This page has been robot translated, sorry for typos if any. Original content here.

Pourquoi un cookie est-il nécessaire?

Le fait est que le protocole HTTP est un protocole à usage unique, pour ainsi dire. C'est à dire chaque fois que vous entrez dans la page, l'utilisateur recommence, peu importe ce qu'il peut entrer et les modifications qu'il ne ferait pas. Un cookie aide à créer l’illusion que l’utilisateur est mémorisé sur le site. L'utilisateur n'a pas besoin d'entrer des centaines de fois les mêmes informations d'une page à l'autre et même d'une session à l'autre, elles sont stockées sur son disque. La commodité peut également être attribuée au fait que l'utilisateur peut toujours modifier ces informations sur son disque à la volée. Les cookies peuvent également stocker d'autres données diverses. Par exemple, le nombre de visites d’une page, l’heure des visites. L'utilisation d'un cookie n'est pas difficile de créer un petit organisateur ou un caddie dans un magasin virtuel.

Beaucoup n'aiment pas les cookies en raison de son insécurité. De nombreux analystes disent que ce n'est pas un problème et que rien ne peut être fait avec cette technologie. Je suis profondément en désaccord avec cela, si quelqu'un peut lire les informations contenues dans le (s) fichier (s) de cookie, cela est déjà dangereux. Je donnerai des exemples purement théoriques qui, s’ils le souhaitent, ne sont pas difficiles à traduire dans les faits.
1. Supposons qu'un utilisateur se soit connecté à un site de courrier, ait rempli un formulaire avec un identifiant et un mot de passe enregistrés dans un cookie, même s'il est activé via Secure Socket Level. Le cambrioleur a écrit une lettre à l'utilisateur au format HTML avec les paramètres de lecture des cookies avec les mots de passe. Après avoir lu un cookie, un fichier HTML ou demandé à l'utilisateur l'autorisation d'envoyer des informations à un cracker, l'utilisateur peut se laisser berner par la fausse inscription à la "Erreurs dans les scripts Javascript!". Même un utilisateur assez expérimenté cliquera sur OK sans y penser, après quoi l'identifiant et le mot de passe seront envoyés au pirate. Ou un pirate informatique peut ajouter un 0ème cadre, qui contiendra temporairement des informations provenant du cookie, qui, lors de la réponse à une lettre, sera inséré à la fin de la lettre. Tout cela est facile à faire avec FORM et Javascript.
2. Exemple avec un magasin virtuel. Supposons que nous ayons un magasin hypothétique shop.provider.com. En effectuant des achats dans ce magasin, l'utilisateur stocke les informations dans le cookie. En parallèle ou avant d'entrer dans le magasin, l'utilisateur s'est rendu sur l'hypothétique page de piratage hacker.provider.com, où les paramètres de cookie du magasin virtuel ont été modifiés. Un pirate informatique peut modifier le nombre d’achats, le nom, l’adresse et tout ce qui est stocké dans ce cookie. Je pense que vous ne voudriez pas que vous ajoutiez deux moniteurs à vos achats ou que vous apportiez vos achats à un mauvais utilisateur. C'est assez simple à faire si vous avez une page dans le domaine d'un magasin du deuxième ou troisième niveau.

Ainsi, pour un utilisateur, la technologie des cookies consiste en plusieurs fichiers du dossier% WINDOWS% \ Cookies (par défaut dans Internet Explorer), ou en un seul fichier cookie.txt (s’il s’agit de Netscape Navigator et d’autres navigateurs). Les sites ajoutent périodiquement des informations au cookie et les enlèvent. Naturellement, les spécifications des cookies fournissent certaines fonctionnalités de sécurité.

- Il ne peut y avoir plus de 300 cookies.
- Chaque cookie ne peut pas dépasser 4 kb.
- Sur un domaine de second niveau (plus les sous-niveaux), plus de 20 cookies ne peuvent pas être reçus.
- Les informations des cookies d'un domaine de second niveau (plus des sous-niveaux) ne peuvent pas être lues par d'autres domaines.
- Si le document est mis en cache, les informations de cookie ne sont pas mises en cache.
- Les informations vers / depuis le cookie peuvent être transmises à l'aide du protocole SSL.
- Si la limite est épuisée, les premières entrées sont supprimées. Si le cookie dépasse 4 Ko, les premiers octets sont coupés.

Pour contrôler l'enregistrement et la lecture des cookies, vous pouvez utiliser des utilitaires spéciaux, mais cette fonction est présente dans presque tous les pare-feu, tels qu'Agnitum Outpost, et dans A4Proxy, vous pouvez désactiver tous les cookies en deux clics de souris.