This page has been robot translated, sorry for typos if any. Original content here.

Warum brauche ich einen Keks?

Tatsache ist, dass das HTTP-Protokoll einmalig ist, wenn Sie das sagen können. Ie. Jedes Mal, wenn Sie auf die Seite gehen, startet der Benutzer zuerst, was auch immer er eingibt und welche Änderungen nicht vorgenommen werden. Cookie hilft dabei, die Illusion zu erzeugen, dass der Benutzer auf der Website erinnert wird. Der Benutzer muss nicht hundert Mal die gleichen Informationen von der Seite zur Seite eingeben, und sogar von Sitzung zu Sitzung wird er auf seiner Festplatte gespeichert. Die Bequemlichkeit kann auch der Tatsache zugeschrieben werden, dass diese Information der Benutzer immer auf seiner Diskette "on the fly" ändern kann. Cookie kann auch andere verschiedene Daten speichern. Zum Beispiel die Anzahl der Besuche auf einer Seite, die Zeit der Besuche. Mit Hilfe von Cookies ist es nicht schwer, einen kleinen Organisator oder Korb in einem virtuellen Geschäft zu machen.

Cookie viele mögen nicht wegen seiner Unsicherheit. Viele Analysten sagen, dass dies kein Problem ist, und mit dieser Technologie kann nichts Schlechtes getan werden. Ich stimme dem nicht zu, wenn jemand Informationen aus den Cookie-Dateien lesen kann, dann ist es bereits unsicher. Ich werde rein theoretische Beispiele liefern, die auf Wunsch nicht schwer in die Realität umzusetzen sind.
1. Nehmen wir an, ein Benutzer ist zu einer Mail-Site gegangen und hat ein Formular mit Login und Kennwort ausgefüllt, die im Cookie registriert sind, auch wenn es sich um die Secure Socket-Ebene handelt. Der Cracker schrieb einen Brief an den Benutzer im HTML-Format mit den Parametern Lesen von Cookies mit Passwörtern. Nach dem Lesen des Cookies, der HTML-Datei oder der Abfrage des Benutzers Erlaubnis, Informationen an den Angreifer zu senden, wo der Benutzer durch die falsche Inschrift a la "Fehler in Javascript-Skripts!" Getäuscht werden kann. Selbst ein ziemlich erfahrener Benutzer zögert nicht, auf "OK" zu klicken. Danach werden Login und Passwort an den Angreifer gesendet. Oder der Angreifer kann den 0. Frame hinzufügen, in dem die Informationen aus dem Cookie zwischengespeichert werden, die beim Beantworten der Nachricht am Ende des Briefes eingefügt werden. All das ist mit FORM und Javascript einfach zu machen.
2. Ein Beispiel mit einem virtuellen Speicher. Nehmen wir an, wir haben einen hypothetischen Shop auf shop.provider.com. Bei Einkäufen in diesem Geschäft speichert der Benutzer Informationen im Cookie. Parallel oder vor dem Betreten des Ladens ging der Benutzer zur hypothetischen Hacker-Seite hacker.provider.com, wo die Cookie-Einstellungen des virtuellen Shops geändert wurden. Der Cracker kann die Anzahl der Käufe, den Namen, die Adresse und alles, was in diesem Cookie gespeichert ist, ändern. Ich denke, Sie würden es nicht mögen, wenn Ihren Einkäufen ein paar Monitore hinzugefügt würden oder Sie Ihre Einkäufe dem falschen Benutzer übergeben würden. Es ist ziemlich einfach, dies zu tun, wenn Sie eine Seite in der Geschäftsdomäne der zweiten oder dritten Ebene haben.

Für den Benutzer ist die Cookie-Technologie also ein paar Dateien im Ordner% WINDOWS% \ Cookies (standardmäßig im Internet Explorer) oder nur eine cookie.txt (wenn es sich um Netscape Navigator und andere Browser handelt). Websites fügen dem Cookie regelmäßig Informationen hinzu und nehmen sie auch mit. Natürlich bieten die Cookie-Spezifikationen einige Sicherheitsmerkmale.

- Die Gesamtzahl der Cookies darf nicht mehr als 300 betragen.
- Jeder Cookie darf nicht mehr als 4kb groß sein.
- Es können nicht mehr als 20 Cookies von einer Second-Level-Domain (plus Sub-Level) empfangen werden.
- Informationen aus dem Cookie einer Second-Level-Domain (plus Sub-Level) können nicht von anderen Domains gelesen werden.
- Wenn das Dokument zwischengespeichert wird, werden die Informationen zum Cookie nicht zwischengespeichert.
- Informationen in / aus dem Cookie können mit SSL übertragen werden.
- Wenn das Limit erschöpft ist, werden die ersten Einträge gelöscht. Wenn der Cookie mehr als 4 KB groß wird, werden die ersten Bytes abgeschnitten.

Um das Aufnehmen und Lesen von Cookies zu kontrollieren, können Sie spezielle Dienstprogramme verwenden, aber diese Funktion ist in fast allen Firewalls wie Agnitum Outpost verfügbar, ebenso wie im A4Proxy Prog. Sie können alle Cookies mit zwei Mausklicks verbieten.