Kyberbezpečnost a role

Zajištění ISO certifikace

Grafická vlna Top Solution web umimenis2.cz

IT Compliance

Audity a školení



Kontakty

+420 777 774 535

poradna@top-solution.cz

Sledujte LinkedIn

pro užitečný obsah

Kontakt
Náhled článku na téma Cookies a jejich rizik
Cookies: Které typy jsou rizikové a jak se chránit?
Abychom byli na úvod féroví, cookies samy o sobě nejsou nebezpečné. Neohrozí vaše zařízení. Nesledují data o tom, kdo jste jako osoba. Shromažďují a uchovávají „pouze" informace o vašem webovém prohlížeči a uživatelském chování. Ovšem, některé druhy lze použít ke „špehování" vašich aktivit na internetu, což narušuje vaše soukromí. Které to jsou?

Obsah článku:

Co jsou cookies, co sbírají, jak fungují?

Tyto krátké textové soubory ukládají informace o preferencích (př. jazyk, rozlišení) a sledují vaše chování na stránce. Ukládají se přímo ve vašem zařízení (webový prohlížeč). Pomáhají tím webům s analytikou, výkonem a cílením relevantního obsahu i reklam, aby byla vaše další návštěva snazší a web relevantnější.

Jenže každá sušenka má dvě strany. Za rizikové cookies jsou považovány zejména ty tzv. 3rd party:

  • Tracking, reklamní, analytické a affiliate cookies. Jsou umístěny na webech prostřednictvím externích zdrojů (reklamní společnosti, analytické nástroje). Mohou sledovat vaši aktivitu i na stránkách, které nemají přímou spojitost s webem, který jste navštívili a udělili na něm souhlas s používáním cookies.
  • Persistent cookies. Zůstávají uloženy na vašem zařízení i po ukončení relace. Mají sice danou platnost, ale může jít o sekundy i roky — záleží jak jsou nastaveny.
  • Evercookies (supercookies). Jsou navrženy tak, aby byly velmi obtížné odstranit nebo odmítnout. Využívají různé úložiště na straně klienta (jako LocalStorage nebo Silverlight Isolated Storage), pomocí kterých zpětně obnovují smazané cookies.
  • Flash cookies (Local Shared Objects — LSOs). Fungují v rámci Adobe Flash technologie a lze je použít pro sledování bez vašeho vědomí. Mohou zahrnovat i více informací než standardní HTTP (1st party) cookies.

+ 2 typy častých webových zranitelností, kterých může útočník využít, aby získal přístup k vašemu soukromí:

  • Cross-Site Scripting (XSS). Útok, při kterém dochází k podstrčení škodlivého kódu do dynamické webové stránky (JavaScript na straně klienta). Útočník může překonat omezení přístupu tak, že jeho kód je vložen do webové stránky ověřeného uživatele a tím zdánlivě pochází z důvěryhodného zdroje. Může být využíván i při phishingu, kde je pomocí XSS uživateli zobrazen jiný obsah na jinak důvěryhodné stránce za účelem získání a zneužití dat.
  • Cross-Site Request Forgery (CSRF). Útok do webových aplikací (většinou implementovaných skriptovacími jazyky nebo CGI) fungující na bázi nezamýšleného požadavku k vykonání určité akce v aplikaci. Požadavek však pochází z nelegitimního zdroje. Často se nejedná o útok pro získání přístupu do aplikace (ale může pro to být zneužit), útočník spíše zneužívá akce uživatelů (sociálním inženýrstvím), kteří jsou k aplikaci přihlášeni již v okamžiku útoku.

Riziko 3rd party cookies: V čem spočívá a proč?

Cookies třetích stran (3rd party) lze použít ke sledování vašich soukromých aktivit na internetu (př. hledaná klíčová slova, navštěvované stránky, produkty a reklamy, které vidíte.)

Některé reklamní společnosti tyto informace i obchodují. A pokud uniknou, útočníci je mohou zneužít, aby na základě dat ze sledování sestavili váš uživatelský profil (historie prohlížených webů, chování, zájmy, poloha, hledaná klíčová slova) a doručili vám tzv. „pop-up” phishingové reklamy (př.: „Váš počítač je zavirován, klikněte zde pro odstranění virů”) na základě sestaveného profilu.

Nebo mohou odcizit vaše soukromé údaje (jméno, heslo, e‑mail, karta) ze špatně zabezpečeného webu/aplikace, pokud jsou cookies zneužity třeba v kombinaci s bezpečnostními slabostmi výše.

3 způsoby, kterými mohou útočníci narušit vaše soukromí

1. Cookie Poisoning.

Útočník manipuluje s obsahem cookies, aby nesly škodlivé informace nebo kód. Cílem je obejít zabezpečení a ukrást data. Může jít o:

  • sociální inženýrství - útočník se může vydávat za správce webu, aby vás přemluvil k zadání údajů na podvodný web, co vypadá jako ten, který normálně navštěvujete.
  • Infikovaný odkaz — klikněte na něj a umožníte tím útočníkovi spustit škodlivý kód (př. Java Script) na pozadí ve vašem prohlížeči, kterým získá přístup ke cookies a tím i heslům, osobním údajům či možnost provádět další nežádoucí akce.
  • Útok na web - právě výše zmíněným XSS či CSRF, kdy útočník využije některé ze zranitelností, aby spustil škodlivý kód, změnil obsah/hodnoty cookie a způsobil nežádoucí změny na webových stránkách nebo získal neoprávněný přístup k určitým funkcím či službám webu.

2. Session Hijacking.

Útočník se pro změnu snaží ukrást vaše tzv. session ID na stránce, kde jste přihlášeni, aby se za vás mohl vydávat (pronikl do účtu na webu), převádět si vaše peníze nebo za ně nakupovat. Podobně, jako u předchozího typu, jde nejčastěji o:

  • sociální inženýrství.
  • Odposlech sítě - útočník „odposlouchává” komunikaci mezi vámi a webovým serverem, aby zachytil platnou session cookie. Dosáhne toho snáze, pokud se připojujete k nezabezpečené Wi-fi nebo jste na síti náchylné k odposlechu (př. veřejná Wi-Fi).
  • Cookie Sniffing - podobně jako u odposlechu sítě se touto technikou útočník snaží zachytit provoz, aby identifikoval vaše platné session cookies.
  • Cross-Site Scripting (XSS) či Cross-Site Request Forgery (CSRF).
  • Infikovaný odkaz/zařízení. Kliknete na odkaz nebo na svém zařízení máte zranitelný/škodlivý software? Pro útočníka je to o to snazší.

3. Phishing a Malware.

Další cesta, jak útočníci získávají přístup nejen ke cookies, ale i citlivým údajům. Jde o podvodné e‑maily/SMS/hovory/reklamy, které vám například slibují majlant z pozůstalosti „jen” za vložení svých údajů na stránky, kde ovšem zdědíte možná tak škodlivý malware.

Možná si teď myslíte: „A co s tím?! To už jako nikdy nemám používat cookies?”

To, co je v úvodu, platí. Cookies samy o sobě nejsou nebezpečné. Neohrozí vaše zařízení. Nesledují data o tom, kdo jste jako osoba. Shromažďují a uchovávají „pouze” informace o vašem webovém prohlížeči a uživatelském chování. Pomáhají tím webům i vám ke snazšímu a příjemnějšímu uživatelskému zážitku.

Problém je to, že jako uživatel máte pod přímou kontrolou jen část. Bohužel moc neovlivníte slabě zabezpečený web se zranitelnostmi, které jeho správce neřeší a vystavuje tím vaše soukromí rizikům.

Cookies: Jak své soukromí můžete chránit jako uživatelé?

Vaše soukromí, vaše pravidla. Existuje několik jednoduchých, leč účinných zásad, které vám pomohou:

  • Používejte silná hesla, snažte se je moc neopakovat a pravidelně je měňte. Pass1234 ani babicka2018 jimi opravdu nejsou. Využijte velká písmena a speciální znaky. „Kdo si to má furt pamatovat?!” — lístečky pod klávesnicí/na lednici určitě nejsou cesta. Zkuste třeba pro jednotlivce bezplatnou klíčenku BitWarden k přehlednému uchování svých hesel.
  • Využívejte antivirový software a pravidelně aktualizujte jeho definice známých virů.
  • Navštěvujte pouze důvěryhodné a šifrované webové stránky. Poznáte to podle HTTPS označení či ikony zámečku vedle webové adresy v prohlížeči. A i na těch si čtěte, jak nakládají s vašimi údaji, jak je chrání, s čím vyjadřujete souhlas a komu tedy svěřujete své soukromí.
  • Neklikejte na odkazy v reklamách, e‑mailech nebo SMS od lidí i firem, které neznáte. A vždy je velmi důkladně prověřte, než cokoli otevřete, případně je rovnou hlaste IT oddělení.

A dál?

  • Používejte anonymní režim prohlížeče. Pokud navštěvujete webové stránky, které považujete za rizikové.
  • Myslíte-li, že jsou vaše cookies pod útokem (neobvyklé chování prohlížeče, neoprávněné pokusy o přihlášení, neznámé nebo podezřelé stránky v historii prohlížeče), na nic nečekejte a okamžitě změňte hesla na všech webových stránkách. Kontaktujte také svou banku, zaměstnavatele a informujte je o tom.
  • Využívejte dvoufaktorové ověření a Virtuální privátní síť (VPN). Může to zvýšit vaši bezpečnost. Protože přidáte další ověřovací faktor pro účty, VPN zamaskuje IP adresu i zašifruje komunikaci a tím omezíte sledování svých aktivit na internetu.
  • Zakažte si cookies třetích stran v prohlížeči/instalací rozšíření, které to umožňují (př. AdBlock Plus, Ghostery, Privacy Badger). Nebo pravidelně kontrolujte a zpětně mažte udělené souhlasy s cookies na stránkách, které již nenavštěvujete. Jen myslete na to, že po smazání cookies už si web nebude pamatovat vaše poslední návštěvy ani přihlašovací údaje a může postrádat některé funkcionality.

Tady se dozvíte, jak na to:

Hlavně buďte vždy obezřetní! Dokud to neprověříte, na nic neklikejte. Pokud vám někdo volá a představuje se jako vaše banka, dodavatel či nový kolega, vždy to ověřte než cokoliv uděláte. Také zvažte, zda je nutné poskytovat určité informace, a omezte sdílení svých dat na minimum, pokud je to možné.

Cookies: Jak jako poskytovatel/správce webu/aplikace bezpečně pečovat o soukromí svých klientů a návštěvníků?

  • Používejte jen nezbytné cookies pro fungování vašeho webu. A před sběrem osobních údajů od uživatelů získávejte jejich informovaný souhlas.
  • Ujistěte se, že máte dostatečná bezpečnostní opatření (př. HTTPS šifrování, pravidelné aktualizace, bezpečnostní politiky, dvoufaktorové ověření) k ochraně citlivých údajů.
  • Buďte transparentní ve zpracování osobních údajů. Informujte uživatele o svých postupech, a pokud jde o 3rd party cookies nebo sledovací prvky, uveďte, jaké technologie používáte, k jakým účelům a jak tyto strany dodržují bezpečnostní standardy a zásady ochrany soukromí.
  • Dejte uživatelům přístup k jejich osobním údajům, umožněte jim provést jejich aktualizaci, opravu i úplné smazání, omezení zpracování či odvolání souhlasu s cookies. A nechte je vás kontaktovat v případě potřeby.

A dál?

  • Pravidelně ověřujte své postupy a zásady ochrany osobních údajů. Cílem je být v souladu s aktuálními zákony a regulacemi (př. GDPR) týkajících se soukromí.
  • Používáte-li například Google Analytics, ujistěte se, že jste provedli nezbytná opatření, aby byla anonymizována IP adresa návštěvníků. Respektujte soukromí.
  • Použijte šifrování. Pomáhá chránit cookies před neoprávněným přístupem. Šifrování byste měli použít pro všechny cookies, které ukládají citlivé informace, jako jsou hesla nebo čísla kreditních karet.
  • Pravidelně kontrolujte a včas řešte zranitelnosti svých webových stránek i aplikací. Zneužít zranitelností zkušenému útočníkovi zabere jen minuty (třeba jako tady — 5 minut). Vás to může zničit navždy. Finančně i reputačně.

Pokud si nejste jistí, kde má váš web či aplikace zranitelná místa a jak to řešit, pomůžeme vám s tím. Napište Janovi. Nezávazně a zdarma spolu vše proberete. Nebojte, nebude vám nic vnucovat — vy máte poslední slovo a rozhodujete. To nejhorší, co se může stát, je, že se dozvíte něco nového. 🙂

A závěrem, i cookies třetích stran končí. Prohlížeč Google Chrome je plánuje zakázat do konce roku 2023. Během 2024 tak učiní i další prohlížeče. Přečtěte si zde.

To je na téma cookies vše.

Dozvěděli jste se něco nového či hodnotného?

Tak tento článek sdílejte s lidmi, pro které by mohl být také užitečný.

Přispějete k ochraně jejich soukromí a uděláte dobrý skutek.

Vysvětlení pojmů:

  • LocalStorage - Jedná se o součást HTML5 standardu a o metodu ukládání dat do lokálního úložiště na zařízení uživatele.
  • Silverlight Isolated Storage -  Bylo oddělené úložiště pro ukládání dat na straně klienta v rámci webového pluginu Silverlight, který již není podporován v moderních prohlížečích.
  • Local Shared Objects — LSOs — Textové soubory, které se ukládají na vašem počítači nebo zařízení, když navštívíte webovou stránku nebo aplikaci, která využívá technologii Adobe Flash.
  • session ID — Jedinečný identifikátor, který se používá k identifikaci a sledování jednotlivých uživatelů během jejich relace na webové stránce nebo aplikaci.
  • session cookies — Krátkodobé cookies, které se ukládají na zařízení uživatele během jedné relace na webové stránce.

Článek napsal/a:

blog

10. 3. 2025

Jan Neuwirth
Jan Neuwirth má přes 10 let praxe v IT a nebojí se ji použít. Specializuje se na kyberbezpečnost, etický hacking a bezpečnou IT architekturu. Pomáhá klientům eliminovat kybernetická rizika.

Přečtěte si další užitečný obsah

404 - Nenalezeno

Nenašli jsme nic, co by odpovídalo vašemu hledání. Zkuste upřesnit hledání nebo využijte hlavní menu k navigaci na webu.