Bezpečné webové koláčky?

Ačkoliv by název mohl mást, nepůjde o žádné virtuální pekařství nebo o specializovaný Web s návody na pečení cu...


Ačkoliv by název mohl mást, nepůjde o žádné virtuální pekařství nebo o
specializovaný Web s návody na pečení cukrovinek. Řeč bude o cookies, malých
kouscích dat, které má téměř každý z vás ve svém prohlížeči. Jsou to textové
informace, které si u vás uchovávají jednotlivé webové servery. A nejsou to
informace ledajaké, často obsahují docela zajímavé informace o vaší osobě.
Prvotní specifikaci navrhl pro firmu Netscape její protokolový manažer Lou
Montulli. Tento mechanismus pak byl implementován už do prohlížeče Netscape
Navigatoru 1.0. Cookies jsou malé datové informace, které webový server posílá
v hlavičce protokolu http, ty jsou pak uloženy u klienta a při připojení jsou
serveru znovu odeslány. Jejich velikost je omezena na maximálně 4 KB od jednoho
serveru a současně povolenou kapacitou vašeho prohlížeče například pro Internet
Explorer jsou cookies ukládány do složky dočasných internetových souborů,
Netscape Navigator ukládá maximálně 300 položek, kdy nově přicházející
přepisují nejstarší. Protože uživatel může cookies i sám smazat, nelze v nich
přechovávat stálé informace, ale pouze dočasné.
Útočící cukrovinky
Sice se na první pohled může zdát, že cookies jsou absolutně bezpečné, ale jako
vždy lidská vynalézavost nezná mezí. Nejedná se o program ani o plug-in.
Nemohou být použity ani jako virus ani nemohou číst data uložená na vašem
harddisku. Přesto mohou prozradit některé velice zajímavé informace. Ptáte se
jak? Velice jednoduše mohou servery získávat informace o vašich oblíbených
webových stránkách a době, kterou zde strávíte. Mohou vás pak zasáhnout daleko
účinnější reklamní kampaní. Jako nejlepší příklad lze použít systémy firem
Double-Click nebo NetGravity. Říkáte, že jste o takovýchto firmách nikdy
neslyšeli a určitě jste nebyli na jejich stránkách. Jistě máte pravdu, ale ne
tak úplně. Když se podíváte do svých cookies, určitě tam od nich něco bude.
Reklamní bannery viditelné na jiných serverech totiž pocházejí právě z těchto
serverů. Spolu s reklamní grafikou se tak k vám dostanou i něchtěné cookies.
I když jsou cookies relativně jednoduché, i zde byla objevena chyba bug. Ten
umožňoval číst cookies i cizích webových serverů. Útočník vycházel ze
specifikace cookies, která požaduje alespoň 1 tečku (případně 2 pro neamerické
domény, jako je např. cz, uk). Doménové jméno tak může být "pokus.cz", ale již
ne pouze "cz". Starší prohlížeče umožňovaly obejít toto omezení jednoduchým
podfukem, stačilo nastavit doménové jméno například na "cookiecentral.com...".
Naštěstí v nových verzích je tento bug již odstraněn.
Obrana
Nejlepší obranou je sice útok, ale ten lze v tomto okamžiku těžko použít.
Cookies se sice dají pro většinu prohlížečů zakázat, ale to není nejlepší
řešení. Další možností je nastavit varování při příjmu cookies a pak se
operativně rozhodnout. To je sice krásné řešení, bohužel velice nepraktické.
Cookies nastavuje skoro každý druhý server a věčné potvrzování brzy unaví.
Trošku sofistikovanější řešení nabízí řada sharewarových produktů, které
umožňují určení povolených a zakázaných serverů. Cookies pak budete přijímat
pouze ze serverů, kterým důvěřujete a které jsou pro vás potřebné. Ale asi
nejlepším řešením je smířit se s osudem a nechat si webové servery nastavovat
cookies, jak potřebují. Nese to sice malou dávku rizika, ale to asi většina z
nás přežije.
Zajímavé odkazy:
http://www.netscape.com/newsref/std/cookie_spec.html
specifikace cookies
http://www.cookiescentral.com web věnovaný cookies
http://www.ciac.org/ciac/bulletins/i-034.shtml
bulletin o riziku cookies
http://www.kburra.com
http://www.junkbusters.com
software na obranu proti cookies
9 3188 / als









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.