- Credits
- 228
COOKİE
Çerezler Web ‘de sürekliliği ve durumu korumak için icat edildi. Çerezler, kullanıcıyla ilgili bilgileri kodlayan metin karakter dizilerini içerir. Tanımlama bilgileri, kullanıcı tanımlama bilgisi kullanan bir Web sitesini ziyaret ederken tarayıcı aracılığıyla kullanıcının bilgisayarına (sabit disk veya RAM) gönderilir. Web sunucusu bu tanımlama bilgilerini geri alır ve kullanıcı daha sonra aynı Web sitesine döndüğünde kullanıcının bilgilerini tanımlama bilgilerinden alır. Bir tanımlama bilgisinin amacı, bilgi edinmek ve sunucu ile tarayıcı arasındaki sonraki iletişimlerde aynı bilgileri tekrar istemeden kullanmaktır. Çoğu zaman bir sunucu, sunucuda tutulan bilgi veri tabanının kullanıcıya özgü birincil anahtarı olarak kimlik numarası gibi bir işaretçiyi tutmak için bir tanımlama bilgisi ayarlar.
Teknik olarak, bir çerezin ilgili bilgileri taşımasını sağlamak zor değildir. Bununla birlikte, hassas bilgileri çerezlerde saklamak ve iletmek güvenli değildir çünkü çerezler güvensizdir.
Şu anda, Netscape, MS Internet Explorer, GNNWorks, NetCruiser ve OmniWeb dahil olmak üzere tanımlama bilgilerini destekleyen birçok tarayıcı bulunmaktadır. Tarayıcılarda temel olarak üç çerez yönetimi modu vardır:
- İlk mod, tüm çerezleri sormadan reddetmektir.
- İkinci mod, tüm tanımlama bilgilerini kabul etmektir ve kullanıcılara hepsini bir kerede silme olanağı sunar.
- Sonuncusu, kullanıcılara daha fazla seçenek sunar. Bir kullanıcı, belirlenmiş sitelerden çerezleri kabul etmeye karar verebilir.
ÇEREZ TÜRLERİ
İnternet çerezlerinin hepsi aynı işlevi görmez. Her bir çerez farklı kod yapısına sahip olabilir ve düzenlenen kod yapılarına göre de farklı görevleri yerine getiriyor olabilirler. Kimi çerezler kişisel bilgileri toplayan bir çerez iken, kimisi güvenlikle ilgili görevleri yerine getiriyor olabilir, kimi çerezler ise bilgisayarın modeli, sistem ve yapısı hakkında bilgileri toplayabilir. Toplamda 7 ayrı ana çerez türü bulunmaktadır. Bunlar :- Oturum çerezleri
- Güvenlik çerezleri
- Kalıcı çerezler
- HTTP çerezler
- Üçüncü parti çerezler
- Süper çerezler
- Zombi çerezler
1)Session Cookies (oturum çerezleri):
Oturum çerezleri bir çerez türüdür. Kullanıcı; websitelerin bir sayfasından diğer sayfasına geçerken, kullanıcı bilgilerinin web server’da (database vb.) depolandığı küçük bilgilerdir. Kullanıcı siteye girdiğinde, server kullanıcıya özgü bir session ID (kimlik numarası gibi düşünebiliriz) oluşturur. Kaç kişi siteye girerse o kadar birbirinden farklı session ID oluşur. HTTP header ile veri iletimi yoktur (sadece session ID gönderilir). Bu session ID’ler ile kişiye özgü bilgiler server’da, genellikle veritabanına kaydedilir. Session ID’ler bilgisayardaki sitelere ait çerez dosyalarına kaydedilir. Çerezlerin depolama boyutu sınırsızdır (tarayıcı sınırlayabilir).Oturum çerezleri, geçici çerezlerdir ve kullanıcı tarayıcıyı kapattığında bütün bilgiler server’dan silinir. Çerezlerin son geçerlilik tarihi yoktur. Örnek olarak alışveriş sitelerindeki sepet listesini söyleyebiliriz. Sepete bir ürün ekleyip sayfalar arası geçiş (çeşitli ürünleri incelerken vb.) yaptığınızda seçtiğiniz ürünün hala sepette olduğunu görürsünüz. Çünkü server’ın sizin için oluşturmuş olduğu session ID ile seçtiğiniz ürünleri veritabanına kaydetmiştir ve bu yüzden sepet listenizdeki ürünlerinizi kaybetmezsiniz. Ta ki siz tarayıcıyı kapatana kadar.
2)Secure Cookies (Güvenli çerez):
Bir güvenli çerez sadece şifrelenmiş bir bağlantı üzerinden iletilebilecek (HTTPS). Şifrelenmemiş bağlantılar üzerinden iletilemezler (HTTP) Bu, çerezin gizli dinleme yoluyla çerez hırsızlığına maruz kalma olasılığını azaltır. Tanımlama bilgisi, tanımlama bilgisine Secure bayrak eklenerek güvenli hale getirilir .3)Persistent Cookies (kalıcı çerez):
Kalıcı çerezler bir çerez türüdür. Kullanıcı; websitelerini gezerken, sitelerin (web server) tarayıcılar aracılığıyla hard diskinize bıraktığı küçük bilgilerdir (genellikle text dosyası halinde). Kalıcı çerezler, geçerlilik tarihi sona erene kadar veya kullanıcı çerezleri silene kadar bilgisayarda dururlar. Kalıcı çerezler en fazla 4KB boyutunda bilgi depolayabilir. Geçerlilik tarihi server tarafından belirlenir. Kalıcı çerezler ile websitelerinin, bizim, site üzerindeki hareketlerimizi takip etmesi ve bazı bilgilerimizi kaydetmesi mümkündür. Örnek olarak hepimizin bildiği kullanıcı girişi yaparken beni hatırla seçeneğini söyleyebiliriz. Giriş yaparken bu seçeneği işaretlediğimizde ve siteden çıkıp, tarayıcıyı kapatıp tekrar girdiğimizde hala giriş yapmış gözükürüz. Bunun nedeni siteye tekrar girdiğimizde kalıcı çerezlerde kayıtlı olan kullanıcı bilgilerimiz otomatik olarak bizim yerimize HTTP request ile server’a iletilmesidir.4)HTTP Cookies (HTTP çerez):
Yalnızca http içeren bir çereze , JavaScript gibi istemci tarafı API’leri tarafından erişilemez . Bu kısıtlama,siteler arası komut dosyası (XSS) aracılığıyla tanımlama bilgisi hırsızlığı tehdidini ortadan kaldırır . Ancak tanımlama bilgisi, siteler arası izleme (XST) ve siteler arası istek sahteciliği (CSRF) saldırılarına karşı savunmasız kalır . Çereze bu özellik HttpOnly, çereze bayrak eklenerek verilir .HttpOnly
Javascript cookieleri değiştirebilen bir betik dildir. Bu büyük bir güvenlik açığı oluşturuyor. XSS zafiyeti sayesinde cookie ler ele geçirebilir. Cookie oluştururken “HttpOnly” flag ini aktif ederseniz cookieler javascript ile erişilemez hale gelir.Secure
Cookie lerin güvenlik ile alakalı bir diğer yer ise Secure bayrağında bulunuyor.Bu flag aktif edilirse cookie güvenliksiz http bağlantılarında gönderilmiyor, sadece ssl/tls sertifikası bulunan yani https sayfalarında gönderiliyor Buradaki açıktan faydalanan saldırgan cookie lerinizin ele geçirilmesini önlüyor.5)Third Party Cookies (Üçüncü Parti Çerez):
Normalde, bir çerezin etki alanı özelliği, web tarayıcısının adres çubuğunda gösterilen etki alanıyla eşleşir. Buna birinci taraf tanımlama bilgisi denir . Ancak bir üçüncü taraf çerez , adres çubuğunda gösterilenden farklı bir alana aittir. Bu tür bir tanımlama bilgisi, genellikle web sayfalarında afiş reklamlar gibi harici web sitelerinden içerik bulunduğunda görünür . Bu , kullanıcının göz atma geçmişini izleme potansiyelini açar ve genellikle reklamcılar tarafından her kullanıcıya alakalı resimler kullanmak için kullanılır.2014 itibariyle , bazı web siteleri 100’den fazla üçüncü taraf etki alanı için okunabilir tanımlama bilgileri ayarlıyordu.Ortalama olarak, tek bir web sitesi 10 çerez ayarlıyordu ve maksimum çerez sayısı (birinci ve üçüncü taraf) 800’ü aşıyor.
Çoğu modern web tarayıcıları ihtiva gizlilik ayarlarını yapabilirsiniz. Google Chrome, üçüncü taraf çerezlerini engellemek için yeni özellikler getirdi. Bundan böyle, Gizli modda varsayılan olarak engellenirler, ancak bir kullanıcı da onları normal tarama modunda engellemeyi seçebilir. Güncelleme ayrıca birinci taraf çerezini engelleme seçeneği de ekledi.
Bazı tarayıcılar üçüncü taraf çerezlerini engeller. Temmuz 2020 itibarıyla Apple , Safari, Firefox ve Brave , tüm üçüncü taraf çerezlerini varsayılan olarak engellemektedir. Safari, katıştırılmış sitelerin birinci taraf tanımlama bilgilerini ayarlama izni istemek için Depolama Erişimi API’sini kullanmasına izin verir. Chrome, 2022’ye kadar üçüncü taraf çerezlerini engellemeye başlamayı planlıyor.
6) Supercookies (Süper Çerez):
Süper çerez bir izleme çerezidir, ancak daha uğursuz bir kullanımı vardır. Supercookies de normal bir farklı işlevlere sahiptir.Normal bir çerezle, sizi İnternet’te takip etmesini istemiyorsanız, tarama verilerinizi, çerezlerinizi ve daha fazlasını temizleyebilirsiniz. Çerezleri ve üçüncü taraf çerezlerini tarayıcınızdan engelleyebilir ve tarayıcı oturumunuz sona erdikten sonra çerezleri otomatik olarak silebilirsiniz. Her siteye tekrar giriş yapmanız gerekir ve alışveriş sepeti öğeleriniz depolanmaz, aynı zamanda izleme çerezlerinin artık sizi izlediği anlamına gelir.
Süper çerez farklıdır. Tarama verilerinizi temizlemek yardımcı olmaz. Bunun nedeni, bir süper çerezin aslında bir çerez olmamasıdır; tarayıcınızda saklanmıyor.
Bunun yerine, bir İSS, kullanıcının HTTP başlığına bağlantısına özgü bir parça bilgi ekler. Bilgiler, herhangi bir cihazı benzersiz bir şekilde tanımı İSS, aygıt ile bağlandığı sunucu arasına süper çerez eklediğinden, kullanıcının bu konuda yapabileceği hiçbir şey yoktur. Cihazınızda depolanmadığı için silemezsiniz. Reklam ve komut dosyası engelleme yazılımı bunu durduramaz, çünkü istek cihazdan ayrıldıktan sonra olurlar.
Süper çerezler potansiyel bir güvenlik sorunu olabilir ve bu nedenle genellikle web tarayıcıları tarafından engellenir. Tarayıcı engelini kaldırırsa, kötü amaçlı bir web sitesinin kontrolünü elinde bulunduran bir saldırgan, bir süper çerez oluşturabilir ve kötü amaçlı web sitesiyle aynı üst düzey etki alanını veya genel son eki paylaşan başka bir web sitesine meşru kullanıcı isteklerini potansiyel olarak bozabilir veya taklit edebilir.
Süper çerez, ziyaret etmeye çalıştığı web sitesi ve isteğin yapıldığı saat gibi bir kullanıcının yaptığı istek hakkında bilgi içerir. Bu, meta veri olarak bilinir (ve NSA tarafından cep telefonu kayıtlarından toplanan meta verilere çok benzer). Ancak, süper çerezler diğer veri türlerini de içerebilir.
7) Zombie cookie (Zombi Çerez)
Bir zombi çerez bir olan HTTP çerezi silme işleminden sonra yeniden oluşturulur. Terim, 2010 yılında Süper Çerez Sınıfı Eylemleri başlatan Avukat Joseph H. Malley tarafından oluşturulmuştur. Tanımlama bilgileri, web tarayıcısının özel tanımlama bilgisi deposu dışında depolanan yedeklerden yeniden oluşturulur . Tarayıcı güvenliğini ihlal ederek çevrimiçi olarak veya doğrudan ziyaretçinin bilgisayarında saklanabilir . Bu yeniden oluşturma mekanizması, zombi çerezlerinin kaldırılmasını çok zorlaştırır. Bu çerezler, tamamen geleneksel çerezlere dayanmadıkları için çerez almamayı tercih eden bir web tarayıcısında oluşturulabilir.Zombi çerezi başka bir tür süper çerezdir 7 Tarayıcı Hakkında Bilmeniz Gereken Tarayıcı Çerezleri Türleri, çevrimiçi gizliliğinizi azaltmak için tasarlanmamıştır. Adından da anlaşılacağı gibi, zombi çerezini öldüremezsiniz. Ve onu öldürdüğünü düşündüğün zaman, zombi çerezi tekrar hayata dönebilir.
Bir zombi çerezi, tarayıcınızın normal çerez deposunun dışında saklandığından bozulmadan kalır. Zombi çerezleri yerel depolamayı, HTML5 depolamasını, RGB renk kodu değerlerini, Silverlight depolamasını ve daha fazlasını hedefler. Bu yüzden zombi çerezleri olarak biliniyorlar. Bir reklam veren, geri kalanları diriltmek için bu yerlerden birinde yalnızca mevcut bir çerez bulmalıdır. Bir kullanıcı depolama konumlarından herhangi birinden tek bir zombi çerezini silemezse, kareye geri döner.
