HTTP-файлы cookie — это небольшие пакеты данных, хранящиеся в вашем браузере. Эти данные могут содержать конфиденциальные данные, такие как пароли или информацию о пользователе, и поэтому уязвимы для атак. Чтобы ограничить уязвимость, вы можете «обезопасить» свои файлы cookie, добавив определенные атрибуты к установленным файлам cookie, что затруднит манипулирование посторонними лицами.
Для того, чтобы использовать такие пакеты, вам необходимо установить плагин Simple SSL, он использует HTTP Only, безопасные и use_only_cookies параметры, чтобы сделать куки более безопаснымы. Поскольку Really Simple SSL помогает вам защитить ваш сайт, переключив его на SSL, мы считаем, что внесение этих изменений в плагин — это простой способ внести свой вклад в общую безопасность вашего сайта.
Файлы cookie устанавливаются почти каждым веб-сайтом и используются для множества разных целей, например для отслеживания пользователей, партнерского маркетинга и аутентификации. Представьте, что файлы cookie для аутентификации ваших пользователей украдены злоумышленниками. Это то, чего вы всегда хотели бы избегать, и это дополнение к бесплатному плагину помогает предотвратить именно это.
Параметр httponly
Флаг HttpOnly сообщит браузеру, что к этому файлу cookie может получить доступ только сервер. Основное преимущество этого заключается в том, что он предотвращает межсайтовый скриптинг (XSS). Например, это предотвратит запросы вредоносных файлов JavaScript, пытающихся украсть файлы cookie.
Безопасное соединение
Параметр secure гарантирует, что файлы cookie будут отправляться только через безопасное соединение SSL. Это предотвратит отправку файлов cookie через http: //, тем самым еще больше обезопасив файлы cookie.
use_only_cookies
параметр use_only_cookies сообщит вашему веб-сайту, что он должен хранить данные сеанса только в файле cookie, а не каким-либо другим способом. Это предотвращает атаки, связанные с передачей идентификаторов сеансов в URL-адресах.
Выполнение
Really Simple SSL установит эти параметры в вашем файле wp-config.php. В большинстве установок WordPress этот файл доступен для записи, и Really Simple SSL применяет изменения автоматически. Если файл недоступен для записи, плагин покажет вам, какой код добавить, чтобы вы могли добавить его вручную. Если вы решите отключить плагин, код также будет удален из файла wp-config.php.
HTTP cookie (web cookie, cookie браузера) — это небольшой фрагмент данных, отправляемый сервером на браузер пользователя, который тот может сохранить и отсылать обратно с новым запросом к данному серверу. Это, в частности, позволяет узнать, с одного ли браузера пришли оба запроса (например, для аутентификации пользователя). Они запоминают информацию о состоянии для протокола HTTP, который сам по себе этого делать не умеет.
Cookie используются, главным образом, для:
⦁ Управления сеансом (логины, корзины для виртуальных покупок)
⦁ Персонализации (пользовательские предпочтения)
⦁ Мониторинга (отслеживания поведения пользователя)
До недавнего времени cookie принято было использовать в качестве хранилища информации на стороне пользователя. Это могло иметь смысл в отсутствии вариантов, но теперь, когда в распоряжении браузеров появились различные API (программные интерфейсы приложения) для хранения данных, это уже не так. Из-за того, что cookie пересылаются с каждым запросом, они могут слишком сильно снижать производительность (особенно в мобильных устройствах). В качестве хранилищ данных на стороне пользователя вместо них можно использовать Web storage API (localStorage and sessionStorage) и IndexedDB.
Чтобы посмотреть сохранённые cookies (и какие ещё способы хранения данных использует веб-страница), можно использовать Storage Inspector (Инспектор хранилища) из раздела Developer Tools (Веб-разработка).
Создание cookie
Получив HTTP-запрос, вместе с откликом сервер может отправить заголовок Set-Cookie с ответом. Cookie обычно запоминаются браузером и посылаются в значении заголовка HTTP Cookie (en-US) с каждым новым запросом к одному и тому же серверу. Можно задать срок действия cookie, а также срок его жизни, после которого cookie не будет отправляться. Также можно указать ограничения на путь и домен, то есть указать, в течении какого времени и к какому сайту оно отсылается.
Заголовки Set-Cookie и Cookie
Заголовок Set-Cookie HTTP-отклика используется для отправки cookie с сервера на клиентское приложение (браузер). Простой cookie может задаваться так:
|
1 |
Set-Cookie: <имя-cookie>=<заголовок-cookie> |
Этот заголовок с сервера даёт клиенту указание сохранить cookie (это делают, например, PHP, Node.js, Python и Ruby on Rails). Отклик, отправляемый браузеру, содержит заголовок Set-Cookie, и cookie запоминается браузером.
|
1 2 3 4 5 6 |
HTTP/1.0 200 OK Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry [page content] |
Теперь, с каждым новым запросом к серверу, при помощи заголовка Cookie (en-US) браузер будет возвращать серверу все сохранённые ранее cookies.
|
1 2 3 |
GET /sample_page.html HTTP/1.1 Host: www.example.org Cookie: yummy_cookie=choco; tasty_cookie=strawberry |
Сессионные cookie
Простой cookie, пример которого приведён выше, представляет собой сессионный cookie (session cookie) — такие cookie удаляются при закрытии клиента, то есть существуют только на протяжении текущего сеанса, поскольку атрибуты Expires или Max-Age для него не задаются. Однако, если в браузере включено автоматическое восстановление сеанса, что случается очень часто, cookie сеанса может храниться постоянно, как если бы браузер никогда не закрывался.
Постоянные cookies
Постоянные cookie ( permanent cookies) удаляются не с закрытием клиента, а при наступлении определённой даты (атрибут Expires) или после определённого интервала времени (атрибут Max-Age).
|
1 |
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; |
Secure ("безопасные") и HttpOnly cookies
«Безопасные» (secure) cookie отсылаются на сервер только если запрос выполняется по протоколу SSL и HTTPS. Однако важные данные никогда не следует передавать или хранить в cookies, поскольку сам их механизм весьма уязвим в отношении безопасности, а флаг secure никакого дополнительного шифрования или средств защиты не обеспечивает. Начиная с Chrome 52 и Firefox 52, незащищённые сайты (http:) не могут создавать куки с флагом secure.
Куки HTTPonly не доступны из JavaScript через свойства Document.cookie API, что помогает избежать межсайтового скриптинга (XSS). Устанавливайте этот флаг для тех cookie, к которым не требуется обращаться через JavaScript. В частности, если куки используются только для поддержки сеанса, то в JavaScript они не нужны, так что в этом случае следует устанавливать флаг HttpOnly.
Какие атрибуты можно добавить к установленным файлам cookie, чтобы обезопасить их от манипулирования?
Какие атрибуты можно добавить к файлам cookie, чтобы обезопасить их от манипуляций третьими лицами?
Какие атрибуты можно добавить к установленным файлам cookie, чтобы они стали более безопасными?