Çerezler
“Bir web sitesinin güvenliğini sağlama” makalesi Sophos Plc ve SophosLabs tarafından sunulmaktadır.
Aralık 2007.
Bir web uygulaması tasarlarken karşılaşılan büyük bir sorun, yeni bir sayfa isteğinin önceki isteklerle herhangi bir referans olmadan işlenmesidir. Bir web uygulamasına "kullanıcıyı hatırlamasını" istemek zordur.
Çoğu tarayıcı, web uygulamalarının ziyaretçileri "hatırlamak" için kullanabileceği iki yöntemi destekler: normal çerezler ve oturum çerezleri.
-
Bir çerez, tarayıcı tarafından oluşturulan ve kullanıcının bilgisayarında saklanan küçük bir metin dosyasıdır. İçeriği düzenlenmemiştir, ancak genellikle bu dosyalar ad, son kullanma tarihi ve bazı diğer verileri saklar, örneğin:
“Count = 100”veya“Member = false”. -
Bir oturum çerezi, normal çerezle benzerdir, ancak web uygulamalarının verileri bellekte saklamasına olanak tanır.
Fark, normal çerez dosyasının kullanıcının bilgisayarında kaydedilmesi ve kullanıcı silene kadar orada saklanmasıdır. Buna karşılık, bir oturum çerezi yalnızca bilgisayar açıkken saklanır ve kullanıcı tarayıcıyı kapattığında otomatik olarak silinir. Ancak, ortak bir özellikleri vardır: manipülasyona açıktırlar.
Geliştiriciler genellikle çerez dosyalarındaki verilerin güvenli olduğunu düşünme eğilimindedir. Her şeyin yolunda olması gerekir çünkü kodu kendileri geliştirirler. Yanılıyorlar. Bir hacker, çerezi (ve bazı durumlarda aktif oturum verilerini) kolayca değiştirebilir ve siteye kapalı sayfaya erişim sağlamasını sağlayabilir.
Bir sistem tasarlarken, asla kullanıcı verilerine veya çerezlerden gelen verilere güvenmemelisiniz. Çerezlerde saklanan veri miktarını kısıtlamaya çalışın, özellikle de veriler kamuya açık olmaması gerektiğinde. En iyi yaklaşım, kullanıcının bilgisayarında saklanan tüm verileri güvensiz olarak değerlendirmektir.
2007 yılında, MySpace.com sitesi JS/SpaceStalk-A truva atı ile saldırıya uğradı. Bu, çerez dosyalarından bilgi çaldı ve uzak sunucuya iletti. Bu tür veriler, kullanıcıların adları, tercih edilen sitelerin adresleri ve parolalar gibi gizli bilgiler içerebilir.
Destek birimiyle iletişime geçin
Ayrıca şuraya gidebilirsiniz:
