HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Brèves > Cookies et Local Shared Objects
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Cookies et Local Shared Objects  

par Frederic Lavecot (27/08/2005)



--[ Introduction ]----------------------------------------------------

Un article dans Internet Week a révélé comment l'extension Flash des
navigateurs webs peut être utilisée pour stocker de l'information de
manière similaire aux 'cookies'.

http://www.internetweek.com/showArticle.jhtml?articleID=160400749


--[ Détail ]----------------------------------------------------------

Les cookies sont des informations transmises dans les en-têtes du
protocole HTTP (protocole qui permet l'échange de données entre un
navigateur et un site web).

Leur format est très simple
 - ils sont positionnés par le serveur avec l'en-tête Set-Cookie:
 - ils sont envoyés par le navigateur avec l'en-tête Cookie:

Ils contiennent :
 - un domaine pour lequel ils sont valides
 - un chemin/répertoire sur le domaine sur lequel ils sont valides
 - une date de validité (au delà de laquelle ils ne sont plus transmis
   ni mémorisés)
 - des données (identifiant, chaîne de caractères prises au hasard...)

La confusion cookies / fichiers vient du fait que le navigateur
enregistre dans un fichier les informations contenus dans les cookies
pour pouvoir les réutiliser au prochain lancement (pour ceux qui sont
encore valides, les autres sont supprimés de ce fichier).

Exemple avec Google :

Entêtes envoyés par le navigateur
GET / HTTP/1.1
Host: www.google.fr


Entêtes envoyés par le serveur en réponse
HTTP/1.x 200 OK
Content-Type: text/html
Set-Cookie:
PREF=ID=d6967f8f2b411b85:LD=fr:TM=1122293946:LM=1122293946:S=EMNNbyJq0Q52Trwu;
expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.fr


A la prochaine requête, le navigateur envoie une requête du type 
GET /search?hl=fr&q=site%3Ahsc.fr&btnG=Recherche+Google&meta= HTTP/1.1
Host: www.google.fr
Cookie: 
PREF=ID=d6967f8f2b411b85:LD=fr:TM=1122293946:LM=1122293946:S=EMNNbyJq0Q52Trwu

Toutes les requêtes envoyées par le navigateur à un serveur web du
domaine google.fr auront la même en-tête Cookie positionné.

Ce principe est utilisés aussi bien pour gérer des sessions au niveau
applicatif que pour suivre les habitudes de navigation d'un
utilisateur.

Les Local Shared Objects (LSO) sont utilisés par les extensions Flash
pour stocker de l'information qui doit être préservée. Il est donc
possible que ces LSO soient utilisés à la place des cookies.


Exemple avec le site d'arte-radio
http://www.arte-radio.com/

Vous pouvez sélectionner via une interface flash les sons et
reportages que vous souhaitez écouter. Vous pouvez les classer dans
une playlist.

Une fois votre navigation terminée, vous fermez votre navigateur. Lors
de votre prochaine visite votre playlist est toujours la.

Ces informations ont donc été stockées quelque part. Si vous cherchez
vous devriez trouver des fichiers *.sol sur votre
disque. Probablement dans un chemin de ce style :


C:\Documents and Settings\votre-nom-d-utilisateur\
Application Data\Macromedia\Flash Player\#SharedObjects\
AAAAAAAA\arteradio.com\myplaylist.sol

Bien qu'ayant un format spécial, ce fichier comporte votre playlist
dans une syntaxe XML :

<soundlist count="2">
<son id="148">
<couleur>Murmures</couleurs>
<titrecourt>Sylvie, la voix d'Arte</titrecourt>
<duree>517</duree>
<date>06/06/2003</date>
<mp3hq>24portaitsylvie_hq_fr.mp3</mp3hq>
<mp3lq>24portaitsylvie_lq_fr.mp3</mp3lq>
<realaudio>24portaitsylvie_fr.rpm</realaudio>
</son>
<son id="14349">
<couleur>Paroles</couleur>
<titrecourt>Champagne</titrecourt>
<duree>317</duree>
<date>18/05/2005</date>
<mp3hq>18champagne_hq_fr.mp3</mp3hq>
<mp3lq>18champagne_lq_fr.mp3</mp3lq>
<realaudio>18champagne_fr.rpm</realaudio>
</son>
</soundlist>

Dans ce cas précis il est tout à fait légitime de sauvegarder des
informations.

Pour ceux qui souhaitent garder le contrôle sur ce que fait leur
navigateur, le site de Macromedia permet d'accéder à des options de
configuration avancées sur la configuration du player Flash et aussi
des LSO. 

Une page sur le site de Macromedia donne plus de détails sur comment
configurer la gestion des LSO par votre plugin
http://www.macromedia.com/go/52697ee8



--[ Conclusion ]------------------------------------------------------

La navigation web offre de plus en plus d'interaction avec
l'utilisateur. Les extensions offriront donc de plus en plus de
fonctions dynamiques, de sauvegarde etc. Il devient important
d'évaluer en plus de la sécurité du navigateur lui-même les
implications qu'ont les différents plugins.

Frédéric Lavécot



Dernière modification le 27 avril 2006 à 09:59:34 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants