This page has been robot translated, sorry for typos if any. Original content here.

Warum brauche ich ein Cookie?

Tatsache ist, dass das HTTP-Protokoll einmalig ist, wenn Sie das so sagen können. Dh. Jedes Mal, wenn Sie auf die Seite gehen, startet der Benutzer zuerst, was auch immer er betritt, und welche Änderungen nicht vorgenommen werden. Cookie hilft dabei, die Illusion zu erzeugen, dass der Benutzer auf der Site in Erinnerung bleibt. Der Benutzer muss nicht hundertmal die gleichen Informationen von der Seite zur Seite eingeben, und selbst von Sitzung zu Sitzung wird er auf seiner Festplatte gespeichert. Die Bequemlichkeit kann auch der Tatsache zugeschrieben werden, dass diese Information, die der Benutzer immer auf seiner Platte "on the fly" ändern kann, ist. Cookie kann auch andere verschiedene Daten speichern. Zum Beispiel die Anzahl der Besuche auf einer Seite, die Zeit der Besuche. Mit Hilfe von Cookies ist es nicht schwer einen kleinen Organizer oder einen kleinen Korb in einem virtuellen Geschäft zu machen.

Cookie viele mögen wegen seiner Unsicherheit nicht. Viele Analysten sagen, dass dies kein Problem ist und mit dieser Technologie nichts Schlimmes getan werden kann. Ich bin damit nicht einverstanden, wenn jemand Informationen aus den Cookie-Dateien lesen kann, ist es bereits unsicher. Ich werde rein theoretische Beispiele liefern, die, wenn gewünscht, nicht schwer in die Realität umzusetzen sind.
1. Nehmen wir an, ein Benutzer ist an eine E-Mail-Site gegangen und hat ein Formular mit login'om und Passwort ausgefüllt, die im Cookie registriert sind, auch wenn es sich um die Secure Socket-Ebene handelt. Der Cracker schrieb einen Brief an den Benutzer im HTML-Format mit den Parametern zum Lesen von Cookies mit Passwörtern. Nach dem Lesen des Cookies die HTML-Datei oder den Benutzer um Erlaubnis bitten, Informationen an den Angreifer zu senden, wo der Benutzer durch die falsche Inschrift a la "Fehler in Javascript-Skripts" getäuscht werden kann. Sogar ein ziemlich erfahrener Benutzer zögert nicht, auf OK zu klicken, wonach Login und Passwort an den Angreifer gesendet werden. Oder der Angreifer kann den 0. Rahmen hinzufügen, wo die Informationen aus dem Cookie zwischengespeichert werden, die beim Beantworten der Nachricht am Ende des Briefes eingefügt werden. All dies ist leicht mit FORM und Javascript zu tun.
2. Ein Beispiel mit einem virtuellen Geschäft. Nehmen wir an, wir haben einen hypothetischen Shop bei shop.provider.com. Wenn Sie in diesem Geschäft Einkäufe tätigen, speichert der Benutzer Informationen im Cookie. Parallel oder vor dem Betreten des Geschäfts ging der Benutzer auf die hypothetische Hacker.provider.com-Crackerseite, wo die Cookie-Einstellungen des virtuellen Shops geändert wurden. Der Cracker kann die Anzahl der Einkäufe, den Namen, die Adresse und alles, was in diesem Cookie gespeichert ist, ändern. Ich denke, Sie würden es nicht mögen, wenn ein paar Monitore zu Ihren Einkäufen hinzugefügt wurden oder Sie Ihre Einkäufe an den falschen Benutzer getätigt haben. Dies ist ganz einfach, wenn Sie eine Seite in der Second-Level- oder Third-Level-Store-Domain haben.

Für den Benutzer sind die Cookie-Technologie einige Dateien im Ordner% WINDOWS% \ Cookies (standardmäßig in Internet Explorer) oder nur eine Cookie.txt (wenn es Netscape Navigator und andere Browser sind). Websites fügen dem Cookie in regelmäßigen Abständen Informationen hinzu und nehmen sie auch weg. Die Cookie-Spezifikationen bieten natürlich einige Sicherheitsfunktionen.

- Insgesamt können Cookies nicht mehr als 300 sein.
- Jeder Cookie darf nicht mehr als 4 KB sein.
- Es dürfen nicht mehr als 20 Cookies von einer Domäne der zweiten Ebene (plus Unter-Ebenen) empfangen werden.
- Informationen aus dem Cookie einer Second-Level-Domain (plus Sub-Level) können nicht von anderen Domains gelesen werden.
- Wenn das Dokument zwischengespeichert wird, werden die Informationen über das Cookie nicht zwischengespeichert.
- Informationen in / aus dem Cookie können über SSL übertragen werden.
- Wenn das Limit erschöpft ist, werden die ersten Einträge gelöscht. Wenn der Cookie mehr als 4 kb beträgt, werden die ersten Bytes abgeschnitten.

Um das Aufnahme- und Lese-Cookie zu steuern, können Sie spezielle Dienstprogramme verwenden. Diese Funktion ist jedoch in fast allen Firewalls wie Agnitum Outpost und im A4Proxy-Programm verfügbar. Sie können alle Cookies mit zwei Mausklicks verbieten.