ကွတ်ကီးများသည် ဝဘ်အပလီကေးရှင်းများ၏ အရေးပါသော အစိတ်အပိုင်းတစ်ခုဖြစ်ပြီး ရည်ရွယ်ချက်အမျိုးမျိုးကို ဆောင်ရွက်ပေးကာ ပုဂ္ဂိုလ်ရေးသီးသန့်နှင့် ထိရောက်သော အသုံးပြုသူအတွေ့အကြုံကို ရရှိစေပါသည်။ DNS၊ HTTP၊ cookies နှင့် sessions ကဲ့သို့သော ဝဘ်ပရိုတိုကောများ၏ ဆက်စပ်မှုတွင်၊ cookies အလုပ်လုပ်ပုံနှင့် ၎င်းတို့၏ ဖြစ်နိုင်ချေရှိသော လုံခြုံရေးအန္တရာယ်များကို နားလည်ခြင်းသည် ဝဘ်အက်ပ်လီကေးရှင်းများ၏ လုံခြုံရေးကို သေချာစေရန်အတွက် အရေးကြီးပါသည်။
ကွတ်ကီးများသည် ဝဘ်ဆိုက်တစ်ခုကို ဝင်ကြည့်သည့်အခါ သုံးစွဲသူ၏ စက်တွင် သိမ်းဆည်းထားသည့် သေးငယ်သော စာသားဖိုင်များဖြစ်သည်။ ဤဖိုင်များတွင် အသုံးပြုသူ၏ ရှာဖွေကြည့်ရှုမှု အတွေ့အကြုံကို မြှင့်တင်ရန်အတွက် ဝဘ်ဆိုက်မှ ဝင်ရောက်အသုံးပြုနိုင်ပြီး အသုံးပြုနိုင်သည့် ဒေတာများ ပါဝင်သည်။ အသုံးပြုသူသည် ဝဘ်ဆိုက်တစ်ခုသို့ ဝင်ကြည့်သောအခါ၊ ဆာဗာသည် ကွတ်ကီးအချက်အလက်ပါရှိသော Set-Cookie ခေါင်းစီးပါဝင်သည့် တုံ့ပြန်ချက်ကို ပေးပို့သည်။ ထို့နောက် အသုံးပြုသူ၏ ဝဘ်ဘရောက်ဆာသည် ဤကွတ်ကီးကို သိမ်းဆည်းပြီး တူညီသောဝဘ်ဆိုဒ်သို့ နောက်ဆက်တွဲတောင်းဆိုမှုများတွင် ထည့်သွင်းပါ။ ၎င်းသည် ဝဘ်ဆိုက်အား သုံးစွဲသူအား အသိအမှတ်ပြုရန်နှင့် ပုဂ္ဂိုလ်ရေးသီးသန့်ပြုလုပ်ထားသော အကြောင်းအရာများကို ပေးဆောင်ရန် သို့မဟုတ် ၎င်းတို့၏ နှစ်သက်မှုများကို မှတ်မိစေနိုင်သည်။
ဝဘ်အပလီကေးရှင်းများတွင် cookies များ၏အဓိကရည်ရွယ်ချက်များမှာ-
1. Session Management- ကွတ်ကီးများကို စက်ရှင်စီမံခန့်ခွဲမှုအတွက် အများအားဖြင့် အသုံးပြုကြပြီး၊ ဝဘ်ဆိုဒ်များကို တောင်းဆိုချက်များစွာတွင် အသုံးပြုသူ sessions များကို ထိန်းသိမ်းထားနိုင်စေပါသည်။ အသုံးပြုသူသည် ဝဘ်ဆိုက်တစ်ခုသို့ အကောင့်ဝင်သောအခါတွင် စက်ရှင်ကွတ်ကီးကို ဖန်တီးပြီး ၎င်းတို့၏လည်ပတ်မှုအတွင်း အသုံးပြုသူကို ခွဲခြားသတ်မှတ်ရန် အသုံးပြုသည်။ ၎င်းသည် အသုံးပြုသူ စစ်မှန်ကြောင်းကို ထိန်းသိမ်းခြင်း၊ သုံးစွဲသူ၏ လုပ်ဆောင်ချက်ကို ခြေရာခံခြင်းနှင့် စက်ရှင်ဆိုင်ရာ အချက်အလက်များကို သိမ်းဆည်းရာတွင် ကူညီပေးသည်။
ဥပမာ- အသုံးပြုသူတစ်ဦးသည် အွန်လိုင်းဘဏ်လုပ်ငန်းဝဘ်ဆိုက်သို့ လော့ဂ်အင်ဝင်သောအခါ၊ ၎င်းတို့၏လုပ်ဆောင်ချက်ကို ခြေရာခံပြီး ၎င်းတို့၏ စက်ရှင်တစ်လျှောက်လုံး စစ်မှန်ကြောင်းသေချာစေရန် စက်ရှင်ကွတ်ကီးကို ဖန်တီးထားသည်။
2. စိတ်ကြိုက်ပြင်ဆင်ခြင်း- ကွက်ကီးများသည် အသုံးပြုသူနှစ်သက်မှုများအပေါ်အခြေခံ၍ အကြောင်းအရာများကို ပုဂ္ဂိုလ်ရေးသီးသန့်ပြုလုပ်ရန် ဝဘ်ဆိုက်များကို ဖွင့်ပေးသည်။ ၎င်းတို့သည် ဝဘ်ဆိုက်အား အသုံးပြုသူအတွေ့အကြုံကို အံဝင်ခွင်ကျဖြစ်စေရန် ခွင့်ပြုပေးသော ဘာသာစကား စိတ်ကြိုက်ရွေးချယ်မှုများ၊ အပြင်အဆင်ဆက်တင်များ သို့မဟုတ် ယခင်အပြန်အလှန်တုံ့ပြန်မှုများကဲ့သို့သော အချက်အလက်များကို သိမ်းဆည်းနိုင်သည်။
ဥပမာ- သတင်းဝဘ်ဆိုဒ်တစ်ခုသည် အသုံးပြုသူ၏နှစ်သက်သော သတင်းအမျိုးအစားများကို မှတ်သားရန်နှင့် နောက်ဆက်တွဲလည်ပတ်မှုများတွင် သက်ဆိုင်ရာဆောင်းပါးများကို ပြသရန် ကွတ်ကီးများကို အသုံးပြုနိုင်သည်။
3. ခြေရာခံခြင်းနှင့် ပိုင်းခြားစိတ်ဖြာခြင်း- အသုံးပြုသူ၏အပြုအမူကို ခြေရာခံခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာမှုဒေတာစုဆောင်းခြင်းအတွက် ကွတ်ကီးများကို အသုံးပြုသည်။ ဝဘ်ဆိုဒ်များသည် စာမျက်နှာကြည့်ရှုမှု၊ ကလစ်နှိပ်မှုနှုန်းများနှင့် အသုံးပြုသူလူဦးရေစာရင်းများကဲ့သို့သော အချက်အလက်များကို စုဆောင်းရန်အတွက် ကွတ်ကီးများကို အသုံးပြုနိုင်သည်။ ဤဒေတာသည် သုံးစွဲသူများ၏ နှစ်သက်မှုကို နားလည်ရန်နှင့် ဝဘ်ဆိုက်စွမ်းဆောင်ရည်ကို အကောင်းဆုံးဖြစ်အောင် ကူညီပေးသည်။
ဥပမာ- e-commerce ဝဘ်ဆိုက်တစ်ခုသည် ကြည့်ရှုထားသော ထုတ်ကုန်များ သို့မဟုတ် စျေးဝယ်လှည်းသို့ ထည့်ထားသည့်အရာများကဲ့သို့သော သုံးစွဲသူ အပြန်အလှန်တုံ့ပြန်မှုများကို ခြေရာခံရန် ကွတ်ကီးများကို အသုံးပြုနိုင်ပြီး စိတ်ကြိုက်အကြံပြုချက်များကို ပေးဆောင်ရန် သို့မဟုတ် အရောင်းပုံစံများကို ခွဲခြမ်းစိတ်ဖြာရန်။
၎င်းတို့သည် အသုံးဝင်မှုရှိသော်လည်း၊ ကွတ်ကီးများသည် ကိုင်တွယ်ဖြေရှင်းရန် လိုအပ်သည့် အလားအလာရှိသော လုံခြုံရေးအန္တရာယ်များကိုလည်း ဖြစ်ပေါ်စေပါသည်။ ကွတ်ကီးများနှင့်ဆက်စပ်နေသော ဘုံလုံခြုံရေးအန္တရာယ်အချို့မှာ-
1. သတင်းအချက်အလက် ယိုစိမ့်မှု- ကွတ်ကီးများတွင် အသုံးပြုသူ ခွဲခြားသတ်မှတ်မှုများ သို့မဟုတ် ဆက်ရှင်တိုကင်များကဲ့သို့သော အရေးကြီးသော အချက်အလက်များ ပါဝင်နိုင်သည်။ ဤကွတ်ကီးများကို ကောင်းစွာမလုံခြုံပါက၊ ၎င်းတို့သည် ကြားဖြတ်ဝင်ရောက်ခြင်း သို့မဟုတ် ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းကို ခံရနိုင်သည်။ တိုက်ခိုက်သူများသည် အသုံးပြုသူများအယောင်ဆောင်ရန် သို့မဟုတ် ၎င်းတို့၏အကောင့်များသို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်အသုံးပြုရန် ဤအားနည်းချက်ကို အသုံးချနိုင်သည်။
ဥပမာ- e-commerce ဝဘ်ဆိုက်တစ်ခုသည် သင့်လျော်သော ကုဒ်ဝှက်ခြင်း သို့မဟုတ် လုံခြုံစွာ ထုတ်လွှင့်ခြင်းမရှိဘဲ ကွတ်ကီးများတွင် အသုံးပြုသူအထောက်အထားစိစစ်ခြင်းဆိုင်ရာ တိုကင်များကို သိမ်းဆည်းပါက၊ တိုက်ခိုက်သူသည် ကွတ်ကီးများကို ကြားဖြတ်ပြီး အသုံးပြုသူ၏အကောင့်သို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့် ရရှိနိုင်သည်။
2. Cross-Site Scripting (XSS)- တိုက်ခိုက်သူသည် အန္တရာယ်ရှိသော script များကို ဝဘ်အက်ပလီကေးရှင်းထဲသို့ ထိုးသွင်းသောအခါ၊ သားကောင်၏ဘရောက်ဆာမှ ကွပ်မျက်လိုက်သောအခါတွင် XSS တိုက်ခိုက်မှုများ ဖြစ်ပေါ်လာသည်။ Cookies များသည် executable code သို့မဟုတ် သတိထားရမည့်အချက်အလက်များပါရှိနိုင်သောကြောင့် XSS တိုက်ခိုက်မှုများအတွက် ပစ်မှတ်ဖြစ်နိုင်သည်။ အကယ်၍ တိုက်ခိုက်သူသည် အန္တရာယ်ရှိသော script များကို အောင်မြင်စွာ ထိုးသွင်းပါက၊ ၎င်းတို့သည် cookies များကို ခိုးယူနိုင်သည် သို့မဟုတ် ၎င်းတို့၏ အကြောင်းအရာများကို စီမံခန့်ခွဲနိုင်သည်။
ဥပမာ- တိုက်ခိုက်သူသည် အသုံးပြုသူ၏ ကွက်ကီးများကို ခိုးယူကာ အန္တရာယ်ရှိသော ဆာဗာတစ်ခုသို့ ပေးပို့သော အားနည်းချက်ရှိသော ဝဘ်အက်ပ်လီကေးရှင်းတစ်ခုထဲသို့ script တစ်ခုကို ထိုးသွင်းပြီး တိုက်ခိုက်သူသည် အသုံးပြုသူကို အယောင်ဆောင်ခွင့်ပြုသည်။
3. Cross-Site Request Forgery (CSRF)- CSRF သည် ဝဘ်ဆိုက်တစ်ခုတွင် သုံးစွဲသူ၏ဘရောက်ဆာတွင်ရှိသည့် ယုံကြည်မှုကို အသုံးချကာ ဝဘ်ဆိုက်ပေါ်တွင် မရည်ရွယ်ဘဲ လုပ်ဆောင်မှုများ လုပ်ဆောင်ရန် သုံးစွဲသူအား လှည့်ဖြားခြင်းဖြင့် တိုက်ခိုက်ပါသည်။ တောင်းဆိုချက်များကို စစ်မှန်ကြောင်းအထောက်အထားပြရန်အတွက် ကွတ်ကီးများကို မကြာခဏအသုံးပြုလေ့ရှိပြီး တိုက်ခိုက်သူသည် သားကောင်၏ cookies များပါ၀င်သည့် တောင်းဆိုချက်ကို အတုလုပ်ပါက၊ ၎င်းတို့၏သဘောဆန္ဒမပါဘဲ သားကောင်ကိုယ်စား လုပ်ဆောင်မှုများကို လုပ်ဆောင်နိုင်သည်။
ဥပမာ- တိုက်ခိုက်သူသည် အသုံးပြုသူထံသို့ ဖန်တီးထားသော အီးမေးလ်တစ်စောင် ပေးပို့ပြီး အန္တရာယ်ရှိသော လင့်ခ်ကို နှိပ်ရန် ဆွဲဆောင်သည်။ အသုံးပြုသူသည် လင့်ခ်ကို နှိပ်လိုက်သည့်အခါ ၎င်းတို့၏အကောင့်စကားဝှက်ကို ပြောင်းလဲခြင်းကဲ့သို့သော ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်မှုများပြုလုပ်ရန် သားကောင်၏ကွတ်ကီးများကို အသုံးပြု၍ ထိခိုက်လွယ်သောဝဘ်ဆိုဒ်သို့ တောင်းဆိုမှုတစ်ခု အစပျိုးပေးသည်။
ဤလုံခြုံရေးအန္တရာယ်များကို လျော့ပါးစေရန်၊ ဝဘ်အက်ပလီကေးရှင်းထုတ်လုပ်သူများနှင့် စီမံခန့်ခွဲသူများသည် အောက်ပါအကောင်းဆုံးအလေ့အကျင့်များကို အကောင်အထည်ဖော်သင့်သည်-
1. Secure Transmission- ကြားဖြတ်ဝင်ရောက်ခြင်း သို့မဟုတ် ဆော့ကစားခြင်းမှ ကာကွယ်ရန် HTTPS ကဲ့သို့ လုံခြုံသောချန်နယ်များမှတဆင့် အရေးကြီးသောအချက်အလက်များပါရှိသော ကွတ်ကီးများကို ပို့သင့်သည်။
2. လုံခြုံသော သိုလှောင်မှု- ကွတ်ကီးများကို ဆာဗာဘက်ခြမ်းတွင် လုံခြုံစွာ သိမ်းဆည်းထားသင့်ပြီး သင့်လျော်သော ကုဒ်ဝှက်ခြင်းနှင့် ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းမှ ကာကွယ်ခြင်းတို့ကို သေချာစေသည်။
3. Cookie Attributes- HttpOnly နှင့် Secure ကဲ့သို့သော cookies အတွက် သင့်လျော်သော အရည်အချင်းများကို သတ်မှတ်ခြင်းသည် ၎င်းတို့၏ လုံခြုံရေးကို မြှင့်တင်နိုင်ပါသည်။ HttpOnly ရည်ညွှန်းချက်သည် ကွတ်ကီးများဝင်ရောက်ခြင်းမှ client-side scripts များအား XSS တိုက်ခိုက်မှုအန္တရာယ်ကို လျှော့ချပေးသည်။ Secure attribute သည် cookie ကို လုံခြုံသောချိတ်ဆက်မှုများမှတဆင့်သာ ပေးပို့ကြောင်းသေချာစေပါသည်။
4. ဆိုက်တူ ကွတ်ကီးများ- ဆိုက်တူ ကွတ်ကီး ရည်ညွှန်းချက်များကို အကောင်အထည်ဖော်ခြင်းသည် ကွတ်ကီးများ၏ နယ်ပယ်ကို မူလရင်းမြစ်အဖြစ် ကန့်သတ်ခြင်းဖြင့် CSRF တိုက်ခိုက်မှုများကို ကာကွယ်ပေးသည်။
5. Cookie Lifecycle Management- ပုံမှန်သက်တမ်းကုန်ဆုံးခြင်း သို့မဟုတ် ပြန်လည်ဆန်းသစ်ထားသော cookies များသည် session hijacking သို့မဟုတ် replay attacks ဖြစ်နိုင်ခြေကို လျှော့ချနိုင်ပါသည်။
ကွတ်ကီးများသည် ဝဘ်အပလီကေးရှင်းများတွင် အရေးပါသောအခန်းကဏ္ဍမှပါဝင်ပြီး၊ စက်ရှင်စီမံခန့်ခွဲမှု၊ ပုဂ္ဂိုလ်ရေးသီးသန့်ပြုလုပ်ခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာမှုများကို လွယ်ကူချောမွေ့စေပါသည်။ သို့သော်လည်း ၎င်းတို့သည် သတင်းပေါက်ကြားမှု၊ XSS နှင့် CSRF တိုက်ခိုက်မှုများကဲ့သို့သော ဖြစ်နိုင်ခြေရှိသော လုံခြုံရေးအန္တရာယ်များကိုလည်း မိတ်ဆက်ပေးပါသည်။ လုံခြုံသော ထုတ်လွှင့်မှု၊ သိုလှောင်မှု၊ နှင့် cookie ရည်ညွှန်းချက်များကဲ့သို့သော အကောင်းဆုံးအလေ့အကျင့်များကို အကောင်အထည်ဖော်ခြင်းဖြင့်၊ ဝဘ်အပလီကေးရှင်းဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် အဆိုပါအန္တရာယ်များကို လျော့ပါးစေပြီး ကွတ်ကီးများ၏ လုံခြုံရေးကို သေချာစေသည်။
အခြား လတ်တလောမေးခွန်းများနှင့် အဖြေများ DNS၊ HTTP၊ ကွက်ကီးများ၊ ဆက်ရှင်များ:
- လုံခြုံသော စက်ရှင် ID များကို အသုံးပြု၍ HTTPS မှတဆင့် ပေးပို့ခြင်းကဲ့သို့သော သုံးစွဲသူ၏ လော့ဂ်အင်အချက်အလက်ကို ကိုင်တွယ်သည့်အခါ သင့်လျော်သော လုံခြုံရေးအစီအမံများကို အကောင်အထည်ဖော်ရန် အဘယ်ကြောင့် လိုအပ်သနည်း။
- sessions တွေက ဘာတွေလဲ၊ clients နဲ့ servers တွေကြားမှာ stateful communication ကို ဘယ်လိုဖွင့်ထားလဲ။ ဆက်ရှင်အပိုင်စီးခြင်းကို ကာကွယ်ရန် လုံခြုံသော session management ၏ အရေးပါပုံကို ဆွေးနွေးပါ။
- ဝဘ်အပလီကေးရှင်းများတွင် ကွတ်ကီးများ၏ ရည်ရွယ်ချက်ကို ရှင်းပြပြီး မသင့်လျော်သော ကွတ်ကီးကိုင်တွယ်ခြင်းနှင့် ဆက်စပ်သော ဖြစ်နိုင်ခြေရှိသော လုံခြုံရေးအန္တရာယ်များကို ဆွေးနွေးပါ။
- HTTPS သည် HTTP ပရိုတိုကော၏ လုံခြုံရေးအားနည်းချက်များကို မည်သို့ဖြေရှင်းသနည်း၊ အဘယ်ကြောင့် အရေးကြီးသော အချက်အလက်များကို ပေးပို့ရန်အတွက် HTTPS ကို အသုံးပြုရန် အရေးကြီးသနည်း။
- ဝဘ်ပရိုတိုကောများတွင် DNS ၏ အခန်းကဏ္ဍမှာ အဘယ်နည်း၊ နှင့် သုံးစွဲသူများအား အန္တရာယ်ရှိသော ဝဘ်ဆိုက်များမှ ကာကွယ်ရန်အတွက် DNS လုံခြုံရေးသည် အဘယ်ကြောင့် အရေးကြီးသနည်း။
- HTTP ကလိုင်းယင့်ကို အစမှအဆုံး ပြုလုပ်ခြင်း လုပ်ငန်းစဉ်နှင့် TCP ချိတ်ဆက်မှု ထူထောင်ခြင်း၊ HTTP တောင်းဆိုချက် ပေးပို့ခြင်းနှင့် တုံ့ပြန်မှု လက်ခံခြင်း အပါအဝင် လိုအပ်သော အဆင့်များ ပါဝင်သည့် အဆင့်များကို ဖော်ပြပါ။
- ဝဘ်ပရိုတိုကောများတွင် DNS ၏အခန်းကဏ္ဍနှင့် ဒိုမိန်းအမည်များကို IP လိပ်စာများသို့ မည်သို့ဘာသာပြန်ဆိုသည်ကို ရှင်းပြပါ။ အသုံးပြုသူ၏စက်နှင့် ဝဘ်ဆာဗာတစ်ခုကြား ချိတ်ဆက်မှုတစ်ခုတည်ဆောက်ရန်အတွက် DNS သည် အဘယ်ကြောင့် မရှိမဖြစ်လိုအပ်သနည်း။
- HTTP ရှိ "ကိုးကားသူ" ("ကိုးကား" ဟု စာလုံးပေါင်းမှားသော) ခေါင်းစီး၏ ရည်ရွယ်ချက်ကား အဘယ်နည်း၊ သုံးစွဲသူ၏ အပြုအမူကို ခြေရာခံခြင်းနှင့် လွှဲပြောင်းပေးသည့် လမ်းကြောင်းကို ပိုင်းခြားစိတ်ဖြာခြင်းအတွက် အဘယ်ကြောင့် တန်ဖိုးရှိသနည်း။
- HTTP ရှိ "User-Agent" ခေါင်းစီးသည် ဆာဗာအား သုံးစွဲသူ၏ အထောက်အထားကို ဆုံးဖြတ်ရာတွင် မည်သို့ကူညီပေးသနည်း၊ ၎င်းသည် ရည်ရွယ်ချက်အမျိုးမျိုးအတွက် အဘယ်ကြောင့် အသုံးဝင်သနည်း။
- DNS၊ HTTP၊ cookies နှင့် sessions ကဲ့သို့သော ဝဘ်ပရိုတိုကောများနှင့် သဘောတရားများကို နားလည်ခြင်းသည် ဝဘ်ဆော့ဖ်ဝဲရေးဆွဲသူများနှင့် လုံခြုံရေးပညာရှင်များအတွက် အဘယ်ကြောင့် အရေးကြီးသနည်း။
DNS၊ HTTP၊ cookies၊ sessions များတွင် နောက်ထပ်မေးခွန်းများနှင့် အဖြေများကို ကြည့်ပါ။