На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ОШИБКА БЕРКЛИ

В 1995 году два студента Университета Беркли (штат Калифорния) обнаружили ошибку в Netscape Navigator. С помощью этой ошибки хакер может достаточно
легко взломать коды, используемые броузером для шифрования информации,
передаваемой по надежному соединению. Как отмечалось в главе 8, для созда­ния надежных соединений Netscape Navigator использует протокол SSL. При этом броузер и сервер совместно используют ключ, с помощью которого они зашиф­ровывают все данные, передаваемые по соединению.
Напомню, что безопасные транзакции построены на использовании средств
шифрования передаваемой информации. Ошибка Беркли касается процедуры
генерации случайного ключа шифрования. Как выяснили студенты, хакер до­статочно легко может предсказать последовательность генерируемых чисел.
Ошибка Беркли абсолютно не влияет на обычную работу с Netscape Navigator.
Но если вы имеете дело с безопасным соединением, то здесь вам придется пред­принять некоторые дополнительные меры предосторожности. В настоящее вре­мя компания Netscape исправила эту ошибку, и новые версии Netscape Navigator
не содержат ее.
(Ошибка подтверждения
В этом разделе я расскажу вам об ошибке; которая присут­ствует и в Internet Explorer, ив Netscape Navigator. Эта ошибка происходит в том случае, если пользователь вводит некоторую конфиденциальную информацию в форму, обычно располо­женную на безопасном Web-сайте. Под конфиденциальной информацией подразумеваются данные о пользователе, номер кредитной карточки и т. д.
Допустим, что после ввода конфиденциальной информации пользователь по­кинет надежный Web-сайт и перейдет на другой. В этом случае вся введенная им информация будет передана на новый Web-сайт. Вся она может быть со -хранена с помощью достаточно безобидного HTML-поля REFEREI (см. гла­ву 6). Посредством этого поля владелец сайта может узнать, откуда пришел пользователь.
В настоящее время не решения данной Поэтому ста-
райтесь избегать передачи конфиденциальной информации в Web-формы. Если же вы ввели такую информацию, то немедленно после завершения закройте броузер ввода/Чтобы продолжить путешествие по Web, снова запус­тите броузер.
COOKIE
Во время бесед о компьютерах вы, скорее всего, уже слышали о cookie. Навер­ное, вы уже успели заметить, что разные люди по-разному относятся к этому понятию: путешественники Web отзываются о них достаточно нелестно, чего не скажешь о создателях Web-страниц. В Web cookie представляет собой хранимый на диске текстовый файл. Этот файл создается и поддерживается броузером. Такие файлы есть и у Netscape Navigator, и у Internet Explorer.
Первоначально cookie использовались для получения демографической инфор­мации и рекламы. Например, в этом файле удаленный Web-сайт мог сохранить информацию о пользователе. Однако он содержит информацию и о том, какие узлы вы уже посещали. Далее приводится пример файла cookie, созданного Netscape Navigator 3.02. Файл cookies.txt содержит информацию обо всех осталь­ных файлах cookie.
ИСПОЛЬЗОВАНИЕ СОДЕРЖИМОГО ФАЙЛА тхт
Из примера видно, файл cookie содержит порядочное количество информа­ции о пользователе. Как эта информация будет интерпретирована, зависит только от сервера. Большинство серверов обрабатывает ее для получения демографи­ческих данных и количества посещений сайта. Некоторые сайты сохраняют в этом файле данные о выбранных вами покупках, которые не были оплачены.
Благодаря этой информации сервер будет автоматически заполнять форму заказа
при повторном посещении пользователя.
Кроме того, сервер может использовать хранимую в файле cookie информацию
для отправки почты или продавать другим серверам информацию о посещенных пользователем сайтах. И наконец, сервер может хранить в этом файле информа­цию о самом пользователе. Эта информация может нанести вред пользователю, если попадет не на тот сервер. Например, какой-либо сервер может украсть идентификатор и пароль, используемые вами при посещении платных сайтов. Кроме того, если ваша компания использует файл cookie в рамках корпоратив­ной сети, то в этом файле будет сохранена некоторая информация о данной
сети. А теперь подумайте, какую ценность представляет такая информация для хакеров.
ANONYMIZER
В главе 9 я рассказал вам об атаках наблюдения. С помощью I ■ такой атаки хакер может добыть информацию о броузере ■ i^T  пользователя; В той же главе рассказывалось о том, как ха­кер может присоединиться к Web-сайту через чужой сервер. Точно такую же возможность предоставляет всем пользовате­лям Web-сайт Anonymizer, расположенный по адресу
http://www.anonymizer.com, Идея состоит в следующем. Вы присоединяетесь к Anonymizer, а он, в свою очередь, присоединит вас к любому другому Web-сайту. Это достаточно удобно. Однако помните о том, что вся переда­ваемая вами информация проходит через сервер Anonymizer. сценарий со списком информации о пользователе, которую могут получить Web-серверы. Если же воспользуетесь услугами Anonymizer, то этот Web-сервер вместо информации о вас и о вашей машине будет пере­давать свою собственную информацию. Anonymizer расположен по адресу http://www.anonymizer.com/cgi-bin/snoop.pl.
TXT
В предыдущем разделе представлен лишь фрагмент файла cookies.txt. Обратите внимание: этот файл содержит URL, за которыми стоят некоторые наборы сим­волов. В большинстве своем они не представляют никакой ценности (понять символы может лишь создавший их Web-сайт). Эта информация используется некоторыми программами по сбору информации о посетителях серверов. Одна­ко среди всей этой «абракадабры» содержатся идентификаторы и пароли пользо­вателя для различных сайтов. Кроме того, в этом файле могут содержаться адре­са 1SP пользователя.
Web-сервер либо зашифровывает данные в строки, либо сохраняет их в виде элементарных значений (вроде TRUE и FALSE), определяющих, посещал ли
пользователь этот сайт раньше. Как правило, большая часть информации файла
cookie предназначена для использования на текущем или новых сайтах. В част­ности, она информирует серверы о том, где побывал пользователь и как часто он посещает определенные сайты. Кроме того, там содержится информация о том, куда отправился пользователь после посещения определенного Web-сайта. В следующем разделе я расскажу вам, как используется эта информация.
РЕДАКТИРОВАНИЕ COOKIE
Многие пользователи хотели бы избавиться от файлов cookie или, по крайней мере, отредактировать их. Однако если вы удалите этот файл, то броузер со­здаст новый. С другой стороны, редактирование файла может повлечь за собой
сообщения об ошибке. Как правило, для сокрытия информации о себе и своей
системе вам достаточно будет воспользоваться услугами Anonymizer.
ЗАЩИТА cookie
Чтобы заставить броузер не принимать информацию для фай­ла cookie, нужно воспользоваться специальным параметром. После его установки броузер будет выдавать пользователю со­общение О каждой попытке изменения этого файла. На ри­сунке 19.10 показано, как выглядит подобное диалоговое окно в Internet Explorer 3.02.
Диалоговое окно Security Alert броузера Internet Explorer 3.02. Чтобы установить параметр в Internet Explorer, проделайте следующие операции: я
1. Откройте меню Вид и выберите в нем пункт Параметры.
2. Выберите в появившемся окне закладку Дополнительно.
3. Установите флажок напротив Предупреждать перед приемом файлов
«сооУе».
4. Щелкните мышью по кнопке       Internet Explorer вернет к броузера.
Чтобы установить параметр в Netscape следующие опе-
рации:
Откройте меню Options и выберите в нем пункт Network Preferences.
2. Выберите в появившемся окне закладку Protocols.
3. Щелкните мышью по строке Accepting a Cookie.
4. Щелкните мышью по кнопке ОК. Netscape Navigator вернет вас к окну броузера.
Программь.длу работы с файлами cookie
Кроме использования параметров, заставляющих броузер пред­упреждать пользователя о каждой попытке изменения файла cookie, можно воспользоваться специальными программами для работы с файлами cookie. Одной из наиболее известных программ такого рода является продукт компании PGP PGPCookie. Cutter. С ее помощью можно блокировать отдельные записи, пре­доставляющие слишком много сведений о пользователе. За более подробной информацией об этой программе обратитесь на Web-сайт компании, распо­ложенный по адресу http://www.pgp.cotn/.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика