Cookie: различия между версиями

'''Ку́киФайлы cookie''' (от {{lang-en|cookie}} — печенье) — небольшой фрагмент данных, отправленный [[веб-сервер]]ом и хранимый на [[компьютер]]е пользователя. Веб-клиент (обычно [[Браузер|веб-браузер]]) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для:

Приём браузерами кукифайлов cookie требуют многие сайты с ограничениями доступа, большинство [[интернет-магазин]]ов.<ref>{{cite web|url=http://www.ozon.ru/context/detail/id/3480907/|title=Проблемы с работой интернет-магазина|publisher=[[OZON.ru]]|accessdate=12 августа 2008}}</ref> Настройка оформления и поведения многих [[веб-сайт]]ов по индивидуальным предпочтениям пользователя тоже основана на кукифайлах cookie.<ref name="microsoft">{{cite web|url=http://www.microsoft.com/info/cookies.mspx|title=FAQ по куки|publisher=Microsoft|accessdate=12 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWpwhHj|archivedate=2011-08-26}}</ref>

С момента своего появления кукиcookie вызывали обеспокоенность пользователей [[Интернет]]а, поскольку слежение за действиями и предпочтениями пользователей может подвергнуть опасности тайну личной жизни. Как результат, в Европейском союзеСоюзе, Соединённых Штатах, и в других странах были приняты соответствующие законы, регулирующие применение кукифайлов cookie{{нет АИ|30|11|2009}}. КукиCookie легко [[сниффер|перехватить]] и подменить (например, для получения доступа к учетной записи), если пользователь использует нешифрованное соединение с сервером. В группе риска пользователи, выходящие в интернет при помощи публичных точек доступа [[Wi-Fi]] и не использующие при этом таких механизмов, как [[SSL]]. Шифрование позволяет также решить и другие проблемы, связанные с безопасностью передаваемых данных.

КукиФайлы cookie используются веб-серверами для различения пользователей и хранения данных о них.

К примеру, если вход на сайт осуществляется при помощи кукиcookie, то после ввода пользователем своих данных на странице входа, кукиони позволяют серверу запомнить, что пользователь уже идентифицирован, и ему разрешён доступ к соответствующим услугам и операциям.<ref name="microsoft" />

Многие сайты также используют кукиcookie для сохранения настроек пользователя. Эти настройки могут использоваться для персонализации, которая включает в себя выбор оформления и функциональности. Например, [[Википедия]] позволяет авторизованным пользователям выбрать [[Википедия:Персональное оформление|дизайн]] сайта. Поисковая система [[Google (поисковая система)|Google]] позволяет пользователям (в том числе и не зарегистрированным в ней) выбрать количество результатов поиска, отображаемых на одной [[веб-страница|странице]].<ref>{{cite web|url=http://www.google.com/support/bin/static.py?page=searchguides.html&ctx=preferences&hl=ru#number|title=Справочный центр, веб-поиск|publisher=[[Google (компания)|Google]]|accessdate=12 августа 2008|archiveurl=http://www.webcitation.org/61DWqUw5S|archivedate=2011-08-26}}</ref>

КукиФайлы cookie также используются для отслеживания действий пользователей на сайте. Как правило, это делается с целью сбора статистики, а рекламные компании на основе такой статистики формируют анонимные [[учётная запись|профили]] пользователей, для более точного нацеливания рекламы.<ref>{{cite web|author=Киви Берд|url=http://www.ibusiness.ru/offline/2000/119/6438/|title=Целевая реклама - угроза приватности?|publisher=[[Компьютерра]]|accessdate=12 августа 2008|deadlink=404|archiveurl=http://web.archive.org/20130405044854/www.ibusiness.ru/offline/2000/119/6438/|archivedate=2013-04-05}}</ref>

В техническом плане кукиcookie представляют собой фрагменты данных, изначально отправляемых веб-сервером браузеру. При каждом последующем посещении сайта браузер пересылает их обратно серверу. Без кукиcookie каждый просмотр веб-страницы является изолированным действием, не связанным с просмотром других страниц того же сайта, а с помощью же кукиcookie можно выявить связь между просмотром разных страниц. Кроме отправки куки веб-сервером, кукиcookie могут создаваться [[скрипт]]ами на языках вроде [[JavaScript]], если они поддерживаются и включены в браузере.

Спецификации<ref name="Netscape">{{cite web|author=Netscape|url=http://lib.guru.ua/WEBMASTER/cookie_spec.txt|title=Предварительная спецификация кук|format=txt|accessdate=7 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWr5bQ4|archivedate=2011-08-26}}</ref><ref name="rfc">RFC 2109 и RFC 2965 — Механизм управления состояниями HTTP ([[IETF]])</ref> указывают минимальные объёмы, которые должны предоставляться браузерами для хранения кукиcookie. Так, браузер должен хранить по меньшей мере 300 кукифайлов cookie по 4096 байт каждаякаждый, и по меньшей мере 20 кукиcookie для одного сервера или [[доменное имя|домена]].

Популярные браузеры имеют соответствующий максимум хранящихся кукифайлов cookie для каждого домена:

На практике, некоторые браузеры могут накладывать более жёсткие ограничения. К примеру, Internet Explorer предоставляет 4096 байт для всех кукифайлов cookie в одном домене.

Имена кукифайлов cookie нечувствительны к регистру в соответствии с разделом 3.1 RFC 2965.

КукиCookie могут устанавливать дату их удаления, и в этом случае они будут автоматически удалены браузером в указанный срок. Если дата удаления не указана, кукиcookie удаляются сразу, как только пользователь закроет браузер. Таким образом, указание даты истечения позволяет сохранить кукиcookie более чем на один сеанс, и такие кукиcookie называются постоянными. Например, интернет-магазин может использовать постоянные кукиcookie для хранения кодов предметов, которые пользователь поместил в корзину покупок — и даже если пользователь закроет браузер, не совершив покупки, при последующем входе ему не придётся формировать корзину заново.

Хранение кукифайлов cookie также может ограничиваться в зависимости от веб-сервера, домена или поддомена, где они были созданы.

По одной из версий, термин «кукиcookie» (печенье) происходит от «[[Волшебные куки|волшебного печенья]]»<ref>{{cite web|author=Андрей Аликберов|datepublished=1998|url=http://www.citforum.ru/internet/html/cookie.shtml|title=Что такое cookies и как с ними работать|accessdate=2 августа 2008|archiveurl=http://www.webcitation.org/61DWtfqbB|archivedate=2011-08-26}}</ref> — набора данных, которые программа получает, и затем отправляет обратно неизменными. В июне 1994 года Лу Монтулли пришла идея использовать их при веб-соединении.<ref>{{cite web|author=John Schwartz|datepublished=4 сентября 2001|url=http://www.nytimes.com/2001/09/04/technology/04COOK.html|title=Giving Web a Memory Cost Its Users Privacy|publisher=[[New York Times]]|accessdate=7 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWugEhM|archivedate=2011-08-26}}</ref> В то время он был сотрудником [[Netscape Communications]], которая разрабатывала по заказу пакет электронной коммерции. КукиФайлы cookie стали решением проблемы надёжной реализации виртуальной корзины покупок.

С помощью Джона Джаннандреа в тот же год Монтулли написал начальную спецификацию кукиcookie. Mosaic Netscape 0.9beta, выпущенная 13 октября 1994 года,<ref>{{cite web|datepublished=13 октября 1994|url=http://news.cnet.com/Netscapes-original-browser-press-release/2030-1032_3-5406484.html|title=Netscape Communications Представляют Новый Сетевой Бесплатной Интернет-Навигатор|publisher=[[CNET Networks]]|accessdate=7 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWvKlU0|archivedate=2011-08-26}}</ref><ref>{{cite web|author=Марк Андреассен|datepublished=13 октября 1994|url=http://groups.google.com/group/comp.infosystems.www.users/msg/9a210e5f72278328|title=Мир, вот он!|accessdate=7 августа 2008|lang=en|description=Сообщение на [[Usenet]]}}</ref> уже поддерживала кукиcookie. КукиФайлы cookie впервые начали использоваться вне лаборатории на сайте Netscape и определяли, посещал ли пользователь сайт ранее. Монтулли подал заявку на [[патент]] в 1995 году и получил его в 1998 году. Internet Explorer начал поддерживать кукиcookie с версии 2, выпущенной в октябре [[1995 год]]а.<ref>{{cite web|author=Сэнди Хардмайер|datepublished=25 августа 2005|url=http://www.microsoft.com/windows/IE/community/columns/historyofie.mspx|title=История Internet Explorer|publisher=Microsoft|accessdate=7 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWwPHfd|archivedate=2011-08-26}}</ref>

Хотя некоторые люди знали о существовании кукиcookie уже в первом квартале 1995 года,<ref>{{cite web|author=Роджер Кларк|datepublished=1 июня 1998|url=http://www.anu.edu.au/people/Roger.Clarke/II/Cookies.html|title=Куки|accessdate=7 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWxAgJc|archivedate=2011-08-26}}</ref> широкая общественность узнала о них лишь после статьи в «[[Financial Times]]» от 12 февраля [[1996 год]]а. В том же году кукиcookie оказались в центре внимания средств массовой информации, особенно из-за потенциальной угрозы [[приватность|приватности]]. КукиВопрос о файлах cookie былибыл рассмотренырассмотрен в Федеральной комиссии по торговле США в двух слушаниях в 1996 и 1997 годах.

Развитие спецификаций кукиcookie на этом не остановилось. В частности, первые обсуждения формальной спецификации начались в апреле 1995 года. Была сформирована специальная рабочая группа в рамках [[IETF]]. В качестве отправной точки была выбрана спецификация Netscape. В феврале 1996 года рабочая группа определила сторонние кукиcookie как серьёзную угрозу приватности. Выработанная спецификация была выпущена под названием RFC 2109 в феврале [[1997 год]]а. В ней указывалось, что сторонние кукиcookie должны либо блокироваться, либо хотя бы не работать по умолчанию.

В то время рекламные компании уже вовсю использовали сторонние кукиcookie, и рекомендации RFC 2109 не поддерживались ни в браузерах Netscape, ни в Internet Explorer. Позднее, в октябре [[2000 год]]а, RFC 2109 была заменена новой спецификацией RFC 2965.

С момента появления куки,cookie в СМИ и Интернете начали распространяться различные слухи.<ref>{{cite web|datepublished=2005|url=http://www.theallineed.com/computers/05072901.htm|title=Вопреки уверениям, куки - добро!|publisher=ARA Content|accessdate=7 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWxsXn2|archivedate=2011-08-26}}</ref> В [[1998 год]]у компьютерный отдел [[Министерство энергетики США|Министерства энергетики Соединенных Штатов]] (CIAC) заявил, что опасности кукиcookie не представляют, и пояснил, что «информация о том, откуда вы приходите и какие веб-страницы посещаете, и так сохраняется в [[лог-файл]]ы веб-серверов».<ref>{{cite web|datepublished=12 марта 1998|url=http://www.ciac.org/ciac/bulletins/i-034.shtml|title=I-034: Интернет-куки|publisher=[[Министерство энергетики США]]|accessdate=2008-08-07|lang=en|deadlink=unknown-host}}</ref> В [[2005 год]]у были опубликованы результаты исследования,<ref>{{cite web|author=Брайан Куинтон|datepublished=18 мая 2005|url=http://searchlineinfo.com/InsightExpress_cookie_study/|title=Исследование: Пользователи не понимают, что такое куки, и не умеют их удалять|accessdate=7 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWyVAXI|archivedate=2011-08-26}}</ref> согласно которому значительный процент респондентов уверен, что:

* кукиcookie, как [[сетевые черви|черви]] и [[Компьютерный вирус|вирусы]], могут стереть данные с [[жёсткий диск|жёсткого диска]] пользователя;

* кукиcookie являются причиной [[всплывающее окно|всплывающих окон]];

* кукиcookie используются для почтового [[спам]]а;

* кукиcookie используются только для рекламы.

В действительности же, кукиcookie представляют собой лишь данные, а не программный код: они не могут стереть или прочитать информацию с компьютера пользователя.<ref>{{cite web|author=Адам Пененберг|datepublished=7 ноября 2005|url=http://www.slate.com/id/2129656/|title=Куки-монстры|accessdate=7 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWz8OSv|archivedate=2011-08-26}}</ref> Однако кукиcookie позволяют проследить, какие веб-страницы просмотрены пользователем на данном сайте, и эта информация может быть сохранена в профиле пользователя. Такие профили зачастую анонимны и не содержат личной информации пользователей (имя, адрес и т. д.). Точнее, они не могут её содержать, пока пользователь не сделал эту информацию доступной. Но, даже несмотря на анонимность, эти профили стали предметом споров о сохранении приватности.

== Работа кукиcookie ==

=== Установка кукиcookie ===

Сервер отвечает, отправляя запрашиваемую страницу вместе с текстом, содержащим HTTP-ответ. Там может содержаться указание браузеру сохранить кукиcookie:

Строка <code>Set-cookie</code> отправляется лишь тогда, когда сервер желает, чтобы браузер сохранил кукиcookie. В этом случае, если кукиcookie поддерживаются браузером и их приём включён, браузер запоминает строку <code>name=value</code> (имя = значение) и отправляет её обратно серверу с каждым последующим запросом. Например, при запросе следующей страницы <nowiki>http://www.example.org/spec.html</nowiki> браузер пошлёт серверу <nowiki>www.example.org</nowiki> следующий запрос:

Этот запрос отличается от первого запроса тем, что содержит строку, которую сервер отправил браузеру ранее. Таким образом, сервер узна́ет, что этот запрос связан с предыдущим. Сервер отвечает, отправляя запрашиваемую страницу и, возможно, добавив новые кукиcookie.

Значение кукиcookie может быть изменено сервером путём отправления новых строк <code>Set-Cookie: name=newvalue</code>. После этого браузер заменяет староестарый кукиcookie с тем же name на новую строку.

КукиCookie также могут устанавливаться программами на языках типа JavaScript, встроенными в текст страниц, или аналогичными скриптами, работающими в браузере. В JavaScript для этого используется объект <code>document.cookie</code>. Например, <code>document.cookie = "temperature=20"</code> создаст кукиcookie под именем «temperature» и значением 20.<ref>{{cite web|author=Росс Шэннон|datepublished=26 февраля 2007|url=http://www.yourhtmlsource.com/javascript/cookies.html|title=Куки и JavaScript|accessdate=7 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DWzt4OP|archivedate=2011-08-26}}</ref>

=== Атрибуты кукиcookie ===

Кроме пары имя/значение, кукиcookie может содержать срок действия, путь и доменное имя. RFC 2965 также предусматривает, что кукиcookie должны обязательно иметь номер версии, но это используется редко. Эти атрибуты должны идти после пары <code>name=newvalue</code> и разделяться точкой с запятой. Например:

[[Файл:HTTP-Cookie-Google.png|thumb|right|200px|Образец HTTP-ответа google.com, содержащего кукиcookie с атрибутами.]]

Домен и путь говорят браузеру, что кукиcookie должнадолжны быть отправленаотправлены обратно на сервер при запросах [[URL]] для указанного домена и пути. Если они не указаны, используются домен и путь запрошенной страницы<ref name="rfc"/>.

Фактически, кукиcookie определяются тройкой параметров имя-домен-путь (оригинальная спецификация Netscape учитывала только пару имя-путь<ref name="Netscape"/>). Иными словами, кукиcookie с разными путями или доменами являются разными кукиcookie, даже если имеют одинаковые имена. Соответственно, кукифайл cookie меняется на новоеновый, только если новоеновый кукиcookie имеет те же имя, путь и домен.

Дата истечения указывает браузеру, когда удалить кукиcookie. Если срок истечения не указан, кукиcookie удаляется по окончании пользовательского сеанса, то есть с закрытием браузера. Если же указана дата истечения срока хранения, кукиcookie становится постояннойхранится до указанной даты. Дата истечения указывается в формате «Нед, ДД Мес ГГГГ ЧЧ:ММ:СС GMT». Например:

кукиcookie из примера выше имеет имя RMID и значение «732423sdfs73242». Срок его хранения истечёт 31 декабря 2010 года в 23:59:59. Путь «/» и домен «example.net» показывают браузеру, что нужно отправить кукиcookie при просмотре любой страницы в домене example.net<ref name="wolenfaq">{{cite web|author=Дэвид Уолен|datepublished=6 августа 2002|url=http://www.cookiecentral.com/faq/|title=Неофициальный FAQ по куки|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX0Skd1|archivedate=2011-08-26}}</ref>.

Срок хранения кукиcookie истекает в следующих случаях:<ref>{{cite web|url=http://webmaster.info.aol.com/aboutcookies.html|title=О куки|publisher=[[AOL]]|datepublished=15 марта 2004|accessdate=13 августа 2008|lang=en|deadlink=404|archiveurl=http://web.archive.org/20060321034700/webmaster.info.aol.com/aboutcookies.html|archivedate=2006-03-21}}</ref>

# В конце сеанса (например, когда браузер закрывается), если кукиcookie не являются постоянными.

# Браузер удалил кукиcookie по запросу пользователя.

Заметим, что сервер может узнать, когда истекают сроки хранения кукиcookie, только когда браузер отправляет на сервер эту информацию.

КукиФайлы cookie могут использоваться сервером для опознания ранее [[Аутентификация в Интернете|аутентифицированных]] пользователей. Это происходит следующим образом:<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms936337.aspx|title=Куки и авторизация|publisher=[[MSDN]]|accessdate=13 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX0u0oM|archivedate=2011-08-26}}</ref>

# Сервер получает имя пользователя и пароль, проверяет их и, при их правильности, отправляет страницу успешного входа, прикрепив кукиcookie с неким идентификатором сессии. ЭтаЭтот кукифайл cookie может быть действительнадействителен не только для текущей сессии браузера, но может быть настроенанастроен и на длительное хранение.

# Каждый раз, когда пользователь запрашивает страницу с сервера, браузер автоматически отправляет кукиcookie с идентификатором сессии серверу. Сервер проверяет идентификатор по своей базе идентификаторов и, при наличии в базе такого идентификатора, «узнаёт» пользователя.

Многие браузеры (в частности Opera, FireFox), путем редактирования свойств куки,cookie могут управлять поведением веб-сайтов. Изменив срок истечения непостоянных (сессионных) кукиcookie, можно, например, получить формально-неограниченную сессию после авторизации на каком-либо сайте. Возможность редактирования кукиcookie стандартными средствами отсутствует в Internet Explorer. Но, воспользовавшись иными механизмами, например, JavaScript, пользователь может изменить куки-файл cookie. Более того, существует возможность заменить сессионные кукиcookie постоянными (с указанием срока годности).

Однако серверное программное обеспечение может отслеживать такие попытки. Для этого сервер выдаёт кукиcookie на определённый срок и записывает дату окончания кукиcookie у себя каждый раз, когда пользователь обращается к серверу. Если кукифайл cookie, присланный браузером, имеет дату годности, отличную от той, что хранится на сервере, значит имеет местоэто попытка подмены даты годности кукиcookie. Сервер может отреагировать, например, запросивзапросить у пользователя повторную авторизацию.

[[Файл:Cookies in Firefox 3.0.PNG|thumb|200px|Просмотр и настройка кукиcookie в браузере Firefox 3.0]] Большинство современных браузеров поддерживают кукиcookie.<ref>{{cite web|url=http://www.itpolicies.buffalo.edu/web_browser_support/|title=Поддержка веб-браузеров|publisher=[[Университет Буффало]]|datepublished=15 ноября 2004|accessdate=13 августа 2008|lang=en|deadlink=404|archiveurl=http://web.archive.org/20050914065452/www.itpolicies.buffalo.edu/web_browser_support/|archivedate=2005-09-14}}</ref> И, как правило, пользователь может выбрать, должны кукиcookie использоваться или нет. Наиболее распространены следующие настройки браузеров:<ref name="wolenfaq" />

# Полное отключение кукиcookie.

# Удаление кукиcookie при закрытии браузера.

# Различение [[#Приватность и сторонние куки|сторонних кукиcookie]] с третьей стороны и соответствующее обращение с ними (например, ограничение или запрет для них).

# Обработка кукиcookie на основе «белого» и/или «чёрного» списков, обновляемых пользователем или изготовителем браузера. КукиФайлы cookie из «чёрного списка» блокируются.

# Запрет кукиcookie от определённых доменов (разновидность «чёрного списка»).

# Установка разумных сроков истечения кукиcookie.

Большинство браузеров, поддерживающих JavaScript, позволяют пользователю увидеть активные на данном сайте кукиcookie, набрав <code>javascript:alert("Cookies: "+document.cookie)</code> или <code>javascript:prompt("Cookies:",document.cookie)</code> в адресной строке браузера<ref name="wolenfaq" />. Некоторые браузеры содержат менеджер кукиcookie, позволяющий пользователю выборочно просмотреть и удалить кукиcookie, хранящиеся в браузере.

== Приватность и сторонние кукиcookie ==

КукиФайлы cookie значительным образом влияют на [[конфиденциальность]] и анонимность пользователей Интернета. Хотя кукиcookie отправляются только на серверы домена, для которого они предназначены, веб-страница может подгружать изображения или другие компоненты из других доменов. КукиФайлы cookie, получаемые во время подгрузки этих компонентов из других доменов, называются «сторонними»<ref>

[[Файл:Third party cookie.png|thumb|400px|Устанавливая баннеры на разных сайтах и используя сторонние кукиcookie, рекламная компания может отследить перемещение пользователей между этими сайтами.]]

Рекламные компании используют сторонние кукиcookie для отслеживания перемещений пользователя по сайтам. В частности, рекламная компания может отслеживать пользователей на всех сайтах, где установлены их рекламные [[баннер]]ы. Знание страниц, посещённых пользователем, позволяет менять направленность рекламы в зависимости от предпочтений пользователя.

Создание профиля пользователей рассматривается как потенциальная угроза приватности даже при отслеживании в рамках одного домена, но особенно это актуально при отслеживания на нескольких доменах с использованием сторонних кукиcookie. По этой причине в некоторых странах кукиcookie регулируются законодательством.

[[Федеральное правительство США|Правительство Соединенных Штатов]] приняло строгие законы в отношении кукиcookie в 2000 году, после того, как выяснилось, что [[DEA|Агентство по борьбе с наркотиками США]] использовало кукиcookie для отслеживания пользователей, просмотревших их антинаркотическую рекламу в сети. В 2002 году Дэниел Брандт установил, что [[Центральное разведывательное управление|ЦРУ]] устанавливает на компьютеры постоянные кукиcookie со сроком хранения до 2010 года. Когда ЦРУ было уведомлено о неправомерности подобного использования кукиcookie, управление заявило, что это было непреднамеренно и прекратило их установку.<ref>{{cite web|datepublished=20 марта 2002|url=http://www.cbsnews.com/stories/2002/03/20/tech/main504131.shtml|title=ЦРУ поймано на краже куки|publisher=[[CBS News]]|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX1WQIe|archivedate=2011-08-26}}</ref> 25 декабря [[2005 год]]а Брандт обнаружил, что [[Агентство национальной безопасности (США)|Агентство национальной безопасности]] оставляло пару постоянных кукиcookie после обновления программного обеспечения. После этого сообщения Агентство немедленно отключило кукиcookie.<ref>{{cite web|datepublished=29 декабря 2005|url=http://www.nytimes.com/2005/12/29/national/29cookies.html|title=Агентство удаляет незаконные файлы слежения|publisher=[[Associated Press]]|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX2E9iP|archivedate=2011-08-26}}</ref>

Директива Евросоюза о конфиденциальности электронных данных от 2002 года<ref>{{cite web|datepublished=12 июля 2002|url=http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=en&numdoc=32002L0058&model=guichett|title=Директива о неприкосновенности частной жизни и электронных коммуникаций|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX34Jxw|archivedate=2011-08-26}}</ref> содержит нормы, касающиеся использования кукиcookie. В частности, пункт 3 статьи 5 устанавливает, что хранение данных (в том числе кукиcookie) может осуществляться, лишь если:

Тем не менее, в данной статье также говорится, что хранение технически необходимых данных освобождается от этих норм. Ожидалось, что директива вступит в силу с октября [[2003 год]]а, но доклад от декабря [[2004 год]]а отмечает, что эти положения не нашли применения на практике и что в некоторых государствах ([[Словакия]], [[Латвия]], [[Греция]], [[Бельгия]] и [[Люксембург]]) эти положения не внесены в национальные законодательства. Доклад предлагает провести тщательный анализ ситуации в государствах, участвующих в договоре.

Спецификация [[P3P]] включает возможность для веб-сервера сообщить браузеру о нарушении конфиденциальности, указывая характер собираемой информации и цели сбора. Сюда входит и использование информации, полученной с помощью кукиcookie. По спецификации P3P браузер может принимать или отклонять кукиcookie согласно пользовательским настройкам или же спросить пользователя.

Многие веб-браузеры, включая [[Safari]] от [[Apple]] и [[Internet Explorer]] версий 6 и 7 от Microsoft, поддерживают спецификации P3P, которые позволяют определить, следует ли разрешать сторонние кукиcookie. Веб-браузер [[Opera]] позволяет пользователям отказаться от сторонних кукиcookie и создать глобальные или выборочные профили безопасности для веб-доменов.<ref>{{cite web|url=http://operawiki.info/NewCookieSettings|title=Настройки куки в Opera 9|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX3ifpR|archivedate=2011-08-26}}</ref> [[Firefox]] 2 был лишён этой опции, но она была восстановлена в версии 3.

== Недостатки кукиcookie ==

Помимо проблем конфиденциальности, кукиcookie имеют и некоторые технические недостатки. В частности, они не всегда точно идентифицируют пользователя и могут быть причиной атак злоумышленников.

Если на компьютере используется более одного браузера, то, как правило, каждый имеет отдельное хранилище для кукиcookie. Поэтому кукиcookie идентифицируют не человека, а сочетание [[Учётная запись|учётной записи]], компьютера, и браузера. Таким образом, любой человек, который использует несколько учётных записей, компьютеров или браузеров, имеет несколько наборов кукиcookie.

Аналогично, кукиcookie не различают пользователей, пользующихся одним компьютером и браузером, если не используются разные учётные записи в операционной системе.

=== Кража кукиcookie ===

Во время нормальной эксплуатации сервер и браузер пользователя постоянно обмениваются кукиcookie. Поскольку кукиcookie могут содержать конфиденциальную информацию (имя пользователя, условия доступа и т. д.), их содержимое не должно быть доступно другим. Кража куки cookie — это акт [[Несанкционированный доступ к информации|несанкционированного перехвата кукиcookie]] посторонними.

[[Файл:Cookie-sniffing.PNG|thumb|200px|КукиФайлы cookie могут быть украдены другим компьютером, читающим трафик сети.]]

КукиФайлы cookie могут быть украдены с помощью анализа [[сетевой трафик|трафика]] — это называется взломом сессии. Сетевой трафик может быть перехвачен и прочитан не только его отправителем и получателем (особенно в публичных сетях [[Wi-Fi]]). Этот трафик включает в себя и кукиcookie, передаваемые через не зашифрованныенезашифрованные HTTP-сессии. Там, где сетевой трафик не шифруется, злоумышленники могут прочесть сообщения пользователей сети, в том числе их кукиcookie, используя программы, называемые [[сниффер]]ами.

Эта проблема может быть решена путём установления между пользователем и сервером шифрованного соединения с использованием протокола [[HTTPS]]. Сервер также может использовать специальный флаг при установке кукиcookie, после чего браузер будет передавать их только по надёжному каналу, например, через [[SSL]]-соединение.<ref name="rfc"/>

Однако большое число веб-сайтов, даже использующих безопасные HTTPS-сессии для идентификации пользователя, затем отправляют кукиcookie и другие данные более простым незашифрованным HTTP-соединением. Злоумышленники могут легко перехватить кукиcookie других пользователей и использовать их на соответствующих веб-сайтах.<ref>{{cite web|datepublished=3 августа 2007|url=http://news.bbc.co.uk/2/hi/technology/6929258.stm|title=Wi-fi взлом веб-почты|publisher=[[BBC News]]|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX4CmXi|archivedate=2011-08-26}}</ref>

[[Файл:Cookie-theft.PNG|thumb|200px|Межсайтовый скриптинг: кукиcookie должны обмениваться лишь между сервером и клиентом, а отправляютсяотправляться третьей стороне.]] Для того чтобы гарантировать передачу кукиcookie только через HTTPS-сессию, кукиони должны иметь атрибут Secure.

Другой способ кражи куки cookie — [[межсайтовый скриптинг]] и несанкционированная отправка кукиcookie на серверы, которые не должны получать их. Современные браузеры могут исполнять фрагменты кода, полученные с сервера. Если кукиcookie доступны во время этого исполнения, их содержимое может в той или иной форме оказаться на серверах, которые не должны получать к ним доступ. Шифрование кукиcookie не поможет в этом случае.<ref>{{cite web|datepublished=май 2002|url=http://www.cgisecurity.com/articles/xss-faq.shtml#theft|title=На что похожа XSS-кража куки?|publisher=[[Cgisecurity.com]]|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX53rTG|archivedate=2011-08-26}}</ref>

Следующий вид межсайтового скриптинга, как правило, используют на сайтах, где пользователям разрешено отправлять сообщения с HTML-содержимым. При вставке соответствующего PHP/Javascript -кода в сообщение атакующий может получить кукиcookie других пользователей.

Эти атаки можно предотвратить установкой флага HttpOnly,<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|title=Снижение опасности межсайтового скриптинга с помощью HTTP-only кук|publisher=Microsoft|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/60ujxtZnN|archivedate=2011-08-13}}</ref> делающей кукиcookie недоступными для скриптов со стороны клиента. Тем не менее, веб-разработчики должны предусматривать защиту от межсайтового скриптинга на стадии [[Веб-разработка|разработки]] веб-сайтов.<ref>{{cite web|author=Майкл Ховард|coauthors=Кит Браун|datepublished=2000|url=http://msdn.microsoft.com/ru-ru/magazine/cc188938(en-us).aspx|title=10 советов по защите кода|publisher=Microsoft|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX5Tc3Z|archivedate=2011-08-26}}</ref>

=== Подмена кукиcookie === <!--понятия «Отравление куки» не существует. Такое понятие существует(-вовало) только на русской Википедии. Не надо переводить английские слова на русский дословно! Забейте в гугле(google.ru) варианты «Подмена куки» и «Отравление куки» (с кавычками) и вы увидите что правильное понятие это «Подмена куки»-->

[[Файл:Cookie-poison.PNG|thumb|200px|Подмена кукиcookie: атакующий отправляет серверу подложные кукиcookie, возможно, изменив легитимные кукиcookie, ранее полученные от сервера.]]

Хотя теоретически кукиcookie должны сохраняться и отправляться назад на сервер неизменными, злоумышленник может изменить их содержимое перед отправкой. К примеру, кукиcookie могут содержать общую сумму, которую пользователь должен уплатить за свои покупки; изменив это значение, злоумышленник сможет заплатить меньше установленной суммы. Процесс изменения содержимого кукиcookie называется ''подменой кукиcookie''.

Для защиты от подобных атак большинство веб-сайтов хранят в кукиcookie лишь идентификатор сессии — случайно сгенерированное число или набор символов, используемое для определения сессии, в то время как вся другая информация хранится на сервере. В этом случае подмена кукиcookie значительно затрудняется.

=== Межсайтовые кукиcookie ===

[[Файл:Cookie-cooking.PNG|thumb|200px|Атакующий использует баг браузера для отправки серверу подложных кукиcookie.]]

Каждый сайт должен иметь свои собственные кукиcookie, и сайт <nowiki>example.com</nowiki> не должен изменять или устанавливать кукиcookie другого сайта <nowiki>example.org</nowiki>. Уязвимости веб-браузеров позволяют вредоносным сайтам нарушать это правило. Это похоже на отправление кукиcookie, но здесь злоумышленник атакует пользователей с уязвимыми браузерами, а не сайт напрямую. Целью таких атак могут быть идентификаторы сессий.

КукиФайлы cookie могут вызвать противоречия между клиентом и сервером. Если пользователь получает кукиcookie, а затем нажимает кнопку «Назад» в браузере, то состояние браузера уже другое по сравнению с моментом получения кукиcookie. Для примера возьмем электронный магазин с корзиной покупок, основанной на применении кукиcookie: пользователь добавляет покупку в корзину, затем нажимает кнопку «Назад», но покупка остаётся в корзине, хотя пользователь, возможно, хотел отменить покупку. Это может привести к путанице и ошибкам. Веб-разработчики должны помнить об этом и принимать меры для решения таких ситуаций.

=== Срок действия кукиcookie ===

Постоянные кукиcookie критикуются экспертами за свой долгий срок хранения, который позволяет веб-сайтам отслеживать пользователей и создавать их профиль с течением времени.<ref>{{cite web|author=Элинор Милз|datepublished=16 июля 2007|url=http://news.cnet.com/8301-10784_3-9745630-7.html|title=Google снижает срок хранения куки для повышения безопасности|publisher=[[CNET Networks]]|accessdate=8 августа 2008|lang=en|archiveurl=http://www.webcitation.org/61DX60XTx|archivedate=2011-08-26}}</ref> Здесь затрагиваются и вопросы безопасности, поскольку украденные постоянные кукиcookie могут использоваться на протяжении значительного периода времени.

Кроме того, правильно составленная вредоносная программа, которая может быть запущена после аутентификации пользователя, сможет перенести сессионные кукиcookie на компьютер злоумышленника, что в первом приближении позволит посещать защищённый сайт без ввода имени пользователя и пароля сколь угодно долгое время.

Обычные кукиcookie имеют хоть и очень большой, но ограниченный «срок жизни», после чего удаляются. Кроме того, любые кукиcookie в браузере можно удалить с помощью специальной опции. В результате браузер перестает идентифицировать посетителя при повторном заходе на сайт. Польский специалист Сэмми Камкар решил систематизировать наиболее «живучие» кукиcookie, в результате чего появилась JavaScript-библиотека под названием Everycookie. Такие чудо-кукиcookie теоретически позволяют идентифицировать любого посетителя сайта при его возвращении на страницу. Сайт, использующий библиотеки Everycookie, без труда обходит все меры по сохранению анонимности (хотя некоторые антивирусы могут определять такие сайты как опасные). Для защиты от Everycookie рекомендуется использование режима Private Browsing, либо специальных программ, таких, как Mil Shield.

== Альтернативы кукиcookie ==

Некоторые операции, для которых используются кукиcookie, могут быть реализованы с помощью других механизмов. Тем не менее, эти альтернативы имеют свои недостатки, которые делают кукиcookie порой более предпочтительными на практике. Большинство этих альтернатив позволяет отслеживать пользователя, хотя и менее надёжным способом, чем кукиcookie. Как результат, неприкосновенность частной жизни остаётся под угрозой, даже если кукиcookie отключены браузером или не устанавливаются сервером.

Этот ненадёжный метод отслеживания пользователей основан на хранении [[IP-адрес]]ов компьютеров, просматривающих страницы. Данная техника доступна с самого появления [[World Wide Web]], которая требует знания IP-адреса клиента для загрузки страницы. Эту информацию можно хранить на сервере вне зависимости от того, используются кукиcookie или нет.

Тем не менее этот способ менее надёжен, чем кукиcookie, поскольку компьютеры и прокси могут совместно использоваться несколькими пользователями, а один компьютер может использовать разные IP-адреса в разных сессиях (динамический IP-адрес).

Более прогрессивная методика основана на встраивании данных в URL. Обычно для этого используется строка запроса, но так же могут задействоваться и другие части URL. Языки [[JavaScript]] и [[PHP]] активно используют эти механизмы при отключенных кукиcookie.

В этом плане строка запроса и кукиcookie очень схожи: они являются фрагментами информации сервера, возвращаемой обратно браузером. Но есть и определённые различия: так как строка запроса является частью URL, то при повторном использовании этого URL на сервер передастся та же информация. Например, если опции пользователя кодированы в строке запроса URL, и пользователь отправляет этот URL другому пользователю, эти опции будут действовать и для другого пользователя.

Более того, даже если пользователь повторно обращается к одной и той же странице, нет никакой гарантии, что строка запроса останется неизменной. Например, при переходе с внутренних страниц сайта и с внешних поисковых систем, строки запроса будут разнымразными, когда кукиcookie оставались бы одинаковыми.

Другой недостаток строки запроса проявляется в вопросах безопасности: хранение идентификатора сессии в строке запроса упрощает проведение атаки. Передача идентификатора в кукиcookie более безопасна.

Одним из способов отслеживания сессии с помощью выполняемой на стороне сервера программы является использование веб-форм со скрытыми полями. Этот метод очень похож на строку запроса URL и обладает почти теми же преимуществами и недостатками, а если параметры формы отправляются HTTP-методом GET, то поля фактически станут частью URL, который браузер отправит на сервер. Но большинство форм обрабатывается HTTP POST, при которой информация не является ни частью URL, ни кукиcookie.

Протокол HTTP включает в себя базовую аутентификацию и шифрование, которые разрешают доступ к странице, только когда пользователь введёт правильное имя пользователя и пароль. Если сервер запрашивает подобное, то браузер обращается к пользователю и, получив нужные данные, сохраняет и использует их для доступа к другим страницам, не требуя от пользователя вводить их заново. С точки зрения пользователя эффект тот же, что и при использовании кукиcookie: имя пользователя и пароль требуются лишь однажды, и потом пользователь получает доступ к сайту. При базовой аутентификации сочетание имени пользователя и пароля отправляется на сервер при каждом запросе браузера в незашифрованном виде. Это означает, что если кто-то перехватывает трафик, он сможет получить эту информацию и впоследствии использовать. При шифрованной аутентификации имя пользователя и пароль шифруются со случайным [[Ключ (криптография)|ключом]], созданным сервером.