Cookies (від англ. cookie — печиво; розм. — куки, кукіс) — невеликий обсяг текстової інформації, яка передається від веб-сервера до браузера, зберігається на комп’ютері користувача і надсилається назад при повторних відвідуваннях сайту.
Історія
Кукіс були розроблені в компанії Netscape, яка в середині 90-х становила конкуренцію Microsoft в сфері розробки браузерних програм.
Значення цього терміна досить важко пов’язати з назвою. В архівах комп’ютерної історії спочатку зустрічається термін magic cookie, який позначав невелику порцію даних (мабуть в цьому і криється причина асоціацій його з печивом). В основному ці дані були секретними і служили для підтвердження автентичності операцій і отримання доступу.
Першим браузером, який почав підтримувати cookies, став Internet Explorer 2 версії, випущеної в жовтні 1995 року.
Завдання
Призначення cookies полягає в наступному:
- збереження особистих даних користувача-таких, наприклад, як логін і пароль, – що дозволяє не вводити їх кожен раз при відвідуванні сайту;
- запам’ятовування налаштувань і параметрів роботи;
- ведення статистики відвідувань, дій, покупок користувача, що дозволяє йому бути учасником накопичувальних програм для отримання знижок і бонусів (особливо актуально для інтернет-магазинів);
- відстеження інтересів користувача в рекламних цілях.
Зберігання cookies
Залежно від тривалості зберігання cookies браузером їх можна поділити на два види:
- Сесійні-зберігаються тільки протягом однієї сесії і видаляються після закриття браузера. Основна мета-підтримання працездатності поточної сесії.
- Постійні — зберігаються вказаний в налаштуваннях користувача або встановлений за замовчуванням сайтом період часу.
Спосіб зберігання постійних кукіс залежить від браузера. Наприклад, Mozilla Firefox зберігає всі дані в одному текстовому файлі cookies.txt в профілі користувача. А Internet Explorer зберігає cookies в однойменній папці в профілі користувача у вигляді окремих файлів.
Проблеми, пов’язані з використанням
Кукіс значним чином впливають на анонімність і конфіденційність користувачів глобальної мережі, а в разі крадіжки або підміни cookies можливе виникнення деяких проблем. Основні загрози, які пов’язані з несанкціонованим доступом до даних cookies, полягають в наступному:
- отримання зловмисниками конфіденційної інформації, яку вони можуть використовувати в корисливих або інших негативних для користувача цілях;
- доступ зловмисників до веб-ресурсів від імені користувача;
- докладний аналіз дій користувача в інтернеті — вивчення того, які сайти відвідуються найчастіше і з якою метою (такий аналіз може знадобитися спецслужбам або при нав’язливих діях рекламного характеру, коли, після збору інформації, пошту користувача завалюють спамом з пропозиціями товарів, що нібито його зацікавили.
Найпопулярніші методики зловмисників для отримання доступу до cookies:
- відправка на комп’ютер користувача троянської програми, яка передасть файли cookies її розповсюджувачам;
- перехоплення мережевого трафіку і його аналіз за допомогою спеціальних програм — сніферів;
- міжсайтовий скриптинг, суть якого полягає у впровадженні в веб-сторінку троянського скрипта, який передає зловмисникам доступні даному вузлу cookies користувача. Як правило, таким способом викрадають тільки сеансові cookies.
- використання слабких місць браузерів.
Дотримання заходів безпеки
За умови правильної настройки браузера і грамотній поведінці користувача загрози, пов’язані з використанням куки, можна звести до мінімуму.
Що робити?
- Необхідно періодично проводити аналіз збережених кукіс, з метою виявлення наявності в них цінної конфіденційної інформації. Сайти, які формують такі куки, слід занести в чорний список і дозволити для них створення тільки сеансових.
- У разі роботи в місцях публічного доступу (інтернет-кафе, бібліотеках), слід видаляти всі куки.
- В настройках браузера відключити прийом сторонніх кукіс (сторонніми називаються такі, які зберігаються у результаті завантаження зображень, банерів або інших компонентів не з сайту, на який спочатку зайшов користувач, а зі сторонніх ресурсів, які розмістили на ньому свої дані).