Originally posted by
fun at
Безопасность в сети. Хватит морочить голову людям.Оригинал взят у
fun в
Безопасность в сети. Хватит морочить голову людям.Давайте сегодня поговорим про безопасность при просмотре сайтов в интернете, о том как устроена работа сайта с пользователем, об угрозах и перекладывании ответственности на пользователей. Я не буду углубляться в технические особенности, но данный пост поможет вам понять про безопасность своего аккаунта на сайтах, узнать много интересного и полезного. Особенно прошу прочитать его разработчикам сайтов.
Некоторые процессы происходящие на сайтах пользователи списывают на магию и волшебство, но все, что происходит в сети, имеет объяснение. Если вы уже замечали, практически всегда при входе на различные сайты у вас спрашивают запоминать ли вас? Когда вы выбираете эту опцию вы просите сайт отправить вам специальные данные позволяющие сайту в следующий раз вас узнать. По умному это называется cookie (куки, переводить не принято). Когда вы проходите авторизацию на сайте, вы заполняете свои данные и отправляете их на сервер, сервер в ответ отправляет браузеру ваш личный идентификатор который сохраняется в специальном файле у вас на компьютере. При следующем посещении сервер спросит у браузера, есть ли у тебя идентификатор? Если есть, то он автоматически вас залогинит, если нет, попросит ввести данные повторно. Если для вас это сложно, представьте, что вы пришли в первый раз к врачу, а он вас спрашивает, хотите ли вы получить карточку пациента? В следующий раз, когда вы принесете карточку врач будет знать с какой проблемой вы обращались к нему, все же записано в карточке. А если обратитесь без нее будете ему очередной раз объяснять кто вы такой и какие у вас болезни. Так вот куки такая себе карточка пациента. Мы ведь в интернете все немного пациенты?
Так вот, на каждом сайте по умолчанию предусмотрена отправка куки, либо наоборот, куки не отправляются пока вы не попросите. В случае с ЖЖ, куки по умолчанию не приходят, и только если вы попросите вас запомнить, вам отправят куку.
В Вконтакте же наоборот, куку всегда отправляет по умолчанию, и только если вы выберите опцию "Чужой компьютер" вам ее не пришлют.
Зачем же спрашивать отправлять или нет? Дело в том, что если вы сидите на своем компьютере и знаете, что кроме вас к нему никто не имеет доступ, можете смело сохранить куку, чтобы каждый раз не логиниться, если же компьютер публичный, лучше не сохранять данные, иначе другой пользователь без проблем получит доступ к вашим аккаунтам. В ЖЖ полагают, что в основном вы сидите откуда попало, поэтому по умолчанию куку не отправляют, и только если вы дома, всего один раз попросите вас запомнить, это логично. Но также логично и отношение ВКонтакте, которые отправляют куку всегда по умолчанию и считают, что в принципе вы сидите постоянно из дома, и если когда-то войдете на сайт с компьютера другана, поставите однажды галочку "Чужой компьютер". Хоть я и больше на стороне Вконтакта, но оба этих варианта неправильны.
Конечно, все сайты стремятся к кроссплатформенности (универсальности). Программисты пишут код так, чтобы сайт работал независимо от конфигурации железа и программного обеспечения на сервере, или по крайней мере ПО было заменяемое на другое без потери работоспособности. Веб-дизайнеры пишут стили, чтобы сайт отображался одинаково во всех известных миру версий браузеров. Представьте, что кто-то сейчас читает эту запись с Internet Explorer 5-ой версии, который можно запускать из под Windows 95 - собственно разработчики учитывают эту возможность.
Поэтому, все эти предложения, сохранять куки или нет, из-за таких мамонтов, которые не могут обновить свой браузер до более новой версии. Лично я, сторонник прогресса, объявлял бы старые браузеры deprecated, т.е. нежелательные к использованию, и всячески заставлял пользователей переходить на новые версии. Меня напрягает делать лишние движения из-за того, что кто-то не может поставить актуальное ПО.
Почему же предложение сохранять куку устаревшее? Раньше компьютеров было действительно мало, и часто они использовались толпой народа. Вспомните, как ходили к другу выйти в интернет, или наоборот к вам ходили поиграть друзья. В тот момент времени, было актуальным узнавать про сохранение куки, у одного компьютера бывало очень много пользователей, тогда были популярны интернет-кафе, где вообще не компьютер, а проходной двор. Сейчас компьютеры есть у всех, при чем, даже несколько, у каждого вместо телефона уже фактически компьютер. У меня дома два ноутбука, два смартфона, один планшет, представьте себе шанс того, что я воспользуюсь чужим компьютером? Но каждый раз, заходя в ЖЖ под разными браузерами обязан выбирать опцию запомнить меня. Тем более кука не всегда вечная, у нее есть срок жизни, после чего она самостоятельно удаляется. Поэтому даже если я попросил меня запомнить, через какое-то время придется логинится еще раз. У меня в смартфоне минимум 4 приложения, через которые я регулярно захожу в ЖЖ, и чтобы оставить коммент приходится периодически логинится, поскольку куки привязаны к определенному приложению, логинится приходится во всех программах. Например, если вы попросите запомнить вас в одном браузере, то другой браузер об этой куке ничего знать не будет. Собственно, вряд ли вы часто передаете друзьям свой смартфон для выхода в интернет, или пользуетесь чужим, но обязаны делать то, что в старину считалось крайне необходимым, подтвердить, что вы доверяете своему смартфону.
Для разработчиков. Ребята, куки должны отправляться всегда по умолчанию. Пора давно убрать эти бесполезные галочки при входе. Прошел тот век, когда компьютерами пользовались толпы народа. Я уже даже не помню, когда мне приходилось выйти в инет с чужого компа. Людям надо всего лишь рассказать информацию о том, как безопасно выходить с чужого компьютера, если это вдруг случайно происходит. Для параноиков, всегда существует кнопка "выйти".
И так, для того, чтобы безопасно выйти в интернет с чужого компьютера нужно напросто переключить браузер в режим инкогнито. Вот и все. Вместо того, чтобы с домашнего компа тысячу раз ставить галочку запомнить меня, можно один раз на чужом компьютере переключить режим браузера (Chrome: Ctrl+Shift+N).
Вы будете уверены, что войдете безопасно с чужого компьютера, и даже если поставите по привычке галочку запомнить вас, после закрытия окна с режимом инкогнито, все ваши куки удалятся, а ваш аккаунт останется в сохранности. Подобный режим просмотра явно выраженный и обозначенный, вы гарантированно понимаете, что вы переключились на этот режим, и не будете вспоминать, поставили вы галочку "Чужой компьютер" или нет.
Конечно, для того, чтобы куки удалились необходимо закрыть вкладки режима инкогнито. Но, и при использовании обычного режима браузера, для того, чтобы завершилась сессия также нужно закрыть все вкладки. Для читателей объясню про сессии. Это такой механизм, который используется абсолютно на всех сайтах, чем-то похож на куки, только сессия устроена по другому. Когда вы открыли браузер, зашли на сайт и ввели данные, на сервере открывается сессия и присылает вам уникальный идентификатор, теперь вы ходите по разным страницам сайта и сайт знает, что это вы. Сессия закрывается только после закрытия всех вкладок браузера. Попробуйте открыть две вкладки браузера, зайти в одной из них в ЖЖ без галочки запомнить меня (куку не пришлют) и закройте вкладку. Теперь во второй вкладке вбейте адрес ЖЖ, и вы будете уже авторизованы. Кука не приходила, но поскольку была открыта сессия и вы не закрыли все вкладки браузера, ЖЖ автоматически принимает вас как авторизованного пользователя. Поэтому говорить о том, что пользователь может не закрыть вкладки в режиме инкогнито, как угрозу безопасности аккаунта полностью не обоснованное. Пользователь может также потерять аккаунт не закрыв вкладки в обычном режиме даже при опциях не запоминать его.
Я надеюсь, что разработчики обратят на это внимание и перестанут заставлять пользователей делать лишнюю работу.
И надеюсь, что пользователи прочитав этот пост, смогут больше понять про безопасность своих аккаунтов. Спасибо за внимание.
Рекомендую поделиться с друзьями: