Cookie অনেক সুস্বাদু, মিষ্টি এবং আমি প্রত্যেক সন্ধ্যায়ই কফির সাথে cookie খাই ৷ দাড়ান, আপনি যদি মনে করেন এই কুকি নিয়েই আজকের টিউন তাহলে আপনি ভুল জায়গায় এসে পড়েছেন ! আজ আমি internet cookie এবং নিরাপত্তার দিক থেকে এর প্রয়োজনীয়তা সম্পর্কে আলোচনা করবো ৷internet cookie মিডিয়া, অনলাইন পাবলিকেশন, অথবা অন্যান্য ওয়েবসাইট দ্বারা তুলে ধরা কোনো ভয়ংকর বস্তু না ৷ সবচেয়ে সহজভাবে বলতে গেলে একটি cookie হল একটি টেক্সট স্ট্রিং যা কোনো ওয়েব সার্ভার ইউজার এর লোকাল স্টোরেজে (হার্ডডিস্ক ) সংরক্ষণ করে যোগাযোগ সহজতর করার জন্য ৷cookie এর অন্তর্গত সব তথ্যই name-value pair আকারে সংরক্ষিত থাকে ৷
Internet Explorer এর মাধ্যমে ইন্টারনেট ব্যবহারকারীরা windows explorer দিয়ে খুব সহজেই তাদের cookie গুলো দেখতে পারে ৷ cookie গুলোর location সাধারণত এইরকম :
C:\Documents and Settings\User name\Local Settings
অথবা C drive এর system32 folder এর অনুরূপ কোন directory তে থাকে ৷
অন্যান্য ব্রাউজার গুলোর cookie সেগুলোর installation directory তে থাকে ৷
সেগুলোর মধ্যে কমন কিছু :
# Chrome এর cookie স্টোরেজ লোকেশন :
C:\Documents and Settings\<user name>\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies
# Firefox এর cookie একটি text file এ সংরক্ষিত হয় যেটি সকল cookie ধারণ করে ৷এটি এই location এ স্টোর হয় :
C:\Documents and Settings\Windows login\User name\Application Data\Mozilla\Firefox\Profiles\profile folder
একটি cookie তুলনামূলক কম ডাটা থেকে অনেক বড় আকারের ডাটা স্টোর করতে পারে ৷ সবচেয়ে simple cookie শুধু একটি user id স্টোর করে ৷ আবার অপেক্ষাকৃত complex cookies
~ user id
~ session id
~ time for session initiation
~ এবং প্রচুর পরিমাণে অন্যান্য value যেগুলোর মধ্যে ইউজার এর login data এবং অন্যান্য অনুরূপ তথ্য স্টোর করে ৷
Cookies নিয়ে প্রচলিত কিছু ভুল ধারণা :
cookies নিয়ে একটি সাধারণ ধারণা হচ্ছে এগুলো আমাদের সিস্টেম কে ব্যবহার করতে পারে অথবা একটি এপ্লিকেশন হিসেবে কাজ করতে পারে- কিন্তু এটি সত্য নয় ৷আমাদের সিস্টেমে স্টোর থাকা cookies কখনোই অন্য cookies থেকে তথ্য বের করতে পারে না ৷ওয়েব সার্ভার এগুলো ব্যবহার করে ইউজার এর current activity status এর সাথে যোগাযোগ করার জন্যই cookies এর অবস্থান ৷ কোনো ওয়েবসাইট শুধু সেটির দ্বারা আমাদের সিস্টেমে তৈরী করা cookies ই ব্যবহার করতে পারে ৷
Different types of Cookies :
Internet Explorer এর মাধ্যমে ইন্টারনেট ব্যবহারকারীরা windows explorer দিয়ে খুব সহজেই তাদের cookie গুলো দেখতে পারে ৷ cookie গুলোর location সাধারণত এইরকম :
C:\Documents and Settings\User name\Local Settings
অথবা C drive এর system32 folder এর অনুরূপ কোন directory তে থাকে ৷
অন্যান্য ব্রাউজার গুলোর cookie সেগুলোর installation directory তে থাকে ৷
সেগুলোর মধ্যে কমন কিছু :
# Chrome এর cookie স্টোরেজ লোকেশন :
C:\Documents and Settings\<user name>\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies
# Firefox এর cookie একটি text file এ সংরক্ষিত হয় যেটি সকল cookie ধারণ করে ৷এটি এই location এ স্টোর হয় :
C:\Documents and Settings\Windows login\User name\Application Data\Mozilla\Firefox\Profiles\profile folder
একটি cookie তুলনামূলক কম ডাটা থেকে অনেক বড় আকারের ডাটা স্টোর করতে পারে ৷ সবচেয়ে simple cookie শুধু একটি user id স্টোর করে ৷ আবার অপেক্ষাকৃত complex cookies
~ user id
~ session id
~ time for session initiation
~ এবং প্রচুর পরিমাণে অন্যান্য value যেগুলোর মধ্যে ইউজার এর login data এবং অন্যান্য অনুরূপ তথ্য স্টোর করে ৷
Cookies নিয়ে প্রচলিত কিছু ভুল ধারণা :
cookies নিয়ে একটি সাধারণ ধারণা হচ্ছে এগুলো আমাদের সিস্টেম কে ব্যবহার করতে পারে অথবা একটি এপ্লিকেশন হিসেবে কাজ করতে পারে- কিন্তু এটি সত্য নয় ৷আমাদের সিস্টেমে স্টোর থাকা cookies কখনোই অন্য cookies থেকে তথ্য বের করতে পারে না ৷ওয়েব সার্ভার এগুলো ব্যবহার করে ইউজার এর current activity status এর সাথে যোগাযোগ করার জন্যই cookies এর অবস্থান ৷ কোনো ওয়েবসাইট শুধু সেটির দ্বারা আমাদের সিস্টেমে তৈরী করা cookies ই ব্যবহার করতে পারে ৷
Different types of Cookies :
প্রকৃতিগত দিক থেকে cookies ২ প্রকার :
=> Session cookie.
=> Persistent cookie.
=> Session cookie.
=> Persistent cookie.
#1. Session cookie :
একটি session cookie ইউজার এর ব্রাউজার বন্ধ না করা পর্যন্ত স্থায়ী হয় ৷ session cookie ইউজার এর current information ধারণ করে ৷ যেমন - main user id.
session cookie এর মেয়াদকাল খুবই স্বল্প হয় এবং ওয়েব ব্রাউজার সম্পূর্ণ বন্ধ করার সাথে সাথে শেষ হয়ে যায় ৷
#2. Persistent Cookie :
একটি persistent cookie হচ্ছে সেই cookie যেটি ব্রাউজার বন্ধ করার পরও সিস্টেমে থেকে যায় ৷
persistent cookie ডিলিট করা যায় একমাত্র manually অথবা সেগুলোকে নির্দিষ্ট করে দেওয়া expiration time এ পৌঁছালে ৷ এই cookies গুলো একবার শেষ হয়ে গেলে ইউজার কে প্রয়োজনীয় authentication এর মাধ্যমে fresh cookies জেনারেট করতে হয় ৷
আর কিছু টাইপের cookies !
First party cookies :
visit কৃত সাইট থেকে এই cookies জেনারেট হয় ৷ এগুলো রিলিভেন্ট ইনফরমেশন সংরক্ষণ করে ইন্টারনেট surfing সহজ ও personalized করে।
Third Party Cookies :
এই cookies গুলো সাধারণত জেনারেট হয় advertising website দ্বারা ( যেমন google এর doubleclick dart cookie)
এগুলো বিভিন্ন ওয়েবপেইজে ইউজারের এক্টিভিটি track করে তাদের নির্দিষ্ট বিজ্ঞাপন দেখায় ৷এটি প্রাইভেসি লংঘন মনে হলেও অত্যন্ত সেনসিটিভ তথ্য track হয় না বলে এখনও গ্রহণযোগ্য ৷
Threats from Cookies :
Malicious programs, adwares, malwares বৃদ্ধির সাথে সাথে খারাপ cookie থেকে রিস্কের আশংকাও বর্তমানে বৃদ্ধি পাচ্ছে ৷
malicious cookies ইউজার এর অনলাইন এক্টিভিটি ট্র্যাক করতে পারে ৷ইউজার দ্বারা ভিজিট করা বিভিন্ন ওয়েবপেইজ ও surfing habit এর উপর ভিত্তি করে ওয়েব প্রোফাইল তৈরী করে সংরক্ষণ করতে পারে ৷
তবে ভালো এন্টিভাইরাস ও ফায়ারওয়াল প্রোগ্রাম ব্যবহারকারীদের malicious cookie নিয়ে চিন্তার কিছু নেই কারণ এগুলো কোনো ক্ষতি সাধনের আগেই স্বয়ংক্রিয়ভাবে চিহ্নিত (flagged) হয়ে যায় ৷
Cookie stealing কি ?
একটি session cookie ইউজার এর ব্রাউজার বন্ধ না করা পর্যন্ত স্থায়ী হয় ৷ session cookie ইউজার এর current information ধারণ করে ৷ যেমন - main user id.
session cookie এর মেয়াদকাল খুবই স্বল্প হয় এবং ওয়েব ব্রাউজার সম্পূর্ণ বন্ধ করার সাথে সাথে শেষ হয়ে যায় ৷
#2. Persistent Cookie :
একটি persistent cookie হচ্ছে সেই cookie যেটি ব্রাউজার বন্ধ করার পরও সিস্টেমে থেকে যায় ৷
persistent cookie ডিলিট করা যায় একমাত্র manually অথবা সেগুলোকে নির্দিষ্ট করে দেওয়া expiration time এ পৌঁছালে ৷ এই cookies গুলো একবার শেষ হয়ে গেলে ইউজার কে প্রয়োজনীয় authentication এর মাধ্যমে fresh cookies জেনারেট করতে হয় ৷
আর কিছু টাইপের cookies !
First party cookies :
visit কৃত সাইট থেকে এই cookies জেনারেট হয় ৷ এগুলো রিলিভেন্ট ইনফরমেশন সংরক্ষণ করে ইন্টারনেট surfing সহজ ও personalized করে।
Third Party Cookies :
এই cookies গুলো সাধারণত জেনারেট হয় advertising website দ্বারা ( যেমন google এর doubleclick dart cookie)
এগুলো বিভিন্ন ওয়েবপেইজে ইউজারের এক্টিভিটি track করে তাদের নির্দিষ্ট বিজ্ঞাপন দেখায় ৷এটি প্রাইভেসি লংঘন মনে হলেও অত্যন্ত সেনসিটিভ তথ্য track হয় না বলে এখনও গ্রহণযোগ্য ৷
Threats from Cookies :
Malicious programs, adwares, malwares বৃদ্ধির সাথে সাথে খারাপ cookie থেকে রিস্কের আশংকাও বর্তমানে বৃদ্ধি পাচ্ছে ৷
malicious cookies ইউজার এর অনলাইন এক্টিভিটি ট্র্যাক করতে পারে ৷ইউজার দ্বারা ভিজিট করা বিভিন্ন ওয়েবপেইজ ও surfing habit এর উপর ভিত্তি করে ওয়েব প্রোফাইল তৈরী করে সংরক্ষণ করতে পারে ৷
তবে ভালো এন্টিভাইরাস ও ফায়ারওয়াল প্রোগ্রাম ব্যবহারকারীদের malicious cookie নিয়ে চিন্তার কিছু নেই কারণ এগুলো কোনো ক্ষতি সাধনের আগেই স্বয়ংক্রিয়ভাবে চিহ্নিত (flagged) হয়ে যায় ৷
Cookie stealing কি ?
Cookies ব্যবহৃত হয় session data স্টোর করার জন্য এবং login data ইত্যাদির মতো গুরুত্বপূর্ণ তথ্যগুলোতেও প্রবেশ করা যায় ইউজার এর system এ স্টোর করা cookies এর মাধ্যমে ৷
cookie stealing হচ্ছে মূলত কম্পিউটার সেশন (the
session key) কে ব্যবহার করে ইউজারের সিস্টেমের ওয়েবসার্ভিস অথবা সংরক্ষিত তথ্যে প্রবেশাধিকার পাওয়া ৷
cookie stealing হচ্ছে মূলত কম্পিউটার সেশন (the
session key) কে ব্যবহার করে ইউজারের সিস্টেমের ওয়েবসার্ভিস অথবা সংরক্ষিত তথ্যে প্রবেশাধিকার পাওয়া ৷
Methods of Cookie Stealing :
cookie stealing অনেক পদ্ধতিতে করা যায় ৷ সেগুলোর মধ্যে কয়েকটি হলো :
=> Cross Site Scripting (CSS/XSS)
=> Session Key Stealing
=> Using Packet Sniffing
=> Session Fixing
[+] Cross Site Scripting (CSS/XSS) :
এর মাধ্যমে ভেরিফাইড সোর্স থেকে আসা হয়েছে দেখিয়ে ইউজার কম্পিউটার কে ধোঁকা দিয়ে এতে কোড রান করানো হয় ৷ এটি হ্যাকারকে ইউজার সিস্টেমে থাকা cookie গুলোর একটি copy চুরি করার অনুমতি দেয় ৷
cookie stealing অনেক পদ্ধতিতে করা যায় ৷ সেগুলোর মধ্যে কয়েকটি হলো :
=> Cross Site Scripting (CSS/XSS)
=> Session Key Stealing
=> Using Packet Sniffing
=> Session Fixing
[+] Cross Site Scripting (CSS/XSS) :
এর মাধ্যমে ভেরিফাইড সোর্স থেকে আসা হয়েছে দেখিয়ে ইউজার কম্পিউটার কে ধোঁকা দিয়ে এতে কোড রান করানো হয় ৷ এটি হ্যাকারকে ইউজার সিস্টেমে থাকা cookie গুলোর একটি copy চুরি করার অনুমতি দেয় ৷
[+] Session Key Stealing :
কোনো সিস্টেমে সরাসরি প্রবেশাধিকার আছে এমন attacker ইউজার কম্পিউটার অথবা নির্দিষ্ট সার্ভারের file system এ প্রবেশ করে session key চুরি করতে পারে ৷
যেমন আপনার পরিচিতজন, বন্ধুবান্ধব, সাইবার ক্যাফের কম্পিউটার, অথবা আপনার ল্যাপটপ, মোবাইল চোর !
যেমন আপনার পরিচিতজন, বন্ধুবান্ধব, সাইবার ক্যাফের কম্পিউটার, অথবা আপনার ল্যাপটপ, মোবাইল চোর !
[+] Using Packet Sniffing (session side jacking) :
দুইটি ভিন্ন ইনফরমেশন সিস্টেমের মধ্যবর্তী ট্রাফিক read করে session cookie চুরি করার জন্য packet sniffing পদ্ধতি ব্যবহার করা যায় ৷
দুইটি ভিন্ন ইনফরমেশন সিস্টেমের মধ্যবর্তী ট্রাফিক read করে session cookie চুরি করার জন্য packet sniffing পদ্ধতি ব্যবহার করা যায় ৷
[+] Session Fixing :
হ্যাকারের নির্দিষ্ট session id যুক্ত malicious link এ ক্লিক করানোর মাধ্যমে ইউজার এর সেশন আইডি manipulate করা হয় ৷ যখন ইউজার লগইন করে তখনই হ্যাকার সেনসিটিভ ইনফরমেশন হাতিয়ে নিতে পারে ৷
হ্যাকারের নির্দিষ্ট session id যুক্ত malicious link এ ক্লিক করানোর মাধ্যমে ইউজার এর সেশন আইডি manipulate করা হয় ৷ যখন ইউজার লগইন করে তখনই হ্যাকার সেনসিটিভ ইনফরমেশন হাতিয়ে নিতে পারে ৷
ইন্টারনেটের সর্বত্রই cookie ছড়িয়ে আছে ৷ cookie অনেক interesting একটা জিনিস. কিন্তু ঠিকমত take care না করলে এগুলো আপনার private information চুরি করতে পারে