КИБЕРВИКИПЕДИЯ
SECURITY VISION

Cookie-файлы — это небольшие текстовые данные, которые веб-сайты сохраняют в браузере пользователя для хранения состояния (логины, настройки, корзина покупок). Однако без защиты они могут стать уязвимостью для атак (например, кражи сессии).

Основные методы защиты cookie:

1. Secure– передача cookie только по HTTPS (защита от перехвата в открытых сетях).
2. HttpOnly– запрет доступа к cookie через JavaScript (защита от XSS-атак).
3. SameSite– ограничение отправки cookie только с текущего домена (защита от CSRF).
4. Max-Age / Expires– установка срока жизни cookie (уменьшает риск использования украденных данных).
5. Domain и Path– ограничение доменов и путей, где cookie действительны.

Примеры из жизни

1. Сейф в отеле– как HttpOnly, хранит ценности (cookie), но не дает посторонним к ним доступ.
2. Печать на документе– как Secure, подтверждает подлинность (передача только по защищенному каналу).
3. Пропуск с фото– как SameSite, разрешает вход только в определенные зоны (домены).
4. Билет с датой– как Expires, действует ограниченное время.
5. Ключ от квартиры– работает только в одном доме (Domain).
6. Чип в банковской карте– защищает данные от копирования (Secure + HttpOnly).
7. Одноразовый код из SMS– как сессионная cookie, живет недолго.
8. Закрытая вечеринка по списку– только гости с правильными cookie (SameSite=Strict).
9. Автомобильный брелок с радиусом действия– как Path, работает только рядом с машиной.
10. Временный пропуск на стройку– срок действия (Max-Age) и ограниченная зона (Domain).