کوکیها و مسائل امنیتی
بررسی انواع کوکی
علاوه بر کوکیهای موقت و ماندگار که در مقاله قبل در مورد آن صحبت شد، کوکیها دستهبندی دیگری نیز دارند:
کوکیهای شخصاول! در مقابل کوکیهای شخصثالث: یک کوکی شخصاول از وبسایتی نشات میگیرد یا به آن فرستاده میشود که در آن زمان در حال مشاهده آن هستید. این کوکیها معمولا برای ذخیره اطلاعات مانند اولویتهای شما استفاده میشوند. یک کوکی شخص ثالث از وبسایت متفاوت با آنچه در حال مشاهده آن هستید نشات میگیرد یا به آن فرستاده میشود. وبسایتهای شخصثالث معمولا محتویاتی روی وبسایتی که در حال مشاهده هستید، ارائه میکنند. برای مثال، بسیاری سایتها از تبلیغات وبسایتهای شخصثالث استفاده میکنند و آن وبسایتها ممکن است از کوکی استفاده کنند. یک استفاده معمول برای این نوع از کوکی ردیابی استفاده از صفحهوب شما برای تبلیغات یا سایر مقاصد بازاریابی است. این نوع کوکیها میتوانند موقت یا ماندگار باشند.
نوعی از کوکیها هستند که بعنوان کوکیهای ناخوشایند نامیده میشوند. کوکیهایی هستند که ممکن است اجازه دسترسی به اطلاعات شخصا قابلشناسایی شما را برای اهداف ثانویه بدون اجازه شما، فراهم کنند.
مزایا و معایب کوکیها از دید کاربران اینترنت
اگرچه خیلیها از کوکیها تصورات بدی دارند، اما اکنون میدانید که کابردهای خوبی نیز دارند. بسیاری از افراد کوکیها را دوست ندارند زیرا آنها را ابزار “بردار بزرگ” (کسی که همواره ناظر بر اعمال و رفتار آنهاست) میدانند. بعبارتی بعلت ردیابی شدن توسط کوکیها، به آنها سوءظن دارند. این افراد باید بدانند که این نوع ردگیری میتواند توسط تکنیکهای دیگر نیز انجام گیرد، اما از کوکیها بدلیل ثبات بیشتر آنها نسبت به سایر روشها استفاده میشود. برای آنان که دوست ندارند دیگران بدانند در اینترنت چه میکنند یا به کدام سایتها سر میزنند، این امر مساله ساز است.
مردم همچنان کوکیها دوست ندارند، زیرا آنها را موجوداتی ”آبزیرکاه” میدانند. مگر اینکه نسخههای جدید مرورگرها را داشته باشید تا بتوانید با تنظیماتی که انجام میدهید از ورود آنها مطلع شوید، در غیر اینصورت آنها بدون هیچ نشانی وارد هارد شما میشوند. سیس میتوانند بدون اطلاع کاربر کارهای خاصی انجام دهند (شاید هدف قرار دادنتان برای اعمال تبلیغاتی).
بهرحال فکر کردن به این موضوع خوشایند نیست که در آینده نزدیک علائق خصوصی ما ممکن است برای کسانی که دوست نداریم، فاش شود. این نگرانی و عیب اصلی کوکیهاست. تقریبا قرار دادن ویروس از طریق کوکی فعلا ممکن نیست و جای نگرانی ندارد. همچنین کوکیها نمیتوانند به هارد شما صدمه وارد کنند، یا از آنچه روی هارد خود دارید، تصویری تهیه کنند یا هر کار دیگری شبیه اینها. کوکیها فقط آنچه را شما به آنها میگویید، میدانند. بهرحال اگر شما اطلاعاتی را در وبسایتی وارد کنید، مطمئنا در جایی در یک کوکی قرار خواهد گرفت. جایگزینهای آینده بجای کوکیها باید با آغوش باز پذیرفته شود و اگرچه ممکن است همه چیز را حل نکنند، اما بعضی از نگرانیها را از بین خواهند برد.
مسائل امنیتی مربوط به کوکیها
کوکیها باعث بعضی خطرات امنیتی میشوند. میتوانند توسط افرادی که بستههای اطلاعاتی را شنود میکنند برای اهداف غیراخلاقی استفاده شوند و باعث دسترسی غیرمجاز به وبسایتها یا تراکنشهای غیرمجاز شوند. (یک سیستم شنود، کامپیوتری است که نرمافزارهایی را اجرا میکند تا تمام بستههای TCP/IP وارد و خارجشونده را بررسی کند)
ایجادکنندگان وبسایتها کوکیها را میسازند تا امکان دسترسی بهتر به سایتشان را فراهم کنند، یا در انواع دیگر تراکنش با سرورشان استفاده میشوند. آنها باید از امکان وقوع این امر مطلع باشند و سیستم را طوری طراحی کنند تا خطر را به حداقل ممکن برسانند.
چند مورد وجود دارد که ایجادکننده وبسایت میتواند انجام دهد:
· مطمئن شود که کوکیها کمترین اطلاعات خصوصی را دربردارند.
· مطمئن شود که اطلاعات حساس قرارگرفته در کوکیها همیشه رمزنگاری میشود. (هرگز و هرگز شناسهها و کلمات عبور نباید بصورت متن رمزنشده استفاده و ذخیره شوند)
· کل کوکی را رمز کند.
کوکیها باید اطلاعات کافی را برای تایید اینکه فرد استفاده کننده از کوکی، مجاز به استفاده از آن است، دارا باشند. بیشتر سایتهای استفادهکننده از کوکی، اطلاعات زیر را نیز لحاظ میکنند:
· اطلاعات لازم برای دادن اجازه به فرد
· ساعت و تاریخ
· آدرس IP استفاده کننده وب
· تاریخ انقضاء
· کد MAC (Message Authenticity Check)
قراردادن آدرس IP به این منظور است که کوکی تنها در صورتی تایید شود که آدرس IP ذخیرهشده در سرور با آدرس IP مرورگر فرستنده کوکی یکسان باشد. تاریخ انقضاء مدت زمان استفاده از یک کوکی را محدود میکند و MAC تضمین میکند که کوکی دچار تغییر نشده است.
کد MAC شامل یک رشته ادغامی از فیلدهای داده در کوکی و یک رشته مخفی است که به آن اضافه میشود. اطلاعات کد میشود سپس مجددا ادغام میشود و دوباره کد میشود. نتیجه نهایی در داده کوکی قرار میگیرد. هنگامی که کوکی به سرور برمیگردد، سرور خود، MAC را تولید میکند و با MAC موجود در کوکی مقایسه میکند. در صورت یکسان بودن، نشانه عدم تغییر کوکی است.
کار با کوکیها
مرورگرهای جدید اجازه نحوه کار با کوکیها را به شما میدهند؛ میتوانید تنظیمات مرورگر خود را طوری انجام دهید که به شما قبل از قراردادن کوکی روی کامپیوترتان خبر داده شود. (این کار به شما این امکان را میدهد که اجازه قراردادن کوکی را بدهید یا خیر)؛ همچنین میتوانید توسط مرورگر خود جلوی ورود تمام کوکیها را بگیرید.
بعنوان مثال در اینترنت اکسپلورر امکان تنظیم نحوه برخورد با کوکیها از سایتهای مشخص گرفته تا کل سایتها وجود دارد. برای اطلاع یافتن بیشتر از نحوه کار با کوکیها راهنمای مرورگر خود را مطالعه کنید.
منبع: www.securitydocs.com