Text 7643, 81 rader
Skriven 1999-11-04 12:28:29 av Jan Danielsson (2:205/323.0)
   Kommentar till text 6568 av Sigvard Lingh (2:206/145.21)
Ärende: Cookies
===============
 SL>> Men, hur vet jag att de blott är cookies?
 >  Vilka "de" pratar du om?
 SL> "Goddag, jag är bara en cookie."

Så länge du inte ser ett "No, really. I am." så kan du vara helt lugn.

[...]
 SL> Vad jag spekulerar i, är om inte man skulle kunna stoppa in något
 SL> exekverbart i det som formellt ser ut som en cookie.

Det är ingeting du behöver oroa dig för .. ännu.

   Jag har noterat att flera deltagare i mötet har försökt att övertala dig om
att cookies är helt ofarliga, men de glömmer att säga att det är en temporär
sanning.


   Var det _någon_ av er här i mötet som ens i sina vildaste drömmar kunde ana
hur "email" skulle kunna utvecklas? email gör ju ingenting i sig, men allt
skräp omkring det. Detsamma kan hända med cookies. Det må hända att det låter
_fullkommligt_ befängt, skulle någon av er åka tillbaka i tiden och berätta för
mig vad "ett simpelt email" skulle kunna göra idag så skulle jag skratta åt er.
(F.ö  så skrattar jag även åt de som säger sig ha förutspått en sådan
utveckling..)


Akta dig för en eventuell "Cookies 2.0".

   Att intala nybörjare att allt som är säkert _idag_ alltid kommer att vara
säkert är - rent ut sagt - förbenat korkat.


   Frågar du mig om _dagens_ Cookies är faliga så svarar jag "nej", men om du
frågar om Cookies är helt ofarliga så svarar jag "så länge de inte ändras för
mycket".

   "Åh, här kan man ladda ner en ny plugin för Biscuits (Cookies 2.0)! Heftigt!
Med någon form av Java-support! Jan sa ju att det var säkert....".

 SL> Visst, den blir större då. Men, det är inget som en normalanvändare
 SL> skulle märka.

 SL> Filer kan ju starta utifrån andra grunder än att en människa
 SL> klickar på den, trycker på Enter eller skriver ett startkommando. T
 SL> ex mha klockan. 

   Problemet är att "Cookie-viruset" skulle behöva lägga in binär-data i
Cookie-filen, sedan skulle den behöva exekvera den. Problemet är att
Cookie-filen har en felaktig header (in fact, den har ingen header.. Även om
den skulle ha en så skulle den inte likna den av en exekverbar fil), vilket
innebär att OS:et inte känner igen det som en exekverbar fil. Det går iofs att
ladda in en fil i minnet, leta reda på ett visst ställe och sedan exekvera det.
Dessutom har du ju problemet med att få något att exekvera cookie-filen.

   Ett annat problem är att cookie-filen är ren ascii (text), jag vet inte hur
den behandlas om det ligger 'binär-data' i den. Det verkar som om den omvandlas
(vet inte om det är klienten eller servern som gör det), så eventuellt måste
datat parse:as (omvandlas till binärdata först) för att kunna köras. Du har en
rad med problem att överkomma. För de som roar sig kunligt med virus och sådant
så finns det finns betydligt roligare saker att använda för förstöra för
andra.. :-|


   ..till sist finns det olika sätt att implementera cookies, vilket är ännu en
faktor som göra det hela svårare. En browser skulle lika gärna kunna zip:a
cookie-filen. Ett elakartat program skulle först behöva ha tillgång till zip.


Vill du ha ett extrem-fall av avancerade Cookie-virus/trojaner?

   Någon _kan_ göra en applikation som letar reda på din cookie-fil, letar
efter någon viss site, hämtar in datat som ligger lagrat där, och 'startar
koden som ligger lagrad'.. Det är alltså något som är _möjligt_, men _högst_
osannolikt. Det är mer sannolikt att rymdgubbar från
Ziza-wana-wana-wonik-woink-fribb knackar på din dörr och proklamerar att de
just flyttat in i grann-galaxen och vill låna lite socker. (Nåja, kanske inte..
Men nästan.)


--- timEd/2 1.10
 * Origin: Usch, det finns. (2:205/323)