cookie

/ ciastko /

Technika cookie pozwala zapamiętywać informacje o użytkownikach korzystających z usług internetowych. W ten sposób uzupełnienia protokół HTTP, w którym nie przewidziano takich możliwości. Konstrukcja techniki cookie sprawia, że informacje zbierane przy jej pomocy nie mogą być wykorzystywane w sposób naruszający prawa do prywatności. Cookies pozwalają natomiast poprawić jakość oferty witryny WWW poprzez lepsze dostosowanie usług i produktów do potrzeb i preferencji klienta.

Jak to działa?

Cookie jest porcją informacji wysyłaną przez serwer do przeglądarki, która informację tą zachowuje i na żądanie serwera udostępnia w razie potrzeby (chyba, że użytkownik zablokował przyjmowanie cookie w ustawieniach przeglądarki). Po wysłaniu przez przeglądarkę żądania pobrania strony WWW, serwer przekazuje odpowiedni dokument wraz z towarzyszącym mu cookie (jako element nagłówka HTTP). Przeglądarka zachowuje te informacje na dysku użytkownika, zaś serwer "zapomina" wszystko, czego się o dowiedział podczas połączenia.

Jeżeli użytkownik ponownie odwiedzi tą samą witrynę, serwer otrzyma od przeglądarki wcześniej zapisany cookie i będzie mógł odtworzyć poprzedni stan klienta. Jeśli jednak nie ma cookies dla danej witryny, wówczas żadne cookies nie zostaną wysłane. Dla serwera jest to informacja to tym, że odwiedzamy daną stronę po raz pierwszy. W takim przypadku serwer może utworzyć unikalny identyfikator nowego użytkownika, zapisać go w swojej bazie danych i wysłać cookie do lokalnego komputera, gdzie zostanie on zapisany na dysku, w katalogu przeznaczonym na cookies. Za każdym razem gdy użytkownik odwiedza daną stronę, serwer WWW może modyfikować atrybuty zapisane w tym cookie lub dopisywać nowe.

Cookie Manager przeglądarki MozillaWiększość przeglądarek internetowych pozwala zapoznać się z treścią wszystkich zapisanych w komputerze plików cookie

Cookies w praktyce działają w sposób niezauważalny dla użytkownika, tzn. nie jest on informowany o otrzymywanych i wysyłanych porcjach danych. Chcąc zobaczyć kiedy pojawiają się cookies, jak wyglądają oraz uzyskać nad nimi kontrolę, należy zmienić ustawienia opcji w preferencjach przeglądarki.

Co zawiera cookie?

Pliki cookie mogą zawierać takie informacje jak login, preferencje użytkownika, zawartość koszyka zakupów czy dane rejestracyjne użytkownika programu. Dane te mogą następnie posłużyć do tworzenia statystyk odwiedzin witryny WWW, personalizacji stron czy systemów e-commerce.
W przypadku sklepów internetowych technologia cookie używana jest do zapisywania informacji o produktach włożonych do wirtualnego koszyka. Dzięki temu, że cookie przechowywane są na dysku użytkownika, po przerwaniu zakupów i wznowieniu ich np. za kilka dni, nie jest konieczne rozpoczynanie wszystkiego od początku - serwer sklepowy na początku odwiedzin odczytuje dane zawarte w cookie i na ich podstawie odtwarza zawartość koszyka.

Nagłówek cookiem

Cookie zapisywany jest na dysku w zwykłym pliku tekstowym, zaś podczas transmisji w Sieci przybiera formę kilku linijek tekstu dołączanych do nagłówka HTTP - zazwyczaj zajmuje się tym skrypt CGI. Pole nagłówka nosi nazwę Set-Cookie i może składać się z następujących atrybutów (pierwszy z nich jest wymagany, reszta zaś opcjonalna):

Set-Cookie: Name=Value; Expires=DateTime; Path=DirPath; Domain=DomainName; Secure

• Name=Value - nazwa i wartość cookie
• Expires=DateTime - data i czas określające ważność cookie. Po tym terminie informacje związane z cookie nie będą wysyłane do serwera. Jeżeli atrybut Expires nie został podany, ważność cookie ogranicza się tylko do bieżącej sesji z przeglądarką.
• Path=DirPath - określenie ścieżki dostępu do pliku na serwerze. Jeśli adres pobieranego dokumentu zawiera się w podanej ścieżce, zostanie do niego dołączony cookie. Domyślną ścieżką jest ta prowadząca do dokumentu, z którego został wysłany cookie.
• Domain=DomainName - określenie domeny mającej prawo korzystać z cookie. Tylko serwery legitymujące się taką samą końcówką nazwy domenowej mogą pobierać dany cookie z dysku użytkownika. Istniejące ograniczenia nie pozwalają jednak podać w atrybucie Domain domeny różnej od tej, w jakiej znajduje się serwer ustanawiający cookie (np. serwer www.hackers.org.org nie może podać Domain=www.netscape.com). Podawana domena nie może być również zbyt ogólna i powinna zwierać przynajmniej dwa końcowe człony - np. .com.pl lub .provider.net. Jeżeli atrybut został pominięty, przeglądarka przyjmuje za wartość domyślną nazwę serwera wysyłającego cookie.
• Secure - opcjonalny atrybut uzależniający wysłanie cookie od istnienia bezpiecznego połączenia z serwerem, który wysłał żądanie. Bezpieczne połączenie (opierające się na protokole HTTPS) uniemożliwia przejęcie przez trzecią stronę informacji zawartych w cookie.

Przykładowy nagłówek:

Set-Cookie: Count=1; Expires=31-Dec-1999 23:59:59 EST; Path=/; Domain=.mojadomena.com; Secure

Pojedynczy cookie może zawierać co najwyżej 4 kilobajty informacji, zaś maksymalna ich liczba nie może przekroczyć 300 (w tym do 20 cookie może pochodzić z tej samej domeny). Cookie dłuższe niż 4 KB są "przycinane" przez przeglądarkę, a jeśli ich liczba przekracza limit, usuwane są najstarsze spośród nich.

Przeglądarka może zapisywać każdy cookie w osobnym pliku (tak czyni Internet Explorer - pliki gromadzone są w folderze C:WindowsCookies) lub też korzystać z jednego, wspólnego dla wszystkich "ciastek" pliku (Netscape Navigator tworzy plik cookies.txt i umieszcza go w podkatalogu użytkownika, np. C:Program FilesNetscapeUsersUzytkownik. Choć plik taki można podejrzeć w dowolnym edytorze tekstów, to nie należy spodziewać się, że zdobędziemy w ten sposób jakieś istotne informacje. Gros zawartości stanowią bowiem specjalne kody, których znaczenie znane jest tylko właścicielowi serwera (np. identyfikatory użytkowników).

Oto przykład jednego z "ciastek" oglądanego w edytorze:

SITESERVER
ID=9ccabdfa4994a827480600e58cc2c06a
onet.pl/
0
642859008
31887777
4134680032
29305858
*
onettempid

onet.pl/
0
1725847808
29306227
1580253472
29306218
*

Bezpieczeństwo

Technologia cookies uchodzi za bezpieczną. Oznacza to, iż nie jest możliwe posłużenie się nią w celu zdobycia takich informacji o użytkowniku, jakich on sam nie zdecyduje się podać. Przesądza o tym sposób, w jaki pobierane są pliki zawierające cookie: wysyłane są one w momencie, gdy użytkownik odwiedza witrynę, która wcześniej zapisała na jego dysku porcję "ciastka". Jest to bardzo istotny szczegół: serwer NIE MOŻE zażądać dowolnego cookie; może jedynie przyjąć taki, który przedstawi mu przeglądarka. Ze względu na fakt, iż cookie nie jest programem, ale zwykłym plikiem tekstowym przechowującym informacje, NIE JEST MOŻLIWE przedsięwzięcie przez niego żadnych działań - zarażenie systemu wirusem, odczytanie adresu e-mail użytkownika, etc.

Możliwe jest jednak (i często stosowane w praktyce) śledzenie poczynań użytkownika podczas jego podróży po witrynie. Dane, jakie można w ten sposób zdobyć ograniczają się do rozpoznania miejsca, z którego internauta wszedł na daną stronę oraz jakie informacje najbardziej go interesowały. Każdy, kto odwiedza przygotowane pod takim kątem strony, otrzymuje cookie o unikalnej treści, które później pozwala jednoznacznie go identyfikować i - co stanowi główny motyw takich działań - wyświetlić na jego monitorze reklamy pokrywające się z jego zainteresowaniami. Przykładami witryn w podobny sposób wykorzystujących technologię cookie są niemal wszystkie serwisy wyszukiwawcze. Użytkownicy nowszych wersji przeglądarek mogą chronić swoją prywatność zmieniając domyślne ustawienia programów. Obie ważne przeglądarki dają możliwość ustawienia ostrzeżeń przed każdym cookie lub całkowite wyłączenie tego mechanizmu.

Cookie a "dziury" w przeglądarkach

Jak się okazuje niedoskonałość współczesnych przeglądarek może poważnie zmniejszyć bezpieczeństwo gwarantowane przez technikę cookie. Organizacja Peacefire.org odkryła i zaprezentowała sposób wykorzystania błędu w Internet Explorerze pozwalającego odczytać dowolny plik cookie z nieupoważnionej strony WWW. W celu odczytania naszego cookie pochodzącego z dowolnego serwera wystarczy wpisać w przeglądarce odpowiednio skonstruowany URL. Błąd ten ma jednak ograniczone zastosowanie w praktyce - nieuczciwy autor stron WWW aby poznać nasze cookie musiałby zgadywać, z jakich serwisów korzystamy

zobacz również: HTTP, cookie

aktualizacja: 08/12/2003