



Besser lernen dank der zahlreichen Ressourcen auf Docsity
Heimse Punkte ein, indem du anderen Studierenden hilfst oder erwirb Punkte mit einem Premium-Abo
Prüfungen vorbereiten
Besser lernen dank der zahlreichen Ressourcen auf Docsity
Download-Punkte bekommen.
Heimse Punkte ein, indem du anderen Studierenden hilfst oder erwirb Punkte mit einem Premium-Abo
cookie authentication about cookies
Art: Leitfäden, Projektarbeiten und Recherchen
1 / 5
Diese Seite wird in der Vorschau nicht angezeigt
Lass dir nichts Wichtiges entgehen!




Ky punim shqyrton shqetësimet e nivelit të sigurisë në lundrimin në faqet e internetit, të cilat autentifikojnë përdoruesit e tyre. Në të diskutohen procedurat e autentikimin me anë të cookie, dobësitë e shumta të saj, metodat e sulmit, sfidat e ndryshme dhe sugjerime rreth përmirësimit të mëtejshëm të sigurisë që ofrohet. HTTP Cookie është një teknikë e përdorur gjerësisht në world wide web. Disa shkelje të të dhënave në shkallë të gjerë kanë treguar se cookies mund të komprometohen me anë të llojeve të larmishme sulmesh. Protokolli i Cookie është bazuar në një projekt që është nënshkruar mbi dy dekada më parë. Me anë të rishikimit sistematik të literatures në këtë kërkim janë zbuluar dobësitë e cookies, metodat e sulmit që shfrytëzojnë dobësitë dhe metodat e mbrojtjes për të zbutur sulmet. Bazuar në literaturën e shqyrtuar ky kërkim tregon se cookies dhe protokollet e transmetimit përfshijnë dobësi dhe vulnerabilitete që mund të shfrytëzohen nga sulmuesit. Ky hulumtim adreson shqetësimet në mungesën e konsiderueshme të integritetit dhe konfidencialitetit për teknologjinë e autentifikimit me anë të cookies. Protokolli i cookie duhet të përditësohet në një nivel të ri sigurie. Në gjendjen e tanishme tregohet se cookies janë të ekpozuar ndaj poisoning, hijacking, manipulimit, cross-site scripting etj. Për të bërë procesin e mitigation të këtyre sulmeve sugjerohen disa zgjidhje bazuar në karakteristikat e këtij autentikimi. Ky hulumtim synon tu përgjigjet pyetjve të hulumtimit me anë të rishikimit sistematik të literaturës duke shqyrtuar specifikimet e cookies, metodave të sulmit që shfrytëzojnë dobësitë e gjetura dhe masat mbrojtëse për të mbrojtur cookies.
Rrjetet wireless janë bërë shumë të njohura dhe të përdorshme ditët e sotme. Si përparësi kryesore mund të përmendim fleksibilitetin dhe mobilitetin për konsumatorët. Përcaktimi i identitetit të një përdoruesi në rrjet ndihmon në mirembajtjen e llogarive, transaksioneve dhe shërbimeve të tyre. Procesi i autentikimit është thelbësor në evitimin e vjedhjes së identitetit. Autentikimi është procesi i verifikimit të një individi nëse është ai që pretendon të jetë. Ky proces është një aspekt shumë i rëndësishëm i sigurisë e duhet të adresohet në mënyrë efektive. Përndryshe aspektet e tjera të sigurisë të tilla si autorizimi, disponueshmëria, auditimi, konfidencialiteti, integriteti dhe jo mohimi mund të komprometohen lehtë. Cookies janë skedarë të vegjël që ruhen në kompjuterin e një përdoruesi.Një nga kërcënimet kryesore për rrjetin është session hijacking që mund të kryhet me ndihmën e shfrytëzimit të cookie. Ekzistojnë tri qëllime për përdorimin e cookies: menaxhimi i sesionit, personalizimi dhe gjurmimi. Për menaxhimin e sesionit, cookies përdoren për shembull për të menaxhuar identifikimet dhe shopping carts.
Cookies përdoren gjithashtu për ruajtjen e preferencave të përdoruesit dhe konfigurimet e tjera për të personalizuar përvojat e site-it. Gjurmimi, që ngjall debat të shumtë në ditët e sotme është gjithashtu funksion i rëndësishëm i cookies për të regjistruar dhe analizuar sjelljen e përdoruesit. (Mozilla, 2019.) Për qëllime të përcjelljes, ekzistojnë lloje të veçanta të cookies të njohura si tracking cookies. Tracking cookies mund të ndahen mes faqeve të shumta të internetit. Tracking cookies mund të përdoren për të gjetur sjelljen e lundrimit të përdoruesve dhe për të paraqitur përmbajtje të përshtatur për to.
Kur të kuptojnë se si funksionojnë cookies dhe se si tiparet e cookies ndikojnë në sigurinë e tyre, do të fitojmë njohuri për dobësitë e cookies. Është e pashmangshme për të gjeneruar një kuptim të qartë të mekanizmit cookie që ka një efekt mbi shumicën e individëve në botë. Ne duhet të kuptojmë se çfarë e bën cookies vulnerable dhe cilët janë përbërësit e cookies që konsiderohen si dobësi të shfrytëzueshme me qëllim për të krijuar mekanizma të rinj ose për të forcuar mekanizmat ekzistues mbrojtës të tyre. Qëllimi i këtij hulumtimi është paraqitja e rezultateve që të zbluojmë dobësitë, llojet e sulmit, dhe mekanizmat mbrojtës të cookies. Pra, zbulimet e mësipërme do të shpjegojnë qartë sigurinë e cookies.
kritereve të paracaktuara.
Një cookie HTTP është një pjesë e vogël e të dhënave ose skedar teksti i cili dërgohet nga një faqe interneti ose web server dhe ruhet në web browserin e përdoruesit kur përdoruesi po e shfleton atë faqe. Cookies krijohen kur një përdorues viziton një webpage dhe përdor cookies për të mbajtur gjurmët e lëvizjeve e të aktivitetit të përdoruesit. Çdo herë që përdoruesi viziton faqen e internetit, shfletuesi dërgon vlera e cookie-it tek serveri për të njoftuar aktivitetin e mëparshëm të përdoruesit në server. Cookies janë tekst i thjeshtë dhe nuk përmbajnë asnjë kod që ekzekutohet. Cookies përdoren për të ruajtur aktivitetet e ndryshme të përdoruesve në një faqe të tillë si klikimi i veçantë Buttons, logging in, ose historinë e një web site. Serveri udhëzon web browserin e përdoruesit për të ruajtur këtë informacion të cookie dhe pastaj dërgon vlerën e saj me çdo kërkesë. Me këtë informacion, web server-i është në gjendje të identifikojë përdoruesit individual. [1] [2] Kur një përdorues viziton një faqe interneti për herë të parë, përdoruesi është i panjohur në web serverin në të cilin po funksionon webpage i vizituar. Web serveri do të presë nga përdoruesi përsëri të kthehet në web site përsëri dhe ngarkon një identifikues unik të quajtur cookie nëweb browser-in e përdoruesit. Cookie përfshin një listë të informacionit të emrit = vlerë. Cookie është i bashkangjitur me përdoruesin duke përdorur header-in e përgjigjes HTTP, Set-Cookie ose Set-Cookie2 HTTP. Cookies gjithashtu mund të përfshijnë një numër identifikimi unik, që gjenerohet nga serveri i uebit për qëllime të gjurmimit[3]. Llojet e ndryshme të cookies të cilat përdoren për të ruajtur gjendjen e një ueb faqe janë dhënë më poshtë:
futet në atë sesion. Në sesionin e hijack të aplikacioneve të bazuara në web, ky rrëmbim përfshin cookie të përdoruesit. CookieS mund të përdoret për ruajtjen e informacioneve sensitive siç janë kredencialet e identifikimit. Sulmet mund të përdorin cookie për të hyrë në sesionin e përdoruesit. [8] Cookies mund vidhen duke nuhatur trafikun e rrjetit dhe kapjen cookies që janë shkarkuar nga një faqe interneti në një web browser. Një sulm mund të fitojë akses në kompjuterin e një përdoruesi dhe të shohë cookie-t që ruhen në një hard drive lokal. Vjedhja e cookies mundëson një sulm për të filluar një sesion të dytë në atë web site. Pastaj sulmuesi paraqet cookie për të anashkaluar autentikimin për të kryer veprime
URL-të si aftësi për të kufizuar përcaktimin dhe autorizimin. Kjo duhet bërë në vend që të përdorin
entitet të largët duhet të furnizojë sekretin në vetvete. Siguri më të fuqishme mund të arrihet përmes një zgjidhjeje të arsyeshme të parimet e përmendura. Megjithatë, asnjë zgjidhje nuk është absolutisht një
Është e pashmangshme të vërehet se literatura nuk ofron zgjidhje për parandalimin e manipulimit të cookie dhe sulme poisoning. Cookies nuk duhet të shkruhen në mënyrë dinamike duke përdorur të dhëna që rrjedhin nga burime të pabesueshme. Të dhënat e cookie duhet të shmangen në lidhje me sigurinë. Duhet të ekzekutohet validimi i të dhënave për të dhënat e cookie-ve nëse të dhënat e cookie-t janë përdorur për vendimet lidhur me sigurinë. Për të zbuluar gabimet, na vijnë në ndihmë kontrollet e integritetit. Për të parandaluar rrëmbimin / vjedhjen e cookie, cookies duhet të jenë të enkriptuara. Edhe pse enkriptimi nuk paraqet siguri të plotë për cookies. Një sulm mundet të listojë trafikun e viktimës dhe pret që viktima të dërgojë një kërkesë HTTP të paekriptuar në ndonjë faqe tjetër të internetit. Sulmuesi rrëmben lidhjen e pasiguruar dhe i përgjigjet kërkesës së pasiguruar dhe e përcjell shfletuesin e viktimës në faqen e internetit të synuar në portin 80. Kjo metodë e sulmit lidhet me rrëmbimin TCP / IP. Për të parandaluar këtë lloj sulmi, identifikuesit e sesionit nuk duhet të transmetohen dhe menaxhohen nga cookies. Disa mënyra parandalimi të sulmeve CSRF janë: të bëni që veprimet të hyjnë në fuqi vetëm në kërkesat e POST-it (jo formularët e aplikacioneve), jo GET. Kjo e pengon sulmin e thjeshtë "kliko një lidhje". Megjithatë, nëse një sulm mund të ndodhë josh përdoruesin të vijë në një faqe që sulmon kontrollet, atëherë ajo faqe mundetautomatikisht të dërgji një formular duke përdorur JavaScript. Për të mbrojtur sesionet, duhet të vendoset Secure Flag në cookie. Në këtë mënyrë cookies dërgohen vetëm mbi lidhjen e koduar HTTPS. Kur vendoset HttpOnly flamur,web browser nuk duhet të lejojë që scripting të ketë qasje në cookie. Kjo duhet të parandalojë identifikuesit e sesionit që do të kryesohen nga sulmet e XSS. Kërkesat cross-site janë të ndaluar aduke vendosur të njëjtin atribut të faqes në cookies. Cookies janë të udhëzuar për tu dërguar në domain dhe nën-domainet e specifikuar duke vendosur atributin Domain. Cookies duhen dërguar në drejtoritë dhe nën-direktoritë e specifikuara duke vendosur atributet e rrugës. Gjithashtu atrbutet e domain dhe path duhet të kufizohen. Për të parandaluar XSS, hyrjet e të dhënave që nuk janë të besuara nuk duhet të pranohen. Flamuri HttpOnly
duhet të vendoset në cookies të sesionit. Mungesa e studimeve në lidhje me parandalimin e XSS është e dukshme. [10]
[1] Mudassar Raza, Muhammad Iqbal, Muhammad Sharif and Waqas Haider, “A Survey of Password Attacks and Comparative Analysis on Methods for Secure Authentication”, World Applied Sciences Journal, vol. 19, fq. 439- 444 [2] A. Jesudoss and N.P. Subramaniam, “A Taxonomy of Authentication Techniques for Web Services”, International Journal of Engineering Research and Technology, Vol. 3 2014, fq. 271- 275 [3] Gourley, D. & Totty, B. (2002). HTTP : The Definitive Guide. Sebastopol : O’Reilly Media, Inc. http://www.staroceans.org/e-book/O'Reilly%20-%20HTTP%20-%20The%20Definitive%20Guide.pdf [4] http://www.allaboutcookies.org/cookies/persistent-cookies-used-for.html [5] https://cookiecontroller.com/what-are-cookies/ [6] Dubrawsky, I. (2010). Eleventh Hour Security+. Burlington : Elsevier Inc. [7]Mitja Kolšek. “Session Fixation Vulnerability in Web-based Applications.” December 2002. http://www.acros.si/papers/session_fixation.pdf [8] Ristic, I. (2014). Bulletproof SSL and TLS : Understanding and Deploying SSL/TLS and PKI to Secure Servers and Web Applications. London : Feisty Duck Limited fq. Mozilla. (20 Qershor 2019). HTTP cookies. Marrë nga https://developer.mozilla.org/en- US/docs/Web/HTTP/Cookies [9]https://www.computerweekly.com/answer/Session-fixation-protection-How-to-stop-session- fixation-attacks [10] Stuttard, D. & Pinto, M. (2011). The Web Application Hacker’s Handbook : Finding and Exploiting SecurityFlaws.Indianapolis:John_Wiley_&_Sons,_Inc. F-Secure. Tracking Cookie. Marrë nga https://www.f-secure.com/sw-desc/tracking_cookie.shtml