17. dia HTTP HALADO Flashcards
(Sütik) definició
Egy névérték pár és kapcsolódó metaadatok (attribútumok), amelyeket egy eredet szerver egy válasz Set-Cookie fejlécmezőjében küld a felhasználói ágensnek.
Attribútumok segítségével az eredet szerver egy hatáskört határozhatnak meg a sütikhez.
A felhasználói ágens a további kérésekben a név-érték párt a Cookie fejlécmezőben küldi vissza az eredet szervernek.
(Sütik) felhasználása
Munkamenet kezelés
Testreszabás
Webes követés
(Sütik) Set-Cookie és Cookie fejlécmezők
Amikor a felhasználói ágens egy Set-Cookie fejlécmezőt kap, eltárolja az attribútumaival együtt.
Ezt követően, amikor a felhasználói ágens egy HTTP kérést hajt végre, a Cookie fejlécmezőbe illeszti az alkalmazható, nem lejárt sütiket (csak a név-érték párokat).
Ha a felhasználói áganes egy olyan új sütit kap, amelynek neve, valamint Domain és Path attribútuma megegyezik egy már tárolt sütivel, akkor az új sütire cseréli a korábbit.
Itt nyílt szövegként adódnak át az információk.
(Sütik) Attribútumok (Max-Age, Expires)
Sütik élettartamát jelző attribútumok (Prezisztens ha van ilyen):
Expires - Lejáratának dátuma és ideje
Max-Age - azt adja meg, hogy hány másodperc múlva jár le a süti, ez elsőbbséget élvez
Ha nincsen ilyen akkor csak az aktuális munkamenet végéig tart a süti.
(Sütik) Attribútumok (Domain)
Meghatározza, hogy a süti milyen szervereknek lesz elküldve.
Ha ez nincs, akkor az eredet szervernek lesz küldve.
Ha az attribútum által meghatározott hatáskör nem tartalmazza az eredet szervert akkor azt a felhasználói ágens elutasítja.
Sok felhasználói ágens elutasít olyan Domain értéket amely nyilvános regisztrátor ellenőrzése alatt van (.com, .co, .uk).
(Sütik) Attribútumok (Path)
A sütik hatáskörét adott útvonalakra korlátozza.
Ha a szerver kihagyja az attribútumot, a felhasználói ágens a kért URI útvonal komponensének “könyvtárát” használja alapértelmezett értékként.
(Sütik) Attribútumok (Secure)
A sütik hatáskörének biztonságos csatornákra korlátozása.
Egy ilyen attribútummal rendelkező sütit a felhasználói ágens csak akkor tesz bele a kérésbe, ha annak átvitele biztonságos csatornán keresztül történik (például érzékeny információ, ezt sima szövegként küldeni nem szerencsés).
(Sütik) Attribútumok (HttpOnly)
HTTP kérésekre korlátozza a Süti hatáskörét.
Arra utasítja a felhasználói ágenst, hogy ne tegye a sütit elérhetővé kliens oldali API-k számára.
(Sütik) Kezelése
A felhasználói ágenseknek;
törölniük kell a lejárt sütiket,
az aktuális munkamenet végén törölniük kell az összes nem prezisztens sütit,
valamint korlátokat kell szabniuk a sütik számára és méretére.
Ajánlott a felhasználók számára elérhetővé tenni a tárolt sütik kezelését, hogy például egy bizonyos időszakban fogadott vagy tartományhoz kapcsolódó összes sütit törölni tudjon. Valamint, hogy a sütiket letilthassa a felhasználó.
(Sütik) Harmadik féltől származó sütik
Gyakran bírálják a sütiket, hiszen így a szervereknek lehetősége van a felhasználók követésére.
Ez különösen problémás a harmadik féltől származó sütik esetében.
A felhasználói ágensek gyakran kérnek erőforrásokat más szerverektől HTTP megjelenítése során.
Ezek a szerverek sütiket használnak a felhasználó követésére.
Cross-site sütiknek is nevezzük őket.
(Webes követés) definició
Egy adott felhasználó több különböző kontextuson keresztüli tevékenységével kapcsolatos adatgyűjtés és az ebből a tevékenységből származtatott adatok megőrzése, felhasználása vagy megosztása azon a kontextuson kívül, melyben a tevékenység történt.
Egy kontextus olyan erőforrások összessége, amelyek ugyanazon fél ellenőrzése vagy több fél közös ellenőrzése alatt áll.
(Webes követés) alapjául szolgáló információk
IP-cím, Sütik, az ETag fejlécmező és eszköz ujjlenyomat (op rendszer, képernyőfelbontás, telepített betűkiosztás)
(Webes követés) Referer fejléc-mező
Lehetővé teszi a felhasználói ágens számára, hogy megadja azt az erőforrást azonosító URI-hivatkozást, amelyből a cél URI származik.
Potenciálisan információt nyújthat a felhasználó böngészési előzményeiről, amely egy biztonsági kockázat.
Tilos tehát a használata akkor, ha nem biztonságos HTTP kérést küldünk.
(Webes követés) Védekezés a követés ellen
Referer fejlécmező küldésének tiltása.
Harmadik féltől származó sütik tiltása:
Inkognitó ablakok használatakor. Néhány webhely azonban ezek nélkül működésképtelenek lesznek, ennek elkerülése végett kivételeket tehetünk egyes webhelyekre.
(Eredet) definició
Alapvető a webes biztonság szempontjából.
Feltételezhető, hogy két fél megbízik egymásban, ha azok eredete megegyezik, ellenesetben potenciális ellenségesnek tekintjük.
Egy erőforrás eredetét az URI séma host és port komponense határozza meg.
(Eredet) Same-origin policy
Egy korlátozó kritikus biztonsági mechanizmus, hogy egy eredet által betöltött dokumentum vagy szkript hogyan kerülhet kapcsolatba egy másik eredetű erőforrással.
Általában tilos egy adott eredetű kód számára egy másik eredetű kód elérése.
