В статье по самоучителю PHP я уже рассказывал о cookie, но сегодня я хочу продолжить эту тему и рассказать Вам о безопасности этих «печенюшках».
Да-да, именно «печенюшек» или как их еще называют «плюшки». Никакого отношения к реальному значению файла этот перевод не имеет.
Смысл cookie в том, что это очень маленькие файлы, которые сохраняются браузером на диске в определённом месте. Файлы позволяют сайтам хранить на диске пользователя информацию, чтобы персонализировать сайт.
Так как в целях безопасности браузер не должен иметь доступа к компьютеру, то разработчики придумали безопасное решение в виде cookies. И решение действительно хорошее при правильном подходе.
Как лучше работать с cookie?
Работу с cookies лучше всего реализовать в самом начале файла сценария. Если до PHP-кода, устанавливающего cookie, будет присутствовать HTML-код, то на странице может появиться сообщение об ошибке.
Чтобы не столкнуться с такой ошибкой, всегда надо писать код использования сеанса установки cookie в самом начале, до HTML-кода и до подключения файлов с помощью require или include, где также может быть HTML-код, из-за которого произойдет ошибка сохранения параметров на диске пользователя.
Собственно о самой безопасности
Файлы cookies абсолютно небезопасны для хранения важной информации, и им доверять нельзя. Для своей же безопасности рекомендуется не хранить ничего приватного в них, что может повлиять на безопасность пользователя в системе и на безопасность сервера.
Способы завладения чужими файлами cookies:
- ошибки в Web-браузере;
- ошибки в сценариях, позволяющие встроить JavaScript-код в HTML-форму;
- троянские программы.
И еще хакер может подделать файл. Для этого он производит те же действия, которые может выполнить пользователь, и в результате на диске взломщика появляется файл cookie. После этого он подделывает cookie таким образом, чтобы он соответствовал другому пользователю.
Злоумышленник регистрирует на почтовом сервере свой ящик и получает cookie. Далее он меняет файл cookie чтобы система приняла его за другого пользователя. Вот и все! Это очень просто сделать если вы не обезопасите себя! т.к. всё это можно провернуть если вы сохраняете свои данные (логин, пароль) в куки и хакер их может спокойно добыть.
Cоветы для защиты
Вот несколько вариантов защиты от взлома куки. Какой вариант лучше для Вас решайте самостоятельно:
1. Очистить или удали cookie
Всегда есть возможность удалить историю браузера и куки.
2. Настройка параметров браузера
Некоторые браузеры, например Firefox и Safari, предлагают большой контроль над информацией, отслеживаемой при помощи куки. Для установки таких параметров необходимо всего лишь зайти в настройки приватности браузера.
3. Использование надстроек
Есть вариант использовать надстройки для браузера, чтобы расширить возможности управления куки. Обычно в этих программах масса настроек и выбора параметров.
4. Здравый смысл
Когда используете общественные компьютеры не вводите личную информацию, которая может быть сохранена в куки, и всегда убеждайтесь, что вышли из вашего аккаунта.