Рубрика «cookie»

в 13:56, , рубрики: cookie, ruvds_перевод, Блог компании RUVDS.com, браузеры, разработка, Разработка веб-сайтов

Вы когда-нибудь работали с куки? Казалось ли вам при этом, что их использование организовано просто и понятно? Полагаю, что в работе с куки есть множество нюансов, о которых стоит знать новичкам.

Современный подход к работе с куки - 1
Читать полностью »

в 5:30, , рубрики: Chrome 80, cookie, Google, Google Chrome, HTTPS, браузеры

Google на время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS - 1

3 апреля 2020 года Джастин Шух (Justin Schuh), директор отдела Chrome Engineering, сообщил в корпоративном блоге Chromium Blog о том, что Google на неопределенное время снимает ограничения в Chrome 80 на передачу Cookie между сайтами, не использующими HTTPS.
Читать полностью »

в 15:04, , рубрики: cookie, cookie tracking, cookies, Europe, gdpr, Австрия, Европа, Европейский союз, Законодательство в IT, информационная безопасность, куки, кукисы

Необычный случай произошел в Австрии. Адвокат из Зальцбурга потребовал взыскать с немецкой компании круглую сумму за нарушение правил использования cookies.

В Европе адвокат требует тысячу евро за каждый cookie, установленный без согласия - 1Читать полностью »

в 9:33, , рубрики: 1cloud, cookie, cookie-баннеры, gdpr, Блог компании 1cloud.ru, Разработка веб-сайтов

В Европе пришли к выводу, что cookie-баннеры не соответствуют требованиям GDPR. Обсуждаем предысторию вопроса, делимся мнениями экспертов и смотрим на варианты развития ситуации.

Европейские регуляторы выступили против cookie-баннеров - 1Читать полностью »

в 7:02, , рубрики: backend, cookie, nginx, sla, SSI, кэширование

В жизни каждого проекта настает время, когда сервер перестает отвечать требованиям SLA и буквально начинает захлебываться количеством пришедшего трафика. После чего начинается долгий процесс поиска узких мест, тяжелых запросов, неправильно созданных индексов, не кэшированных данных, либо наоборот, слишком часто обновляемых данных в кэше и других темных сторон проекта.

Но что делать, когда ваш код “идеален”, все тяжелые запросы вынесены в фон, все, что можно, было закэшировано, а сервер все так же не дотягивает до нужных нам показателей SLA? Если есть возможность, то конечно можно докупить новых машин, распределить часть трафика и забыть о проблеме еще на некоторое время.

Но если вас не покидает чувство, что ваш сервер способен на большее, или есть магический параметр, ускоряющий работу сайта в 100 раз, то можно вспомнить о встроенной возможности nginx, позволяющей кэшировать ответы от бэкенда. Давайте разберем по порядку, что это, и как это может помочь увеличить количество обрабатываемых запросов сервером.Читать полностью »

в 7:57, , рубрики: cookie, cookie injection, CSFR, xss, Блог компании Конференции Олега Бунина (Онтико), информационная безопасность, Разработка веб-сайтов

CSFR (Сross Site Request Forgery) в переводе на русский — это подделка межсайтовых запросов. Михаил Егоров (0ang3el) в своем докладе на Highload++ 2017 рассказал о CSRF-уязвимостях, о том, какие обычно используются механизмы защиты, а также как их все равно можно обойти. А в конце вывел ряд советов о том, как правильно защищаться от CSFR-атак. Под катом расшифровка этого выступления.

О спикере: Михаил Егоров работает в компании Ingram Micro Cloud и занимается Application security. В свободное время Михаил занимается поиском уязвимостей и Bug hunting и выступает на security-конференциях

Дисклаймер: приведенная информация является сугубо мнением автора, все совпадения случайны.
CSRF-уязвимости все еще актуальны - 1

В том, что CSRF-атаки работают виноват этот Cookie-монстр. Дело в том, что многие веб-приложения используют куки (здесь и далее считаем уместным называть cookies по-русски) для управления сессией пользователя. Браузер устроен так, что, если у него есть куки пользователя для данного домена и пути, он их автоматически отправляет вместе с HTTP-запросом.
Читать полностью »

в 10:05, , рубрики: cookie, cookies, encrypted cookies, hmac, php, session, Sessions, signed cookies, symfony, криптография, подписанные куки, Разработка веб-сайтов, сессии, шифрованные куки

PHP: Хранение сессий в защищённых куках - 1На некоторой стадии развития веб-проекта возникает одна из следующих ситуаций:

  • backend перестаёт помещаться на одном сервере и требуется хранилище сессий, общее для всех backend-серверов
  • по различным причинам перестаёт устраивать скорость работы встроенных файловых сессий

Традиционно в таких случаях для хранения пользовательских сессий начинают использовать Redis, Memcached или какое-то другое внешнее хранилище. Как следствие возникает бремя эксплуатации базы данных, которая при этом не должна быть единой точкой отказа или бутылочным горлышком в системе.

Однако, есть альтернатива этому подходу. Возможно безопасно и надёжно хранить данные сессии в браузерной куке у самого пользователя, если заверить данные сессии криптографической подписью. Если вдобавок к этому данные ещё и зашифровать, то тогда содержимое сессии не будет доступно пользователю. Главное достоинство этого способа хранения в том, что он не требует централизованной базы данных для сессий со всеми вытекающими из этого плюсами в виде надёжности, скорости и масштабирования.Читать полностью »

в 19:02, , рубрики: cookie, frontendconf, javascript, Блог компании Конференции Олега Бунина (Онтико), браузеры, Валентин Васильев, Разработка веб-сайтов, метки:

Browser Fingerprint – анонимная идентификация браузеров - 1

Валентин Васильев (Machinio.com)

Что же такое Browser Fingerprint? Или идентификация браузеров. Очень простая формулировка — это присвоение идентификатора браузеру. Формулировка простая, но идея очень сложная и интересная. Для чего она используется? Для чего мы хотим присвоить браузеру идентификатор?

  • Мы хотим учитывать наших пользователей. Мы хотим знать, пришел ли пользователь к нам первый раз, пришел он во второй раз или в третий. Если пользователь пришел во второй раз, мы хотим знать, на какие страницы он заходил, что он до этого делал. С анонимными пользователями это невозможно. Если у вас есть система учета записей, пользователь логинится, мы все про него знаем — мы знаем его учетную запись, его персональные данные, мы можем привязать любые действия к этому пользователю. Здесь все просто. В случае с анонимными пользователями все становится гораздо сложнее.

Читать полностью »

в 8:36, , рубрики: cookie, cookie stuffing, Аудиомания, Блог компании Аудиомания, информационная безопасность, куки, куки-стаффинг, электронная коммерция

Партнерский маркетинг — это ситуация на рынке, когда один бизнес платит другому за «привод» покупателей на сайт. Например, если пользователь переходит по партнерской ссылке с сайта X на сайт «Аудиомании» и покупает акустическую систему, то партнер X получает с этой сделки процент. Но на практике все бывает не так гладко.

Как заплатить за одного клиента 3 раза и даже не знать об этом: Практический кейс «Аудиомании» - 1Читать полностью »

в 16:04, , рубрики: cookie, HSTS, HTTPS, javascript, браузеры, информационная безопасность, слежка, метки: ,

Уже несколько лет все браузеры предлагают настройки для приватного браузинга. В приватном режиме они могут не сохранять куки, историю страниц и временные файлы. Люди, ценящие приватность, полагаются на эту возможность. Но недавно был предложен ещё один способ отследить пользователя даже и в этом случае, если тот не предпримет особых мер.

Ирония в том, что работе этой системы отслеживания способствует механизм под названием HTTP Strict Transport Security. Он нужен для того, чтобы сайты могли убедиться, что пользователь работает с их серверами только по протоколу HTTPS. Если сервер добавляет в заголовки соответствующий флаг, то по правилам HSTS все соединения с сервером должны быть зашифрованы. Таким образом пользователя защищают от различных возможных атак.
Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js