Evästeiden tietoturvaongelmia
Lindell, Lotta (2021)
2021
Tieto- ja sähkötekniikan kandidaattiohjelma - Bachelor's Programme in Computing and Electrical Engineering
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2021-12-08
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202112109124
https://urn.fi/URN:NBN:fi:tuni-202112109124
Tiivistelmä
Tutkimuksessa selvitetään evästeisiin kohdistuvia tietoturvaongelmia ja niiden syitä aihetta koskevan kirjallisuuden avulla. Työn tavoitteena on etsiä evästeisiin liittyviä haavoittuvuuksia tietoturvan näkökulmasta selvittämällä, onko haavoittuvuuksien alkuperä evästeiden rakenteessa, toiminnassa vai ympäristössä.
Kirjallisuusselvityksen alussa selitetään HTTP-protokollan perusteet, kuten HTTP-pyynnöt ja -vastaukset, URL-osoite ja evästeitä kuljettava otsikkotietue sekä tietoturvan keskeiset käsitteet: luottamuksellisuus, eheys ja käytettävyys. Lisäksi esitellään tunnettuja tietoturvauhkia, joiden toiminta on vahvasti kytköksissä evästeisiin. Tyypillisesti verkkosovelluksien haavoittuvuudet voivat johtaa evästeiden hyväksikäyttämiseen, ja näin käyttäjän tietojen vuotamiseen.
Tutkielmassa havaittiin, että useita teknologioita yhdistelevät modernit verkkosovellukset ovat tyypillisesti alttiita useille haavoittuvuuksille, sillä monimutkaisille toteutuksille ei aina ole yhteensopivuutta olemassa olevien puolustusmenetelmien kanssa. Lisäksi kehittäjien jättämät inhimilliset virheet ovat verkkosovelluksessa yleisiä haavoittuvuuksien aiheuttajia. Tunnettuihin hyökkäyksiin on kehitetty monia puolustusmekanismeja, joilla on kuitenkin omat haavoittuvuutensa, ja ne pystyvät tyypillisesti estämään vain yhden hyökkäystyypin.
Tutkimuksessa selvisi, että evästeisiin tallennettava tieto on mielivaltaista, ja rajoitteita on asetettu vain muutamia. Evästeiden käyttäminen on siis helppoa ja joustavaa, joten ne ovat yleisessä käytössä käyttäjän ja istunnon todentamiseksi. Evästeisiin tallennettava todentava tieto mahdollistaa pääsyn käyttäjän tietoihin, joten monen tietoturvahyökkäyksen tavoitteena on saada käyttäjän todennusevästeet. Evästeiden käsittelyssä on haavoittuvuuksia, sillä evästeitä ei ole suunniteltu tallentamaan tai kuljettamaan arkaluontoista tietoa. Evästeiden toiminnallisuus ei myöskään ylläpidä evästeiden eheyttä, joten evästeiden tueksi on asetettu useita ulkoisia suojamekanismeja.
Kirjallisuusselvityksen alussa selitetään HTTP-protokollan perusteet, kuten HTTP-pyynnöt ja -vastaukset, URL-osoite ja evästeitä kuljettava otsikkotietue sekä tietoturvan keskeiset käsitteet: luottamuksellisuus, eheys ja käytettävyys. Lisäksi esitellään tunnettuja tietoturvauhkia, joiden toiminta on vahvasti kytköksissä evästeisiin. Tyypillisesti verkkosovelluksien haavoittuvuudet voivat johtaa evästeiden hyväksikäyttämiseen, ja näin käyttäjän tietojen vuotamiseen.
Tutkielmassa havaittiin, että useita teknologioita yhdistelevät modernit verkkosovellukset ovat tyypillisesti alttiita useille haavoittuvuuksille, sillä monimutkaisille toteutuksille ei aina ole yhteensopivuutta olemassa olevien puolustusmenetelmien kanssa. Lisäksi kehittäjien jättämät inhimilliset virheet ovat verkkosovelluksessa yleisiä haavoittuvuuksien aiheuttajia. Tunnettuihin hyökkäyksiin on kehitetty monia puolustusmekanismeja, joilla on kuitenkin omat haavoittuvuutensa, ja ne pystyvät tyypillisesti estämään vain yhden hyökkäystyypin.
Tutkimuksessa selvisi, että evästeisiin tallennettava tieto on mielivaltaista, ja rajoitteita on asetettu vain muutamia. Evästeiden käyttäminen on siis helppoa ja joustavaa, joten ne ovat yleisessä käytössä käyttäjän ja istunnon todentamiseksi. Evästeisiin tallennettava todentava tieto mahdollistaa pääsyn käyttäjän tietoihin, joten monen tietoturvahyökkäyksen tavoitteena on saada käyttäjän todennusevästeet. Evästeiden käsittelyssä on haavoittuvuuksia, sillä evästeitä ei ole suunniteltu tallentamaan tai kuljettamaan arkaluontoista tietoa. Evästeiden toiminnallisuus ei myöskään ylläpidä evästeiden eheyttä, joten evästeiden tueksi on asetettu useita ulkoisia suojamekanismeja.
Kokoelmat
- Kandidaatintutkielmat [9000]