Cookies Steeling and Session Hi Jaking .. !!

 কুকিজ স্টিলিং..!!

আরো জানতে চাই

কখনো কি ভেবেছেন , আমরা একবার লগিন করলে দ্বিতীয়বার লগিন কেনো করতে হয় না ? 

কেনো বার বার পাসওয়ার্ড , নম্বর লিখতে হয় না ? 

সহজ একটি উত্তর । সব কিছুর পিছনেই আছে সেশন আর কুকি । খাওয়ার কুকি না । 

প্রথমেই বিশ্লেষণ করি কুকি কি ? 

কুকি একটা ফাইল , যা আপনার ডিভাইসে সেভ হয়ে থাকে । কখনো চিন্তা করেছেন আমরা একবার ফোন নম্বর পাসওয়ার্ড দিলে কেনো দ্বিতীয় বার লগিন করতে হয় না ? ধরুন আপনি মাত্র লগিন করেছেন ফোন নম্বর , পাসওয়ার্ড দিয়ে। লগিন হয়ে গেলো , যেই নম্বর , পাসওয়ার্ড দিয়ে লগইন করেছেন সেই নম্বর , পাসওয়ার্ড একটি ফাইলে সেভ হয় এবং দ্বিতীয় বার যখন আপনি facebook.com সাইটে প্রবেশ করেন , আপনার ডিভাইসে থাকা কুকি ফাইলের মধ্যে থেকে নম্বর , পাসওয়ার্ড আপনার ব্রাউজার রিড করে এবং সেটাকে facebook.com এ থাকা ইনপুট বক্সে ঢুকিয়ে দেয় । ফলে আমাদের অটো লগিন হয়ে যায় । 

In details

আমরা একবার লগিন করলেও দ্বিতীয় বারও লগিন করতে হয় । কিন্তু দ্বিতীয় বার আমাদের ডিভাইসে থাকা একটি ফাইল থেকে আমাদের সেভ রাখা নম্বর , পাসওয়ার্ড পড়ে ফেলে আমাদের ব্রাউজার এবং সেই ডিটেইলস গুলো দিয়ে আমাদের কুকি লগিন করে । তাই আমাদের কষ্ট করে দ্বিতীয় বার লগিন করতে হয় না । 

যখন লগ আউট করেন তখন সেই কুকি ফাইলটি ডিলেট হয়ে যায় । তাই অনেক সিকিউরিটি রিসার্চার পরামর্শ দেন কোনো কিছু লগিন করে রাখবেন না । কাজ শেষে লগ আউট করে দিন । 

একটি দুষ্ট বুদ্ধি দেই আমি । যদি আমি এমন কিছু করি আপনাকে একটি ওয়েবসাইটে নিয়ে যাই , সেখানে গেলে আপনার কুকি ফাইলটির মধ্যে থাকা সকল কিছু ওয়েবসাইটে কপি হয়ে যায় ? কেমন হবে ? 

- যদি সে কপি করে নিতে পারে । তাহলে ওয়েবসাইটের মালিক সেই জিনিস গুলো দেখে আমাদের অ্যাকাউন্ট গুলো লগিন করতে পারবে , আর আমাদের অ্যাকাউন্ট হ্যাক হয়ে যাবে । 

এই রকমের হ্যাকিং কে বলে কুকি স্টিলিং , কুকি হাইজ্যাকিং , কুকি থেফটিং ইত্যাদি । এই উপায় আপনি ফেসবুক বা যেকোনো প্ল্যাটফর্মের যেকারো একাউন্ট হ্যাক করতে পারবেন । কিন্তু আপনার তার কুকি ফাইলটি চুরি করতে হবে ।

 

সেসন কি...??

ভাবুন আপনার একটি রুম আছে । রুমে কি থাকে আপনার ? একটা রুমে বেড , টেবিল , চেয়ার , ফ্রিজ , আলমারি ইত্যাদি থাকে । রুমের মধ্যেকার এইসব জিনিস ব্যাবহার করতে হলে কি লাগবে আপনার ? 

প্রথমে আপনার রুমে ঢুকতে হবে । আপনি চোর হলে তালা ভেঙে ঢুকবেন আর আসল মালিক হলে তালা খুলে ঢুকবেন । আমরা যে তালা খুলে ঢুকলাম , সেটাকে আমরা বলি অথেনটিকেশন । তালা আমাদের যাচাই করলো চাবির মাধ্যমে , আসল চাবী দিয়ে খুলেছি তাই তালা খুলেছে । এবং তালা খুলেছে এর মানে আমি রুমের মালিক তা না , আমি আমার বন্ধুর রুমেও তালা খুলে ঢুকতে পারি । তাহলে আমি আসল রুমের মালিক না । কারণ আমার কাছে আলমারি খোলার পারমিশন নাই । কোনো কিছু ভাঙার পারমিশন নেই । এইযে আমাদের একটি নিয়ম দেয়া হলো এইটাই হচ্ছে autharization । 

কাহিনীটা মিল করুন ফেসবুকের লগিনের সাথে । ফেইসবুকে লগইন করার জন্য অথেনটিকেশন তথা পাসওয়ার্ড , নম্বর ব্যাবহার করলাম । আমরা আসল মালিক তাই অ্যাকাউন্টে আসল পাসওয়ার্ড দিয়ে ঢুকে গেলাম । এবং আমরা আমাদের ফেসবুক অ্যাকাউন্টের মালিক বলেই আমাদের সম্পূর্ণ পারমিশন দেয়া হয় । আমার যখন ইচ্ছা তখন একাউন্ট ডিলেট করতে পারি । যেটা ইচ্ছা কমেন্ট করতে পারি । তো এইখানে সম্পূর্ণই ফেসবুক আমাদের অথেনটিকেশন এবং অথারিজেশন করে ঢুকতে দিলো আমাদের রুম তথা অ্যাকাউন্টে । 

একটু খুরাফতি বুদ্ধি দেই ? 

যতক্ষণ আমরা লগিন করে বা একটি সাইটে থাকি ততক্ষন আমরা একটি রুম তথা অ্যাকাউন্টে থাকি । আমরা যদি লাইক , কমেন্ট করি এইসব ব্যাবহার করতে হলেও আমাদের আরেকটি বার লগিন করতে হবে । কিন্তু আমরা যেহুতু অ্যাকাউন্টে আছি তো আমাদের বার বার লগিন করতে হবে না । কারণ ব্যাকগ্রাউন্ডে আমাদের যাচাই করা আছে । আমরা লগিন করেছি তার কারণে আমাদের একটি সেশন তৈরি হয়েছে এবং আমরা সেই সেশনে এক্টিভ আছি । যদি আমি লগআউট বা ব্রাউজার এক্সিট করি আমাদের সেশন মারা যায় বা সেশন কাজ করে না । যদি এমন কিছু করতে পারি আমরা আসল একাউন্টের মালিকের সেশন টাই চুরি করে ফেলি ? 

- যদি এমন করি আমদের আর পাসওয়ার্ড , নম্বর দিয়ে লগিন করতে হবে না । একাউন্টের ফুল অ্যাকসেস আমাদের হাতে থাকবে । এই উপায় কে বলা হয় সেশন হাইজ্যাকিং । অনেক কার্যকরী একটি উপায় । এই উপায়ের মাধ্যমে অনেক বড় বড় ইউটিউব অ্যাকাউন্ট হ্যাক হয়েছিল ।