Saeed_TnT
15-12-2004, 12:42
آشنائی با محتويات فعال و کوکی
هر يک از ما در مدت زمان اتصال به اينترنت از وب سايت ها و يا وبلاگ های متعددی ديدن می نمائيم . طراحان و پياده کنندگان وب سايت ها و وبلاگ ها به منظور ارائه خدمات مورد نظر خود از امکانات و يا بهتر بگوئيم تکنولوژی های متفاوتی استفاه می نمايند . اغلب ملاقات کننده گان ، احساس خاصی نسبت به اين تکنولوژی ها نداشته و صرفا" برای آنان نوع سرويس ها و خدمات ارائه شده دارای اهميت است . برخی از تکنولوژی های استفاده شده عليرغم داشتن جنبه های مثبت و مهم به ابزارهائی برای برنامه ريزی برخی حملات تبديل شده و حريم خصوصی کاربران را بمخاطره می اندازد . محتويات فعال ( Active contents ) و کوکی ها ( Cookies ) از جمله موارد فوق ، می باشند.
محتويات فعال چيست ؟
در اغلب وب سايت ها به منظور افزايش پتانسيل های قابل ارائه به کاربران و يا تزئين سايت از اسکريپت هائی که باعث اجرای برنامه ها بر روی مرورگر وب می شود ، استفاده می گردد . ايجاد منوهای Drop-down و يا انجام افکت های گرافيکی متفاوت در يک صفحه وب ، نمونه هائی در اين زمينه می باشند . اين نوع اسکريپت ها که به "محتويات فعال" معروف شده اند ، اغلب به روشی برای انواع حملات نظير سرقت اطلاعات و يا اجرای کدهای مخرب بر روی کامپيوتر کاربران، تبديل شده اند .
جاوا اسکريپت : جاوا اسکريپت يکی از متداولترين زبان های اسکريپت نويسی در وب است که در اکثر وب سايت ها از آن استفاده می گردد. ( VBscript,ECMAScript و Jscript نمونه هائی ديگر در اين زمينه می باشند ) . تامين طيف وسيعی از خواسته ها ، عملکرد مناسب ، سادگی در استفاده و ترکيب آسان با ساير نرم افزارها از جمله دلايل گسترش استفاده از زبان های اسکريپت نويسی در وب می باشد.مهاجمان نيز از پتانسيل های ارائه شده توسط زبان های اسکريپت نويسی به منظور نيل به اهداف مخرب خود استفاده می نمايند . مثلا" يکی از حملات متداول که با محوريت جاوا اسکريپت صورت می پذيرد ، هدايت کاربران از يک وب سايت مطمئن به يک وب سايت مخرب است که در آن اقدام به download ويروس ها و يا جمع آوری اطلاعات شخصی کاربران می گردد .
اپلت های جاوا و کنترل های اکتيوايکس : اپلت های جاوا و کنترل های اکتيوايکس برنامه هائی می باشند که بر روی کامپيوتر شما مستقر شده و يا از طريق شبکه بر روی مرورگر شما download می گردند . در صورتی که اينگونه برنامه ها ( خصوصا" کنترل های اکتيوايکس ) توسط مهاجمان مديريت و هدايت گردند ، امکان انجام هر گونه عملياتی بر روی کامپيوتر شما وجود خواهد داشت . اپلت های جاوا معمولا" در يک محيط محدودتر اجراء می گردند . اين نوع از برنامه ها در صورت عدم ايمنی مناسب محيط ايجاد شده ، فرصت های مناسبی به منظور انواع حملات را برای مهاجمان فراهم می نمايند .
استفاده از جاوا اسکريپت ، اپلت های جاوا و کنترل های اکتيوايکس ، همواره خطرناک نمی باشد . ولی می بايست به اين موضوع دقت شود که امکانات فوق به ابزارهائی برای انواع حملات توسط مهاجمان، تبديل شده اند . به منظور پيشگيری در خصوص محتويات فعال ، امکانات متعددی در اکثر مرورگرها پيش بينی شده است که با استفاده از آنان و تنظيم بهينه پارامترهای موجود می توان يک سطح ايمنی مناسب را ايجاد نمود. بموازات افزايش ضريب ايمنی مرورگر خود به منظور برخوردبا محتويات فعال، ممکن است محدوديت های خاصی در خصوص برخی ويژگی های ارائه شده توسط برخی سايت ها ، ايجاد گردد. در صورتی که از يک وب سايت ديدن می نمائيد که نسبت به آن شناخت کافی وجود ندارد ، می بايست پيشگيری لازم در خصوص غير فعال نمودن محتويات فعال را انجام داد. تهديدات مشابهی نيز می تواند متوجه برنامه های پست الکترونيکی باشد . تعداد زيادی از برنامه های پست الکترونيکی از برنامه های مشابه مرورگرها به منظور نمايش HTML استفاده می نمايند . بنابراين امکان تهديد محتويات فعال در خصوص نامه های الکترونيکی نيز می تواند وجود داشته باشد .به منظور پيشگيری لازم در خصوص اين نوع تهديدات می توان پيام ها را به صورت متن معمولی ، مشاهده نمود .
کوکی چيست ؟
در زمان استفاده از اينترنت ، امکان جمع آوری و ذخيره اطلاعات شما وجود خواهد داشت . اطلاعات فوق ممکن است اطلاعاتی عمومی در خصوص کامپيوتر شما نظير آدرس IP ، نام Domain استفاده شده به منظور ارتباط با اينترنت ، نوع مرورگر و سيستم عامل ، باشد . اطلاعات جمع آوری شده می تواند شامل موارد خاصی نظير آخرين مرتبه ای که يک وب سايت را ملاقات نموده ايد و يا اطلاعات شخصی شما در زمان استفاده از يک وب سايت خاص نظير آدرس پست الکترونيکی باشد .
Session cookie . اين نوع کوکی ها صرفا" و تا زمانی که از مرورگر استفاده می گردد ، اطلاعاتی را ذخيره نموده و پس از بستن مرورگر اطلاعات از بين می رود . هدف از بکارگيری اين نوع کوکی ها ، ارائه تسهيلات لازم در خصوص حرکت بين صفحات متعدد است . مثلا" تشخيص مشاهده يک صفحه خاص و يا نگهداری اطلاعاتی در خصوص داده های مرتبط با يک صفحه .
Presistent cookie : اين نوع کوکی ها اطلاعاتی را بر روی کامپيوتر شما ذخيره می نمايند . بدين ترتيب امکان نگهداری اطلاعات شخصی مرتبط با شما فراهم می گردد . در اکثر مرورگرها برای اين نوع از کوکی ها می توان يک مدت زمان خاص را مشخص نمود( عمر مفيد ) .در صورتی که يک مهاجم امکان دستيابی به کامپيوتر شما را پيدا نمايد ، می تواند با مشاهده محتويات فايل های فوق به اطلاعات شخصی شما دسترسی نمايد.
به منظور افزايش سطح ايمنی خود ، می بايست تنظيمات امنيتی لازم در خصوص اعمال محدوديت و يا بلاک نمودن کوکی ها را در جهت حفظ حريم خصوصی ، انجام داد . در صورتی که از يک کامپيوتر عمومی استفاده می نمائيد ، می بايست کوکی ها را غير فعال نموده تا پيشگيری لازم در خصوص دستيابی سايرين به اطلاعات شخصی شما ، صورت پذيرد .
هر يک از ما در مدت زمان اتصال به اينترنت از وب سايت ها و يا وبلاگ های متعددی ديدن می نمائيم . طراحان و پياده کنندگان وب سايت ها و وبلاگ ها به منظور ارائه خدمات مورد نظر خود از امکانات و يا بهتر بگوئيم تکنولوژی های متفاوتی استفاه می نمايند . اغلب ملاقات کننده گان ، احساس خاصی نسبت به اين تکنولوژی ها نداشته و صرفا" برای آنان نوع سرويس ها و خدمات ارائه شده دارای اهميت است . برخی از تکنولوژی های استفاده شده عليرغم داشتن جنبه های مثبت و مهم به ابزارهائی برای برنامه ريزی برخی حملات تبديل شده و حريم خصوصی کاربران را بمخاطره می اندازد . محتويات فعال ( Active contents ) و کوکی ها ( Cookies ) از جمله موارد فوق ، می باشند.
محتويات فعال چيست ؟
در اغلب وب سايت ها به منظور افزايش پتانسيل های قابل ارائه به کاربران و يا تزئين سايت از اسکريپت هائی که باعث اجرای برنامه ها بر روی مرورگر وب می شود ، استفاده می گردد . ايجاد منوهای Drop-down و يا انجام افکت های گرافيکی متفاوت در يک صفحه وب ، نمونه هائی در اين زمينه می باشند . اين نوع اسکريپت ها که به "محتويات فعال" معروف شده اند ، اغلب به روشی برای انواع حملات نظير سرقت اطلاعات و يا اجرای کدهای مخرب بر روی کامپيوتر کاربران، تبديل شده اند .
جاوا اسکريپت : جاوا اسکريپت يکی از متداولترين زبان های اسکريپت نويسی در وب است که در اکثر وب سايت ها از آن استفاده می گردد. ( VBscript,ECMAScript و Jscript نمونه هائی ديگر در اين زمينه می باشند ) . تامين طيف وسيعی از خواسته ها ، عملکرد مناسب ، سادگی در استفاده و ترکيب آسان با ساير نرم افزارها از جمله دلايل گسترش استفاده از زبان های اسکريپت نويسی در وب می باشد.مهاجمان نيز از پتانسيل های ارائه شده توسط زبان های اسکريپت نويسی به منظور نيل به اهداف مخرب خود استفاده می نمايند . مثلا" يکی از حملات متداول که با محوريت جاوا اسکريپت صورت می پذيرد ، هدايت کاربران از يک وب سايت مطمئن به يک وب سايت مخرب است که در آن اقدام به download ويروس ها و يا جمع آوری اطلاعات شخصی کاربران می گردد .
اپلت های جاوا و کنترل های اکتيوايکس : اپلت های جاوا و کنترل های اکتيوايکس برنامه هائی می باشند که بر روی کامپيوتر شما مستقر شده و يا از طريق شبکه بر روی مرورگر شما download می گردند . در صورتی که اينگونه برنامه ها ( خصوصا" کنترل های اکتيوايکس ) توسط مهاجمان مديريت و هدايت گردند ، امکان انجام هر گونه عملياتی بر روی کامپيوتر شما وجود خواهد داشت . اپلت های جاوا معمولا" در يک محيط محدودتر اجراء می گردند . اين نوع از برنامه ها در صورت عدم ايمنی مناسب محيط ايجاد شده ، فرصت های مناسبی به منظور انواع حملات را برای مهاجمان فراهم می نمايند .
استفاده از جاوا اسکريپت ، اپلت های جاوا و کنترل های اکتيوايکس ، همواره خطرناک نمی باشد . ولی می بايست به اين موضوع دقت شود که امکانات فوق به ابزارهائی برای انواع حملات توسط مهاجمان، تبديل شده اند . به منظور پيشگيری در خصوص محتويات فعال ، امکانات متعددی در اکثر مرورگرها پيش بينی شده است که با استفاده از آنان و تنظيم بهينه پارامترهای موجود می توان يک سطح ايمنی مناسب را ايجاد نمود. بموازات افزايش ضريب ايمنی مرورگر خود به منظور برخوردبا محتويات فعال، ممکن است محدوديت های خاصی در خصوص برخی ويژگی های ارائه شده توسط برخی سايت ها ، ايجاد گردد. در صورتی که از يک وب سايت ديدن می نمائيد که نسبت به آن شناخت کافی وجود ندارد ، می بايست پيشگيری لازم در خصوص غير فعال نمودن محتويات فعال را انجام داد. تهديدات مشابهی نيز می تواند متوجه برنامه های پست الکترونيکی باشد . تعداد زيادی از برنامه های پست الکترونيکی از برنامه های مشابه مرورگرها به منظور نمايش HTML استفاده می نمايند . بنابراين امکان تهديد محتويات فعال در خصوص نامه های الکترونيکی نيز می تواند وجود داشته باشد .به منظور پيشگيری لازم در خصوص اين نوع تهديدات می توان پيام ها را به صورت متن معمولی ، مشاهده نمود .
کوکی چيست ؟
در زمان استفاده از اينترنت ، امکان جمع آوری و ذخيره اطلاعات شما وجود خواهد داشت . اطلاعات فوق ممکن است اطلاعاتی عمومی در خصوص کامپيوتر شما نظير آدرس IP ، نام Domain استفاده شده به منظور ارتباط با اينترنت ، نوع مرورگر و سيستم عامل ، باشد . اطلاعات جمع آوری شده می تواند شامل موارد خاصی نظير آخرين مرتبه ای که يک وب سايت را ملاقات نموده ايد و يا اطلاعات شخصی شما در زمان استفاده از يک وب سايت خاص نظير آدرس پست الکترونيکی باشد .
Session cookie . اين نوع کوکی ها صرفا" و تا زمانی که از مرورگر استفاده می گردد ، اطلاعاتی را ذخيره نموده و پس از بستن مرورگر اطلاعات از بين می رود . هدف از بکارگيری اين نوع کوکی ها ، ارائه تسهيلات لازم در خصوص حرکت بين صفحات متعدد است . مثلا" تشخيص مشاهده يک صفحه خاص و يا نگهداری اطلاعاتی در خصوص داده های مرتبط با يک صفحه .
Presistent cookie : اين نوع کوکی ها اطلاعاتی را بر روی کامپيوتر شما ذخيره می نمايند . بدين ترتيب امکان نگهداری اطلاعات شخصی مرتبط با شما فراهم می گردد . در اکثر مرورگرها برای اين نوع از کوکی ها می توان يک مدت زمان خاص را مشخص نمود( عمر مفيد ) .در صورتی که يک مهاجم امکان دستيابی به کامپيوتر شما را پيدا نمايد ، می تواند با مشاهده محتويات فايل های فوق به اطلاعات شخصی شما دسترسی نمايد.
به منظور افزايش سطح ايمنی خود ، می بايست تنظيمات امنيتی لازم در خصوص اعمال محدوديت و يا بلاک نمودن کوکی ها را در جهت حفظ حريم خصوصی ، انجام داد . در صورتی که از يک کامپيوتر عمومی استفاده می نمائيد ، می بايست کوکی ها را غير فعال نموده تا پيشگيری لازم در خصوص دستيابی سايرين به اطلاعات شخصی شما ، صورت پذيرد .