Locked History Actions

Cookie stealing

Kas yra slapukai?

Slapukai yra mažos duomenų saugyklos, kurias interneto naršyklėje saugo kai kurių interneto svetainių serveriai. Jie gali kelti nerimą dėl saugumo, nes kurie slapukai gali stebėti jūsų veiklą internete. Kai lankotės svetainėje, jūsų naršyklėje saugomas slapukas veikia kaip tapatybę nurodantis dokumentas. Kiekvieną kartą, kai prisijungiate arba prašote išteklių iš tos pačios svetainės serverio, jūsų naršyklėje išsaugotas slapukas perduoda informaciją serveriui. Tai leidžia interneto svetainių administratoriams ar net interneto rinkodaros specialistams sužinoti, kurie puslapiai yra dažniausiai lankomi, kiek laiko vartotojai praleidžia kiekviename puslapyje, kokias nuorodas paspaudžia, ir daug kitos informacijos.

Slapukai šiais laikais yra labai dažnai naudojami. Labai įprasta, jog internetinėse prekybos svetainėse slapukai yra naudojami įrašyti ir saugoti jūsų įvestą asmeninę informaciją, sekti ieškotus produktus, kokie produktai yra jūsų internetinės parduotuvės krepšelyje ir daug kitos informacijos, kad jos nereikėtų pakartotinai įvesti kiekvieną kartą atliekant pirkimą.

Taip pat slapukai naudojami, svetainės personalizavimui. Daugelyje svetainių galima prisiregistruoti, prisijungti, keisti svetainės išvaizdą, pateikimą ir naudojimo patirtį. Po kurio laiko, dar kartą aplankę svetainę, galite būti automatiškai prijungti į savo paskyrą, visi jūsų nustatymai yra išsaugoti ir svetainė yra lygiai taip pat personalizuota, kaip buvo paskutinį kartą prisijungus.

Slaupukų rūšys

Slapukai yra skirstomi į tris pagrindines rūšis:

  • Sesijos
  • Nuolatiniai
  • Trečiosios šalies slapukai

Sesijos slapukai baigia galioti ir nebeturi jokios galios, kai naršyklė yra uždaroma arba po tam tikro laiko, kurio metu vartotojas yra neaktyvaus. Jie yra naudojami internetinėse parduotuvėse ir leidžia saugoti daiktus į krepšelį, prisiminti išsaugotus daiktus.

Nuolatiniai slapukai lieka veiksnūs, net uždarius naršyklę. Tačiau yra įstatymai kurie nusako, jog tokie slapukai gali galioti tik iki 6 mėnesių. Jų pagalba prisimenami jūsų prisijungimo duomenys, slaptažodžiai ar kita informacija, todėl jų nereikia įvesti kiekvieną kartą, kai naudojate svetainę.

Anksčiau paminėti slapukai dažniausiai naudojami tik lankomojoje svetainėje, tačiau situacija yra kitokia su trečiosios šalies slapukais. Juos įdiegia ir naudoja trečiosios šalys, tokios kaip reklama užsiimančios svetainės. Šiais slapukais siekiama rinkti tam tikrą informaciją, kaip interneto naršymo įpročiai. Šie slapukai gali veikti ir rinkti informaciją per kelias skirtingas svetaines. Tokius slapukus taip pat naudoja ir šios svetinės: Facebook, Flickr, Google, SoundCloud, Tumblr, Twitter, YouTube.

Kaip veikia slapukai

Slapukų naudojimas ir įgyvendinimas nėra sunkiai paaiškinamas:

  • Vartotojas pateikia užklausą serveriui. T.y. paprašo kokio nors failo ar internetinio puslapio;
  • Serveris atsiunčia užklaustus duomenis ir slapuką;
  • Vartotojui pateikiant kitą užklausą serveriui išsiunčiama ne tik užklausa, bet ir anksčiau gautas slapukas;
  • Tuomet serveris žino kuris vartotojas pateikė užklausą, atsiunčia reikalautus duomenis ir gali pateikti papildomos, tik tam vartotojui skirtos informacijos. Pavyzdžiui automatiškai prijungti prie to vartotojo paskyros.

Problema yra ta, jei kažkas gauna ar pavagia tau skirta slapuką, ir išsiunčia jį su užklausą į tą pačią svetainę. Serveris galvos, jog užklausa buvo pateikta originalaus vartotojo ir gali, net automatiškai prijungti prie jo paskyros. Taip užpuolikas efektyviai pavagia vartotojo tapatybę ir realiai gali apsimesti juo tol, kol užpuoliko naudojamas slapukas taps nebeaktyviu.

Slapukai yra generuojami serveryje, persiunčiami interneto srautu ir galiausiai saugomi vartotojo kompiuteryje. Dėl šios priežasties pavogti slapuką yra gana sunku, tačiau įmanoma naudojantis keletą skirtingų būdų.

Slapukų vogimas

Nors pačiuose slapukuose nesaugoma asmeninė informacija ar vartotojo prisijungimo duomenys, jie veikia kaip vartotojo indentifikavimo įrankis. Gavus kito vartotojo slapuką galima juo apsimesti, nežinant slaptažodžio ar prisijungimo vardo, būti automatiškai prijungtam i aukos paskyrą. Priklausomai nuo svetainės, užpuolikas gali peržiūrėti, redaguoti, ar net pilnai naudoti svetainę.

Įsivaizduokime, kas butų jei užpuolikas gautų prieigą prie kokios nors elektroninės parduotuvės vartotojo paskyros. Užpuolikas galėtų gauti aukos banko duomenis, adresą, o, jei perkant ar keičiant duomenis svetainė neprašo pakartotinai identifikuoti save, užpuolikas galėtų tiesiog pirkti prekes ir siųsti jas tiesiogiai sau į namus.

Slapukams vogti galima naudojantis keliais skirtingais būdais ar įrankiais:

  • Kenkėjiškomis programomis
  • Kryžminiais svetainių skriptais
  • Tinklo pažeidžiamumas
  • Sesijos fiksavimas

Vartotojo kompiuteryje kenkėjiškos programos gali atsirasti begale skirtingų būdų, tačiau dažniausiai tai lemia pats kompiuterio vartotojas. Kenkėjiška programos atsidūrusios kompiuteryje gali užgrobti naršyklę, pavogti naršyklės slapukų failus be vartotojo žinios, atlikti įvairius veiksmus be vartotojo žinios, ar net suteikti prieigą užpuolikui. Tuomet jis gali tiesiog nusikopijuoti failo arba atminties turinį atitinkamoje vartotojo kompiuterio ar serverio dalyje. Žinoma, tokiu atveju užpuolikas gali padaryti žymiai daugiau žalos, nei tik pavogęs slapukus.

Kryžminių svetainių skriptai apgauna vartotojo kompiuterį įvykdyti kodą, kuris laikomas patikimu, ir taip leidžia užpuolėjui gauti slapuko kopiją ar atlikti kitas operacijas. Tokie skriptai, naudojantis svetainių saugumo spragomis, yra įterpiami į svetaines ir tuomet visi kompiuteriai, kurie aplanko tą interneto puslapį vykdo skriptą. Nuo tokios atakos apsisaugoti yra praktiškai neįmanoma. Patartina lankytis ir pateikti svarbią informaciją tik saugiose, patikimose svetainėse, tačiau niekada negalima žinoti ar tikrai lankoma svetainė yra tikrai saugi.

Nesaugiuose ar pažeidžiamuose interneto tinkluose užpuolikas gali naudoti paketų šnipinėjimo įrangą ir taip skaityti tinklo srautą tarp dviejų šalių, kad pavogtų sesijos slapuką. Daugelis interneto svetainių naudojasi SSL šifravimu prisijungimo puslapiuose, kad užpuolikai negalėtų matyti vartotojo įvedamo slaptažodžio, tačiau nevisos svetainės naudoja šifravimą kitoms svetainės puslapiams, kai vartotojau jau yra autentifikuotas. Tai leidžia užpuolikams, kurie gali skaityti tinklo srautą, perimti visus duomenis, kurie pateikiami serveriui arba vartotojui. Kadangi šie duomenys apima slapuką. Neapsaugoti „Wi-Fi" tinklai yra ypač pažeidžiami, nes visi, kurie juo naudojasi, paprastai gali skaityti didžiąją dalį interneto srauto tarp kitų mazgų ir prieigos taško.

Sesijos fiksavimas yra ne tiek slapukų pavogimas, kiek vartotojo vertimas naudoti iš anksto, užpuoliko nustatytą slapuką. Tai galima atlikti turint nuorodą į svetainę, kurioje jau nurodytas naudojamas slapukas. Panaudojus tokia nuoroda ir prisijungus prie savo paskyros, efektyviai sujungiamas duotas slapukas su vartotojo paskyra. Nurodytas slapukas bus naudojamas ir toliau, kol nepasibaigs jo galiojimas.

Prevencija

Slapukų vagystės/sesijos užgrobimo prevencijos būdai iš serverio pusės:

  • Duomenų srauto, perduoto tarp šalių šifravimas naudojant SSL / TLS, ypač slapukų. Žinoma geriausia šifruoti visą duomenų srautą. Šiuo būdu plačiai naudojasi interneto bankai ir kitos elektroninės komercijos svetainės, nes tai visiškai apsaugo nuo paketų šnipinėjimo;
  • Kai kurios svetainės atlieka papildomai tikrina vartotojo tapatybę. Serveris gali patikrinti kiekvieną pateiktą užklausą, ar naudotojo IP adresas atitinką tą, kuris paskutinį kartą buvo naudojamas per tą seansą. Tačiau tai neapsaugos nuo to, jei užpuolikas turintis tą patį IP adresą. Šis gali būti nepatogus naudotojams, kurių IP adresas gali keistis naršymo seanso metu;
  • Kai kurios paslaugos keičia slapuko reikšmes su kiekviena užklausa. Tai dramatiškai sumažina laiko tarpą, kuriame užpuolikas gali atlikti kenksmingus veiksmus, ir leidžia lengviau nustatyti, ar įvyko slapukų vagystė, tačiau naudojant šią strategiją gali atsirasti ir kitos techninės problemos. Pavyzdžiui, dvi atskiros, legalios, tačiau, laiko atžvigliu, labai arti viena kitos užklausos gali sukelti klaidą serveryje;
  • Ilgų ir atsitiktinių skaičių naudojimas slapukams. Taip sumažinama rizika , kad slapukai gali būti atspėti tikrinant kiekvieną galimą variantą;
  • Slapuko atnaujinimas po sėkmingo prisijungimo. Tai apsaugo nuo sesijos fiksavimo, nes po prisijungimo naudojamas slapukas yra pakeičiamas nauju;
  • Europos sąjungoje veikia įstatymas kuris nurodo, jog svetainės negali naudoti slapukų, tol kol vartotojas nesutinka su jų naudojimu, tačiau keletui slapukų leidžiama veikti ir nedavus sutikimo.
  • Atliekant svarbius veiksmus, kai kurios svetainės prašo papildomos autentifikavimas. Tai gali būti papildomas slaptažodžio įvedimas ar tam tikros formos dviejų faktorių autentifkacija. Tai mažina užpuolikų galimus atlikti veiksmus, jiems patekus į vartotojo paskyrą.

Patys vartotojai gali naudoti naršyklių plėtinius, kurie padeda peržiūrėti, tvarkyti ar net visiškai išjungti slapukus ir pasirinkti jų nenaudoti. Paskutiniuoju atveju vartotojo patirtis gali žymiai suprastėti – kiekvieną kartą aplankius svetainę reikės prisijungti prie paskyros, kai kurių svetainių funkcionalumas gali visiškai sugesti, tačiau praktiškai išnyksta rizika tapti slapukų vagystės auka.

Taip pat vartotojas turi būti budrus – nespausti ant įtartinų nuorodų, nesinaudoti nesaugiomis svetainėmis, pateikti asmeninę informaciją tik tikrai patikimose ir saugiose svetainėse, naudoti gerą antivirusinę programą, internetu naudotis tik apsaugotais tinklais.

Išvados

Dabartinis internetas nebūtų toks pat be slapukų. Jie suteikia papildomo funkcionalumo, patogumo, tačiau viskas gali tūrėti saugumo spragų. Slapukai – ne išimtis. Naudojantis jais, užpuolikai gali gauti prieigą prie vartotojo paskyros, apsimesti juo net nežinant slaptažodžio ar net prisijungimo vardo.

Vartotojui žiūrint iš prevencinės pusės, jo elgesys neturėtų kisti, jei jis jau elgiasi atsakingai ir žino apie kitas galimas saugumo problemas. Slapukai – tai dar vienas galimas būdas užpuolikui patekti į vartotojo paskyrą, tačiau pačiam vartotojui naudojamas būdas įsilaužti praktiškai nėra svarbus ir neprašo ypatingų ar naujų apsaugos priemonių, tačiau svetainių programavimo, serverių atžvilgiu tai yra nauja ir labai svarbi saugumo problema, kuriai reikia skirti daug dėmesio ir sukurti ne vieną apsaugos priemonę, kad svetainė ar paslauga būtų kuo geriau apsaugota nuo slapukų vagystės.

paskutinį kartą redaguota 2017-12-05 12:11:16 redaktoriaus RaimondasUrbas