Социальный скоринг может повлиять на решение по выдаче кредита или на стоимость страховки. За последние несколько лет в рекламной индустрии было много громких скандалов с утечками пользовательской информации — это повлияло на ужесточение законодательства в отношении cookie-файлов. При посещении любого сайта можно узнать, собирает ли он информацию о вас. Достаточно открыть раздел настроек вашего браузера «Конфиденциальность». При этом использование cookie вызывает вопросы о конфиденциальности и безопасности. Поэтому есть законы по сбору и использованию полученных сведений, которые защищают интересы людей в интернете.
Постоянные cookies
Предположим, что сайт имеет 4 поддомена, и на каждом поддомене работает свой сайт на разных фреймворках. В появившемся окне, вы можете включить или отключить куки файлы, с помощью перевода кнопки в необходимое положение, расположенной в капсуле, находящейся напротив нужного вам параметра. Браузеры будут отклонять установку этих кук, если они не будут удовлетворять всем ограничениям. Заметьте, что куки с префиксами, созданные в рамках поддомена, будут ограничиваться только им или будут полностью игнорироваться. Так как бэкенд проверяет только куки с заранее известными именами при авторизации пользователя или валидации CSRF-токена, куки с префиксами фактически работают как защитный механизм от фиксации сессии.
Персонализация и удобство использования
Теперь с каждым новым запросом к серверу при помощи заголовка Cookie браузер будет возвращать серверу все сохранённые ранее куки. С ним удобнее серфить в интернете, и ваша личная информация формально остается защищенной. Но блокировщик рекламы — плагин по своей сути, а значит, он также потенциально может собирать информацию по вашим взаимодействиям. В серую зону попадают сторонние cookie, которые вам записывает не сам сайт, а другой внешний фрагмент кода, например, рекламный баннер. Посещение вами страниц, содержащих этот баннер, позволяет сформировать ваш круг предпочтений. Эта информация о предпочтениях определенной группы пользователей впоследствии продается рекламодателям.
Межсайтовая подделка запроса (CSRF – Cross-site request forgery)
Согласно этому закону, любая организация должна получить верифицируемое родительское согласие на обработку персональных данных ребёнка младше 13 лет. По умолчанию, действия по хранению и отправкам кук для вас невидимы. Тем не менее, Вы можете изменить Ваши настройки Firefox, чтобы позволить вам лично одобрять или отклонять запросы на сохранение кук, автоматически удалять сохранённые куки при закрытии Firefox и многое другое. Таким образом, атрибут «same site» устраняет пару уязвимостей, использующих атрибут domain в cookie (если запрос отправляется на домен, указанный в cookie, то cookie автоматически включается), таких как CSRF. First-party cookie – это cookie, который устанавливается веб-сайтом, имеющим то же имя, что и домен, который в данный момент посещается, как отображается в адресной строке браузера. Third-party cookie – это файл, который исходит от домена, отличного от того, на котором в данный момент находится пользователь.
Cookie стали решением проблемы надёжной реализации виртуальной корзины покупок. Спецификации[6][7] указывают минимальные объёмы, которые должны предоставляться браузерами brb что такое для хранения cookie. Так, браузер должен хранить по меньшей мере 300 cookie по 4096 байт каждая и по меньшей мере 20 cookie для одного сервера или домена.
Для этого сервер выдаёт cookie на определённый срок и записывает дату окончания cookie у себя или, в зашифрованном виде, в самих cookie, каждый раз, когда пользователь обращается к серверу. Если cookie, присланный браузером, имеет дату годности, отличную от той, что хранится на сервере или содержатся в cookie, значит, имеет место попытка подмены даты годности cookie. Сервер может отреагировать, например, запросив у пользователя повторную авторизацию. Администраторы сайта могут созвониться с родителем и сверить его документы по базам данных личной информации. В Америке интересен документ COPPA — уже упомянутый закон о защите конфиденциальности детей в интернете.
Соokie следует чистить для обеспечения дополнительной конфиденциальности, безопасности и освобождения места на устройстве. В Google Chrome можно настроить все куки по умолчанию, или хранить только куки для определённых ресурсов и блокировать сторонние cookie, связанные с рекламой. Удаление старых куков хорошо помогает поддерживать приватность в интернете. А ещё со временем они могут накапливаться и занимать место на нашем устройстве — тоже причина почистить cookie. Однако реальность была не такой сказочной; внедрение cookie-файлов сопровождалось возмущениями со стороны других специалистов.
Более того, существует возможность заменить сессионные cookie постоянными (с указанием срока годности). Многие сайты также используют cookie для сохранения настроек пользователя. Эти настройки могут использоваться для персонализации, которая включает в себя выбор оформления и функциональности. Например, Википедия позволяет авторизованным пользователям выбрать дизайн сайта. Поисковая система Google позволяет пользователям (в том числе и не зарегистрированным в ней) выбрать количество результатов поиска, отображаемых на одной странице[4].
Никаких учетных записей пользователей, никакой настройки и т.д., а если и есть какие-то учетные записи, то для доступа к каждой странице нужно снова и снова входить в систему. Если вы хотите подчистить файлы куки в своем браузере и не знаете — как это сделать, прочитав нашу инструкцию вы поймете, что ничего сложного в этом нет. Поскольку вы удаляете свою историю непосредственно с вашего устройства, но в базе данных, расположенной на сервере браузера все ваши действия сохраняются в любом случае.
С помощью кук можно сохранить любую информацию о состоянии, HTTP-протокол сам по себе этого делать не умеет. В cookie хранятся личные данные пользователя, которые открывают доступ к определенному контенту. Например, социальная сеть хранит логин и пароль, допуская клиента к странице без запроса авторизации. Соответственно, если мошенник получит доступ к cookie, он сможет выкрасть информацию и использовать ее в собственных целях.
Они могут запомнить товары, которые просматривал пользователь и сколько времени он провел на сайте. Также, существует параметр «UTM-метки», через который можно определить из какого ресурса человек, перешел на сайт, например, из группы в социальных сетях или другого портала. Данные сведения очень важны для специалистов занимающихся продвижением сайтов — они позволяют сделать точную оценку рекламной кампании и лучше понять привычки и предпочтения потенциальных клиентов. Куки отправляются на сервер при любых запросах, даже если запрашивается статический ресурс с чужого сервера, то есть если происходит межсайтовый запрос. Например, если страница сайта site.com содержит изображение сайта site.net, при запросе изображения в запросе будут отправлены все куки пользователя для site.net.
С этого момента cookie будет автоматически отправляться браузером на сервер каждый раз, когда запрашивается новая страница с сайта. Сервер не только отправляет страницу как обычно, но также сохраняет URL запрошенной страницы, дату / время запроса и файл cookie в файле журнала. Сеансовые cookie-файлы также помогают сократить время загрузки страницы, поскольку объём информации в сессионном cookie-файле невелик и требует небольшой полосы пропускания. Постоянные cookie критикуются экспертами за свой долгий срок хранения, который позволяет веб-сайтам отслеживать пользователей и создавать их профиль с течением времени[41]. Здесь затрагиваются и вопросы безопасности, поскольку украденные постоянные cookie могут использоваться на протяжении значительного периода времени.
Вместо того чтобы удаляться после закрытия браузера, как это делают сессионные cookie, постоянные cookie-файлы удаляются в определённую дату или через определённый промежуток времени. Это означает, что информация о cookie будет передаваться на сервер каждый раз, когда пользователь посещает веб-сайт, которому эти cookie принадлежат. По этой причине постоянные cookie иногда называются следящие cookie, поскольку они могут использоваться рекламодателями для записи о предпочтениях пользователя в течение длительного периода времени. Однако они также могут использоваться и в «мирных» целях, например, чтобы избежать повторного ввода данных при каждом посещении сайта. Когда пользователь посещает страницу входа на веб-сайт, веб-сервер обычно отправляет клиенту файл cookie, содержащий уникальный идентификатор сеанса.
Cookie также используются для отслеживания действий пользователей на сайте. Как правило, это делается с целью сбора статистики, а рекламные компании на основе такой статистики формируют анонимные профили пользователей для более точного нацеливания рекламы[5]. Cookie используются веб-серверами для идентификации пользователей и хранения данных о них.
- Одним из таких решений являются зомби-cookie (или evercookie, или persistent cookie) — неудаляемые или трудно удаляемые cookie, которые можно восстановить в браузере с помощью JavaScript.
- Важно отметить, что сроки хранения должны соответствовать законодательству и политике конфиденциальности.
- Куки являются информацией, сохраняемой на Вашем компьютере веб-сайтом, который Вы посещаете.
- Пользователи могут управлять куками, удаляя их вручную или настраивая параметры хранения в настройках браузера.
- Кроме того, следовало прописать в cookie-policy цели обработки, срок хранения cookie-файлов и способы отказа от них.
Перспективным решением, которое уже набирает популярность, может стать CDP платформа. Она получает информацию из разных источников в режиме реального времени. Платформа определяет адреса электронной почты, номера телефонов, профили в социальных сетях, ID устройства. CDP хранит информацию о каждом клиенте и позволяет использовать имеющиеся данные для аналитики.
Как следует из названия, он используется для хранения имени домена и поддомена. Оно может использоваться браузерами для определения того, на какой домен/поддомен нужно отправить cookie, а от какого следует воздержаться. Куки HTTPonly не доступны из JavaScript через свойства Document.cookie API, что помогает избежать межсайтового скриптинга (XSS). Устанавливайте этот флаг для тех кук, к которым не требуется обращаться через JavaScript.
Если cookie доступны во время этого исполнения, их содержимое может в той или иной форме оказаться на серверах, которые не должны получать к ним доступ. Шифрование сервером данных в cookie снимает вопрос о их безопасности, однако, возможна подмена cookie злоумышленником. Для невозможности доступа даже к зашифрованным cookie может помочь установление между пользователем и сервером шифрованного соединения с использованием протокола HTTPS.
Сервер также может использовать специальный флаг при установке cookie, после чего браузер будет передавать их только по надёжному каналу, например, через SSL-соединение[7]. Значение lax является хорошим балансом между безопасностью и удобством использования для сайтов, которые хотят, чтобы пользователи оставались в системе после перехода по внешней ссылке. Таким образом, если пользователь переходит по обычной ссылке, cookie будет включен в запрос. Чтобы решить эту проблему, HTTP нужно было сделать с сохранением состояния.
Куки могут хранить широкий диапазон информации, включая персональные данные (например, Ваше имя, домашний адрес, адрес электронной почты или номер телефона). Сторонние куки часто используются для рекламы и трекинга пользователей в сети. HTTP cookie (web cookie, куки браузера) – это небольшой фрагмент данных, который сервер отправляет браузеру пользователя. Браузер может сохранить этот фрагмент у себя и отправлять на сервер с каждым последующим запросом. Это, в частности, позволяет узнать, с одного ли браузера пришли несколько запросов (например, для аутентификации пользователя).
Куки можно создавать с помощью JavaScript, используя DOM-свойство Document.cookie. Также можно читать куки из JavaScript, если не был установлен атрибут HttpOnly. Для получения информации о статусе поддержки префиксов в разных браузерах обратитесь к статье про Set-Cookie. Из-за https://cryptocat.org/ дизайна механизма кук сервер не может подтвердить, что куки были отправлены с защищённого источника (secure origin), или быть уверенным в том, где именно они были установлены. При этом сервис Марквиз уделяет самое пристальное внимание соблюдению правил конфиденциальности.
Cookie могут устанавливать дату их удаления, в этом случае они будут автоматически удалены браузером в указанный срок. Если дата удаления не указана, cookie удаляются сразу, как только пользователь закроет браузер. Таким образом, указание даты истечения позволяет сохранить cookie более чем на один сеанс, и такие cookie называются постоянными. В техническом плане cookie представляют собой фрагменты данных, изначально отправляемых веб-сервером браузеру. При каждом последующем посещении сайта браузер пересылает их обратно серверу. Без cookie каждый просмотр веб-страницы является изолированным действием, не связанным с просмотром других страниц того же сайта, с помощью же cookie можно выявить связь между просмотром разных страниц.
В куки фиксируются сведения о том, какую рекламу или новость человек уже просматривал и где совершал целевые действия, а где нет. И если говорить про куки для сайта частных предпринимателей, то можно не опасаться «слива» персональных данных, однако нельзя сказать того-же самого про крупные сетевые организации. Существует закон о том, что распространение файлов куки строго запрещено и за нарушение данного правила полагаются серьезные штрафы, но тем не менее в нашей практике иногда встречаются такие случаи. Они играют очень важную роль в интернет-магазинах, landing page, корпоративных сайтах и всех сервисах, где необходимо учитывать поведенческие факторы посетителя.
Нужно было не отправлять cookie-файлы до активных действий посетителя сайта. Кроме того, следовало прописать в cookie-policy цели обработки, срок хранения cookie-файлов и способы отказа от них. В Европе посетители сайта могут вообще отказаться от использования cookie-файлов — это ещё одно отличие от России. Если вы поставите галочку «запомнить меня» на стороннем устройстве, то его владелец сможет воспользоваться этими данными и к примеру — зайти в ваш аккаунт. Правильней всего открывать страницы через режим инкогнито и не отмечать галочкой пункт «Запомнить» при введении персональных данных или каких-либо паролей. Во время просмотра веб-страниц, вы частенько натыкаетесь на сообщение о согласии с условиями по сбору ваших данных на сайте.
Чаще всего используется подмена cookie ложной информацией, благодаря которой ни пользователь, ни сайт не смогут определить настоящую авторизацию. Например, оформляя заказ, злоумышленник может послать cookie с якобы прошедшей оплатой, и вместо денег интернет-магазин получит «печенье-пустышку». Я уже отмечал, что cookie-файлы имеют определенные проблемы с безопасностью. Однако пугаться не стоит, так как сами текстовые документы не могут заражаться вирусами.
Отслеживание по IP-адресу может оказаться невозможным и при использовании систем сохранения анонимности (например, Tor). В таких системах один браузер может иметь несколько IP-адресов, и несколько пользователей могут использовать один IP-адрес, в результате чего отслеживание IP-адреса не представляется возможным. Эти атаки можно предотвратить установкой флага HttpOnly[39], делающего cookie недоступными для скриптов со стороны клиента. Тем не менее, веб-разработчики должны предусматривать защиту от межсайтового скриптинга на стадии разработки веб-сайтов[40].
Для того, чтобы гарантировать передачу cookie только через HTTPS-сессию, cookie должны иметь атрибут Secure. Cookie могут быть украдены с помощью анализа трафика — это называется взломом сессии. Сетевой трафик может быть перехвачен не только его отправителем и получателем (особенно в публичных сетях Wi-Fi). Этот трафик включает в себя и cookie, передаваемые через незашифрованные HTTP-сессии. Там, где сетевой трафик не шифруется, злоумышленники могут прочесть сообщения пользователей сети, в том числе их cookie, используя программы, называемые снифферами.
По одной из версий, термин «куки» (печенье) происходит от «волшебного печенья»[8] — набора данных, которые программа получает и затем отправляет обратно неизменными. В июне 1994 года Лу Монтулли пришла идея использовать их при веб-соединении[9]. В то время он был сотрудником Netscape Communications, которая разрабатывала по заказу пакет электронной коммерции.
В отличие от cookie, которые вы получаете, это небольшие файлы, создаваемые веб-сайтом, который вы посещаете. Они генерируются веб-приложениями и хранятся в вашем браузере в виде пар ключ-значение. 25 мая 2018 года был введен закон о правах защиты данных граждан Евросоюза. Его сокращенное наименование GDPR — General Data Protection Regulation. Основная суть указа в том, что владельцы сайтов, занимающихся сбором данных об действиях посетителей на ресурсе, обязаны информировать их об этом. Сбор можно начинать осуществлять только после подтверждения пользователя, что его уведомили о данной информации.
Формирование временных файлов происходит на стороне клиента; текстовая информация оседает в специальных каталогах, созданных браузером. При желании текстовый файл можно открыть «Блокнотом» или любым другим редактором (внутри будет отображена информация о посещенных сайтах). Дело дошло до Федеральной торговой комиссии США, так как изначально куки предназначались для реализации корзины покупок и сохранения авторизационной информации. Было проведено два слушания, но на развитие технологии это никак не повлияло. Несмотря на то, что вплоть до 2000 года рабочие группы определяли файлы как серьезную угрозу приватности, онлайн-проекты продолжали использовать «печеньки». В октябре 2000 года была принята спецификация RFC 2965 – регламент, регулирующий размер файлов и их использование.
В результате браузер перестаёт идентифицировать посетителя при повторном заходе на сайт. Польский специалист Сами Камкар решил систематизировать наиболее «живучие» cookie, в результате чего появилась JavaScript-библиотека под названием evercookie. Такие чудо-cookie теоретически позволяют идентифицировать любого посетителя сайта при его возвращении на страницу. Сайт, использующий библиотеки Everycookie, без труда обходит все меры по сохранению анонимности (хотя некоторые антивирусы могут определять такие сайты как опасные). Для защиты от Everycookie рекомендуется использование режима Private Browsing либо специальных программ, таких, как Mil Shield. Однако большое число веб-сайтов, даже использующих безопасные HTTPS-сессии для идентификации пользователя, затем отправляет cookie и другие данные более простым незашифрованным HTTP-соединением.
Также можно указать ограничения на путь и домен, то есть указать, в течении какого времени и к какому сайту они будут отсылаться. Недавно принятые законы GDPR в Европе, российский 152-ФЗ «О персональных данных», бразильский LGPD формулируют более строгие требования к записи и обмену куки. В частности, каждый интернет-ресурс обязан уведомлять своих посетителей о том, что собирает эти файлы. Владельцы веб-ресурсов должны предоставить пользовательскую политику конфиденциальности — документ, в котором описывается, какие куки используются, для каких целей и как люди смогут управлять своими настройками. Другой способ кражи cookie — межсайтовый скриптинг и несанкционированная отправка cookie на серверы, которые не должны получать их. Современные браузеры могут исполнять фрагменты кода, полученные с сервера.
Анализируя этот файл журнала, можно определить, какие страницы посетил пользователь, в какой последовательности и как долго. Для защиты пользователям рекомендуется использовать последние версии браузеров, в которых эта проблема исправлена. Помимо проблем конфиденциальности, cookie имеют и некоторые технические недостатки, присущие любым данным. В частности, они не всегда точно идентифицируют пользователя и могут быть причиной атак злоумышленников.
Прогнозируемый в будущем полный отказ от куки называют Post-cookie world[3]. Вместе с юристами мы рассказываем, как собирать, хранить и обрабатывать эти сведения. В этой статье описывается что такое «куки», как они используются и как вы можете управлять куками, которые хранит Firefox. Это новый атрибут, который сейчас используется современными браузерами.
Помогают узнать и запомнить наши предпочтения, например язык или регион, чтобы нам было удобно пользоваться веб-ресурсами. Название возникло, потому что печенье оставляет крошки, по которым можно найти того, кто его съел, так и по кукам можно быстро отследить пользователя. И все же сетевую грамотность никто не отменял, и каждый пользователь может обезопасить себя. По ходу статьи предложу несколько теорий возникновения этого названия, а какая самая правдоподобная – решайте сами.