17. dia HTTP HALADO Flashcards
(Sütik) definició
Egy névérték pár ás kapcsolódó metaadatok (attribútumok), amelyeket egy eredet szerver egy válasz Set-Cookie fejlécmezőjében küld a felhasználói ágensnek.
Attribútumok segítségével az eredet szerver egy hatáskört határozhatnak meg a sütikhez.
A felhasználói ágens a további kérésekben a név-érték párt a Cookie fejlécmezőben küldi vissza az eredet szervernek.
(Sütik) felhasználása
Munkamenet kezelés
Testreszabás
Webes követés
(Sütik) Set-Cookie és Cookie fejlécmezők
Amikor a felhasználói ágens egy Set-Cookie fejlécmezőt kapcs, eltárolja az attribútumaival együtt.
Ezt követően, amikor a felhasználói ágens egy HTTP kérést hajt végre, a Cookie fejlécmezőbe illeszti az alkalmazható, nem lejárt sütiket (csak a név-érték párokat).
Ha a felhasználói áganes egy olyan új sütit kapcs, amelynek neve, valamint Domain és Path attribútuma megegyezik egy már tárolt sütivel, akkor az új sütire cseréli a korábbit.
Itt nyílt szövegként aódnak át az információk.
(Sütik) Attribútumok (Max-Age, Expires)
Sütik élettartamát jelző attribútumok (Prezisztens ha van ilyen):
Expires - Lejáratának dátuma és ideje
Max-Age - azt adja meg, hogy hány másodperc múlva jár le a süti, ez elsőbbséget élvez
Ha nincsen ilyen akkor csak az aktuális munkamenet végéig tart a süti.
(Sütik) Attribútumok (Domain)
Meghatározza, hogy a süti milyen szervereknek lesz elküldve.
Ha ez nincs, akkor az eredet szervernek lesz küldve.
Ha az attribútum által meghatározott hatáskör nem tartalmazza az eredet szervert akkor azt a felhasználói ágens elutasítja.
Sok felhasználói ágens elutasít olyan Domain értéket amely nyilvános regisztrátor ellenőrzése alatt van (.com, .co, .uk).
(Sütik) Attribútumok (Path)
A sütik hatáskörét adott útvonalakra korlátozza.
Ha a szerver kihagyja az attribútumot, a felhasználói ágens a kért URI útvonal komponensének “könyvtárát” használja alapértelmezett értékként.
(Sütik) Attribútumok (Secure)
A sütik hatáskörének biztonságos csatornákra korlátozása.
Egy ilyen attribútummal rendelkező sütit a felhasználói ágens csak akkor tesz bele a kérésbe, ha annak átvitele biztonságos csatornán keresztül történik (például érzékeny információ, ezt sima szövegként küldeni nem szerencsés).
(Sütik) Attribútumok (HttpOnly)
HTTP kérésekre korlátozza a Süti hatáskörét.
Arra utasítja a felhasználói ágenst, hogy ne tegye a sütit elérhetővé kliens oldali API-k számára.
(Sütik) Kezelése
A felhasználói ágenseknek;
törölniük kell a lejárt sütiket,
az aktuális munkamenet végén törölniük kell az összes nem prezisztens sütit,
valamint korlátokat kell szabniuk a sütik számára és méretére.
Ajánlott a felhasználók számára elérhetővé tenni a tárolt sütik kezelését, hogy például egy bizonyos időszakban fogadott vagy tartományhoz kapcsolódó összes sütit törölni tudjon. Valamint, hogy a sütiket letilthassa a felhasználó.
(Sütik) Harmadik féltől származó sütik
Gyakran bírálják a sütiket, hiszen így a szervereknek lehetősége van a felhasználók követésére.
Ez különösen problémás a harmadik féltől származó sütik esetében.
A felhasználói ágensek gyakran kérnek erőforrásokat más szerverektől HTTP megjelenítése során.
Ezek a szerverek sütiket használnak a felhasználó követésére.
Cross-site sütiknek is nevezzük őket.
(Webes követés) definició
Egy adott felhasználó több különböző kontextuson keresztüli tevékenységével kapcsolatos adatgyűjtés és az ebből a tevékenységből származtatott adatok megőrzése, felhasználása vagy megosztása azon a kontextuson kívül, melyben a tevékenység történt.
Egy kontextus olyan erőforrások összessége, amelyek ugyanazon fél ellenőrzése vagy több fél közös ellenőrzése alatt áll.
(Webes követés) alapjául szolgáló információk
IP-cím, Sütik, az ETag fejlécmező és eszköz ujjlenyomat (op rendszer, képernyőfelbontás, telepített betűkiosztás)
(Webes követés) Referer fejléc-mező
Lehetővé teszi a felhasználói ágens számára, hogy megadja azt az erőforrást azonosító URI-hivatkozást, amelyből a cél URI származik.
Potenciálisan információt nyújthat a felhasználó böngészési előzményeiről, amely egy biztonsági kockázat.
Ezért nem ajánlott ennek használata akkor, ha a hivatkozó erőforrás elérése bitonságos protokollon kívül történt és a kérés céljának eredete eltér a hivatkozó erőforrásétól.
Tilos tehát a használata akkor, ha nem biztonságos HTTP kérést küldünk.
(Webes követés) Védekezés a követés ellen
Referer fejlécmező küldésének tiltása.
Harmadik féltől származó sütik tiltása:
Inkognitó ablakok használatakor. Néhány webhely azonban ezek nélkül működésképtelenek lesznek, ennek elkerülése végett kivételeket tehetünk egyes webhelyekre.
(Eredet) definició
Alapvető a webes biztonság szempontjából.
Feltételezhető, hogy két fél megbízik egymásban, ha azok eredete megegyezik, ellenesetben potenciális ellenségesnek tekintjük.
Egy erőforrás eredetét az URI séma host és port komponense határozza meg.
