Практически каждый сайт при открытии демонстрирует всплывающее сообщение о применении cookie. Чаще всего вам предлагают согласиться со всеми или только основными куки — либо отказаться от них. Независимо от выбора, интерфейс сайта обычно не меняется, но уведомление исчезает.
В этом материале мы раскроем детали о cookie: их назначение, разновидности, риски перехвата злоумышленниками и способы защиты.
Определение cookie-файлов
При посещении веб-ресурса ваш браузер получает куки — небольшой текстовый файл с информацией о ваших действиях, настройках и системе. Эти данные сохраняются на устройстве и передаются обратно серверу при повторных визитах. Такая технология упрощает взаимодействие: не требуется повторная авторизация, запоминаются предпочтения дизайна, товары в корзине, серии просмотренных эпизодов и т.д.
В куки могут содержаться логин, пароль, токены доступа, контактные сведения, платежные реквизиты и Session ID (идентификатор сессии). Последний требует отдельного внимания.
Session ID — уникальный код, присваиваемый пользователю при входе на сайт. Если злоумышленник завладеет этим кодом, система распознает его как законного посетителя. Аналогия: представьте электронный пропуск в здание. Если его украдут, вор получит доступ ко всем помещениям, а система контроля примет его за владельца пропуска. Аналогично в сети: перехватив куки с Session ID, злоумышленник может войти в ваш аккаунт без пароля, иногда минуя двухфакторную аутентификацию. Именно так в 2023 году были похищены YouTube-каналы Linus Tech Tips и других проектов Linus Media Group c многомиллионной аудиторией.
Классификация cookie-файлов
Рассмотрим основные категории куки по различным параметрам.
По сроку действия
- Сессионные. Работают только в рамках одного посещения, автоматически удаляются после закрытия вкладки. Используются для временных настроек: язык интерфейса, данные авторизации.
- Постоянные. Остаются на устройстве после завершения сессии, чтобы сайт «узнавал» пользователя при повторных визитах. Часто хранятся до года.
Сессионные куки могут стать постоянными при активации опций вроде «Запомнить меня» или «Сохранить параметры».
По происхождению
- Прямые. Создаются посещаемым сайтом для его функциональности, аналитики или маркетинга.
- Косвенные. Формируются сторонними сервисами — рекламными сетями, аналитическими платформами (Google Analytics, «Яндекс.Метрика»), социальными сетями. Позволяют отслеживать активность на разных ресурсах.
По важности
- Критические. Обеспечивают базовую работу сайта: личные кабинеты, корзины покупок, безопасные сессии (логины, пароли, Session ID).
- Дополнительные. Служат для сбора статистики, персонализации рекламы. Как правило, не влияют на основную функциональность.
По способу хранения
- Стандартные. Хранятся в текстовых файлах браузера. Удаляются при очистке истории.
- Специальные. Включают supercookie и evercookie. Суперкуки сложно удалить стандартными методами, а эверкуки могут восстанавливаться после очистки с помощью JavaScript, что позволяет долгосрочное отслеживание пользователей.
Одно и то же cookie может относиться к нескольким категориям. Например, критическими часто являются сессионные куки, а большинство дополнительных — косвенные. Подробнее о механизмах их работы — в исследовании на Securelist.
Способы перехвата куки через Session ID
Кража Session ID (перехват сессии) — распространенная цель киберпреступников. Вот основные методы:
Анализ сетевого трафика (session sniffing)
Атака возможна при передаче данных по незащищенному протоколу HTTP, где куки не шифруются. Перехватив трафик (например, в публичной Wi-Fi сети), злоумышленник извлекает Session ID. Рекомендуем избегать открытых точек доступа без WPA2/WPA3 или использовать мобильный интернет, а за границей — Kaspersky eSIM Store.
Межсайтовый скриптинг (XSS)
Эксплуатация уязвимостей сайта позволяет внедрить вредоносный скрипт. При посещении зараженной страницы скрипт похищает куки пользователя и отправляет их атакующему.
Подделка межсайтовых запросов (CSRF/XSRF)
Метод использует доверие сайта к браузеру пользователя. Жертва, уже авторизованная на ресурсе, открывает вредоносную страницу или письмо. Браузер автоматически отправляет запрос с куки-файлами, выполняя действия от имени жертвы: смена пароля, удаление данных и т.д. Защититься поможет осторожность с незнакомыми ссылками и Kaspersky Premium.
Предсказуемость Session ID
Иногда идентификаторы создаются по простым алгоритмам (например, на основе IP-адреса). Собрав несколько образцов, злоумышленник вычисляет шаблон и подбирает действующий Session ID. Также существуют методы фиксации сессии, подброса куки и атаки «человек посередине» — о них детально на Securelist.
Защита от перехвата куки-файлов
Хотя разработчики сайтов несут основную ответственность за безопасность, пользователям следует соблюдать правила:
- Пользуйтесь только HTTPS-сайтами. При обнаружении HTTP не передавайте конфиденциальные данные.
- Не игнорируйте предупреждения браузера. Закрывайте страницы с сообщениями о недействительных сертификатах.
- Обновляйте браузеры. Включите автоматические обновления для устранения уязвимостей.
- Очищайте кэш и куки. Настройте автоматическое удаление при закрытии браузера.
- Избегайте подозрительных ссылок. Kaspersky Premium блокирует опасные переходы.
- Активируйте двухфакторную аутентификацию (2FA). Храните токены в Kaspersky Password Manager для синхронизации и защиты.
- Отказывайтесь от необязательных куки. Выбирайте «Только необходимые» в настройках сайтов.
- Ограничьте использование публичного Wi-Fi. Не авторизуйтесь в важных сервисах через открытые сети.
