Aktywne ciasteczka - nowy pomysł na bezpieczeństwo
Właściwie nie istnieją niezawodne narzędzia obrony przed tzw. pharmingiem oraz atakami typu man-in-the-middle. Informatycy z Indiana University School i RavenWhite uważają jednak, że opracowane przez nich aktywne ciasteczka w wielu przypadkach będą skutecznym zabezpieczeniem.
reklama
Pharming to zaawansowana forma phishingu, czyli sytuacji, w której strona oszusta "podszywa się" pod inny serwis internetowy w celu kradzieży danych. W przypadku pharmingu, oszust ukrywa prawdziwy adres IP podrobionej strony internetowej, co utrudnia zorientowanie się w sytuacji.
Ataki typu man-in-the-middle polegają na cichym przechwytywaniu i modyfikowaniu komunikacji między dwoma stronami połączenia.
Informatycy którzy opracowali aktywne ciasteczka (active cookies) uważają, że w wielu przypadkach ich wynalazek zapobiegłby właśnie tego typu cyberoszustwom.
Ciasteczko aktywne to podobnie jak zwykłe ciasteczko niewielka informacja, wysyłana przez serwer i zapisywana na komputerze użytkownika. Zwykłe ciasteczko jest jednak wiadomością tekstową, podczas gdy ciasteczko aktywne jest wykonywalnym kodem (np. obiektem JavaScript).
Takie ciasteczko może spełniać rolę podobną do tokena pomagając w rozpoznaniu konkretnej przeglądarki. Jego obecność informowałaby serwer o tym, że osoba uprawniona do logowania łączy się ze swojego komputera.
Oczywiście rozwiązanie nie jest idealne. Użytkownicy, którzy chcieliby korzystać z konta na kilku komputerach, spotkaliby się z utrudnieniami. Dodatkowo specjaliści wskazują na takie rodzaje ataków, gdzie nawet aktywne ciasteczka nie byłyby pomocne.
Mimo, że technologia może wymagać dopracowania, twórcy chcą ją aktywnie promować i wierzą, że rozwiązanie to może przydać się niektórym instytucjom finansowym. Dyskusja na temat aktywnych ciasteczek planowana jest m.in. w ramach corocznego zgromadzenia American Association for the Advancement of Science, które odbędzie się w St. Louis.