuit

FlashCookies Vizualizați și vedeți în câte lucruri interesante sunt înregistrate
Depozite bliț. Apare imediat o listă de site-uri care nu doresc cu adevărat să apară.
pierdeți pista, chiar dacă curățați memoria cache a browserului (împreună cu „bunătățile”).

Cookie-uri peste tot cu evercookie

Dar dacă utilizatorii avansați și puțin cam buni au auzit despre LSO
dezvoltatori, existența altor tehnici de stocare a datelor, uneori foarte
sofisticat (dar eficient), mulți nici măcar nu bănuiesc. Luați cel puțin altele noi
seifuri care au apărut în
(Stocare sesiune,
Local Storage, Global Storage, Storage Storage via SQLite) despre care puteți vorbi
citiți în articolul „”. Această problemă a fost serios confundată de un specialist polonez
de securitatea Samy Kamkar. Ca rezultat, un special
Biblioteca JavaScript evercookie, care este concepută special pentru
creați cele mai persistente cookie-uri în browser. Cineva ar putea întreba: „De ce
este necesar? ". Foarte simplu: pentru a identifica în mod unic
vizitator de pagină dacă vine din nou. Astfel de cookie-uri greu de omorat sunt adesea
sunt denumite cookie-uri de urmărire și sunt chiar definite de unele antivirusuri ca
amenințare la adresa vieții private. Evercookie poate reduce toate încercările de a rămâne anonim
zero.

Secretul este că evercookie folosește simultan tot ce este disponibil pentru browser.
stocări: cookie-uri HTTP obișnuite, LSO-uri, containere HTML5. În plus, folosim
mai multe trucuri complicate care, cu nu mai puțin succes, vă permit să plecați
etichetă râvnită de computer. Printre acestea: generarea de imagini PNG speciale,
folosind istoricul browserului, stocarea datelor folosind eticheta ETag, container
userData în Internet Explorer - se pare că există o mulțime de opțiuni.

Puteți vedea cât de eficient funcționează pe site.
dezvoltator -
http://samy.pl/evercookie. Dacă faceți clic pe „Faceți clic pentru a crea un
evercookie ", cookie-urile cu un număr aleatoriu vor fi generate în browser. Încercați
ștergeți cookie-uri ori de câte ori este posibil. Pun pariu că ești acum
s-a gândit: „Unde mai puteți șterge cookie-urile, cu excepția setărilor browserului?”.
Ești sigur că ai șters totul? Reîncărcați pagina pentru a fi sigur, puteți chiar să reîncărcați
deschideți un browser. Acum nu ezitați să faceți clic pe butonul „Faceți clic pentru a redescoperi cookie-urile”.
WTF? Acest lucru nu a împiedicat site-ul să ia date de undeva - în câmpurile paginii
a afișat numărul care a fost salvat în cookie. Dar le-am frecat? Cum
a funcționat? Să încercăm să ne dăm seama câteva dintre tehnici.

Cookie-uri PNG

O tehnică extrem de interesantă utilizată în Evercookie este abordarea
stocarea datelor în imagini PNG cache. Când se instalează evercookie
cookie-uri, se referă la scriptul evercookie_png.php cu un „bun” HTTP special,
diferită de cea utilizată pentru a stoca informații standard despre
sesiune. Aceste cookie-uri speciale sunt citite de un script PHP care creează
Imagine PNG în care se potrivesc toate valorile RGB (culoare)
cu informații despre sesiune. În cele din urmă, fișierul PNG este trimis browserului clientului
marcat: "fișierul trebuie stocat în cache timp de 20 de ani."

După primirea acestor date, evercookie șterge specialul creat anterior
Cookie-uri HTTP, apoi face aceeași cerere către același script PHP, dar nu
furnizarea de informații despre utilizator. El vede că datele care îi interesează
nu și nu poate genera un PNG. În schimb, revine la browser
răspuns HTTP fals „304 Nemodificat”, ceea ce îl face să extragă fișierul
cache local. Imaginea din cache este inserată în pagină folosind eticheta
Pânză HTML5. De îndată ce se întâmplă, evercookie citește fiecare pixel
conținutul pânzei, extragând valorile RGB și restabilind astfel
datele cookie originale care au fost stocate în imagine. Voila, tuturor
lucru.

Sugestie cu Istoricul web

Un alt truc este utilizarea directă a istoricului browserului. De îndată ce browserul
instalează un coc, evercookie codifică date folosind algoritmul Base64,
care trebuie păstrate. Să presupunem că aceste date sunt un șir,
obținut de „bcde” după convertirea în Base64. Biblioteca secvențial
accesează următoarele adrese URL în fundal:

google.com/evercookie/cache/b
google.com/evercookie/cache/bc
google.com/evercookie/cache/bcd
google.com/evercookie/cache/bcde
google.com/evercookie/cache/bcde-

Astfel, aceste adrese URL sunt stocate în istoric. Urmează un special
truc - CSS History Knocker, care cu script JS și CSS permite
verificați dacă utilizatorul a vizitat sau nu resursa specificată (mai multe detalii aici -
samy.pl/csshack). Pentru
evercookie buns verifică toate caracterele posibile Base64
google.com/evercookie/cache, începând de la caracterul „a” și continuând, dar numai
un singur personaj. De îndată ce scriptul vede URL-ul care a fost accesat, acesta
începe să itereze asupra următorului personaj. Se dovedește un fel de forță brută. In practica
această selecție se efectuează extrem de rapid, deoarece nu există cereri pentru
server nu sunt executate. Istoricul este căutat la nivel local la maximum
termen scurt. Biblioteca știe că a ajuns la sfârșitul liniei când URL-ul este
se încheie cu un caracter „-”. Decodăm Base64 și obținem datele noastre. Cum
pentru a numi dezvoltatorii de browser care permit acest lucru?

Încercați să ștergeți

Ce se întâmplă dacă utilizatorul își șterge cookie-urile? O caracteristică importantă a bibliotecii în sine
evercookie este că utilizatorul va trebui să încerce din greu
ștergeți cookie-urile rămase în diferite locuri - acum sunt 10. Dacă cel puțin unul
datele cookie vor rămâne la locul respectiv, vor fi restaurate automat în toate celelalte
locuri. De exemplu, dacă un utilizator nu numai că șterge cookie-urile implicite, ci
și curățați datele LSO, curățați stocarea HTML5, ceea ce este oricum puțin probabil
cookie-urile create cu PNG-ul cache și istoricul web vor rămâne. La
data viitoare când veți vizita site-ul cu evercookie, biblioteca nu va putea găsi doar
coc ascuns, dar le va restabili și în toate celelalte locuri care
acceptă browserul clientului. Un punct interesant este legat de transfer
„bunătăți” între browsere. Dacă utilizatorul primește cookie-uri într-un singur browser,
adică există o mare probabilitate ca acestea să fie reproduse în altele. Singurul lucru
o condiție prealabilă pentru aceasta este stocarea datelor în modulul cookie local partajat.

Cum se folosește?

Biblioteca Evercookie este complet open source, astfel încât să puteți face acest lucru în mod liber
folosește-l, personalizează-l pentru a se potrivi nevoilor tale. Serverul nu este prezentat cu niciunul
cerințe serioase. Tot ce aveți nevoie este accesul la un script JS în care
conține codul evercookie. Pentru a utiliza cookie-uri Flash (obiect partajat local),
în dosarul cu scriptul trebuie să existe un fișier evercookie.swf, iar tehnicianul să funcționeze,
bazat pe cache PNG și folosind stocarea ETag, acces la
Scripturi PHP evercookie_png.php și evercookie_etag.php. Folosește evercookie
puteți în orice pagină a site-ului conectând următorul script:






Ți-a plăcut articolul? Împărtășește-l