Информация за бисквитки

Предназначение

„Бисквитките“ могат да съдържат произволна информация, избрана от сървъра, и се използват да поддържат състоянието на HTTP транзакциите, които иначе са „без състояние“. Обикновено те се използват за удостоверяване на самоличността на регистриран потребител на даден уебсайт като част от процеса на влизане или първоначална регистрация в сайта, като от потребителя не се изисква ново въвеждане на потребителско име и парола при всеки следващ достъп до този сайт. Други използват бисквитките за поддържане на „пазарска кошница“ за избрани стоки за купуване от даден сайт по време на една сесия, за персонализация на сайт (представяне на различни страници за различните потребители), и за проследяване на достъпа на отделни потребители до даден сайт.

Трайност

Дадена „бисквитка“ остава в компютъра на потребителя за използване при следваща сесия (междувременно тя може да бъде изтрита от потребителя), но тя може също така да се използва само в рамките на една сесия и да бъде изтрита в края на сесията.

Идентификация

Ако на даден компютър се използва повече от един браузър, всеки си има отделно пространство за съхранение на „бисквитки“. „Бисквитките“ не идентифицират дадено лице, а комбинация от компютър и уеб браузър. Следователно, едно лице, което използва няколко браузъра и / или компютъра има отделен набор от „бисквитки“ за всяка комбинация компютър – браузър. От друга страна, „бисквитките“ не правят разлика между множество потребители, споделящи един и същ компютър и браузър, освен ако те не използват различни потребителски сметки.

Кражба на „бисквитки“, междусайтово скриптиране и „отравяне“ на „бисквитки“

Макар че „бисквитките“ сами по себе си не са опасни, те съдържат информация, съответстваща на даден контекст: потребител, компютър, уеб браузър и, преди всичко, домейн, обслужван от уеб сървъра, откъдето произхождат. Заобикалянето на този контекст, т.е. „изтичането“ на информация за този контекст е нежелателно за потребителя, особено когато информацията от „бисквитките“ съдържа лични данни. Такова заобикаляне представлява ценно начинание за някой, който извършва атаки. Междусайтовото скриптиране е превъзходен инструмент за постигане на тази цел. Освен заплахите от атаки с междусайтово скриптиране и кражба на „бисквитки“, „отравянето“ на „бисквитки“ също представлява опасност за потребителя, тъй като то позволява прескачане на контекста и доверяване на приносителя им.

  • Кражба на „бисквитки“: събиране на потребителски „бисквитки“ и изпращането им на уебсайта на този, който извършва атаки. След това той може да използва информацията от „бисквитките“ за „отвличане“ на потребителската сметка от доверен / засегнат
  • „Отравяне“ на „бисквитки“: като заобикаля защитния механизъм на доверието, основано върху контекст, този който извършва атаки може да „инжектира“ код, получен от модификацията на съдържанието на „бисквитките“, като по този начин осъществява постоянни атаки.
Източник - Уикипедия