cover

Biztonság: Elfogadod a sütit?

Biztonság: Elfogadod a sütit?
Mortoff Blog
Biztonság: Elfogadod a sütit?

A megtekintett oldal sütiket (cookie) használ. A részletekért olvassa el adatkezelési szabályzatunkat. Hasonló figyelmeztetés olvasható valamennyi publikus oldalon. Egyes webhelyeken azt is be lehet állítani, hogy látogatóként milyen sütiket engedélyezünk. Aki tovább olvas, megtudhatja, hogy mik is tulajdonképpen a sütik, milyen előnyöket és veszélyeket rejthetnek, hogyan működnek technikailag és minek köszönhetik 27 éves töretlen népszerűségüket.

Sütikkel az Interneten mindenhol találkozhatunk. Nem csak weboldalakon, hanem asztali és mobil applikációkban is megtalálhatók, ahol HTTP(S) protokollt használnak. A HTTP és biztonságosabb változata, a HTTPS kérés-válasz alapú protokoll. A felhasználói kliens program, ami lehet webböngésző vagy mobil applikáció, kérést indít webkiszolgáló felé. A webkiszolgáló a kérésre válaszolva weboldalt vagy más adatot küld vissza a kliensnek. 

A süti rövid, 4KB méret alatti, szöveges adathalmaz, ami a weboldal látogatójának eszközén kerül tárolásra, ideiglenes a memóriában vagy tartósan a háttértáron. Domain névhez és lejárati időhöz kötött. Ezek közül a lejárati idő opcionális adat. A lejárati idő megadása nélkül létrehozott sütik az eszközök memóriájában tárolódnak. A kliens program, azaz a böngésző vagy mobil alkalmazás bezárása esetén törlődnek. Ellenben a lejárattal rendelkező sütik tartósan megőrzésre kerülnek a lejárati idejükig. Rendszerint az eszközök kikapcsolása után is megmaradnak. A süti, miután elhelyezésre került az eszközön, azt a kliens program automatikusan visszaküldi a szervernek, a kliens minden további kérése során. Így az alkalmazás felhasználóinak kérései egymástól elkülönülnek, megkülönböztethetővé válnak.

A sütin kívül más technológiák is rendelkezésre állnak a felhasználók kéréseinek követésére, viszont a süti az első technológiák egyike, széleskörűen támogatott, egyszerűen használható. A sütiben tárolt adatokat a webkiszolgáló mellett maga az eszköz is eléri. Tartalmazhatja péládul a web- vagy mobilalkalmazás megjelenítési témáját, színsémáját és a felhasználó egyéb, eszközhöz kötött beállításait. Összeségében, sütik használata révén a felhasználók egyedi, testre szabott felhasználói élményben részesülhetnek.

A süti koncepcióját 1994-ben dolgozták ki, a bevásárlókosár tartalmának nyomon követésére. A sütik használata az 1995-ös szabványosítást követően széles körben elterjedt, az egyes felhasználók kéréseinek és munkameneteinek azonosítására. Felhasználói munkamenetnek nevezzük az egymás utáni kérés-válasz párokat a bejelentkezéstől a kijelentkezésig. Egy egyszerű, sütis munkamenetkezelés során a bejelentkezéskor a webszerver egy egyedi munkamenet azonosítót generál. Ezt az azonosítót sütiben tároltatja el a felhasználó eszközén, valamint eltárolja a saját adatbázisában is, a felhasználóhoz és annak egyéb adataihoz rendelve. A felhasználó böngészője vagy mobil alkalmazása ezt az azonosítót egészen kijelentkezésig, minden további kérés során vissza fogja küldeni a webkiszolgálónak. Így az ki tudja keresni az adatbázisából a munkamenet azonosító alapján a felhasználóhoz tartozó adatokat, az éppen aktuális állapotot, és a felhasználó számára releváns tartalmat tud előállítani. Látható tehát, hogy az alkalmazás használatának így minden egyes lépése nyomon követhető és adott személyhez köthető.

A felhasználó tevékenységének követése biztonsági szempontból előnyökkel és kockázatokkal is jár. Az információbiztonság CIA triad vagy magyarul BIR hármas elve kimondja, hogy bizalmasság (confidentiality), adat integritás (integrity) és rendelkezésre állás (availability) három olyan tulajdonság, amit biztosítanunk kell a rendszerben. Ahhoz, hogy a szükséges, bizalmas információkat a felhasználók megkaphassák, tehát a rendelkezésre állás és a bizalmasság követelménye teljesülhessen, ahhoz a felhasználóknak azonosíthatónak kell lenniük. Az adatintegritás pedig úgy tartható fenn, hogy csak az arra jogosult felhasználók változtathatják meg, kontrolláltan az adataikat. Ehhez is szükséges a felhasználók nyomon követése. A rendelkezésre állás azt jelenti, hogy a jogosult felhasználók pontosan úgy és akkor férhetnek hozzá az adataikhoz, amikor azokra szükségük van.

CIA - triadHogy konkretizáljuk, hogy mit is jelent a felhasználó nyomon követés, amit sütik és társtechnológiák használatával biztosítunk, bevezethetjük az azonosság (identity), hitelesítés (authentication), felhatalmazás (authorization), elszámohatóság (accountability) fogalmakat. Hogy megállapíthassuk, hogy egy felhasználó az őt megillető adatokat éri el és kezeli, ehhez kapcsolódó műveleteket hajt végre, pl. vásárol a hitelkártyájával mobil app segítségével, tudnunk kell a kilétéről. Ez az azonosság. Meg kell tudnunk állapítani egy felhasználóról, miután megadta a bejelentkezési adatait, vagy tokenjét, hogy egy adott azonosság hozzá tartozik-e. Ez az hitelesítés vagy azonosítás. A felhatalmazás által az azonosított felhasználó jogosultságot kap a kért művelet végrehajtására. Az elszámol(tat)hatóság ahhoz szükséges, hogy az adatok változása konkrét felhasználóhoz legyen köthető. Ez szükséges az adatok integritásának fenntartásához. Másképp fogalmazva, a CIA triad elemei IAAA komponensek alkalmazásával valósíthatók meg. Belátható tehát, hogy a sütik által biztosítható felhasználói nyomkövetés jelentős szerepet játszhat a webalkalmazások működésében.

Annak ellenére, hogy sütik alkalmazásával biztonságossá tehető egy webes rendszer, a technológia ellentétes célokra is felhasználható. A felhasználók követéséből származó adatok jogszerűtlen, a felhasználók érdekeivel ellentétes felhasználása során sérülhet a bizalmasság. Ilyen illetéktelen felhasználás a személyes és érzékeny adatok harmadik félnek való, feltétel nélküli átadása. Az jogtalanul szerzett adatokat illetéktelen felek felhasználhatják adathamisításra és az egyébként jogosult felhasználók további hozzáférésének megakadályozására is. Végső soron így minden biztonsági alapelv sérülhet. A süti tehát kétélű fegyver. A helyes használata adatkezelési szabályzat létrehozásával és betartásával garantálható, ami egyben törvényi elvárás az alkalmazások üzemeltetői felé. 

Az adatokat nem elég helyesen kezelni, a felhasználókat az EU hatályos törvényei alapján tájékoztatni szükséges az adataik felhasználásáról és a sütik alkalmazásáról. Üzemeltetői részről minden olyan süti alkalmazását kikapcsolhatóvá kell tenni egy alkalmazásban, ami annak működéséhez nem elengedhetetlen. A döntés az adatok tulajdonosának, azaz a felhasználónak a kezében van. Ennek köszönhető, hogy több oldalon is kategorizálva jelennek meg a sütik a beállítások között. Jogos érdek, Alapvető működéshez szükséges vagy hasonló kategóriába kerülnek azok a sütik, melyek kikapcsolhatatlanok. A statisztikai adatokat gyűjtő vagy kényelmi célokat szolgáló sütik kapcsolhatók ki általában. 

A felhasználó hozzájárulását a sütik használatára általában egy sütiben tárolja a rendszer. Ezért fordulhat elő, hogy új eszközről vagy inkognitó módban belépve egy weboldalra, az ismét felteszi a sütikkel kapcsolatos kérdést vagy megjeleníti az ezekkel kapcsolatos beállításokat. Szintén sütibe kerül lementésre Emlékezz rám funkció esetén a felhasználónév vagy az e-mail cím, ami segíti a gyorsabb, egyszerűbb bejelentkezést.

A sütivel kapcsolatban gyakran elhangzó kritika, hogy valójában nem a felhasználót azonosítja, hanem csak a felhasználó egy eszközét, amire a süti lementésre kerül. A több eszközt is használók különböző készülékein tehát különböző állapotok, beállítások lesznek érvényben. Ez lehet akár kívánatos is, mert a beállítások igazodhatnak az egyes berendezések műszaki paramétereihez vagy alkalmazási sajátosságaihoz, pl. képernyőmérethez, teljesítményhez, irodai vagy otthoni használathoz.

A sütik mellett és helyett alkalmazható a JWT, JSON Web Token technológia a felhasználók azonosításához és követéséhez. A kliens oldali adattároláshoz pedig a Web Storage API, több más technikai megoldással egyetemben. Mindezek mellett a sütik használata webes rendszerek esetén továbbra sem szűnik meg, lévén, hogy a süti számos aspektus szerint hiánypótló és közel minden webes kliensen technikailag elérhető.

Közel 50 epizód tanulságai – Beke Zoltán, Mortoff
Közel 50 epizód tanulságai – Beke Zoltán, Mortoff

Az utóbbi közel 50 epizódunkban nagyon sok gyártóval, szolgáltatóval és kutató szakemberrel készítettünk interjút. Ha mindig is akartad tudni, MIÉRT csináljuk ezt, akkor a mostani epizódot Neked készítettük!

Meghallgatom
Az oldal sütiket használ, hogy személyre szabjuk a tartalmakat és reklámokat, hogy működjenek a közösségi média funkciók, valamint hogy elemezzük a weboldal forgalmát. Bővebben a "Beállítások" gombra kattintva olvashat.
Az oldal sütiket használ, hogy személyre szabja az oldalon megjelenő tartalmat és reklámokat.