Кукі (слово не відмінюється; від англ. Cookie - печиво) - невеликий фрагмент даних, відправлений веб-сервером і зберігається на комп'ютері користувача. Веб-клієнт (зазвичай веб-браузер) всякий раз при спробі відкрити сторінку відповідного сайту пересилає цей фрагмент даних веб-сервера у вигляді HTTP-запиту. Застосовується для збереження даних на стороні користувача, на практиці зазвичай використовується для:
- аутентифікації користувача;
- зберігання персональних переваг та установки можуть бути;
- відстеження стану сесії доступу користувача;
- ведення статистики про користувачів.
призначення
Кукі використовуються веб-серверами для розрізнення користувачів і зберігання даних про них.
Можлива взаємодія між браузером і сервером.
Хибні уявлення заважають
Робота куки
установка куки
Цей запит відрізняється від першого запиту тим, що містить рядок, яку сервер відправив браузеру раніше. Таким чином, сервер дізнається, що цей запит пов'язаний з попереднім. Сервер відповідає, відправляючи запитувану сторінку і, можливо, додавши нові куки.
Рядок Set-Cookie. як правило, додається до HTTP-відповіді не самим HTTP-сервером, а CGI-програма, яка працює разом з ним. HTTP-сервер тільки відправляє браузеру результат роботи такої програми.
атрибути куки
Set-Cookie: name = newvalue; expires = date; path = /; domain = .example.org.
Умови закінчення терміну зберігання
Зауважимо, що сервер може дізнатися, коли закінчуються терміни зберігання куки, тільки коли браузер відправляє на сервер цю інформацію.
аутентифікація
Кукі можуть використовуватися сервером для впізнання раніше аутентіфіцированний користувачів. Це відбувається наступним чином: [20]
Цей метод широко використовується на багатьох сайтах, наприклад на Yahoo !. в Вікіпедії і в Facebook.
Налаштування браузера
Конфіденційність та сторонні куки
- користувачеві надається інформація про те, як ці дані використовуються;
- користувач має можливість відмовитися від цього.
недоліки куки
неточна ідентифікація
крадіжка куки
Кукі можуть бути вкрадені іншим комп'ютером, читає трафік мережі.
Ця проблема може бути вирішена шляхом встановлення між користувачем і сервером шифрованого з'єднання з використанням протоколу HTTPS. Сервер також може використовувати спеціальний прапор при установці куки, після чого браузер буде передавати їх тільки по надійному каналу, наприклад, через SSL-з'єднання. [6]
підміна куки
Підміна куки: атакуючий відправляє серверу підроблені куки, можливо змінивши легітимні куки, раніше отримані від сервера.
міжсайтовий куки
Атакуючий використовує баг браузера для відправки сервера підроблених куки.
Для захисту користувачам рекомендується використовувати останні версії браузерів, в яких ця проблема виправлена.
Нестабільність між клієнтом і сервером
Кукі можуть викликати протиріччя між клієнтом і сервером. Якщо користувач отримує куки, а потім натискає кнопку «Назад» у браузері, то стан браузера вже інше в порівнянні з моментом отримання куки. Для прикладу візьмемо електронний магазин з кошиком покупок, заснованої на застосуванні куки: користувач додає покупку в кошик, потім натискає кнопку «Назад», але покупка залишається в кошику, хоча користувач, можливо, хотів скасувати покупку. Це може призвести до плутанини і помилок. Веб-розробники повинні пам'ятати про це і вживати заходів для вирішення таких ситуацій.
Термін дії куки
альтернативи куки
Деякі великі провайдери, включаючи AOL. пропускають весь веб-трафік через мережу проксі [джерело не вказано 855 днів]. що також робить цей метод нездійсненним.
URL (рядок запиту)
Більш прогресивна методика заснована на встановленні даних в URL. Зазвичай для цього використовується рядок запиту, але так само можуть бути задіяні і інші частини URL. Мови Java і PHP активно використовують ці механізми при відключених куки.
Веб-сервер додає рядок запиту до заслання на веб-сторінку при її відправленні в браузері. Коли користувач переходить за посиланням, браузер повертає рядок запиту серверу.
Приховані поля форми
Одним із способів відстеження сесії за допомогою виконуваної на стороні сервера програми є використання веб-форм з прихованими полями. Цей метод дуже схожий на рядок запиту URL і володіє майже тими ж перевагами і недоліками, а якщо параметри форми відправляються HTTP-методом GET, то поля фактично стануть частиною URL, який браузер відправить на сервер. Але більшість форм обробляється HTTP POST, при якій інформація не є ні частиною URL, ні кукі.
HTTP-аутентифікація
Протокол HTTP включає в себе базову аутентифікацію і шифрування, які дозволяють отримати доступ до сторінки, тільки коли користувач введе правильне ім'я користувача і пароль. Якщо сервер запитує подібне, то браузер звертається до користувача і, отримавши потрібні дані, зберігає і використовує їх для доступу до інших сторінок, не вимагаючи від користувача вводити їх заново. З точки зору користувача ефект той же, що і при використанні куки: ім'я користувача і пароль потрібні лише одного разу, і потім користувач отримує доступ до сайту. При базовій аутентифікації поєднання імені користувача та пароля відправляється на сервер при кожному запиті браузера в незашифрованому вигляді. Це означає, що якщо хтось перехоплює трафік, він зможе отримати цю інформацію і згодом використовувати. При шифрованого аутентифікації ім'я користувача і пароль шифруються з випадковим ключем. створеним сервером.
Збереження на клієнтській стороні
Деякі веб-браузери дозволяють сторінці зберігати інформацію локально для подальшого вилучення. Internet Explorer, наприклад, підтримує збереження інформації в історії, обраному. XML -Сховище, або дозволяє провести пряме збереження веб-сторінки на диск. [32]
Примітки
Дивитися що таке "HTTP cookie" в інших словниках:
HTTP cookie - HTTP Persistence · Compression · HTTPS Request methods OPTIONS · GET · HEAD · POST · PUT · DELETE · TRACE · CONNECT Header fields Cookie · ETag · Location · Referer DNT · ... Wikipedia
HTTP-Cookie - Ein HTTP Cookie, auch Browser Cookie genannt ([kʊki]; engl. "Plätzchen", "Keks"), ist eine spezielle Form der allgemeinen Magic Cookies. Es wird von einem Webserver zu einem Browser gesendet oder auf dem Client erzeugt und dort dauerhaft ... ... Deutsch Wikipedia
HTTP cookie - noun A packet of information sent by a server to a World Wide Web browser and then returned by the browser each time it accesses that server, used to maintain state between otherwise stateless HTTP transactions, for example, to identify the user ... Wiktionary
Cookie (Informatique) - Pour les articles homonymes, voir Cookie. ██████████ ... Wikipédia en Français
HTTP - (Hypertext Transfer Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Datenübertragung, Hypertext u. a. Port: 80 / TCP HTTP im TCP / IP-Protokollstapel: Anwendung HTTP Transport ... Deutsch Wikipedia
HTTP-Anfrage - HTTP (Hypertext Transfer Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Datenübertragung, Hypertext u. a. Port: 80 / TCP HTTP im TCP / IP-Protokollstapel: Anwendung HTTP Transport ... Deutsch Wikipedia