This page has been robot translated, sorry for typos if any. Original content here.

Pourquoi un cookie est-il nécessaire?

Le fait est que le protocole HTTP est ponctuel, pour ainsi dire. I.e. chaque fois que vous accédez à la page, l’utilisateur recommence, quelle que soit sa saisie et les modifications qu’il ne modifie pas. Cookie permet de créer l'illusion que l'utilisateur se souvient de l'utilisateur sur le site. L'utilisateur n'a pas besoin d'entrer la même information cent fois d'une page à l'autre et même d'une session à l'autre, elle est stockée sur son disque. La commodité peut également être attribuée au fait que l'utilisateur peut toujours modifier ces informations sur son disque à la volée. Une variété d'autres données peuvent également être stockées dans des cookies. Par exemple, le nombre de visites sur une page, l’heure des visites. L'utilisation d'un cookie n'est pas difficile de créer un petit organisateur ou un panier dans un magasin virtuel.

Beaucoup de gens n'aiment pas les cookies à cause de son insécurité. De nombreux analystes disent que ce n'est pas un problème et que rien ne peut être fait avec cette technologie. Je suis profondément en désaccord avec cela, si quelqu'un peut lire les informations du (des) fichier (s) de cookie, c'est déjà dangereux. Je donnerai des exemples purement théoriques qui, s’ils le souhaitent, ne sont pas difficiles à traduire dans la réalité.
1. Supposons qu'un utilisateur se connecte à un site de messagerie, remplisse un formulaire de connexion et un mot de passe enregistrés dans un cookie, même via le niveau de socket sécurisé. Le pirate a écrit un courrier électronique à l'utilisateur au format HTML avec des options de lecture de cookies avec des mots de passe. Après avoir lu le cookie, le fichier HTML ou demande à l'utilisateur l'autorisation d'envoyer des informations au pirate, où l'utilisateur peut être trompé par une fausse inscription à la "Erreurs dans les scripts Javascript!". Même un utilisateur assez expérimenté cliquera sur OK sans hésiter, après quoi le login et le mot de passe seront envoyés au cracker. Le pirate peut également ajouter un cadre 0, qui contiendra temporairement des informations provenant du cookie, qui, lors de la réponse au message, seront insérées à la fin du message. Tout cela est facile à faire avec FORM et Javascript.
2. Un exemple de magasin virtuel. Disons que nous avons un magasin hypothétique shop.provider.com. Lors de ses achats dans ce magasin, l'utilisateur stocke des informations dans un cookie. En parallèle ou avant de se rendre dans le magasin, l’utilisateur a visité la page hypothétique de hacker.provider.com, où les paramètres de cookie du magasin virtuel ont été modifiés. Un attaquant peut modifier le nombre d'achats, le nom, l'adresse et tout ce qui est stocké dans ce cookie. Je pense que vous ne voudriez pas que vous ajoutiez quelques moniteurs à vos achats ou preniez vos achats chez le mauvais utilisateur. Faire cela est assez simple si vous avez une page dans le domaine du magasin du deuxième ou troisième niveau.

Ainsi, pour l’utilisateur, la technologie des cookies consiste en plusieurs fichiers du dossier% WINDOWS% \ Cookies (par défaut dans Internet Explorer) ou en un seul fichier cookie.txt (s’il s’agit de Netscape Navigator et d’autres navigateurs). Les sites ajoutent périodiquement des informations aux cookies et les enlèvent. Naturellement, les spécifications des cookies fournissent certaines fonctionnalités de sécurité.

- Le nombre total de cookies ne peut pas dépasser 300.
- Chaque cookie ne peut pas dépasser 4 kb.
- Un domaine de second niveau (plus les sous-niveaux) ne peut recevoir plus de 20 cookies.
- Les informations provenant d'un cookie d'un domaine de second niveau (plus des sous-niveaux) ne peuvent pas être lues par d'autres domaines.
- Si le document est mis en cache, les informations de cookie ne sont pas mises en cache.
- Les informations peuvent être transmises vers / à partir d'un cookie à l'aide du protocole SSL.
- Si la limite est épuisée, les premières entrées sont supprimées. Si le cookie dépasse 4 Ko, les premiers octets sont coupés.

Pour contrôler l'écriture et la lecture des cookies, vous pouvez utiliser des utilitaires spéciaux, mais cette fonction est disponible dans presque tous les pare-feu, par exemple, Agnitum Outpost, et dans A4Proxy, vous pouvez désactiver tous les cookies en deux clics de souris.