Vous pouvez mettre n'importe quelle chaîne de texte dans un cookie, donc en théorie vous pouvez y mettre une sorte de code. Mais pour que le code fasse du mal, quelque chose doit l'exécuter. Le navigateur Web n'interprète pas le contenu des cookies comme du code et n'essaie pas de l'exécuter, les cookies ne doivent donc pas être dangereux. (Si vous avez entendu des cookies référencés dans des discussions liées à la sécurité, c'est probablement lié à la confidentialité et non à des virus.)

En théorie, il pourrait y avoir un bogue dans le navigateur qui permet de créer un cookie qui trompe en quelque sorte le navigateur pour l'exécuter, par exemple en provoquant un débordement de tampon. Un tel bogue est assez improbable dans un navigateur majeur, et si vous pouviez en trouver un, ce serait considéré comme un gros problème.

Je ne craindrais donc pas que les cookies m'infectent avec un virus. Cependant, il est possible d'être infecté par des logiciels malveillants en visitant simplement un site Web. C'est ce qu'on appelle "conduire par téléchargements" et c'est aujourd'hui une méthode courante pour propager des virus. Le vecteur exploité pour cela n'est généralement pas des cookies, mais des plugins comme Java ou Flash.

En plus de l ' excellente réponse d'Anders, il y avait une vulnérabilité dans Internet Explorer 5 et 6 qui permettait de définir un cookie malveillant qui pouvait ensuite lire ou définir les valeurs de cookie d'autres sites.

Article ici.

Une vulnérabilité de divulgation d'informations liée à la manipulation de script dans les cookies qui pourrait permettre à un site de lire les cookies d'un autre. Un attaquant pourrait créer un cookie spécial contenant un script, puis construire une page Web qui livrerait ce cookie au système de l'utilisateur et l'invoquerait. Il pourrait ensuite envoyer cette page Web par courrier électronique ou la publier sur un serveur. Lorsque la page s'exécutait et invoquait le script dans le cookie, elle pouvait potentiellement lire ou modifier les cookies d'un autre site. Cependant, pour réussir à l'exploiter, il faudrait que l'attaquant connaisse le nom exact du cookie tel qu'il est stocké sur le système de fichiers pour être lu avec succès.

Bien qu'il ne s'agisse pas d'un virus en tant que tel, votre navigateur pourrait être "infecté" par ce script dans un cookie que l'attaquant pourrait alors utiliser pour compromettre votre navigateur. Cependant, en ce qui concerne le cookie, il s'agit plus du mécanisme utilisé pour l'exploit que du navigateur infecté, car seuls les sites malveillants peuvent utiliser le cookie et il ne sera pas invoqué lorsque des sites bénins sont visités.

Les cookies ne peuvent transférer que des valeurs TEXT, ce qui signifie qu'ils ne peuvent pas endommager votre ordinateur autonome, mais ils peuvent contenir des informations très importantes, qui peuvent être utilisées contre vous en cas de vol. Renseignez-vous sur le piratage de session, et vous comprendrez à quoi l'exploiteur peut spécifiquement l'utiliser.

Théoriquement, ils le peuvent, comme Anders l'a déjà mentionné. Le "problème" est qu'ils ne seront pas exécutés par le navigateur. Cependant, un autre logiciel / malware sur votre ordinateur pourrait. Ce qui serait particulièrement dangereux, car les programmes antivirus ne détecteront probablement pas le cookie ou le logiciel en cours d'exécution d'eux-mêmes lorsqu'ils sont exécutés dans des fichiers séparés.

Le cookie lui-même n'endommage pas, mais il peut contenir du code utilisé par les exécutables. Une tactique de certains virus consiste à stocker le cookie avec un code partiel et ce code sera modifié par une application de type virus.

Exemple: le cookie stocke la clé de décryptage d'un exécutable qui contourne les analyses initiales car il est bien chiffré. Ensuite, le .exe utilise la clé pour se déchiffrer et tenter de s'exécuter.

La réponse courte, bien que trompeuse sans la réponse longue: oui, un cookie peut transporter un virus. Oui, il est possible d'attraper un tel virus en visitant simplement un site Web fournissant le cookie.

Dans le paragraphe ci-dessus, remplacez "un cookie" par "n'importe quel fichier, données ou autre chose" et remplacez "visiter un site Web" avec "posséder", et l'affirmation toujours est vraie.

Les questions "Puis-je attraper un virus de X?" ou "Est-ce que Y faire peut me donner un virus?" sont des questions naïves (naïves, mais pas ignorantes si vous vous éclairez). En effet, tout fichier, toute donnée, toute action a le potentiel de contenir / transférer / attraper un virus. Rien du tout. Il y a eu des virus qui ont été transférés dans les JPG simplement en les faisant être visibles sur votre moniteur, et il y a eu des virus transférés dans les fichiers de raccourcis Windows simplement en possédant le raccourci infecté dans un dossier qui a été ouvert. Il est également arrivé dans le passé que les utilisateurs d'ordinateurs aient attrapé des virus simplement en étant connectés à un réseau, sans réellement rien faire pour télécharger / afficher / interagir avec un virus, car il est possible pour un pirate pour accéder à votre ordinateur sans que vous fassiez quoi que ce soit.

C'est la réponse à la tristesse (mais vraie). Analogie: C'est comme un vrai virus - vous pouvez attraper un virus mortel simplement en vous tenant à une douzaine de mètres (ou plus, pour certains d'entre eux) d'une personne infectée expirant un virus. Vous n'avez rien à faire pour en mourir. C'est un peu la même chose avec les virus informatiques.

Tout comme pour mourir parce que vous êtes à 20 pieds de l'arrêt de bus, il est si improbable d'attraper un virus sur votre ordinateur en surfant intelligemment que vous ne devriez pas vous en soucier.

Le genre d'exemples que j'ai donnés ci-dessus nécessite des failles de sécurité extrêmement graves dans le logiciel que vous utilisez. Tant que vous utilisez un logiciel de confiance et que vous le tenez à jour, tout va bien. Habituellement.

Le problème est qu'une faille de sécurité dans le logiciel n'est généralement pas connue. Si les gens étaient au courant, alors il serait (espérons-le) réparé bientôt; c'est l'une des raisons de mettre à jour votre logiciel. Puisque les trous ne sont pas connus, aucun de nous ne peut dire ce qui est sûr ou non, car un pirate peut tomber sur le prochain grand trou de sécurité et en abuser à tout moment, et il peut littéralement être n'importe où. Heck, il pourrait s'agir d'une adresse de site Web mal formée pour tout le monde, et personne ne peut raisonnablement prétendre le contraire (même si je serai le premier à dire que c'est très douteux).

Mais ne laissez pas cela vous tourner dans un ermite effrayé. S'inquiéter de la prochaine grande faille de sécurité, c'est comme s'inquiéter que le prochain météore va atterrir sur votre tête - encore une fois, possible mais peu probable.

Maintenant, si nous posons une autre question: malware; est-il dangereux de visiter des sites Web qui me fournissent des cookies si j'utilise un navigateur majeur et moderne qui est tenu à jour? Ensuite, la réponse est "Non, ce n'est pas dangereux et vous ne risquez pas d'être infecté par des logiciels malveillants. Les cookies posent des problèmes de confidentialité, mais ce n'est pas lié et n'endommagera pas votre ordinateur. Si vous êtes intéressé par les problèmes de confidentialité, Google "Confidentialité des cookies informatiques" ou poser une autre question à ce sujet. "

La question de savoir si les cookies peuvent être dangereux ou propager des virus a à voir avec si un fichier est ou non un "exécutable". En théorie, si un cookie exécutable a été défini avec un contenu malveillant, il est possible qu'il puisse affecter votre ordinateur avec un virus et ouvrir une boîte proverbiale de vers. C'est un événement assez rare et que je n'ai personnellement pas vu - mais tout à fait possible dans les bonnes circonstances.