Cookie Authentication

Detyrë individuale

Punoi: Instruktore:

Enri Gega Prof. Assoc. Dr. Edlira Martiri

Tiranë, Qershor 2019

Abstrakt

Ky punim shqyrton shqetësimet e nivelit të sigurisë në lundrimin në faqet e internetit, të cilat

autentifikojnë përdoruesit e tyre. Në të diskutohen procedurat e autentikimin me anë të cookie, dobësitë e
shumta të saj, metodat e sulmit, sfidat e ndryshme dhe sugjerime rreth përmirësimit të mëtejshëm të
sigurisë që ofrohet. HTTP Cookie është një teknikë e përdorur gjerësisht në world wide web. Disa shkelje
të të dhënave në shkallë të gjerë kanë treguar se cookies mund të komprometohen me anë të llojeve të
larmishme sulmesh. Protokolli i Cookie është bazuar në një projekt që është nënshkruar mbi dy dekada
më parë. Me anë të rishikimit sistematik të literatures në këtë kërkim janë zbuluar dobësitë e cookies,
metodat e sulmit që shfrytëzojnë dobësitë dhe metodat e mbrojtjes për të zbutur sulmet. Bazuar në
literaturën e shqyrtuar ky kërkim tregon se cookies dhe protokollet e transmetimit përfshijnë dobësi dhe
vulnerabilitete që mund të shfrytëzohen nga sulmuesit. Ky hulumtim adreson shqetësimet në mungesën e
konsiderueshme të integritetit dhe konfidencialitetit për teknologjinë e autentifikimit me anë të cookies.
Protokolli i cookie duhet të përditësohet në një nivel të ri sigurie. Në gjendjen e tanishme tregohet se
cookies janë të ekpozuar ndaj poisoning, hijacking, manipulimit, cross-site scripting etj. Për të bërë
procesin e mitigation të këtyre sulmeve sugjerohen disa zgjidhje bazuar në karakteristikat e këtij
autentikimi. Ky hulumtim synon tu përgjigjet pyetjve të hulumtimit me anë të rishikimit sistematik të
literaturës duke shqyrtuar specifikimet e cookies, metodave të sulmit që shfrytëzojnë dobësitë e gjetura
dhe masat mbrojtëse për të mbrojtur cookies.

Hyrje dhe Rishikimi i literaturës

Rrjetet wireless janë bërë shumë të njohura dhe të përdorshme ditët e sotme. Si përparësi kryesore mund
të përmendim fleksibilitetin dhe mobilitetin për konsumatorët. Përcaktimi i identitetit të një përdoruesi në
rrjet ndihmon në mirembajtjen e llogarive, transaksioneve dhe shërbimeve të tyre. Procesi i autentikimit
është thelbësor në evitimin e vjedhjes së identitetit. Autentikimi është procesi i verifikimit të një individi
nëse është ai që pretendon të jetë. Ky proces është një aspekt shumë i rëndësishëm i sigurisë e duhet të
adresohet në mënyrë efektive. Përndryshe aspektet e tjera të sigurisë të tilla si autorizimi,
disponueshmëria, auditimi, konfidencialiteti, integriteti dhe jo mohimi mund të komprometohen lehtë.
Cookies janë skedarë të vegjël që ruhen në kompjuterin e një përdoruesi.Një nga kërcënimet kryesore për
rrjetin është session hijacking që mund të kryhet me ndihmën e shfrytëzimit të cookie.
Ekzistojnë tri qëllime për përdorimin e cookies: menaxhimi i sesionit, personalizimi dhe gjurmimi. Për
menaxhimin e sesionit, cookies përdoren për shembull për të menaxhuar identifikimet dhe shopping carts.
Cookies përdoren gjithashtu për ruajtjen e preferencave të përdoruesit dhe konfigurimet e tjera për të
personalizuar përvojat e site-it. Gjurmimi, që ngjall debat të shumtë në ditët e sotme është gjithashtu
funksion i rëndësishëm i cookies për të regjistruar dhe analizuar sjelljen e përdoruesit. (Mozilla, 2019.)
Për qëllime të përcjelljes, ekzistojnë lloje të veçanta të cookies të njohura si tracking cookies. Tracking
cookies mund të ndahen mes faqeve të shumta të internetit. Tracking cookies mund të përdoren për të
gjetur sjelljen e lundrimit të përdoruesve dhe për të paraqitur përmbajtje të përshtatur për to.
Ka studime që kombinojnë specifikimet e cookies, dobësitë e specifikimeve, metodat e sulmit që
shfrytëzojnë dobësitë dhe mekanizmat mbrojtës për të zbutur ndikimet e metodave të sulmit.
Asnjë nga studimet e gjetura nuk kombinon specifikimet e cookies, metodat e sulmit dhe
mekanizmat mbrojtës, në një nivel adekuat për të qenë në gjendje të formulojnë madhësinë e
fenomenit ose problematikës. Prandaj, ky studim justifikon provat e gjetura për të gjeneruar dhe
integruar të kuptuarit e variablave që ndikojnë fenomenin nga perspektiva e shumëfishtë. (F-
Secure.)
Kur të kuptojnë se si funksionojnë cookies dhe se si tiparet e cookies ndikojnë në sigurinë e tyre, do të
fitojmë njohuri për dobësitë e cookies. Është e pashmangshme për të gjeneruar një kuptim të qartë të
mekanizmit cookie që ka një efekt mbi shumicën e individëve në botë. Ne duhet të kuptojmë se çfarë
e bën cookies vulnerable dhe cilët janë përbërësit e cookies që konsiderohen si dobësi të shfrytëzueshme
me qëllim për të krijuar mekanizma të rinj ose për të forcuar mekanizmat ekzistues mbrojtës të tyre.
Qëllimi i këtij hulumtimi është paraqitja e rezultateve që të zbluojmë dobësitë, llojet e sulmit, dhe
mekanizmat mbrojtës të cookies. Pra, zbulimet e mësipërme do të shpjegojnë qartë sigurinë e cookies.
Shqyrtimi sistematik i literaturës do tu përgjigjet pyetjeve kërkimore si: "Cilat janë dobësitë e
HTTP cookies? ", " Çfarëlloj sulmesh shfrytëzojnë dobësitë e cookies? "dhe" Çfarë metodash të
reja mbrojtje mund të zbatohen për të zbutur sulmet?
Për të identifikuar mungesën në hulumtimin e cookies janë shqyrtuar literatura(projekte, papers e
raporte) dhe burime online. U gjet një hendek ekzistues. Bazuar në interesin e studiuesit dhe
hendekut të gjetur, u përcaktua.qëllimi i këtij studimi. Literatura u zgjodh si përfshirje në bazë të
kritereve të paracaktuara.

Tipet e Cookies
Një cookie HTTP është një pjesë e vogël e të dhënave ose skedar teksti i cili dërgohet nga një faqe
interneti ose web server dhe ruhet në web browserin e përdoruesit kur përdoruesi po e shfleton atë faqe.
Cookies krijohen kur një përdorues viziton një webpage dhe përdor cookies për të mbajtur gjurmët e
lëvizjeve e të aktivitetit të përdoruesit. Çdo herë që përdoruesi viziton faqen e internetit, shfletuesi dërgon
vlera e cookie-it tek serveri për të njoftuar aktivitetin e mëparshëm të përdoruesit në server. Cookies janë
tekst i thjeshtë dhe nuk përmbajnë asnjë kod që ekzekutohet. Cookies përdoren për të ruajtur aktivitetet e
ndryshme të përdoruesve në një faqe të tillë si klikimi i veçantë
Buttons, logging in, ose historinë e një web site. Serveri udhëzon web browserin e përdoruesit për të
ruajtur këtë informacion të cookie dhe pastaj dërgon vlerën e saj me çdo kërkesë. Me këtë informacion,
web server-i është në gjendje të identifikojë përdoruesit individual. [1] [2]

Kur një përdorues viziton një faqe interneti për herë të parë, përdoruesi është i panjohur në web serverin
në të cilin po funksionon webpage i vizituar. Web serveri do të presë nga përdoruesi përsëri të kthehet në
web site përsëri dhe ngarkon një identifikues unik të quajtur cookie nëweb browser-in e përdoruesit.
Cookie përfshin një listë të informacionit të emrit = vlerë. Cookie është i bashkangjitur me përdoruesin
duke përdorur header-in e përgjigjes HTTP, Set-Cookie ose Set-Cookie2 HTTP. Cookies gjithashtu
mund të përfshijnë një numër identifikimi unik, që gjenerohet nga serveri i uebit për qëllime të
gjurmimit[3].
Llojet e ndryshme të cookies të cilat përdoren për të ruajtur gjendjen e një ueb faqe janë dhënë më poshtë:
Cookie e sesionit: Ajo quhet gjithashtu një cookie kalimtare dhe përmban informacione për një përdorues.
Ai fshihet kur përdoruesi mbyll web browserin. Ajo ruhet në kujtesën e përkohshme të kompjuterit të
përdoruesit.
Persistent Cookie: Cookies të vazhdueshme nuk fshihen kur përdoruesi mbyll internetin. Fshihet në një
datë të caktuar ose pas një periudhe të caktuar kohore. Me ndihmën e këtij cookie web server kujton
vendosjen e përdoruesit dhe informacionin kur përdoruesi viziton atë faqe më vonë. Informacioni kryesor
i ruajtur në këtë cookie është informacioni i vërtetimit, gjuha, preferencat e menysë dhe faqeshënuesit
preferuarat e faqes së vizituar [4].
Cookie e sigurt: Këto cookies janë të enkriptuara kur ato transferohen.
HTTPonly Cookie: Cookie HttpOnly mund të përdoret vetëm kur transmetohet nëpërmjet protokollit
HTTP ose me protokollin HTTPS. Përparësia kryesore e përdorimit të këtij cookie është se ato i rezistojnë
dobësive të XSS.
Third-party cookie: Cookies të palës së tretë janë ato cookies të cilat janë shkruar në një klient nga një
web site që nuk është vizituar aktualisht nga përdoruesi. Këto lloje të cookies krijohen nga një faqe
interneti që ngarkon përmbajtjen nga një faqe tjetër web. Përdorimi kryesor është gjurmimi i sjelljes së
përdoruesve. Pastaj ata e ndajnë këtë informacion tek kompanitë e reklamave.
Zombie Cookies: Këto cookies rikrijohen automatikisht pasi fshihen nga një skript client side[5].

Kërcënimet kryesore të lidhura me Cookies

Cookies janë një teknikë efikase për mbledhjen e informacionit të përdoruesit dhe identifikimin e agjentit
të përdoruesit. Faqet e internetit përdorin cookies si skedarë me të dhëna të mëdha për përpunim. Rreziqet
potenciale të sigurisë ekzistojnë kur futen të dhëna. Cookies janë të pranishme si shqetësime të
vazhdueshme të sigurisë dhe të përballen me shumë lloje sulmesh.
Nga pikëpamja e sigurisë, cookies kanë ekspozime të shumta. Cookies mund të bëhen të vulnerabël ndaj
sulmeve, sepse zhvilluesit mund të mbështeten te autoriteti i ambjentit për autentifikim.
Si rezultat, cookies mund të bëhen të prekshme për, për shembull, sulmet cross-site request forgery
(CSRF). Zhvilluesit mund të ruajnë gjithashtu identifikuesit e sesionit në cookie. Kjo procedurë mund të
krijojë dobësinë e fiksimit të sesionit.
Cross-site scripting është një dobësi e zakonshme në aplikacionet në internet. Ajo buron nga një
dështim për të trajtuar karaktere me kuptim të veçantë në HTML. Nëse inputi user-supplied i kthehet
përdoruesit atëherë një sulmues mund ta shfrytëzojë këtë për të krijuar një kod Javascript malicious si
përgjigje[6].
Cookies duhet të ruhen në një agjent të përdoruesit dhe të kthehen në ueb
server të pandryshuar. Një sulm mund të ndryshojë vlerën e cookies dhe ta dërgojë atë
cookie në web server. Prandaj, kryhet procesi i cookie poisoning. Sulmet dërgohen në një cookie të
pavlefshme në web server duke ndryshuar vlerat e një cookie të vlefshme të marrë nga web server. Kur
përdoruesi i internetit përdor cookie të modifikuar, vlerat e përcaktuara nga sulmuesi prpunohen nga
serveri i uebit. Kjo mund t'i lejojë sulmuesit të fitojnë qasje në informacionin e sensitiv të faqes së
internetit ose përdoruesit. Sulmet munden kështu që të imitojnë sesionin e përdoruesit [7].
Ristiq (2014) diskuton sulmet e manipulimit të cookies dhe pretendon se manipulimi i cookies mund të
ndahet në tre lloje: heqja e cookies, injeksioni direkt i cookie dhe injeksioni i cookie-t nga emrat e hosteve
të lidhura. Dëbimi Cookie synon sulmin ndaj web store. Cookie stores kanë madhësi dhe numër të
kufizuar cookie e kto mund të ruhen në një emër domain. Një sulm mund të përpiqet të shfrytëzojë
faktet e ruajtjes së cookie-ve të përmendura më lart, nëse sulmuesi nuk i pëlqen cookies aktuale në web
store. Sulmuesi paraqet cookies të shumëfishta dhe si rezultat web browser pastron të gjitha cookies
aktuale. Ky proces lë vetëmcookies dummy në dyqanin e shfletuesit.
Problemi TCP / IP hijacking ka ekzistuar në shumicën e aplikacioneve që janë të bazuar në protokollin
TCP / IP. Hijacking i TCP / IP është i njohur edhe si hijacking i sesioneve. Një sulm duhet të jetë në
gjendje të kapë të dhënat e një përdoruesi legjitim për të bërë hijack lidhjen TCP / IP. Pastaj sulmuesi
futet në atë sesion. Në sesionin e hijack të aplikacioneve të bazuara në web, ky rrëmbim përfshin cookie
të përdoruesit. CookieS mund të përdoret për ruajtjen e informacioneve sensitive siç janë kredencialet e
identifikimit. Sulmet mund të përdorin cookie për të hyrë në sesionin e përdoruesit. [8]
Cookies mund vidhen duke nuhatur trafikun e rrjetit dhe kapjen cookies që janë shkarkuar nga një faqe
interneti në një web browser. Një sulm mund të fitojë akses në kompjuterin e një përdoruesi dhe të shohë
cookie-t që ruhen në një hard drive lokal. Vjedhja e cookies mundëson një sulm për të filluar një sesion të
dytë në atë web site. Pastaj sulmuesi paraqet cookie për të anashkaluar autentikimin për të kryer veprime
me qëllim të keq brenda llogarisë së përdoruesit.Ka disa metoda për parandalimin e sulmeve që janë në
shënjestër të cookies ose përdorin sivektor cookies për sulm. Operatorët e web serverit mund të trajtojnë
URL-të si aftësi për të kufizuar përcaktimin dhe autorizimin. Kjo duhet bërë në vend që të përdorin
cookies si burime autorizimi. Prandaj, do të ishin sekretet të ruajtura në URL në vend të cookies dhe një
entitet të largët duhet të furnizojë sekretin në vetvete. Siguri më të fuqishme mund të arrihet përmes një
zgjidhjeje të arsyeshme të parimet e përmendura. Megjithatë, asnjë zgjidhje nuk është absolutisht një
provë rasti i sigurisë kibernetike. [9]

Mbrojtja nga sulmet e Cookies dhe Gjetjet

Është e pashmangshme të vërehet se literatura nuk ofron zgjidhje për parandalimin e manipulimit të
cookie dhe sulme poisoning. Cookies nuk duhet të shkruhen në mënyrë dinamike duke përdorur të
dhëna që rrjedhin nga burime të pabesueshme. Të dhënat e cookie duhet të shmangen në lidhje me
sigurinë. Duhet të ekzekutohet validimi i të dhënave për të dhënat e cookie-ve nëse të dhënat e cookie-t
janë përdorur për vendimet lidhur me sigurinë. Për të zbuluar gabimet, na vijnë në ndihmë kontrollet e
integritetit.

Për të parandaluar rrëmbimin / vjedhjen e cookie, cookies duhet të jenë të enkriptuara. Edhe pse
enkriptimi nuk paraqet siguri të plotë për cookies. Një sulm mundet të listojë trafikun e viktimës dhe
pret që viktima të dërgojë një kërkesë HTTP të paekriptuar në ndonjë faqe tjetër të internetit. Sulmuesi
rrëmben lidhjen e pasiguruar dhe i përgjigjet kërkesës së pasiguruar dhe e përcjell shfletuesin e viktimës
në faqen e internetit të synuar në portin 80. Kjo metodë e sulmit lidhet me rrëmbimin TCP / IP. Për të
parandaluar këtë lloj sulmi, identifikuesit e sesionit nuk duhet të transmetohen dhe menaxhohen nga
cookies. Disa mënyra parandalimi të sulmeve CSRF janë: të bëni që veprimet të hyjnë në fuqi vetëm në
kërkesat e POST-it (jo formularët e aplikacioneve), jo GET. Kjo e pengon sulmin e thjeshtë "kliko një
lidhje". Megjithatë, nëse një sulm mund të ndodhë josh përdoruesin të vijë në një faqe që sulmon
kontrollet, atëherë ajo faqe mundetautomatikisht të dërgji një formular duke përdorur JavaScript.

Për të mbrojtur sesionet, duhet të vendoset Secure Flag në cookie. Në këtë mënyrë cookies dërgohen
vetëm mbi lidhjen e koduar HTTPS. Kur vendoset HttpOnly flamur,web browser nuk duhet të lejojë që
scripting të ketë qasje në cookie. Kjo duhet të parandalojë identifikuesit e sesionit që do të kryesohen
nga sulmet e XSS. Kërkesat cross-site janë të ndaluar aduke vendosur të njëjtin atribut të faqes në
cookies. Cookies janë të udhëzuar për tu dërguar në domain dhe nën-domainet e specifikuar duke
vendosur atributin Domain. Cookies duhen dërguar në drejtoritë dhe nën-direktoritë e specifikuara duke
vendosur atributet e rrugës. Gjithashtu atrbutet e domain dhe path duhet të kufizohen. Për të
parandaluar XSS, hyrjet e të dhënave që nuk janë të besuara nuk duhet të pranohen. Flamuri HttpOnly
duhet të vendoset në cookies të sesionit. Mungesa e studimeve në lidhje me parandalimin e XSS është e
dukshme. [10]

Përfundime dhe sugjerime

Cookies zakonisht përdoren në shërbimet që ofron interneti. Dobësitë çojnë në aktivitete që
përpiqen të shfrytëzojnë dobësitë. Atributet e cookies në shumë raste nuk sigurojjnë
konfidencialitet e as integritet. Sigurt HttpOnly dhe atributet e rrugëve mbrojnë vetëm
konfidencialitetin e cookies. Mungesa e integritetit vë në dukje cookies ndaj sulmeve. Cookies
gjithashtu kanë një model të dobët të përgjithshëm të sigurisë. Pas kërkimit arrijmë në
përfundimin se për të shmangur shumë sulme ndaj cookies kodimi i aplikacioneve web në
mënyrë korrekte dhe rigjenerimi i një new session identifier (SID) për çdo request për
autentikim. Shumë nga vulnerabilitetet e cookies janë të vështira të eleminohe, por nëse bëhen
përpjekje në ruajtjen e integritetit dhe konfidencialitetit gjatë komunikimin me web serverin, janë
marra masa të konsiderueshme në sigurinë ndaj sulmeve të cookies.

Referencat
[1] Mudassar Raza, Muhammad Iqbal, Muhammad Sharif and Waqas Haider, “A Survey of Password
Attacks and Comparative Analysis on Methods for Secure Authentication”, World Applied Sciences
Journal, vol. 19, fq. 439-444

[2] A. Jesudoss and N.P. Subramaniam, “A Taxonomy of Authentication Techniques for Web Services”,
International Journal of Engineering Research and Technology, Vol. 3 2014, fq. 271-275

[3] Gourley, D. & Totty, B. (2002). HTTP : The Definitive Guide. Sebastopol : O’Reilly Media, Inc.

http://www.staroceans.org/e-book/O'Reilly%20-%20HTTP%20-%20The%20Definitive%20Guide.pdf
[4] http://www.allaboutcookies.org/cookies/persistent-cookies-used-for.html

[5] https://cookiecontroller.com/what-are-cookies/

[6] Dubrawsky, I. (2010). Eleventh Hour Security+. Burlington : Elsevier Inc.

[7]Mitja Kolšek. “Session Fixation Vulnerability in Web-based Applications.” December 2002.
http://www.acros.si/papers/session_fixation.pdf

[8] Ristic, I. (2014). Bulletproof SSL and TLS : Understanding and Deploying SSL/TLS and PKI to Secure
Servers and Web Applications. London : Feisty Duck Limited fq.119
Mozilla. (20 Qershor 2019). HTTP cookies. Marrë nga https://developer.mozilla.org/en-
US/docs/Web/HTTP/Cookies
[9]https://www.computerweekly.com/answer/Session-fixation-protection-How-to-stop-session-
fixation-attacks
[10] Stuttard, D. & Pinto, M. (2011). The Web Application Hacker’s Handbook : Finding and Exploiting
SecurityFlaws.Indianapolis:John_Wiley_&_Sons,_Inc.
F-Secure. Tracking Cookie. Marrë nga https://www.f-secure.com/sw-desc/tracking_cookie.shtml