Безопасность Cookie.

В статье по самоучителю PHP я уже рассказывал о cookie, но сегодня я хочу продолжить эту тему и рассказать Вам о безопасности этих “печенюшках”.

Да-да, именно “печенюшек” или как их еще называют “плюшки”. Никакого отношения к реальному значению файла этот перевод не имеет.

Смысл cookie в том, что это очень маленькие файлы, которые сохраняются браузером на диске в определённом месте. Файлы позволяют сайтам хранить на диске пользователя информацию, чтобы персонализировать сайт.

Так как в целях безопасности браузер не должен иметь доступа к компьютеру, то разработчики придумали безопасное решение в виде cookies. И решение действительно хорошее при правильном подходе.

Как лучше работать с cookie?

Работу с cookies лучше всего реализовать в самом начале файла сценария. Если до PHP-кода, устанавливающего cookie, будет присутствовать HTML-код, то на странице может появиться сообщение об ошибке.

Чтобы не столкнуться с такой ошибкой, всегда надо писать код использования сеанса установки cookie в самом начале, до HTML-кода и до подключения файлов с помощью require или include, где также может быть HTML-код, из-за которого произойдет ошибка сохранения параметров на диске пользователя.

Собственно о самой безопасности

Файлы cookies абсолютно небезопасны для хранения важной информации, и им доверять нельзя. Для своей же безопасности рекомендуется не хранить ничего приватного в них, что может повлиять на безопасность пользователя в системе и на безопасность сервера.

Способы завладения чужими файлами cookies:

  • ошибки в Web-браузере;
  • ошибки в сценариях, позволяющие встроить JavaScript-код в HTML-форму;
  • троянские программы.

И еще хакер может подделать файл. Для этого он производит те же действия, которые может выполнить пользователь, и в результате на диске взломщика появляется файл cookie. После этого он подделывает cookie таким образом, чтобы он соответствовал другому пользователю.

Злоумышленник регистрирует на почтовом сервере свой ящик и получает cookie. Далее он меняет файл cookie чтобы система приняла его за другого пользователя. Вот и все! Это очень просто сделать если вы не обезопасите себя! т.к. всё это можно провернуть если вы сохраняете свои данные (логин, пароль) в куки и хакер их может спокойно добыть.

Cоветы для защиты

Вот несколько вариантов защиты от взлома куки. Какой вариант лучше для Вас решайте самостоятельно:

1. Очистить или удали cookie

Всегда есть возможность удалить историю браузера и куки.

2. Настройка параметров браузера

Некоторые браузеры, например Firefox и Safari, предлагают большой контроль над информацией, отслеживаемой при помощи куки. Для установки таких параметров необходимо всего лишь зайти в настройки приватности браузера.

3. Использование надстроек

Есть вариант использовать надстройки для браузера, чтобы расширить возможности управления куки. Обычно в этих программах масса настроек и выбора параметров.

4. Здравый смысл

Когда используете общественные компьютеры не вводите личную информацию, которая может быть сохранена в куки, и всегда убеждайтесь, что вышли из вашего аккаунта.

 
Поделиться в facebook
Facebook
Поделиться в twitter
Twitter
Поделиться в vk
VK
Поделиться в google
Google+
Поделиться в email
Email

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Группа в VK

Помощь проекту

Обнаружили опечатку?

Сообщите нам об этом, выделите текст с ошибкой и нажмите Ctrl+Enter, будем очень признательны!

Свежие статьи

Похожие статьи

Фреймворк Yii

Фреймворк Yii

Yii — это высокоэффективный основанный на компонентной структуре PHP-фреймворк для разработки масштабных веб-приложений. Он позволяет максимально применить концепцию повторного использования кода и может существенно ускорить

 
Библиотека RedBeanPHP.

Библиотека RedBeanPHP.

RedBeanPHP – это мощная ORM для PHP, которая значительно упрощает работу с базами данных. ORM или Object-relational mapping (Объектно-реляционное отображение) — это технология программирования, которая

 
Безопасное хеширование паролей в PHP.

Безопасное хеширование паролей в PHP.

Такие хеширующие алгоритмы как MD5, SHA1 и SHA256 были спроектированы очень быстрыми и эффективными. При наличии современных технологий и оборудования, стало довольно просто выяснить результат

 

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: