Заметаем следы

matt gophph, feat. serge

Спецвыпуск Xakep, номер #041, стр. 041-042-3

Естественно, у каждого браузера кукизы свои и хранятся по-разному. Самым простым способом посмотреть, есть ли они в эксплорере – Сервис -> Свойства Обозревателя -> Параметры -> Просмотр файлов ("cookies").

В каждом, на первый взгляд, хранится белиберда, потому что ослик шифрует всю инфу, но в руках злого дядьки-хакера белиберда превратится в заветный номер телефона бабушки, фотомодели-сестры и остальных засекреченных родственников. Как? Дело в том, что для получения содержимого приватных кукизов, хацкеру совсем не обязательно вламываться на комп и сажать трояна. Достаточно использовать одну из имеющихся дырок в браузере, пригласив жертву на свой сайт :). Даже шестой непропатченный осел, получив адрес типа http://password.com%20.xakep.ru, с радостью передаст содержимое кукизов из http://password.com любому серверу в зоне .xakep.ru. Аналогичные дыры имеются и у Mozilla, и у Opera. Полный их список можно посмотреть на ближайшем багтраке: www.security.nnov.ru или www.xakep.ru.

Так что каждый юзер должен рьяно охранять все свое печенье :).

Вот, пожалуй, и вся вводная в кулинарию. Добавлю только, что кукизы бывают двух сортов - постоянные (те которые лежат на винте и после закрытия браузера) и временные (в которых, например хранятся текущие логин и пароль при просмотре мыла, и которые после ухода с сайта удаляются).

Cookies: методы борьбы

Естественно, любой уважающий себя пользователь должен, заботясь о своей безопасности и анонимности, если не полностью заметать результаты своего лазанья по интернету, то, по крайней мере, знать, что они есть, и пускать злобного хацкера по ложному следу. Элементарные средства управления кукизами предусмотрены в каждой нормальной бродилке. И Осел, и Опера, и Мозилла позволяют запретить/разрешить прием и обработку стандартных (которые устанавливает текущий сайт) и сторонних (которые устанавливаются другими сайтами) cookie, а также установить сайты, которым всегда разрешено или, наоборот, запрещено использовать кукизы. Плюс к этому, в ИЕ есть стильный ползунок для определения уровня безопасности, в Опере - фишка "очищать кукизы при выходе" (почти как с кэшем) и менеджер для имеющихся кукизов, в Мозилле - возможность устанавливать срок годности для всех имеющихся печенюшек. Но, надо признать, по настройке кукизов Мозилла делает и Оперу, и ИЕ.