вторник, 24 февраля 2009 г.

Что такое cookies?

Читаем Помощь, Общие вопросы. И видим:

"Что такое сооkiеs (куки)? Как их удалить?
сооkiеs - это небольшие текстовые файлы с информацией, приходящей Вам от интернет-сайта."

Действительно, в сооkiеs хранится некоторая информация, присылаемая сайтом, в текстовом виде. Если, находясь на странице сайта, Вы введете в адресную строку браузера Firefox или Opera следующий текст:
javasсript:document.write(document.сооkiе);
то увидите нечто вроде

remixAdminsBar=0; remixGroupType=0; remixpass=******************; remixwall=0; remixInformation=0; remixMembersBar=0; remixdescription=0; remixautobookmark=8; remixemail=*******; remixmid=23363; remixchk=5; remixaudios=0; remixlinksBar=1; remixOfficersBar=0; remixPhotosBar=0; remixTopicsBar=0; remixvideos=0; remixRecentNews=0; remixAlbumsBar=0

(ВНИМАНИЕ! Не делайте этого в присутствии посторонних и не отсылайте никому результат!)

Это и есть куки. По сути - набор параметров со значениями.
Наиболее интересны 3 параметра:
remixmid хранит Ваш id,
remixemail хранит Ваш e-mail (он же логин на сайте),
remixpass - md5-хеш от Вашего пароля.

Когда Вы загружаете любую страницу сайта, браузер отсылает на сайт Ваши куки, если находит их (таким образом сайт проверяет, что это Вы отправили запрос). Если не находит - Вы попадаете на страницу ввода логина и пароля.

Когда Вы нажимаете "выйти" вверху страницы, куки стираются.
Если Вы ставите галочку "Чужой компьютер" при входе на сайт, то куки стираются при закрытии браузера, даже если Вы не нажимали "выйти".

Что же узнает злоумышленник, получив Ваши куки?
Во-первых, e-mail, что неприятно, но не так страшно, если Ваш ящик защищен надежным паролем и хорошим спам-фильтром.
Во-вторых - хеш пароля. Это некоторая длинная строчка, вычисленная по паролю. По ней практически невозможно восстановить сам пароль. (Впрочем, для банальных паролей вроде qwerty и 123456 хеши широко известны, а для простых вроде даты рождения злоумышленник догадается вычислить хеш и сравнить со значением из cookies.) Но этого взломщику и не надо. Он ведь может перезаписать куки в своем браузере, подставив хеш _Вашего_ пароля - и получит полный доступ к Вашему аккаунту, разве что пароль поменять не сможет.

Вывод: не распространяйте сооkiе нигде (в том числе на сайтах, вставляющих на стену картинку вместо граффити).

Комментариев нет:

Отправить комментарий