This page has been robot translated, sorry for typos if any. Original content here.

Pourquoi ai-je besoin d'un cookie?

Le fait est que le protocole HTTP est unique, si vous pouvez le dire. Ie. chaque fois que vous allez à la page, l'utilisateur commence d'abord, quoi qu'il fasse, et quels changements ne seraient pas faits. Cookie aide à créer l'illusion que l'utilisateur est mémorisé sur le site. L'utilisateur n'a pas besoin de saisir une centaine de fois les mêmes informations de la page à la page, et même de session en session, il est stocké sur son disque. La commodité peut être attribuée aussi au fait que cette information l'utilisateur sera toujours capable de changer sur son disque "à la volée". Cookie peut également stocker d'autres données diverses. Par exemple, le nombre de visites sur une page, l'heure des visites. Avec l'aide de cookie, il n'est pas difficile de faire un petit organisateur ou un panier dans un magasin virtuel.

Beaucoup de biscuits n'aiment pas à cause de son insécurité. Beaucoup d'analystes disent que ce n'est pas un problème, et rien de mal ne peut être fait avec cette technologie. Je suis en profond désaccord avec ceci, si quelqu'un peut lire l'information du fichier de cookie (s), alors c'est déjà dangereux. Je vais aboutir à des exemples purement théoriques, qui, si on le souhaite, ne sont pas difficiles à traduire en réalité.
1. Imaginons qu'un utilisateur se soit rendu sur un site de messagerie, rempli un formulaire avec login'om et mot de passe, qui sont enregistrés dans le cookie, même si c'est via le niveau Secure Socket. Le pirate a écrit une lettre à l'utilisateur au format HTML avec les paramètres de lecture des cookies avec des mots de passe. Après avoir lu le cookie, le fichier HTML ou demander à l'utilisateur la permission d'envoyer des informations à l'attaquant, où l'utilisateur peut être trompé par la fausse inscription à la "Erreurs dans les scripts Javascript!". Même un utilisateur assez expérimenté n'hésite pas à cliquer sur OK, après quoi le login et le mot de passe seront envoyés à l'attaquant. Ou, l'attaquant peut ajouter la 0ème trame, où les informations du cookie seront temporairement stockées, qui, en répondant au message, seront insérées à la fin de la lettre. Tout cela est facile à faire avec FORM et Javascript.
2. Un exemple avec un magasin virtuel. Disons que nous avons un magasin hypothétique à shop.provider.com. Faire des achats dans ce magasin, l'utilisateur stocke des informations dans le cookie. En parallèle ou avant d'entrer dans le magasin, l'utilisateur est allé à la page pirate hypothétique hacker.provider.com, où les paramètres des cookies de la boutique virtuelle ont été modifiés. Le pirate peut changer le nombre d'achats, le nom, l'adresse, et tout ce qui est stocké dans ce cookie. Je pense que vous n'aimeriez pas que quelques moniteurs soient ajoutés à vos achats ou que vous ayez fait vos achats au mauvais utilisateur. Il est assez simple de le faire si vous avez une page dans le domaine du magasin de deuxième ou de troisième niveau.

Ainsi, pour l'utilisateur, la technologie des cookies est constituée de quelques fichiers dans le dossier% WINDOWS% \ Cookies (par défaut dans Internet Explorer), ou d'un seul cookie.txt (s'il s'agit de Netscape Navigator et d'autres navigateurs). Les sites ajoutent périodiquement des informations au cookie et ils l'enlèvent également. Naturellement, les spécifications du cookie fournissent certaines fonctionnalités de sécurité.

- Le total des cookies ne peut pas dépasser 300.
- Chaque cookie ne peut pas dépasser 4kb.
- Pas plus de 20 cookies peuvent être reçus d'un domaine de second niveau (plus sous-niveaux).
- Les informations provenant du cookie d'un domaine de second niveau (plus les sous-niveaux) ne peuvent pas être lues par d'autres domaines.
- Si le document est mis en cache, les informations sur le cookie ne sont pas mises en cache.
- Les informations dans / hors du cookie peuvent être transférées en utilisant SSL.
- Si la limite est épuisée, les premières entrées sont supprimées. Si le cookie dépasse 4kb, les premiers octets sont coupés.

Afin de contrôler le cookie d'enregistrement et de lecture, vous pouvez utiliser des utilitaires spéciaux, mais cette fonction est disponible dans presque tous les firewalls tels que Agnitum Outpost, ainsi que dans le prog A4Proxy, vous pouvez bannir tous les cookies en deux clics.