is loading...

Контактна інформація:

01.

Блог

Cookies безпека

January 24, 2018
Коментарі (0)
171
Cookies безпека

Продовжуючи тему безпеки даних користувачів сайту. Сьогодні торкнемося питання cookies файлів. Отже, давайте розберемося що таке cookie безпека.

Що таке cookie?

Cookie - це дані (невеликий фрагмент) відправлені сервером, які зберігаються на комп'ютері користувача. Відповідно кожен раз, коли комп'ютер під'єднується до веб-сайту він відправляє ці дані в http-запиті. Що ж це за дані, які неупереджено віддаються серверам з нашого комп'ютера:

  • аутентифікації користувача
  • зберігання налаштувань користувача
  • статистика користувача
  • сеанси доступу користувача

Прочитавши перший пункт варто задуматися. Фактично аутентифікація - це пароль та ім'я користувача. По суті виходить, що браузер просто так надає найпотаємніші речі. Ми не будемо зараз переходити до теми: «Як убезпечити свої cookie файли», зараз ми поговоримо що робити власникам сайтів для побудови правильної політики безпеки для користувачів.

Що таке cookie безпека?

Уявімо, що ми вже встановили SSL сертифікат і з сайтом з'єднання відбувається через https протокол. Що ж робити нам з куками? Спочатку давайте розглянемо що зробили творці браузера для «безпеки» наших даних:

  • всього браузер може зберігати до 300 значень cookies
  • кожен cookie не може перевищувати 4Кбайта
  • з одного сервера або домена може зберігатися до 20 значень cookies

Не багато, правда? По суті, дані cookies потрібні серверу для нашого з Вами приємного користування браузером і інтернет-ресурсами. Поміркуйте якби при кожному вході в ВК Вам би доводилося вводити пароль? Так, звичайно, є користувачі Web які саме так і роблять адже їх браузер не зберігає cookies. І кожен раз при заході на сервер браузер передає нову інформацію і не містить застарілу.

До того ж cookies зберігають завантажені дані з сайту якщо Ви на ньому один раз бували. При повторному заході завантаження сторінки відбувається швидше. Але є сайти, які вимагають за своєю тематикою скидати куки кожен раз при виході з браузера або сайту. Наприклад, це сайти банків або онлайн платіжних систем.

Як формувати cookies файли?

З боку сайту, cookies файли можна задавати за допомогою php або ж javascript. З їх допомогою можна формувати час життя цих файлів, максимальний обсяг і т.д. Наприклад, в php існують INI - налаштування безпеки сесій. Ті ж функції "session.cookie_lifetime = 0"

Можна налаштувати авто логін і багато іншого, весь перелік даних налаштувань можна знайти в офіційній документації php.

Способи збереження даних користувача:

1.Шифрування даних. Це нам надав SSL
2.Перевірка браузера, а саме перевірка поля http-заголовка user-agent
3.Термін дії сесії. Змінити або переналаштувати можна в файлах php.ini і. htaccess
4.Прив'язка до IP адреси. Використовується зазвичай тільки коли кількість користувачів обмежена, і вони мають статичні IP-адреси.

На жаль, виключати повністю можливість злому або крадіжки cookie не можна, але перелік наведених вище рекомендацій допоможе убезпечити від низького-середнього рівня хакерів.

 

Залиште коментар