Cookie Authentication, Leitfäden, Projektarbeiten und Recherchen von Computeranwendungen

cookie authentication about cookies

Art: Leitfäden, Projektarbeiten und Recherchen

2020/2021

Hochgeladen am 12.12.2022

sonn-hb
sonn-hb 🇩🇪

5

(1)

4 dokumente

1 / 5

Toggle sidebar

Diese Seite wird in der Vorschau nicht angezeigt

Lass dir nichts Wichtiges entgehen!

bg1
Cookie Authentication
Detyrë individuale
Punoi: Instruktore:
Enri Gega Prof. Assoc. Dr. Edlira Martiri
Tiranë, Qershor 2019
Abstrakt
Ky punim shqyrton shqetësimet e nivelit sigurisë lundrimin faqet e internetit, cilat
autentifikojnë përdoruesit e tyre. Në të diskutohen procedurat e autentikimin me anë të cookie, dobësitë e
shumta saj, metodat e sulmit, sfidat e ndryshme dhe sugjerime rreth përmirësimit mëtejshëm
sigurisë që ofrohet. HTTP Cookie është një teknikë e përdorur gjerësisht në world wide web. Disa shkelje
dhënave shkallë të gjerë kanë treguar se cookies mund komprometohen me anë llojeve
larmishme sulmesh. Protokolli i Cookie është bazuar në një projekt që është nënshkruar mbi dy dekada
parë. Me anë të rishikimit sistematik të literatures këtë kërkim janë zbuluar dobësitë e cookies,
metodat e sulmit shfrytëzojnë dobësitë dhe metodat e mbrojtjes për zbutur sulmet. Bazuar
literaturën e shqyrtuar ky kërkim tregon se cookies dhe protokollet e transmetimit përfshijnë dobësi dhe
vulnerabilitete që mund të shfrytëzohen nga sulmuesit. Ky hulumtim adreson shqetësimet në mungesën e
konsiderueshme të integritetit dhe konfidencialitetit për teknologjinë e autentifikimit me anë të cookies.
Protokolli i cookie duhet të përditësohet një nivel të ri sigurie. gjendjen e tanishme tregohet se
cookies janë ekpozuar ndaj poisoning, hijacking, manipulimit, cross-site scripting etj. Për bërë
procesin e mitigation këtyre sulmeve sugjerohen disa zgjidhje bazuar karakteristikat e këtij
autentikimi. Ky hulumtim synon tu përgjigjet pyetjve hulumtimit me anë rishikimit sistematik
literaturës duke shqyrtuar specifikimet e cookies, metodave të sulmit që shfrytëzojnë dobësitë e gjetura
dhe masat mbrojtëse për të mbrojtur cookies.
Hyrje dhe Rishikimi i literaturës
Rrjetet wireless janë bërë shumë të njohura dhe të përdorshme ditët e sotme. Si përparësi kryesore mund
të përmendim fleksibilitetin dhe mobilitetin për konsumatorët. Përcaktimi i identitetit të një përdoruesi në
rrjet ndihmon mirembajtjen e llogarive, transaksioneve dhe shërbimeve të tyre. Procesi i autentikimit
është thelbësor në evitimin e vjedhjes së identitetit. Autentikimi është procesi i verifikimit të një individi
nëse është ai pretendon të jetë. Ky proces është një aspekt shumë i rëndësishëm i sigurisë e duhet
adresohet mënyrë efektive. Përndryshe aspektet e tjera sigurisë tilla si autorizimi,
disponueshmëria, auditimi, konfidencialiteti, integriteti dhe jo mohimi mund të komprometohen lehtë.
Cookies janë skedarë të vegjël që ruhen në kompjuterin e një përdoruesi.Një nga kërcënimet kryesore për
rrjetin është session hijacking që mund të kryhet me ndihmën e shfrytëzimit të cookie.
Ekzistojnë tri qëllime për përdorimin e cookies: menaxhimi i sesionit, personalizimi dhe gjurmimi. Për
menaxhimin e sesionit, cookies përdoren për shembull për të menaxhuar identifikimet dhe shopping carts.
pf3
pf4
pf5

Unvollständige Textvorschau

Nur auf Docsity: Lade Cookie Authentication und mehr Leitfäden, Projektarbeiten und Recherchen als PDF für Computeranwendungen herunter!

Cookie Authentication

Detyrë individuale

Punoi: Instruktore:

Enri Gega Prof. Assoc. Dr. Edlira Martiri

Tiranë, Qershor 2019

Abstrakt

Ky punim shqyrton shqetësimet e nivelit të sigurisë në lundrimin në faqet e internetit, të cilat autentifikojnë përdoruesit e tyre. Në të diskutohen procedurat e autentikimin me anë të cookie, dobësitë e shumta të saj, metodat e sulmit, sfidat e ndryshme dhe sugjerime rreth përmirësimit të mëtejshëm të sigurisë që ofrohet. HTTP Cookie është një teknikë e përdorur gjerësisht në world wide web. Disa shkelje të të dhënave në shkallë të gjerë kanë treguar se cookies mund të komprometohen me anë të llojeve të larmishme sulmesh. Protokolli i Cookie është bazuar në një projekt që është nënshkruar mbi dy dekada më parë. Me anë të rishikimit sistematik të literatures në këtë kërkim janë zbuluar dobësitë e cookies, metodat e sulmit që shfrytëzojnë dobësitë dhe metodat e mbrojtjes për të zbutur sulmet. Bazuar në literaturën e shqyrtuar ky kërkim tregon se cookies dhe protokollet e transmetimit përfshijnë dobësi dhe vulnerabilitete që mund të shfrytëzohen nga sulmuesit. Ky hulumtim adreson shqetësimet në mungesën e konsiderueshme të integritetit dhe konfidencialitetit për teknologjinë e autentifikimit me anë të cookies. Protokolli i cookie duhet të përditësohet në një nivel të ri sigurie. Në gjendjen e tanishme tregohet se cookies janë të ekpozuar ndaj poisoning, hijacking, manipulimit, cross-site scripting etj. Për të bërë procesin e mitigation të këtyre sulmeve sugjerohen disa zgjidhje bazuar në karakteristikat e këtij autentikimi. Ky hulumtim synon tu përgjigjet pyetjve të hulumtimit me anë të rishikimit sistematik të literaturës duke shqyrtuar specifikimet e cookies, metodave të sulmit që shfrytëzojnë dobësitë e gjetura dhe masat mbrojtëse për të mbrojtur cookies.

Hyrje dhe Rishikimi i literaturës

Rrjetet wireless janë bërë shumë të njohura dhe të përdorshme ditët e sotme. Si përparësi kryesore mund të përmendim fleksibilitetin dhe mobilitetin për konsumatorët. Përcaktimi i identitetit të një përdoruesi në rrjet ndihmon në mirembajtjen e llogarive, transaksioneve dhe shërbimeve të tyre. Procesi i autentikimit është thelbësor në evitimin e vjedhjes së identitetit. Autentikimi është procesi i verifikimit të një individi nëse është ai që pretendon të jetë. Ky proces është një aspekt shumë i rëndësishëm i sigurisë e duhet të adresohet në mënyrë efektive. Përndryshe aspektet e tjera të sigurisë të tilla si autorizimi, disponueshmëria, auditimi, konfidencialiteti, integriteti dhe jo mohimi mund të komprometohen lehtë. Cookies janë skedarë të vegjël që ruhen në kompjuterin e një përdoruesi.Një nga kërcënimet kryesore për rrjetin është session hijacking që mund të kryhet me ndihmën e shfrytëzimit të cookie. Ekzistojnë tri qëllime për përdorimin e cookies: menaxhimi i sesionit, personalizimi dhe gjurmimi. Për menaxhimin e sesionit, cookies përdoren për shembull për të menaxhuar identifikimet dhe shopping carts.

Cookies përdoren gjithashtu për ruajtjen e preferencave të përdoruesit dhe konfigurimet e tjera për të personalizuar përvojat e site-it. Gjurmimi, që ngjall debat të shumtë në ditët e sotme është gjithashtu funksion i rëndësishëm i cookies për të regjistruar dhe analizuar sjelljen e përdoruesit. (Mozilla, 2019.) Për qëllime të përcjelljes, ekzistojnë lloje të veçanta të cookies të njohura si tracking cookies. Tracking cookies mund të ndahen mes faqeve të shumta të internetit. Tracking cookies mund të përdoren për të gjetur sjelljen e lundrimit të përdoruesve dhe për të paraqitur përmbajtje të përshtatur për to.

Ka studime që kombinojnë specifikimet e cookies, dobësitë e specifikimeve, metodat e sulmit që

shfrytëzojnë dobësitë dhe mekanizmat mbrojtës për të zbutur ndikimet e metodave të sulmit.

Asnjë nga studimet e gjetura nuk kombinon specifikimet e cookies, metodat e sulmit dhe

mekanizmat mbrojtës, në një nivel adekuat për të qenë në gjendje të formulojnë madhësinë e

fenomenit ose problematikës. Prandaj, ky studim justifikon provat e gjetura për të gjeneruar dhe

integruar të kuptuarit e variablave që ndikojnë fenomenin nga perspektiva e shumëfishtë. (F-

Secure.)

Kur të kuptojnë se si funksionojnë cookies dhe se si tiparet e cookies ndikojnë në sigurinë e tyre, do të fitojmë njohuri për dobësitë e cookies. Është e pashmangshme për të gjeneruar një kuptim të qartë të mekanizmit cookie që ka një efekt mbi shumicën e individëve në botë. Ne duhet të kuptojmë se çfarë e bën cookies vulnerable dhe cilët janë përbërësit e cookies që konsiderohen si dobësi të shfrytëzueshme me qëllim për të krijuar mekanizma të rinj ose për të forcuar mekanizmat ekzistues mbrojtës të tyre. Qëllimi i këtij hulumtimi është paraqitja e rezultateve që të zbluojmë dobësitë, llojet e sulmit, dhe mekanizmat mbrojtës të cookies. Pra, zbulimet e mësipërme do të shpjegojnë qartë sigurinë e cookies.

Shqyrtimi sistematik i literaturës do tu përgjigjet pyetjeve kërkimore si: "Cilat janë dobësitë e

HTTP cookies? ", " Çfarëlloj sulmesh shfrytëzojnë dobësitë e cookies? "dhe" Çfarë metodash të

reja mbrojtje mund të zbatohen për të zbutur sulmet?

Për të identifikuar mungesën në hulumtimin e cookies janë shqyrtuar literatura(projekte, papers e

raporte) dhe burime online. U gjet një hendek ekzistues. Bazuar në interesin e studiuesit dhe

hendekut të gjetur, u përcaktua.qëllimi i këtij studimi. Literatura u zgjodh si përfshirje në bazë të

kritereve të paracaktuara.

Tipet e Cookies

Një cookie HTTP është një pjesë e vogël e të dhënave ose skedar teksti i cili dërgohet nga një faqe interneti ose web server dhe ruhet në web browserin e përdoruesit kur përdoruesi po e shfleton atë faqe. Cookies krijohen kur një përdorues viziton një webpage dhe përdor cookies për të mbajtur gjurmët e lëvizjeve e të aktivitetit të përdoruesit. Çdo herë që përdoruesi viziton faqen e internetit, shfletuesi dërgon vlera e cookie-it tek serveri për të njoftuar aktivitetin e mëparshëm të përdoruesit në server. Cookies janë tekst i thjeshtë dhe nuk përmbajnë asnjë kod që ekzekutohet. Cookies përdoren për të ruajtur aktivitetet e ndryshme të përdoruesve në një faqe të tillë si klikimi i veçantë Buttons, logging in, ose historinë e një web site. Serveri udhëzon web browserin e përdoruesit për të ruajtur këtë informacion të cookie dhe pastaj dërgon vlerën e saj me çdo kërkesë. Me këtë informacion, web server-i është në gjendje të identifikojë përdoruesit individual. [1] [2] Kur një përdorues viziton një faqe interneti për herë të parë, përdoruesi është i panjohur në web serverin në të cilin po funksionon webpage i vizituar. Web serveri do të presë nga përdoruesi përsëri të kthehet në web site përsëri dhe ngarkon një identifikues unik të quajtur cookie nëweb browser-in e përdoruesit. Cookie përfshin një listë të informacionit të emrit = vlerë. Cookie është i bashkangjitur me përdoruesin duke përdorur header-in e përgjigjes HTTP, Set-Cookie ose Set-Cookie2 HTTP. Cookies gjithashtu mund të përfshijnë një numër identifikimi unik, që gjenerohet nga serveri i uebit për qëllime të gjurmimit[3]. Llojet e ndryshme të cookies të cilat përdoren për të ruajtur gjendjen e një ueb faqe janë dhënë më poshtë:

futet në atë sesion. Në sesionin e hijack të aplikacioneve të bazuara në web, ky rrëmbim përfshin cookie të përdoruesit. CookieS mund të përdoret për ruajtjen e informacioneve sensitive siç janë kredencialet e identifikimit. Sulmet mund të përdorin cookie për të hyrë në sesionin e përdoruesit. [8] Cookies mund vidhen duke nuhatur trafikun e rrjetit dhe kapjen cookies që janë shkarkuar nga një faqe interneti në një web browser. Një sulm mund të fitojë akses në kompjuterin e një përdoruesi dhe të shohë cookie-t që ruhen në një hard drive lokal. Vjedhja e cookies mundëson një sulm për të filluar një sesion të dytë në atë web site. Pastaj sulmuesi paraqet cookie për të anashkaluar autentikimin për të kryer veprime

me qëllim të keq brenda llogarisë së përdoruesit.Ka disa metoda për parandalimin e sulmeve që janë në

shënjestër të cookies ose përdorin sivektor cookies për sulm. Operatorët e web serverit mund të trajtojnë

URL-të si aftësi për të kufizuar përcaktimin dhe autorizimin. Kjo duhet bërë në vend që të përdorin

cookies si burime autorizimi. Prandaj, do të ishin sekretet të ruajtura në URL në vend të cookies dhe një

entitet të largët duhet të furnizojë sekretin në vetvete. Siguri më të fuqishme mund të arrihet përmes një zgjidhjeje të arsyeshme të parimet e përmendura. Megjithatë, asnjë zgjidhje nuk është absolutisht një

provë rasti i sigurisë kibernetike. [9]

Mbrojtja nga sulmet e Cookies dhe Gjetjet

Është e pashmangshme të vërehet se literatura nuk ofron zgjidhje për parandalimin e manipulimit të cookie dhe sulme poisoning. Cookies nuk duhet të shkruhen në mënyrë dinamike duke përdorur të dhëna që rrjedhin nga burime të pabesueshme. Të dhënat e cookie duhet të shmangen në lidhje me sigurinë. Duhet të ekzekutohet validimi i të dhënave për të dhënat e cookie-ve nëse të dhënat e cookie-t janë përdorur për vendimet lidhur me sigurinë. Për të zbuluar gabimet, na vijnë në ndihmë kontrollet e integritetit. Për të parandaluar rrëmbimin / vjedhjen e cookie, cookies duhet të jenë të enkriptuara. Edhe pse enkriptimi nuk paraqet siguri të plotë për cookies. Një sulm mundet të listojë trafikun e viktimës dhe pret që viktima të dërgojë një kërkesë HTTP të paekriptuar në ndonjë faqe tjetër të internetit. Sulmuesi rrëmben lidhjen e pasiguruar dhe i përgjigjet kërkesës së pasiguruar dhe e përcjell shfletuesin e viktimës në faqen e internetit të synuar në portin 80. Kjo metodë e sulmit lidhet me rrëmbimin TCP / IP. Për të parandaluar këtë lloj sulmi, identifikuesit e sesionit nuk duhet të transmetohen dhe menaxhohen nga cookies. Disa mënyra parandalimi të sulmeve CSRF janë: të bëni që veprimet të hyjnë në fuqi vetëm në kërkesat e POST-it (jo formularët e aplikacioneve), jo GET. Kjo e pengon sulmin e thjeshtë "kliko një lidhje". Megjithatë, nëse një sulm mund të ndodhë josh përdoruesin të vijë në një faqe që sulmon kontrollet, atëherë ajo faqe mundetautomatikisht të dërgji një formular duke përdorur JavaScript. Për të mbrojtur sesionet, duhet të vendoset Secure Flag në cookie. Në këtë mënyrë cookies dërgohen vetëm mbi lidhjen e koduar HTTPS. Kur vendoset HttpOnly flamur,web browser nuk duhet të lejojë që scripting të ketë qasje në cookie. Kjo duhet të parandalojë identifikuesit e sesionit që do të kryesohen nga sulmet e XSS. Kërkesat cross-site janë të ndaluar aduke vendosur të njëjtin atribut të faqes në cookies. Cookies janë të udhëzuar për tu dërguar në domain dhe nën-domainet e specifikuar duke vendosur atributin Domain. Cookies duhen dërguar në drejtoritë dhe nën-direktoritë e specifikuara duke vendosur atributet e rrugës. Gjithashtu atrbutet e domain dhe path duhet të kufizohen. Për të parandaluar XSS, hyrjet e të dhënave që nuk janë të besuara nuk duhet të pranohen. Flamuri HttpOnly

duhet të vendoset në cookies të sesionit. Mungesa e studimeve në lidhje me parandalimin e XSS është e dukshme. [10]

Përfundime dhe sugjerime

Cookies zakonisht përdoren në shërbimet që ofron interneti. Dobësitë çojnë në aktivitete që

përpiqen të shfrytëzojnë dobësitë. Atributet e cookies në shumë raste nuk sigurojjnë

konfidencialitet e as integritet. Sigurt HttpOnly dhe atributet e rrugëve mbrojnë vetëm

konfidencialitetin e cookies. Mungesa e integritetit vë në dukje cookies ndaj sulmeve. Cookies

gjithashtu kanë një model të dobët të përgjithshëm të sigurisë. Pas kërkimit arrijmë në

përfundimin se për të shmangur shumë sulme ndaj cookies kodimi i aplikacioneve web në

mënyrë korrekte dhe rigjenerimi i një new session identifier (SID) për çdo request për

autentikim. Shumë nga vulnerabilitetet e cookies janë të vështira të eleminohe, por nëse bëhen

përpjekje në ruajtjen e integritetit dhe konfidencialitetit gjatë komunikimin me web serverin, janë

marra masa të konsiderueshme në sigurinë ndaj sulmeve të cookies.

Referencat

[1] Mudassar Raza, Muhammad Iqbal, Muhammad Sharif and Waqas Haider, “A Survey of Password Attacks and Comparative Analysis on Methods for Secure Authentication”, World Applied Sciences Journal, vol. 19, fq. 439- 444 [2] A. Jesudoss and N.P. Subramaniam, “A Taxonomy of Authentication Techniques for Web Services”, International Journal of Engineering Research and Technology, Vol. 3 2014, fq. 271- 275 [3] Gourley, D. & Totty, B. (2002). HTTP : The Definitive Guide. Sebastopol : O’Reilly Media, Inc. http://www.staroceans.org/e-book/O'Reilly%20-%20HTTP%20-%20The%20Definitive%20Guide.pdf [4] http://www.allaboutcookies.org/cookies/persistent-cookies-used-for.html [5] https://cookiecontroller.com/what-are-cookies/ [6] Dubrawsky, I. (2010). Eleventh Hour Security+. Burlington : Elsevier Inc. [7]Mitja Kolšek. “Session Fixation Vulnerability in Web-based Applications.” December 2002. http://www.acros.si/papers/session_fixation.pdf [8] Ristic, I. (2014). Bulletproof SSL and TLS : Understanding and Deploying SSL/TLS and PKI to Secure Servers and Web Applications. London : Feisty Duck Limited fq. Mozilla. (20 Qershor 2019). HTTP cookies. Marrë nga https://developer.mozilla.org/en- US/docs/Web/HTTP/Cookies [9]https://www.computerweekly.com/answer/Session-fixation-protection-How-to-stop-session- fixation-attacks [10] Stuttard, D. & Pinto, M. (2011). The Web Application Hacker’s Handbook : Finding and Exploiting SecurityFlaws.Indianapolis:John_Wiley_&_Sons,_Inc. F-Secure. Tracking Cookie. Marrë nga https://www.f-secure.com/sw-desc/tracking_cookie.shtml