Ciasteczka mogą być groźne, błędy leżą w samej ich specyfikacji

Wielu użytkowników Internetu przez długi czas nie zdawało sobie sprawy z istnienia tzw. ciasteczek, niewielkich plików, które umożliwiają m.in. utrzymanie sesji. Dopiero wymóg informowania o ich użyciu zmienił tę sytuację. Niestety implementacja tego mechanizmu pozostawia sporo do życzenia, specjaliści biją na alarm i informują o poważnych podatnościach, które umożliwiają wykonywanie ataków.

Ciasteczka mogą być groźne, błędy leżą w samej ich specyfikacji
Redakcja

Najczęstszym wykorzystaniem cookies jest utrzymywanie sesji użytkownika. Dzięki tym plikom umieszczonym na dysku komputera przeglądarka może później poinformować stronę, że już ją odwiedzała i że nastąpiło logowanie. Serwer, ustawiając w przeglądarce użytkownika ciasteczko, określa jego nazwę, wartość, domenę, której dotyczy, a także ścieżkę ograniczającą widoczność danych tylko do określonych adresów internetowych. Dodatkowy parametr określa, że ciasteczko ma być wysyłane tylko przy połączeniach szyfrowanych, da się to jednak ominąć.

Problem polega na tym, że specyfikacja cookies sama w sobie posiada dziury umożliwiające przeprowadzenie ataku. Administrator serwisu znajdującego się pod adresem adres1.domena.com może ustawić ciasteczko na np. całą domenę domena.com, co spowoduje, że będzie ono zastępowało ciasteczka ustawiane na inne subdomeny takie jak adres2.domena.com. Nawet jeżeli serwisy umieszczone na innych adresach ustawią własne ciasteczka, zostaną one nadpisane przez to globalne. Inny problem to brak rozróżnienia i izolacji portów: ciasteczko umieszczone na jednej usłudze (np. HTTP) może być z powodzeniem wykorzystywane i nadpisywane także przez inne usługi pracujące na tym samym serwerze.

Obraz

Jednym z opcjonalnych parametrów ciasteczek jest flaga secure. Określa ona, że ciastko powinno być widoczne tylko wtedy, gdy połączenie będzie szyfrowane. Problem polega na tym, że nie da się określić, w jaki sposób zostało ono w ogóle ustawione. Atakujący nie musi wykorzystywać szyfrowanych połączeń: może na jednej z subdomen korzystających z HTTP utworzyć globalne ciasteczko z flagą secure, aby tym samym wstrzyknąć jakieś dane do połączenia szyfrowanego z innym serwisem. Nie będzie ono widoczne w jego serwisie, ale będzie dostępne w innym. To daje mu drogę do dalszych działań, w tym przechwytywania danych użytkownika i uzyskania informacji, które są zaszyfrowane.

Problem jest poważny, z cookies korzysta przecież większość stron internetowych, z jakich korzystamy. Specjaliści uważają, że sama specyfikacja określająca ich działanie wymaga uzupełnienia o odpowiednie mechanizmy zapewniające integralność i sprawdzanie ich źródła. Jak na razie administratorzy witryn mogą chronić swoich użytkowników stosując mechanizm HTTP Strict Transport Security (HSTS) z włączoną opcją includeSubDomains. Dzięki temu rozwiązaniu przeglądarka wie, że powinna stosować jedynie szyfrowane połączenia z daną stroną internetową i w przypadku próby wykonania żądań do lokalizacji posługujących się HTTP, automatycznie przełącza ruch na HTTPS.

Co mogą zrobić użytkownicy? Jak na razie niewiele: zablokowanie cookies to rozwiązanie sprawdzone, niemniej znacznie utrudniające korzystanie z witryn internetowych. Ważne jest natomiast wykorzystanie przeglądarek internetowych, które wspierają HSTS i które dzięki temu lepiej nas zabezpieczają. Obsługę tego mechanizmu zapewniają m.in. Firefox, Opera, Chrome, Safari, Edge, a także Internet Explorer 11 z wgranymi najnowszymi aktualizacjami – Microsoft w czerwcu wydał specjalną paczkę, która znacznie podniosła poziom bezpieczeństwa oferowany przez ten program.

Wybrane dla Ciebie

Komentarze (42)

Cenimy Twoją prywatność

Kliknij "AKCEPTUJĘ I PRZECHODZĘ DO SERWISU", aby wyrazić zgodę na korzystanie w Internecie z technologii automatycznego gromadzenia i wykorzystywania danych oraz na przetwarzanie Twoich danych osobowych przez Wirtualną Polskę, Zaufanych Partnerów IAB (876 partnerów) oraz pozostałych Zaufanych Partnerów (403 partnerów) a także udostępnienie przez nas ww. Zaufanym Partnerom przypisanych Ci identyfikatorów w celach marketingowych (w tym do zautomatyzowanego dopasowania reklam do Twoich zainteresowań i mierzenia ich skuteczności) i pozostałych, które wskazujemy poniżej. Możesz również podjąć decyzję w sprawie udzielenia zgody w ramach ustawień zaawansowanych.


Na podstawie udzielonej przez Ciebie zgody Wirtualna Polska, Zaufani Partnerzy IAB oraz pozostali Zaufani Partnerzy będą przetwarzać Twoje dane osobowe zbierane w Internecie (m.in. na serwisach partnerów e-commerce), w tym za pośrednictwem formularzy, takie jak: adresy IP, identyfikatory Twoich urządzeń i identyfikatory plików cookies oraz inne przypisane Ci identyfikatory i informacje o Twojej aktywności w Internecie. Dane te będą przetwarzane w celu: przechowywania informacji na urządzeniu lub dostępu do nich, wykorzystywania ograniczonych danych do wyboru reklam, tworzenia profili związanych z personalizacją reklam, wykorzystania profili do wyboru spersonalizowanych reklam, tworzenia profili z myślą o personalizacji treści, wykorzystywania profili w doborze spersonalizowanych treści, pomiaru wydajności reklam, pomiaru wydajności treści, poznawaniu odbiorców dzięki statystyce lub kombinacji danych z różnych źródeł, opracowywania i ulepszania usług, wykorzystywania ograniczonych danych do wyboru treści.


W ramach funkcji i funkcji specjalnych Wirtualna Polska może podejmować następujące działania:

  1. Dopasowanie i łączenie danych z innych źródeł
  2. Łączenie różnych urządzeń
  3. Identyfikacja urządzeń na podstawie informacji przesyłanych automatycznie
  4. Aktywne skanowanie charakterystyki urządzenia do celów identyfikacji

Cele przetwarzania Twoich danych przez Zaufanych Partnerów IAB oraz pozostałych Zaufanych Partnerów są następujące:

  1. Przechowywanie informacji na urządzeniu lub dostęp do nich
  2. Wykorzystywanie ograniczonych danych do wyboru reklam
  3. Tworzenie profili w celu spersonalizowanych reklam
  4. Wykorzystanie profili do wyboru spersonalizowanych reklam
  5. Tworzenie profili w celu personalizacji treści
  6. Wykorzystywanie profili w celu doboru spersonalizowanych treści
  7. Pomiar efektywności reklam
  8. Pomiar efektywności treści
  9. Rozumienie odbiorców dzięki statystyce lub kombinacji danych z różnych źródeł
  10. Rozwój i ulepszanie usług
  11. Wykorzystywanie ograniczonych danych do wyboru treści
  12. Zapewnienie bezpieczeństwa, zapobieganie oszustwom i naprawianie błędów
  13. Dostarczanie i prezentowanie reklam i treści
  14. Zapisanie decyzji dotyczących prywatności oraz informowanie o nich

W ramach funkcji i funkcji specjalnych nasi Zaufani Partnerzy IAB oraz pozostali Zaufani Partnerzy mogą podejmować następujące działania:

  1. Dopasowanie i łączenie danych z innych źródeł
  2. Łączenie różnych urządzeń
  3. Identyfikacja urządzeń na podstawie informacji przesyłanych automatycznie
  4. Aktywne skanowanie charakterystyki urządzenia do celów identyfikacji

Dla podjęcia powyższych działań nasi Zaufani Partnerzy IAB oraz pozostali Zaufani Partnerzy również potrzebują Twojej zgody, którą możesz udzielić poprzez kliknięcie w przycisk "AKCEPTUJĘ I PRZECHODZĘ DO SERWISU" lub podjąć decyzję w sprawie udzielenia zgody w ramach ustawień zaawansowanych.


Cele przetwarzania Twoich danych bez konieczności uzyskania Twojej zgody w oparciu o uzasadniony interes Wirtualnej Polski, Zaufanych Partnerów IAB oraz możliwość sprzeciwienia się takiemu przetwarzaniu znajdziesz w ustawieniach zaawansowanych.


Cele, cele specjalne, funkcje i funkcje specjalne przetwarzania szczegółowo opisujemy w ustawieniach zaawansowanych.


Serwisy partnerów e-commerce, z których możemy przetwarzać Twoje dane osobowe na podstawie udzielonej przez Ciebie zgody znajdziesz tutaj.


Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać wywołując ponownie okno z ustawieniami poprzez kliknięcie w link "Ustawienia prywatności" znajdujący się w stopce każdego serwisu.


Pamiętaj, że udzielając zgody Twoje dane będą mogły być przekazywane do naszych Zaufanych Partnerów z państw trzecich tj. z państw spoza Europejskiego Obszaru Gospodarczego.


Masz prawo żądania dostępu, sprostowania, usunięcia, ograniczenia, przeniesienia przetwarzania danych, złożenia sprzeciwu, złożenia skargi do organu nadzorczego na zasadach określonych w polityce prywatności.


Korzystanie z witryny bez zmiany ustawień Twojej przeglądarki oznacza, że pliki cookies będą umieszczane w Twoim urządzeniu końcowym. W celu zmiany ustawień prywatności możesz kliknąć w link Ustawienia zaawansowane lub "Ustawienia prywatności" znajdujący się w stopce każdego serwisu w ramach których będziesz mógł udzielić, odwołać zgodę lub w inny sposób zarządzać swoimi wyborami. Szczegółowe informacje na temat przetwarzania Twoich danych osobowych znajdziesz w polityce prywatności.