ကွတ်ကီးများသည် ဝဘ်အပလီကေးရှင်းများ၏ မရှိမဖြစ်အစိတ်အပိုင်းတစ်ခုဖြစ်ပြီး သုံးစွဲသူအတွေ့အကြုံကို မြှင့်တင်ရန်နှင့် ပုဂ္ဂိုလ်ရေးဆန်သော အပြန်အလှန်တုံ့ပြန်မှုများကို လုပ်ဆောင်ပေးသည့် ရည်ရွယ်ချက်အမျိုးမျိုးကို ဆောင်ရွက်ပေးသည်။ အသုံးပြုသူ၏ စက်တွင် သိမ်းဆည်းထားသည့် ဤစာသားဖိုင်ငယ်များကို အသုံးပြုသူ၏ ရှာဖွေကြည့်ရှုခြင်းဆိုင်ရာ လုပ်ဆောင်ချက်များနှင့် နှစ်သက်မှုများအကြောင်း အချက်အလက်များကို သိမ်းဆည်းရန် အဓိကအသုံးပြုပါသည်။ DNS၊ HTTP၊ cookies နှင့် sessions များကဲ့သို့ ဝဘ်ပရိုတိုကောများ၏ ဆက်စပ်မှုတွင်၊ cookies များသည် ပြည်နယ်အလိုက် အပြန်အလှန်တုံ့ပြန်မှုများကို ထိန်းသိမ်းထားရန်၊ အသုံးပြုသူ sessions များကို ခြေရာခံခြင်းနှင့် ပစ်မှတ်ထားသော ကြော်ငြာများကို ဖွင့်ပေးခြင်းအတွက် အရေးကြီးသောအခန်းကဏ္ဍမှ ပါဝင်ပါသည်။ သို့သော်၊ ကွတ်ကီးများကို မလျော်ကန်စွာ ကိုင်တွယ်ခြင်းသည် သိသာထင်ရှားသော လုံခြုံရေးအန္တရာယ်များကို ဖြစ်ပေါ်စေနိုင်ပြီး သုံးစွဲသူ၏ကိုယ်ရေးကိုယ်တာအား အလျှော့ပေးနိုင်သည်။
ဝဘ်အပလီကေးရှင်းများရှိ cookies များ၏ အဓိကရည်ရွယ်ချက်မှာ ဝဘ်ဆာဗာနှင့် ကလိုင်းယင့်ဘရောက်ဆာကြားတွင် တည်ငြိမ်သော အပြန်အလှန်တုံ့ပြန်မှုများကို ထိန်းသိမ်းရန်ဖြစ်သည်။ HTTP၊ နိုင်ငံမဲ့ ပရိုတိုကောတစ်ခုဖြစ်သည့် HTTP သည် အသုံးပြုသူတစ်ဦးနှင့် ယခင်က အပြန်အလှန်ဆက်သွယ်မှုများကို မှတ်မိနိုင်စွမ်းမရှိပေ။ ကွတ်ကီးများသည် အသုံးပြုသူ၏စက်တွင် စက်ရှင်သတ်မှတ်မှုစနစ် သို့မဟုတ် အခြားသက်ဆိုင်ရာဒေတာများကို သိမ်းဆည်းခြင်းဖြင့် ဤကန့်သတ်ချက်ကို ကျော်လွှားရန် ကူညီပေးသည်။ ၎င်းသည် ဝဘ်ဆာဗာမှ ပြန်လည်ရောက်ရှိလာသော သုံးစွဲသူများကို အသိအမှတ်ပြုရန်၊ ၎င်းတို့၏ စိတ်ကြိုက်ရွေးချယ်မှုများကို မှတ်မိစေရန်နှင့် စိတ်ကြိုက်ပြုလုပ်ထားသော အတွေ့အကြုံကို ပေးစွမ်းနိုင်စေပါသည်။ ဥပမာအားဖြင့်၊ အသုံးပြုသူတစ်ဦးသည် အွန်လိုင်းစျေးဝယ်ဝဘ်ဆိုက်သို့ အကောင့်ဝင်ရောက်သည့်အခါ၊ ၎င်းတို့ကို ပြန်လည်အထောက်အထားပြရန်မလိုဘဲ မတူညီသောစာမျက်နှာများမှတစ်ဆင့် သွားလာနိုင်ရန် ၎င်းတို့၏ session ID ကို ကွတ်ကီးတစ်ခုကို မကြာခဏအသုံးပြုလေ့ရှိသည်။
ကွတ်ကီးများသည် အသုံးပြုသူ ဆက်ရှင်များကို ခြေရာခံရာတွင်လည်း အရေးကြီးသော အခန်းကဏ္ဍမှ ပါဝင်ပါသည်။ အသုံးပြုသူတစ်ဦးသည် ဝဘ်ဆိုက်တစ်ခုသို့ ဝင်ရောက်သည့်အခါ ၎င်းတို့၏လည်ပတ်မှုအတွင်း အသုံးပြုသူကို သီးခြားခွဲခြားသတ်မှတ်ရန် စက်ရှင်ကွတ်ကီးကို မကြာခဏ ဖန်တီးထားသည်။ ၎င်းသည် ဝဘ်ဆာဗာအား တူညီသောအသုံးပြုသူထံမှ နောက်ဆက်တွဲတောင်းဆိုမှုများကို ၎င်းတို့၏ လက်ရှိဆက်ရှင်နှင့် ချိတ်ဆက်နိုင်စေပြီး ချောမွေ့စွာ လမ်းညွှန်မှုနှင့် အပြန်အလှန်ဆက်သွယ်မှုကို ခွင့်ပြုပေးသည်။ ဥပမာအားဖြင့်၊ e-commerce ဝဘ်ဆိုက်တစ်ခုသည် စာမျက်နှာများစွာရှိ သုံးစွဲသူ၏စျေးဝယ်လှည်းရှိ အရာများကို ခြေရာခံရန် ကွတ်ကီးများကို အသုံးပြုနိုင်သည်။
ထို့အပြင်၊ ပစ်မှတ်ထားသောကြော်ငြာများတွင် cookies များကိုမကြာခဏအသုံးပြုသည်။ ကြော်ငြာသူများသည် အသုံးပြုသူများ၏ ရှာဖွေကြည့်ရှုမှု အမူအကျင့်ကို ခြေရာခံရန်နှင့် ၎င်းတို့၏ စိတ်ဝင်စားမှုဆိုင်ရာ အချက်အလက်များကို စုဆောင်းရန်အတွက် ကွတ်ကီးများကို အသုံးပြုနိုင်သည်။ ထို့နောက် သုံးစွဲသူ၏ စိတ်ကြိုက်ရွေးချယ်မှုများနှင့် အံဝင်ခွင်ကျဖြစ်စေသော ပုဂ္ဂိုလ်ရေးသီးသန့် ကြော်ငြာများကို ပြသရန် ဤဒေတာကို အသုံးပြုပါသည်။ ဥပမာအားဖြင့်၊ အသုံးပြုသူတစ်ဦးသည် ပြင်ပလှုပ်ရှားမှုများနှင့်သက်ဆိုင်သည့် ဝဘ်ဆိုက်များကို မကြာခဏသွားရောက်ကြည့်ရှုပါက၊ စခန်းချကိရိယာ သို့မဟုတ် တောင်တက်ကိရိယာများအတွက် ကြော်ငြာများကို ပြသနိုင်မည်ဖြစ်သည်။
သို့သော်၊ ကွတ်ကီးများကို မလျော်ကန်စွာ ကိုင်တွယ်ခြင်းသည် လုံခြုံရေးအန္တရာယ်များကို မိတ်ဆက်စေပြီး သုံးစွဲသူ၏ကိုယ်ရေးကိုယ်တာအား အလျှော့အတင်းလုပ်နိုင်သည်။ သိသာထင်ရှားသောအန္တရာယ်တစ်ခုမှာ cookies များတွင်သိမ်းဆည်းထားသောအထိခိုက်မခံသောအချက်အလက်များကိုခွင့်ပြုချက်မရှိဘဲဝင်ရောက်ခွင့်အတွက်အလားအလာဖြစ်သည်။ ကွတ်ကီးတစ်ခုတွင် အသုံးပြုသူအထောက်အထားများ သို့မဟုတ် ကိုယ်ရေးကိုယ်တာအချက်အလက်များကဲ့သို့ အရေးကြီးသောဒေတာများပါရှိသည်ဆိုလျှင်၊ ၎င်းကို အန္တရာယ်ရှိသော သရုပ်ဆောင်များက ကြားဖြတ် အသုံးချနိုင်သည်။ ဥပမာအားဖြင့်၊ အကယ်၍ ဝဘ်ဆိုက်တစ်ခုသည် သုံးစွဲသူ၏ အကောင့်ဝင်ခြင်းဆိုင်ရာ အထောက်အထားများပါရှိသော ကွတ်ကီးကို စာဝှက်ရန် ပျက်ကွက်ပါက၊ ကွတ်ကီးကို ကြားဖြတ်ဝင်ရောက်တိုက်ခိုက်သူသည် အသုံးပြုသူ၏အကောင့်သို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့် ရရှိနိုင်သည်။
မလျော်ကန်သော ကွတ်ကီး ကိုင်တွယ်ခြင်း နှင့် ဆက်စပ်သော နောက်ထပ် အန္တရာယ် တစ်ခုမှာ ဆိုက် ဖြတ်ကျော် ရေးခြင်း (XSS) တိုက်ခိုက်မှု ဖြစ်သည်။ XSS တိုက်ခိုက်မှုများသည် တိုက်ခိုက်သူမှ မသင်္ကာဖွယ်ကုဒ်များကို ဝဘ်အပလီကေးရှင်းတစ်ခုထဲသို့ ထိုးသွင်းလိုက်သောအခါ၊ ထို့နောက်တွင် မသင်္ကာဖွယ်အသုံးပြုသူများမှ လုပ်ဆောင်သွားပါသည်။ ဝဘ်အပလီကေးရှင်းတစ်ခုသည် သုံးစွဲသူ၏ထည့်သွင်းမှုကို မှန်ကန်စွာစစ်ဆေးရန်နှင့် သန့်ရှင်းမှုမရှိပါက၊ တိုက်ခိုက်သူသည် ကွတ်ကီးထဲသို့ အန္တရာယ်ရှိသောကုဒ်ကို ထည့်သွင်းနိုင်ပြီး ဝဘ်အက်ပလီကေးရှင်းမှ cookie ကိုဖတ်သည့်အခါ ကုဒ်ကို အကောင်အထည်ဖော်နိုင်မည်ဖြစ်သည်။ ၎င်းသည် အရေးကြီးသော အချက်အလက်များကို ခိုးယူခြင်း သို့မဟုတ် အသုံးပြုသူကိုယ်စား ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်မှုများ ဖြစ်ပေါ်နိုင်သည်။
ထို့အပြင်၊ ကွတ်ကီးများကို session hijacking သို့မဟုတ် session fixation attacks အတွက် အသုံးပြုနိုင်သည်။ စက်ရှင်ကို ပြန်ပေးဆွဲတိုက်ခိုက်မှုတွင်၊ တိုက်ခိုက်သူသည် အသုံးပြုသူ၏ စက်ရှင်ကွတ်ကီးကို ကြားဖြတ်ကာ အသုံးပြုသူ၏ အကောင့်သို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိခြင်း သို့မဟုတ် အထိခိုက်မခံသော အချက်အလက်များကို ရယူပြီး အသုံးပြုသူကို အယောင်ဆောင်ရန် ၎င်းကို အသုံးပြုသည်။ session fixation တိုက်ခိုက်မှုတစ်ခုတွင်၊ တိုက်ခိုက်သူသည် အသုံးပြုသူတစ်ဦးအား ကြိုတင်သတ်မှတ်ထားသော session ID ကိုအသုံးပြုရန် တွန်းအားပေးပြီး တိုက်ခိုက်သူသည် အသုံးပြုသူဝင်ရောက်ပြီးသည်နှင့် session ကိုပြန်ခိုးရန်ခွင့်ပြုသည်။ အဆိုပါတိုက်ခိုက်မှုများကို လုံခြုံသော session ID များအသုံးပြုခြင်းနှင့် လုံခြုံသော session ID များအသုံးပြုခြင်းကဲ့သို့သော လုံခြုံသော session စီမံခန့်ခွဲမှုနည်းပညာများကို အကောင်အထည်ဖော်ခြင်းဖြင့် ဤတိုက်ခိုက်မှုများကို လျော့ပါးစေနိုင်သည်။ session identifiers များကို ပုံမှန်ပြန်ထုတ်ပေးသည်။
ကွတ်ကီးများနှင့်ဆက်စပ်သော လုံခြုံရေးအန္တရာယ်များကို လျော့ပါးစေရန်၊ ဝဘ်အပလီကေးရှင်းဆော့ဖ်ဝဲရေးသားသူများနှင့် စီမံခန့်ခွဲသူများသည် အကောင်းဆုံးအလေ့အကျင့်များကို လိုက်နာသင့်သည်။ ၎င်းတို့တွင်-
1. လုံခြုံသော ကွတ်ကီးအရည်အသွေးများကို အကောင်အထည်ဖော်ခြင်း- ကွတ်ကီးများကို ကုဒ်ဝှက်ထားသော ချိတ်ဆက်မှုများ (HTTPS) မှတဆင့်သာ ကူးစက်ကြောင်း သေချာစေသည့် "Secure" ရည်ညွှန်းချက်ကဲ့သို့သော လုံခြုံသော အရည်အချင်းများဖြင့် ပြင်ဆင်သတ်မှတ်သင့်သည်။ "HttpOnly" ရည်ညွှန်းချက်ကိုလည်း cookie-site scripting တိုက်ခိုက်မှုများ၏ အန္တရာယ်ကို လျှော့ချရန် client-side scripts များဝင်ရောက်ခြင်းမှ ကာကွယ်ရန်အတွက်လည်း သတ်မှတ်ပေးသင့်ပါသည်။
2. အရေးကြီးသောအချက်အလက်များကို ကုဒ်ဝှက်ခြင်း- ကွတ်ကီးများတွင် အသုံးပြုသူအထောက်အထားများ သို့မဟုတ် ကိုယ်ရေးကိုယ်တာအချက်အလက်များကဲ့သို့ အရေးကြီးသောဒေတာများပါ၀င်ပါက၊ ၎င်းတို့ကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းမှကာကွယ်ရန် ၎င်းတို့ကို ကုဒ်ဝှက်ထားသင့်သည်။ လျှို့ဝှက်ကုဒ်သွင်းခြင်းသည် တိုက်ခိုက်သူသည် ကွတ်ကီးကို ကြားဖြတ်ဖမ်းယူလိုက်လျှင်ပင်၊ ကုဒ်ဝှက်ခြင်းသော့မပါဘဲ ၎င်း၏အကြောင်းအရာများကို ပုံဖော်ခြင်းမပြုနိုင်ကြောင်း သေချာစေသည်။
3. အသုံးပြုသူထည့်သွင်းမှုကို မှန်ကန်ကြောင်းနှင့် သန့်စင်စေခြင်း- ဝဘ်အက်ပ်လီကေးရှင်းများသည် ဆိုက်နှစ်ခုစာရေးခြင်းတိုက်ခိုက်မှုများကို ကာကွယ်ရန်အတွက် ခိုင်မာသောထည့်သွင်းမှုအတည်ပြုခြင်းနှင့် သန့်စင်ရေးယန္တရားများကို အကောင်အထည်ဖော်သင့်သည်။ အသုံးပြုသူထည့်သွင်းမှုအား ကွတ်ကီးများတွင် သိမ်းဆည်းခြင်း သို့မဟုတ် တက်ကြွသောဝဘ်အကြောင်းအရာများတွင် အသုံးမပြုမီ သေချာစွာအတည်ပြုပြီး သန့်စင်သင့်သည်။
4. လုံခြုံသော စက်ရှင်စီမံခန့်ခွဲမှုကို အကောင်အထည်ဖော်ခြင်း- ဝဘ်အပလီကေးရှင်းများသည် ထူးခြားပြီး ခန့်မှန်းမရနိုင်သော စက်ရှင် ID များကို ဖန်တီးခြင်း၊ စစ်မှန်ကြောင်းအထောက်အထားပြပြီးနောက် စက်ရှင်သတ်မှတ်ခြင်းများကို ပြန်လည်ထုတ်ပေးခြင်းနှင့် စက်ရှင်သက်တမ်းကုန်ဆုံးခြင်း ယန္တရားများကို အကောင်အထည်ဖော်ခြင်းကဲ့သို့သော လုံခြုံသော session စီမံခန့်ခွဲမှုနည်းစနစ်များကို အသုံးပြုသင့်သည်။
ကွတ်ကီးများသည် ဝဘ်အပလီကေးရှင်းများတွင် အရေးပါသော အခန်းကဏ္ဍမှ ပါဝင်ဆောင်ရွက်သည်၊ ပြည်နယ်အလိုက် အပြန်အလှန်တုံ့ပြန်မှုများ၊ စက်ရှင်ခြေရာခံခြင်းနှင့် ပစ်မှတ်ထားသော ကြော်ငြာများကို ဖွင့်ပေးသည်။ သို့သော်၊ ကွက်ကီးများကို မလျော်ကန်စွာ ကိုင်တွယ်ခြင်းသည် အရေးကြီးသော အချက်အလက်များကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ကြည့်ရှုခြင်း၊ ဆိုက်ဖြတ်ကျော် scripting တိုက်ခိုက်မှုများနှင့် စက်ရှင်ကို ပြန်ပေးဆွဲခြင်း အပါအဝင် သိသာထင်ရှားသော လုံခြုံရေးအန္တရာယ်များကို မိတ်ဆက်ပေးနိုင်သည်။ လုံခြုံသော cookie ရည်ညွှန်းချက်များကို အကောင်အထည်ဖော်ခြင်း၊ အရေးကြီးသောအချက်အလက်များကို ကုဒ်ဝှက်ခြင်း၊ အသုံးပြုသူထည့်သွင်းမှုကို မှန်ကန်ကြောင်းနှင့် သန့်ရှင်းစေခြင်းနှင့် လုံခြုံသောစက်ရှင်စီမံခန့်ခွဲမှုကို အကောင်အထည်ဖော်ခြင်းကဲ့သို့သော အကောင်းဆုံးအလေ့အကျင့်များကို လိုက်နာခြင်းဖြင့် အဆိုပါအန္တရာယ်များကို လျော့ပါးသက်သာစေပြီး ကွတ်ကီးများကို လုံခြုံစွာကိုင်တွယ်ရန် သေချာစေပါသည်။
အခြား လတ်တလောမေးခွန်းများနှင့် အဖြေများ DNS၊ HTTP၊ ကွက်ကီးများ၊ ဆက်ရှင်များ:
- လုံခြုံသော စက်ရှင် ID များကို အသုံးပြု၍ HTTPS မှတဆင့် ပေးပို့ခြင်းကဲ့သို့သော သုံးစွဲသူ၏ လော့ဂ်အင်အချက်အလက်ကို ကိုင်တွယ်သည့်အခါ သင့်လျော်သော လုံခြုံရေးအစီအမံများကို အကောင်အထည်ဖော်ရန် အဘယ်ကြောင့် လိုအပ်သနည်း။
- sessions တွေက ဘာတွေလဲ၊ clients နဲ့ servers တွေကြားမှာ stateful communication ကို ဘယ်လိုဖွင့်ထားလဲ။ ဆက်ရှင်အပိုင်စီးခြင်းကို ကာကွယ်ရန် လုံခြုံသော session management ၏ အရေးပါပုံကို ဆွေးနွေးပါ။
- HTTPS သည် HTTP ပရိုတိုကော၏ လုံခြုံရေးအားနည်းချက်များကို မည်သို့ဖြေရှင်းသနည်း၊ အဘယ်ကြောင့် အရေးကြီးသော အချက်အလက်များကို ပေးပို့ရန်အတွက် HTTPS ကို အသုံးပြုရန် အရေးကြီးသနည်း။
- ဝဘ်ပရိုတိုကောများတွင် DNS ၏ အခန်းကဏ္ဍမှာ အဘယ်နည်း၊ နှင့် သုံးစွဲသူများအား အန္တရာယ်ရှိသော ဝဘ်ဆိုက်များမှ ကာကွယ်ရန်အတွက် DNS လုံခြုံရေးသည် အဘယ်ကြောင့် အရေးကြီးသနည်း။
- HTTP ကလိုင်းယင့်ကို အစမှအဆုံး ပြုလုပ်ခြင်း လုပ်ငန်းစဉ်နှင့် TCP ချိတ်ဆက်မှု ထူထောင်ခြင်း၊ HTTP တောင်းဆိုချက် ပေးပို့ခြင်းနှင့် တုံ့ပြန်မှု လက်ခံခြင်း အပါအဝင် လိုအပ်သော အဆင့်များ ပါဝင်သည့် အဆင့်များကို ဖော်ပြပါ။
- ဝဘ်ပရိုတိုကောများတွင် DNS ၏အခန်းကဏ္ဍနှင့် ဒိုမိန်းအမည်များကို IP လိပ်စာများသို့ မည်သို့ဘာသာပြန်ဆိုသည်ကို ရှင်းပြပါ။ အသုံးပြုသူ၏စက်နှင့် ဝဘ်ဆာဗာတစ်ခုကြား ချိတ်ဆက်မှုတစ်ခုတည်ဆောက်ရန်အတွက် DNS သည် အဘယ်ကြောင့် မရှိမဖြစ်လိုအပ်သနည်း။
- ကွတ်ကီးများသည် ဝဘ်အက်ပလီကေးရှင်းများတွင် မည်သို့အလုပ်လုပ်သနည်း၊ ၎င်းတို့၏ အဓိကရည်ရွယ်ချက်များမှာ အဘယ်နည်း။ ထို့အပြင် ကွတ်ကီးများနှင့်ဆက်စပ်သော ဖြစ်နိုင်ခြေရှိသော လုံခြုံရေးအန္တရာယ်များကား အဘယ်နည်း။
- HTTP ရှိ "ကိုးကားသူ" ("ကိုးကား" ဟု စာလုံးပေါင်းမှားသော) ခေါင်းစီး၏ ရည်ရွယ်ချက်ကား အဘယ်နည်း၊ သုံးစွဲသူ၏ အပြုအမူကို ခြေရာခံခြင်းနှင့် လွှဲပြောင်းပေးသည့် လမ်းကြောင်းကို ပိုင်းခြားစိတ်ဖြာခြင်းအတွက် အဘယ်ကြောင့် တန်ဖိုးရှိသနည်း။
- HTTP ရှိ "User-Agent" ခေါင်းစီးသည် ဆာဗာအား သုံးစွဲသူ၏ အထောက်အထားကို ဆုံးဖြတ်ရာတွင် မည်သို့ကူညီပေးသနည်း၊ ၎င်းသည် ရည်ရွယ်ချက်အမျိုးမျိုးအတွက် အဘယ်ကြောင့် အသုံးဝင်သနည်း။
- DNS၊ HTTP၊ cookies နှင့် sessions ကဲ့သို့သော ဝဘ်ပရိုတိုကောများနှင့် သဘောတရားများကို နားလည်ခြင်းသည် ဝဘ်ဆော့ဖ်ဝဲရေးဆွဲသူများနှင့် လုံခြုံရေးပညာရှင်များအတွက် အဘယ်ကြောင့် အရေးကြီးသနည်း။
DNS၊ HTTP၊ cookies၊ sessions များတွင် နောက်ထပ်မေးခွန်းများနှင့် အဖြေများကို ကြည့်ပါ။