HTTP бисквитка

HTTP бисквитката^[1] (буквален превод от английски: HTTP cookie), обикновено наричана просто „бисквитка“, е пакет информация, изпратен от уеб сървър към интернет браузър, а след това връщан от браузъра всеки път, когато той получи достъп до този сървър. „Бисквитките“ са изобретени от Лу Монтули, бивш служител на Нетскейп Комюникешънс.

Предназначение

„Бисквитките“ могат да съдържат произволна информация, избрана от сървъра, и се използват да поддържат състоянието на HTTP трансакциите, които иначе са „без състояние“. Обикновено те се използват за удостоверяване на самоличността на регистриран потребител на даден уебсайт като част от процеса на влизане или първоначална регистрация в сайта, като от потребителя не се изисква ново въвеждане на потребителско име и парола при всеки следващ достъп до този сайт. Други използват бисквитките за поддържане на „пазарска кошница“ за избрани стоки за купуване от даден сайт по време на една сесия, за персонализация на сайт (представяне на различни страници за различните потребители) и за проследяване на достъпа на отделни потребители до даден сайт.

Настройки на браузъра

Даден браузър може да позволи или да забрани използването на „бисквитки“. Потребителят обикновено може да избере настройка.

Microsoft Internet Explorer

• Tools > Internet Options > Privacy Tab
• Използвайте плъзгача, за да зададете опциите, или използвайте допълнителните опции (Advanced...)

Mozilla

• Tools > Cookie Manager ИЛИ
• Edit > Preferences > Privacy & Security
  • Задайте опции в точка Cookies
    • Cookie Sites позволява настройки по домейни: Block/Session/Allow
    • Stored Cookies отваря прозорец за управление на „бисквитки“, в който се показват подробности за съхранените бисквитки, като има възможност да се изтриват или блокират

Opera

• > Settings > Preferences... ИЛИ
• Ctrl+F12
  • Advanced > Cookies
    • Accept cookies – използването на бисквитки позволено. Стойността е зададена по подразбиране.
    • Accept only cookies from the site I visit – позволяване използването на бисквитки само от сайта, който сте посетили.
    • Never accept cookies – забранено използването на бисквитки.
      • Delete new cookies when exiting Opera – изтриване на новите бисквитки след затварянето на браузъра. Ако сте посетили даден нов сайт, който запазва информация в бисквитките, след затварянето на браузъра, новосъздадените бисквитки автоматично се трият.
      • Ask me before accepting cookies – браузърът пита потребителя, дали иска да/не използва бисквитки при нужда.
      • Manage Cookies – организиране на бисквитките.

Google Chrome

• Опции > Разширени настройки
  • Поверителност > Настройки на съдържанието > „Бисквитки“
    • Да се разреши задаването на локални данни (препоръчително) – стойността е зададена по подразбиране.
    • Разрешаване на задаването на локалните данни само за текущата сесия.
    • Задаването на данни от сайтове да се блокира изцяло.
      • Да се блокира задаването на „бисквитки“ на трети страни – да/не
      • „Бисквитките“ и другите данни за сайтове и приставки да се изчистват, когато затварям браузъра си – да/не

Трайност

Дадена „бисквитка“ остава в компютъра на потребителя за използване при следваща сесия (междувременно тя може да бъде изтрита от потребителя), но тя може също така да се използва само в рамките на една сесия и да бъде изтрита в края на сесията.

Идентификация

Ако на даден компютър се използва повече от един браузър, всеки си има отделно пространство за съхранение на „бисквитки“. „Бисквитките“ не идентифицират дадено лице, а комбинация от компютър и уеб браузър. Следователно едно лице, което използва няколко браузъра или компютъра, има отделен набор от „бисквитки“ за всяка комбинация компютър – браузър. От друга страна, „бисквитките“ не правят разлика между множество потребители, споделящи един и същ компютър и браузър, освен ако те не използват различни потребителски сметки.

Мнения против „бисквитките“

Някои хора са против използването на „бисквитки“ в интернет. По-долу се излагат някои от техните доводи:

Погрешна идентификация

Вижте по-горе Идентификация...

Поверителност, анонимност и реклама

„Бисквитките“ могат сериозно да се намесят за разкриване на поверителни лични данни и анонимността на даден потребител в интернет. Един начин за това е например, когато някои компании следят посещенията на потребителите на различни сайтове с маркетингова цел. Някои сайтове съдържат картинки, наречени уеб бръмбъри (които са прозрачни и с размер един пиксел, така че не се забелязват), които записват „бисквитки“ на всеки компютър, който получи достъп до тях. Уебсайтове за електронна търговия могат след това да прочетат тези „бисквитки“, да разберат от кои уебсайтове са ги записали и да изпратят електронно писмо – спам с реклами за продуктите, свързани с тези уебсайтове.

Компаниите, които използват тази система, я защитават като ефективен начин за даване на потребителите достъп до продуктите, от които те евентуално се интересуват. Ако сайтовете, които записват такива „бисквитки“, получават заплащане от рекламна агенция, приходът ще им позволи да записват тяхното съдържание онлайн безплатно за създателите.

В Швеция е приет закон за „бисквитките“, който задължава сайтовете, които използват „бисквитки“, да поставят за това съобщение и указания как потребителите могат да ги избягват.

Бисквитките се използват от рекламодателите, за да определят интересите на потребителя и да му сервират подходящи реклами (на английски: interest-based advertising), като спомагат за определяне на това кой използва компютъра, какво съдържание/продукти го интересуват и кои сайтове посещава най-често.^[2]

Кражба на „бисквитки“, междусайтово скриптиране и „отравяне“ на „бисквитки“

Макар че „бисквитките“ сами по себе си не са опасни, те съдържат информация, съответстваща на даден контекст: потребител, компютър, уеб браузър и преди всичко домейн, обслужван от уеб сървъра, откъдето произхождат. Заобикалянето на този контекст, т.е. „изтичането“ на информация за този контекст е нежелателно за потребителя особено когато информацията от „бисквитките“ съдържа лични данни. Такова заобикаляне представлява ценно начинание за някой, който извършва атаки. Междусайтовото скриптиране е превъзходен инструмент за постигане на тази цел. Освен заплахите от атаки с междусайтово скриптиране и кражба на „бисквитки“, „отравянето“ на „бисквитки“ също представлява опасност за потребителя, тъй като то позволява прескачане на контекста и доверяване на приносителя им.

• Кражба на „бисквитки“: събиране на потребителски „бисквитки“ и изпращането им на уебсайта на този, който извършва атаки. След това той може да използва информацията от „бисквитките“ за „отвличане“ на потребителската сметка от доверен / засегнат
• „Отравяне“ на „бисквитки“: като заобикаля защитния механизъм на доверието, основано върху контекст, този, който извършва атаки, може да „инжектира“ код, получен от модификацията на съдържанието на „бисквитките“, като по този начин осъществява постоянни атаки.

Бъдещето на „бисквитките“

Предложени са няколко алтернативи на „бисквитките“, напр. Проектът Brownie („шоколадови сладки“), проект с отворен код на SourceForge. „Шоколадовите сладки“ трябваше да бъдат предназначени за множество домейни в противовес на „бисквитките“, които (по общо мнение) са ограничени до единичен домейн. Разработката на проекта е прекратена.

Външни препратки

• Състояние Постоянен клиент – HTTP „бисквитки“ – предварителна спецификация Архив на оригинала от 2007-08-05 в Wayback Machine. (Netscape) ((en))
• Фиксиране на сесия (в PDF формат) ((en))
• Често задавани въпроси за „бисквитките“ (неофициална страница) ((en))
• „Можете ли да ми обясните какво е кражба на „бисквитки“ чрез междусайтово скриптиране?“ (откъс от Cgisecurity Често задавани въпроси за междусайтовото скриптиране) ((en))
• CERT® Advisory CA-2000-02 Злонамерени HTML етикети, вложени в заявки на уеб клиенти ((en))
• Опасни ли са „бисквитките“ Архив на оригинала от 2004-12-05 в Wayback Machine. – Статия, обясняваща какво представляват „бисквитките“ и за какво да внимаваме. ((en))

Бележки

1. Използва се умалителната дума бисквитка от бисквита, а не се използва думата бисквита за HTTP бисквитка.
2. Stobing, Chris. How to opt out of ad tracking from the largest ad networks // 14 октомври 2017. Посетен на 8 декември 2017. (на английски)