Web サイトが完全に機能するかどうかは、多くのパラメータによって決まります。 その 1 つは、Cookie のサポート、つまり、コンピューターのメモリに保存されている Web ページによって生成されたデータを使用する機能です。 つまり、クッキーとは、 テキストファイル、さまざまなタイプのインターネット リソース (デザイン、タイム ゾーン、都市など) で行われた個人設定に関する情報、およびユーザーのアクティビティと認証 (アカウントへのログイン) に関する情報が含まれています。 Web サイトに登録するときや他のフォームに記入するときの情報の入力が大幅に簡素化されます。

World Wide Web のユーザーの間では、Cookie をアクティブにするとウイルスのようにコンピュータに害を及ぼす可能性があるという意見があります。 スパイウェアまたはマルウェア。 これは間違いです。 これらのファイルは単純なテキスト データであるため、それ自体ではいかなるアクションも実行できません。 これらはシステムの速度を低下させることはなく、有効期限が切れるまで PC メモリに保存されますので、体系的に削除する必要はありません。

多くの場合、Cookie はブラウザーでデフォルトで有効になっています。 Cookie が無効になっている場合は、特定のブラウザで Cookie を自分で有効にする方法を知る必要があります。 Cookie サポートの有効化は、初心者でも簡単です。 経験豊富なユーザー。 最も一般的なブラウザーでのアクティブ化の機能を詳しく見てみましょう。

Internet Explorer ブラウザでの Cookie のサポート

多くのユーザーは従来のブラウザを使用してページを表示します インターネットエクスプローラー。 このプログラムでは、バージョン 6 以降では、次のように Cookie を有効にすることができます。

• の上 トップパネル「サービス」メニューセクションを見つけます。
• 「インターネット オプション」の行をクリックします。
• 「プライバシー」タブに切り替えます。
• 「詳細」行をクリックします。
• 「Cookie の自動処理をオーバーライドする」の横のチェックボックスをオンにします。
• 「ファーストパーティ Cookie」グループと「サードパーティ Cookie」グループで「受け入れる」オプションを選択します。
• 「OK」ボタンをクリックして変更を確認します。

Internet Explorer で Cookie を有効にする簡単な方法があります。 同じ「プライバシー」タブにあるスライダーをドラッグするだけで、ネットワーク上で作業するときのセキュリティのレベルが表示され、中または低に設定します。

Mozilla Firefox ブラウザで Cookie を有効にする

人気のあるブラウザの 1 つは、 モジラ Firefox。 これを使用して Web サーフィンを行うユーザーは、その中で Cookie を有効にする方法を知っておく必要があります。 これを行うには、次のものが必要です。

「ツール」セクションを開きます。
。 「設定」サブセクションに移動します。
。 「プライバシー」タブで、Firefox の行を見つけます。
。 ポップアップメニューで「履歴を記憶する」項目をクリックします。
。 「OK」ボタンをクリックして変更を保存します。

Mozilla Firefox ブラウザで Cookie を有効にする別の方法もあります。 これを行うには、次のものが必要です。

「設定」ウィンドウで「プライバシー」タブをクリックします。
。 「履歴」ブロックで Firefox オプションを見つけます。
。 提案されたリストのポップアップ メニューで、「履歴ストレージ設定を使用します」という項目を選択します。
。 「サイトからの Cookie を受け入れる」行のチェックボックスにチェックを入れます。
。 「サードパーティのサイトからの Cookie を受け入れる」パラメータの値を「常に」に設定します。
。 「Cookie を保存」項目で、「有効期限が切れるまで」の行を選択します。
。 加えられた変更を確認します。

Opera ブラウザで Cookie を有効にする

ユーザーは、そのシンプルさ、利便性、セキュリティ、そして 20 年にわたる歴史を高く評価して、Opera ブラウザを好むことがよくあります。 Opera を使用する場合、Opera の Cookie を有効にして PC に情報を保存する方法についてもよく疑問が生じます。

これを行うには、次のアクションのアルゴリズムを実行する必要があります。

「ツール」メニューに移動します。
。 「設定」セクションを見つけます。
。 「詳細」タブに切り替えます。
。 サイド メニューで、[Cookie] 行をクリックします。
。 「Cookie を受け入れる」オプションを有効にします。
。 設定に加えた変更を保存します。

最近登場したものの、すでに World Wide Web のユーザーの間で人気を集めている Google Chrome ブラウザは、デフォルトで有効化されている Cookie のサポートも備えています。 それらを有効にする必要がある場合は、以下が必要になります。

アドレス バーの横にあるボタンをクリックして、ブラウザのメイン メニューに移動します。
。 「設定」セクションを開きます。
。 「設定」タブで、「表示」という行をクリックします。 追加設定»;
。 「個人データ」ブロックを見つけて「コンテンツ設定」ボタンをクリックします。
。 「Cookie」に移動します。
。 「ローカルデータの保存を許可する」オプションを選択します。
。 「完了」ボタンをクリックして変更を確定します。

Yandex ブラウザで Cookie を有効にするにはどうすればよいですか?

人気の Yandex リソースのブラウザ設定を使用すると、さまざまなサイトからの Cookie の処理パラメータを決定できます。 この機能を有効にするには、次のものが必要です。

右上隅にある歯車アイコンを見つけてマウスでクリックします。
。 開いたウィンドウで「設定」セクションを選択します。
。 下部で「追加設定を表示」という行を見つけてクリックします。
。 「個人データ保護」ブロックに進みます。
。 「コンテンツ設定」ボタンをクリックします。
。 「Cookie」という項目を見つけます。
。 必要なパラメータを設定するか、「すべて受け入れる」アクションを選択します。

Safari および Android ブラウザで Cookie を有効にする

ユーザーは、オペレーティング システムをベースにしたスマートフォンやタブレットを使用してインターネットにアクセスすることが増えています。 AndroidシステムそしてiOS。 組み込みブラウザには、Cookie の受け入れをサポートする機能が備わっています。

Safari (iPhone、iPad) で Cookie を有効にするには、次の操作を行う必要があります。

右上隅にある歯車アイコンをクリックします。
。 「設定」セクションに移動します。
。 「セキュリティ」タブに切り替えます。
。 「Cookie を受け入れる」セクションで、「常に」オプションを選択します。

で Androidブラウザ Cookie を有効にするには、次のものが必要です。

「メニュー」ボタンを押します。
。 「設定」セクションに移動します。
。 「保護とセキュリティ」タブで「Cookieを有効にする」を選択します。

ブラウザで Cookie を有効にする方法の質問に答えるときは、まずネットワークへのアクセスに使用されるプログラムの機能を考慮する必要があります。 Cookie を有効にした後も、Cookie が無効であるというメッセージが表示される場合は、キャッシュをクリアし、コンピュータ上の一時ファイルを削除してみてください。 ほとんどの場合、このような簡単な手順で問題を解決できます。 キャッシュと一時ファイルをクリアしても問題が解決しない場合は、Java プラグインを使用してブラウザが Cookie をサポートしているかどうかを確認する必要があります。

Cookie は、インターネット ユーザーの生活を大幅に促進し、インターネット上での作業を可能な限り便利にするために必要な要素です。 これらは Web サイトが正常に機能することを保証するものであり、ブラウザの設定で有効にする必要があります。

クッキー - Web サイトによってユーザーのコンピュータに保存されたテキスト ファイル形式の情報。 認証データ（ログイン/パスワード、ID、電話番号、住所）が含まれます メールボックス), カスタム設定、アクセス状況。 ブラウザのプロファイルに保存されます。

クッキーのハッキング Web リソース訪問者のセッションの盗難 (または「ハイジャック」) です。 個人情報は、送信者と受信者だけでなく、第三者、つまり傍受を実行した者にも利用可能になります。

Cookie ハッキングのツールと手法

現実世界の同僚と同様、コンピューター泥棒も、スキル、器用さ、知識に加えて、当然のことながら、独自のツール、つまりマスター キーとプローブの一種の武器庫を持っています。 ハッカーがインターネット ユーザーから Cookie を抽出するために使用する最も一般的なトリックを見てみましょう。

スニッファーズ

特別番組ネットワークトラフィックを監視および分析します。 彼らの名前は英語の動詞「sniff」（嗅ぐ）に​​由来しています。 ノード間で送信されたパケットを文字通り「嗅ぎ分ける」。

しかし、攻撃者はスニファを使用してセッション データ、メッセージなどを傍受します。 機密情報。 彼らの攻撃のターゲットは主に保護されていないネットワークで、Cookie はオープン HTTP セッションで送信されます。つまり、実質的に暗号化されていません。 (この点で最も脆弱なのは公衆 Wi-Fi です。)

ユーザー ノードと Web サーバー間のインターネット チャネルにスニファーを埋め込むには、次の方法が使用されます。

• ネットワークインターフェイス（ハブ、スイッチ）を「リッスン」します。
• トラフィックの分岐とコピー。
• ネットワークチャネルギャップに接続する。
• 被害者のトラフィックをスニッファにリダイレクトする特別な攻撃 (MAC スプーフィング、IP スプーフィング) による分析。

XSSの略語は、クロスサイトスクリプティングの略です- クロスサイトスクリプティング。 ユーザーデータを盗むためにWebサイトを攻撃するために使用されます。

XSS の原理は次のとおりです。

• 攻撃者が、Web サイトの Web ページ、フォーラム、またはメッセージ (たとえば、ソーシャル ネットワークで通信する場合) に悪意のあるコード (特別な偽装スクリプト) を挿入します。
• 被害者は感染したページにアクセスし、PC にインストールされているコードをアクティブ化します (クリックする、リンクをたどるなど)。
• 次に、実行された悪意のあるコードは、ブラウザからユーザーの機密データ (特に Cookie) を「抽出」し、それを攻撃者の Web サーバーに送信します。

ソフトウェア XSS メカニズムを「埋め込む」ために、ハッカーは Web サーバー、オンライン サービス、ブラウザーのあらゆる種類の脆弱性を利用します。

すべての XSS 脆弱性は、次の 2 つのタイプに分類されます。

• 受け身. この攻撃は、Web ページ上で特定のスクリプトをリクエストすることによって行われます。 悪意のあるコードが侵入される可能性があります さまざまな形 Web ページ上 (サイト検索バーなど)。 最も影響を受けやすい パッシブXSSデータの到着時に HTML タグのフィルタリングを行わないリソース。
• アクティブ. サーバー上に直接配置されます。 そして、それらは被害者のブラウザでアクティブ化されます。 これらは、あらゆる種類のブログ、チャット、ニュース フィードで詐欺師によって積極的に使用されています。

ハッカーは、被害者が何も疑わないように、XSS スクリプトを慎重に「カモフラージュ」します。 ファイル拡張子を変更し、コードを画像として伝え、リンクをたどるよう促し、興味深いコンテンツでユーザーを惹きつけます。 その結果、自分の好奇心を制御できなくなった PC ユーザーが、自分の手 (マウス クリック) で、XSS スクリプトの作成者であるコンピューターの悪者にセッション Cookie (ログイン名とパスワード付き!) を送信します。

クッキーの置換

すべての Cookie は、元の形式のまま、同じ値、文字列、その他のデータとともに保存され、Web サーバー (Cookie の「送信元」) に送信されます。 パラメータの意図的な変更は、Cookie 置換と呼ばれます。 つまり、攻撃者は Cookie を置き換える際に希望的観測を装うのです。 たとえば、オンライン ストアで支払いを行う場合、Cookie は支払い金額を下方に変更します。これにより、購入の「節約」が行われます。

ソーシャル ネットワーク上の他人のアカウントから盗まれたセッション Cookie は、別のセッションや別の PC に「挿入」されます。 盗まれた Cookie の所有者は、被害者のページにいる限り、被害者のアカウント (通信、コンテンツ、ページ設定) に完全にアクセスできます。

Cookie の「編集」は以下を使用して実行されます。

• 「Cookie を管理...」機能 Opera ブラウザ;
• FireFox 用の Cookies Manager および Advanced Cookie Manager アドオン。
• IECookiesView ユーティリティ (Internet Explorer のみ);
• テキストエディタ AkelPad、NotePad、Windows メモ帳など。

データへの物理的アクセス

とても 簡単な回路実装はいくつかのステップで構成されます。 ただし、これが有効なのは、セッションが開いている被害者のコンピュータ (VKontakte など) が無人のまま (しかも長期間!) 放置されている場合に限られます。

1. で アドレスバーブラウザでは、保存されているすべての Cookie を表示する JavaScript 関数が導入されています。
2. 「ENTER」を押すと、すべてがページに表示されます。
3. Cookie はコピーされ、ファイルに保存され、フラッシュ ドライブに転送されます。
4. 別の PC では、Cookie は新しいセッションに置き換えられます。
5. 被害者のアカウントへのアクセスが許可されます。

原則として、ハッカーは上記のツール (および他のツール) を組み合わせて (多くの Web リソースの保護レベルが非常に高いため)、または個別に (ユーザーがあまりにも単純な場合) の両方で使用します。

XSS + スニファー

1. XSS スクリプトが作成され、オンライン スニファー (自家製または特定のサービス) のアドレスが指定されます。
2. 悪意のあるコードは、拡張子 .img (画像形式) で保存されます。
3. その後、このファイルは Web サイトのページ、チャット、または個人メッセージにアップロードされ、そこで攻撃が実行されます。
4. ユーザーの注意は、作成された「トラップ」に引き寄せられます (ここでソーシャル エンジニアリングが有効になります)。
5. トラップがトリガーされると、被害者のブラウザからの Cookie がスニファーによって傍受されます。
6. 攻撃者はスニファー ログを開き、盗まれた Cookie を取得します。
7. 次に、上記のツールを使用して置換を実行し、アカウント所有者の権限を取得します。

Cookie をハッキングから保護する

1. 暗号化された接続を使用します (適切なプロトコルとセキュリティ方法を使用)。
2. 「新しい無料ソフトウェア」に慣れようとする、疑わしいリンク、画像、または誘惑的なオファーには応じないでください。 特に見知らぬ人から。
3. 信頼できる Web リソースのみを使用してください。
4. [ログアウト] ボタンをクリックして、承認されたセッションを終了します (タブを閉じるだけではありません!)。 特にアカウントにログインしていない場合 パソコン、たとえば、インターネット カフェの PC から。
5. ブラウザの「パスワードの保存」機能は使用しないでください。 保存された登録データにより、盗難のリスクが大幅に高まります。 怠惰にならず、各セッションの開始時にパスワードを入力してログインするのに数分間の時間を無駄にしないでください。
6. Web サーフィン後 (ソーシャル ネットワーク、フォーラム、チャット、Web サイトにアクセスした後)、保存されている Cookie を削除し、ブラウザーのキャッシュをクリアします。
7. ブラウザとウイルス対策ソフトウェアを定期的に更新します。
8. XSS 攻撃から保護するブラウザ拡張機能を使用します (例: FF および Google Chrome).
9. アカウントで定期的に。

そして最も重要なことは、リラックスしているときやインターネットで作業しているときに警戒と注意を失わないことです。

この図は、Cookie に wordpress_logged_in_263d663a02379b7624b1028a58464038=admin という行が含まれていることを示しています。 この値は Cookie 内では暗号化されていない形式であり、Achilles ユーティリティを使用して簡単に傍受できますが、ほとんどの場合、Achilles では特定のエントリのハッシュしか確認できません。 リクエストをサーバーに送信する前に、この行を同様の行に置き換えてみることができます (ただし、 この場合意味がありません) - 試行回数に制限はありません。 そして、このリクエストを送信ボタンからサーバーに送信すると、サーバーから管理者宛てのレスポンスを受け取ることができます。

前の例では、ユーザー ID の直接スプーフィングを使用できます。 さらに、パラメータの名前は、その値を置き換えて提供されます。 追加機能ユーザー (USER=JDOE など)、ID 文字列を持つ任意の式 (USER=JDOE または SESSIONID=BLAHBLAH など)、管理者 (ADMIN=TRUE など)、セッション (たとえば、USER=JDOE または SESSIONID=BLAHBLAH) 、SESSION=ACTIVE)、カート (CART=FULL など)、および TRUE、FALSE、ACTIVE、INACTIVE などの式。 通常、Cookie の形式は、Cookie が使用されるアプリケーションに大きく依存します。 ただし、Cookie を使用してアプリケーションの欠陥を見つけるためのこれらのヒントは、ほぼすべての形式に当てはまります。

Cookie抽出に対するクライアント側の対策

一般に、ユーザーは、認証や機密データの保存に Cookie を使用する Web サイトには注意する必要があります。 また、認証に Cookie を使用する Web サイトでは、ユーザー名とパスワードを暗号化するために少なくとも SSL プロトコルをサポートする必要があることにも留意する必要があります。このプロトコルが存在しない場合、データは暗号化されずに送信され、データを傍受することが可能になるためです。最も単純なものを使用して ソフトウェアネットワーク経由で送信されているデータを表示します。

Kookaburra Software は、Cookie の使用を容易にするツールを開発しました。 このツールは CookiePal と呼ばれます ( http://www.kbur​​ra.com/cpal.html (www.kbur​​ra.com を参照)). このプログラムこれは、Web サイトがマシンに Cookie をインストールしようとしたときにユーザーに警告することを目的としており、ユーザーはこのアクションを許可または拒否できます。 同様の Cookie ブロック機能は、現在すべてのブラウザで利用できます。

Web ブラウザのアップデートを定期的にインストールするもう 1 つの理由は、これらのプログラムのセキュリティ上の欠陥が常に特定されているためです。 そこで、Bennet Haselton と Jamie McCarthy は、リンクをクリックした後にクライアントのマシンから Cookie を取得するスクリプトを作成しました。 その結果、ユーザーのマシン上にある Cookie のすべての内容が利用可能になります。

この種のハッキングはハンドルを使用して行うこともできます

このようなことが私たちの個人データを脅かさないようにするために、私は自分自身でこれを実行し、HTML コードで動作するソフトウェアを常に更新するよう皆さんにアドバイスします ( 電子メールクライアント、メディアプレーヤー、ブラウザーなど）。

多くの人は単純に Cookie をブロックすることを好みますが、ほとんどの Web サイトは閲覧するために Cookie を必要とします。 結論 - 近い将来、Cookie を使わずに済む革新的なテクノロジーが登場すれば、プログラマーや管理者は安堵のため息をつくでしょう。しかし、今のところ、Cookie はハッカーにとっておいしい食べ物であり続けます。 より良い代替手段がまだ存在していないため、これは真実です。

サーバー側の対策

サーバーのセキュリティを確保するための推奨事項に関して、専門家はシンプルなアドバイスを 1 つ与えています。それは、絶対に必要な場合以外は Cookie メカニズムを使用しないことです。 通信セッションの終了後にユーザーのシステムに残る Cookie を使用する場合は、特に注意する必要があります。

もちろん、ユーザー認証のために Web サーバーにセキュリティを提供するために Cookie が使用できることを理解することが重要です。 アプリケーションで Cookie を使用する必要がある場合は、セッションごとに異なる有効期間の短いキーを使用するように Cookie メカニズムを構成し、ハッカーがハッキングに使用する可能性のある情報 (ADMIN=TRUE など) をこれらのファイルに入れないようにする必要があります。 。

さらに、作業時の安全性を高めるために、 クッキー暗号化を使用して抽出を防ぐことができます 重要な情報。 もちろん、Cookie テクノロジーを使用する場合、暗号化によってすべてのセキュリティ問題が解決されるわけではありませんが、この方法により、上記で説明した最も基本的なハッキングを防ぐことができます。

すでにアクセスしたサイトに戻ると、そのサイトがあなたを認識し、最後に適用した設定で開かれることに気づきましたか? はい、そしてかなり頻繁に? これは、ログイン、パスワード、セッション ID、および訪問者を識別し、リソースへの最後の訪問時に選択されたユーザーの設定に従ってページ コンテンツを表示するために必要なその他の変数などの訪問者に関する情報を保存する Cookie のおかげで発生します。 WebCookiesSniffer プログラムは、ユーザーがブラウザーで表示しているサイトの Cookie とそのコンテンツをユーザーに表示します。

クッキーを見る

Web サイトを開くと、WebCookiesSniffer がリアルタイムで Cookie をキャプチャします。 このユーティリティは、ホスト、リクエスト パス、Cookie ファイルの全長、Cookie ファイル内の変数の数、および変数の名前と値を含む Cookie 自体に関するデータを保存するテーブルに、捕捉したすべての Cookie を追加します。 WebCookiesSniffer は、収集した Cookie 情報をテキスト ファイルに保存できます。 このプログラムには、すべての Cookie または選択した Cookie の HTML レポートを生成する機能もあります。 プログラムが動作するには、WinPcap ドライバー (WebCookiesSniffer とともにアーカイブにあります) をインストールする必要があります。 WebCookiesSniffer プログラムの言語をロシア語に変更するには、ファイル WebCookiesSniffer_lng.ini (これもアーカイブに含まれています) をユーティリティのあるディレクトリにコピーします。

WebCookiesSniffer プログラムのスクリーンショット

– イゴール (管理者)

Cookie は、ブラウザがコンピュータ上に残す情報を含む小さなテキスト ファイルです。 そして、ほぼすべての Web サイトがコンピューター上に 1 つ以上の Cookie を残します。 下部の一部は、サイトに戻ったときにユーザーをすばやく識別するために使用され、一部は未完了のアクションなどの中間データを保存するために使用され、一部は最後に選択したオプションなどの設定を保存するために使用されます。 ただし、すべての Cookie はブラウザごとに個別に保存されるため、Cookie を変更または削除する必要がある場合は、通常、各ブラウザを個別に開いて Cookie を変更する必要があります。 さらに、ほとんどすべてのブラウザでは、標準の Cookie マネージャーを使用して、すべてのサイト Cookie を一度に削除することも、一度に 1 つだけ削除することもできますが、サイトの不要な Cookie をクリアする必要がある場合には非常に不便です。 ただし、もっと簡単な方法があります。これは Cookie Spy マネージャー プログラムです。このプログラムを使用すると、ほとんどのよく知られたブラウザーから Cookie を 1 か所で読み取り、編集できます。

注記注: デフォルトでは、Cookie の保存に使用できるデータのサイズが非常に制限されているため、一部のサイトで問題が発生する可能性があることに注意してください。

上の図でわかるように、CookieSpy は非常にシンプルで直感的なインターフェイスを備えています。 このプログラムの主な特徴は、IE、Firefox、Chome、Chomium、Safari、Opera、SeaMonkey、Comodo Dragon、Maxthon などの有名なブラウザの Cookie を読み取り、編集できるだけでなく、接続することもできることです。ブラウザのポータブル バージョンを使用し、Cookie を管理します (後者は設定メニューから実行します)。 CookieSpy はロシア語をサポートしているため、設定を理解するのは難しくありません。 すべての Cookie は、各フィールドによる並べ替えをサポートするテーブルに表示されるため、フィルター後に適切な Cookie を見つけるのは、標準のブラウザ マネージャーを使用するよりもはるかに簡単になります。 このプログラムのもう 1 つの優れた機能は、CookieSpy を使用すると複数の Cookie を一度に削除できることです。 この機能は、Cookie を 1 つずつ削除するという面倒な作業を繰り返し経験している人にとって特に魅力的です。

このリンクを使用して、開発者の Web サイトから CookieSpy をダウンロードできます。 VirusTotal によると、プログラム インストーラーの重さはわずか約 0.5 MB で、ウイルスは含まれていません。 ただし、インストーラーはインストール中にインターネットから約 6 MB をダウンロードすることに注意する必要があります。

注記: 一部の Cookie を削除すると、サイト上で以前に入力したデータが失われる可能性がありますので、使用する場合は十分に注意してください。 たとえば、サイトにアクセスした後、通常は特別な文字列が Cookie に記録され、サイトに再度アクセスすると、すぐに識別されるようになります。 このような Cookie を削除すると、サイトに再度ログインする必要があります。

すべてのブラウザの Cookie を 1 か所から管理することがいかに簡単であるかがわかりました。