موضوع: (Cookies Threats)بوابة الاختراق الامني 2012-11-18, 12:10 am
الكوكيز:
هي عبارة عن ملف نصّي وخادم صفحة الويب بتخزينه على القرص الصلب لجهاز المستخدم عن طريق المتصفّح عند زيارة المستخدم لصفحة الويب. يتمّ تبادل ملفات الكوكيز بين الخادم وصفحة الويب عن طريق بروتوكول نقل النص التشعبي (HTTP).تحتوي ملفّات الكوكيز على معلومات يستفيد منها الخادم فيقوم بتحديد هوّية المستخدم عند زيارته لصفحة الويب مرة أخرى.
* محتويات الكوكيز:
هناك محتويات أساسيّة يجب أن تكون متواجدة في أيّ ملف كوكيز مخزّن على جهاز المستخدم. هذه المحتويات تشمل:(اسم الملف. مُحتوى الملف- عنوان صفحة الويب التي قامت بتخزين الملف- تاريخ انتهاء مفعول الملف- نوع اتصال الإنترنت)
*أنواع الكوكيز:
ملفّات الكوكيز المؤقّتة (Session cookies): هي ملفات يتمّ تخزينها بشكل مؤقت في ذاكرة جهاز المستخدم أثناء زيارته لصفحة الويب ويتمّ التخلّص منها بعد إغلاق المتصفّح مباشرة. الغرض منها هو التعرّف على المستخدم أثناء انتقاله من صفحه إلى أُخرى.
ملفّات الكوكيز الدائمة (Persistent cookies): هذه الملفّات تبقى مُخزّنة بشكل دائم حتّى بعد إغلاق المستخدم للمتصفح ولا يتمّ التخلّص منها إلاّ بإزالتها يدوّياً أو عند انتهاء وقت مفعولها .
* آلية عملها: عند زيارة المستخدم لصفحة الويب لأوّل مرّة, يقوم الخادم بإرسال ملف نصيّ إلى المتصفّح عن طريق بروتوكول نقل النصّ التشعبي (HTTP), ومن ثمّ يقوم المتصفّح بتخزين هذا الملف على القرص الصلب لجهاز المستخدم. عندما يزور المستخدم صفحة الويب مرّة أخرى يقوم الخادم بإرسال طلب إلى المتصفّح بواسطة بروتوكول (HTTP) لقراءة واسترجاع معلومات المستخدم للتعرّف علية.يتمّ تشفير محتويات ملف الكوكيز أثناء عملية نقلها بين المتصفّح والخادم للحفاظ عليها من التطفّل والسرقة.
* مخاطر الكوكيز: قد يستخدم البعض ملفات الكوكيز بطريقة خاطئة قد تؤدّي إلى خرق الخصوصيّة والتجسس علي الاجهزة وتسبب مخاطر لمستخدم الشبكة العنكبوتيّة. سنستعرض هنا بعض هذه المخاطر.
- خطف الكوكيز (Cookie hijacking):
في هذه الحالة يقوم المتطفّل باعتراض وسرقة محتويات ملف الكوكيز أثناء انتقاله بين المتصفّح و خادم الويب عن طريق تقنية شمّ الحزمة (packet sniffing). .
- التلاعب بمحتويات الكوكيز (Cookie poisoning): ذكرنا سابقاً أنّه لا يتمّ قراءة وتعديل محتويات ملف الكوكيز إلاّ من قبل صفحة الويب التي قامت بتخزين الملف. ولكن في هذه العملية يواجه كل من المستخدم وصفحة الويب خطر تغيير محتويات الملف من قبل طرف خارجي. يقوم المتطفّل بتغيير محتويات الملف قبل إرساله إلى خادم الويب . تعتبر هذه العملية خطرة جدّاً بالنسبة لمواقع التجارة الإلكترونيّة, حيث يتمّ تغيير بيانات وسعر الشراء قبل وصولها إلى الخادم مما قد يتسبب بخسائر مادّية كبيرة لهذه المواقع.
- سرقة الكوكيز (Cookie theft): في عملية سرقة ملفات الكوكيز, يقوم المتطفّل بخداع المتصفّح ليرسل له الملف مباشرة بدلاً من الخادم , وعلى الرغم من أنّ هذه العملية مشابهه لعملية اختطاف الكوكيز إلاّ أنّهُ لا يمكن تفاديها بواسطة تشفير محتويات الملف.
- مشاركة الكوكيز بين المواقع (Cross-site cooking): من المعروف أنّه لكل موقع ملف كوكيز خاصّ به, ولكن بسبب وجود ثغرات أمنيّه في بعض متصفحات الويب تمكنّت بعض المواقع من الإطلاع على ملفات الكوكيز الموجودة على جهاز المستخدم لمواقع أخرى والتعديل عليها.
- التعقّب والتجسّس(Tracking&Spying): قد تستخدم الكوكيز لغرض التجسس على المستخدم, وتعقّب جميع تحرّكاته ومراقبة تصرّفاته في الشبكة العنكبوتيّة. هذا الأمر يعتبر انتهاكا لخصوصيّة و حريّة المستخدم.
- التقاط الكوكيز (Cookie Catching): عند استعراض المستخدم لصفحات الويب, يتمّ تخزين الصفحات والصور وغيرها في ذاكرة مؤقتة تدعى (caching proxy server) وذلك لاسترجاعها مباشرة من الذاكرة بدون الحاجة إلى إرسال طلب إلى خادم الويب عند زيارة المستخدم لهذه الصفحات لاحقاً مما يعمل على تخفيف الضغط على خادم الويب بالإضافة إلى توفير الوقت بالنسبة للمستخدم. هذه العملية قد تشكّل خطورة للمستخدم, إذ أنه يمكن إلتقاط وتخزين الكوكيز في الذاكرة المؤقتة أثناء انتقالها, وهذا الأمر يجعها أكثر عرضه للسرقة.
** طرق للتقليل من مخاطر الكوكيز:
لا يمكن استبعاد مخاطر الكوكيز تماماً, ولكن يمكن التقليل من احتمال حدوثها بإتباع الوسائل التالية :
1- عدم السماح للمواقع بتخزين ملفات الكوكيز, أو اختيار المواقع التي يرغب المستخدم بالسماح لها بتخزين الكوكيز وحجب ماعداها.لتحقيق ذلك, يمكن للمستخدم إتباع الخطوات التالية:
متصفّح فايرفوكس (Firefox):
1- الذهاب إلى الأدوات (tools) من القائمة الرئيسيّة.
2- الضغط على الخيارات (options).
3- اختيار الخصوصيّة (privacy).
4- اختيارuse custom settings for history)).
5- إلغاء تحديد قبول ملفات الكوكيز من صفحات الويب (accept cookies from sites).