Un cookie HTTP sau un modul cookie este un text special, deseori codificat, trimis de un server unui navigator web și apoi trimis înapoi (nemodificat) de către navigator, de fiecare dată când accesează acel server. Cookie-urile sunt folosite pentru autentificare precum și pentru urmărirea comportamentului utilizatorilor; aplicații tipice sunt reținerea preferințelor utilizatorilor și implementarea sistemului de „coș de cumpărături”.

Termenul „cookie” este un cuvânt englez (biscuit, pronunție: /ˈkuˌki/). În informatică el este derivat din termenul „magic cookie”, un concept des utilizat în IT. În general cuvântul „cookie” cu acest sens este folosit și în alte limbi; doar în terminologia tehnică francofonă s-a încercat traducerea lui prin termenul témoin („martor”).

Cookie-urile au creat îngrijorare din cauză că ele permit strângerea de informații despre comportamentul utilizatorilor (în principiu, ce anume pagini web vizitează și când). Ca urmare, folosirea lor (și a informațiilor culese) sunt supuse în unele țări unor restricții legale, printre care Statele Unite ale Americii și țările UE. Tehnicile de tip „cookie” au fost de asemenea criticate pentru faptul că identificarea utilizatorilor nu e întotdeauna precisă, ca și pentru faptul că prin intermediul lor se pot executa atacuri informatice.

Există și o serie de păreri greșite despre cookie-uri, cele mai multe bazate pe impresia (greșită) că ele ar conține întotdeauna cod executabil; în realitate ele sunt doar texte, și nu pot să execute nicio operație. Ele nu sunt nici spyware și nici viruși informatici, deși anumite programe antivirus și anti-spyware le pot detecta.

Cele mai multe navigatoare moderne permit utilizatorului să decidă dacă acceptă sau nu cookie-uri. Siturilor care le refuză le vor lipsi însă anumite facilități - de exemplu, într-un magazin virtual nu se va mai putea folosi coșul de cumpărături, dacă acesta a fost implementat cu ajutorul cookie-urilor.

Scopul

Cookie-urile sunt folosite de serverele web pentru a putea diferenția utilizatorii și pentru a putea reacționa în funcție de acțiunile acestora în cadrul unei sesiuni formate din mai multe tranzacții separate. Ele au fost inventate pentru a se putea implementa un coș de cumpărături virtual: de obicei, utilizatorul mai întâi se autentifică (login), apoi navighează pe site, adaugă sau elimină în voie obiecte din coș, apoi afișează conținutul coșului, cere calcularea prețului final, se hotărăște să comande (ori totuși renunță), iar la sfârșit închide sesiunea (logout).

Autentificarea utilizatorilor față de server este o altă aplicație a cookie-urilor; cu ajutorul acestora serverul reține faptul că utilizatorul s-a autentificat, și îi va permite acțiuni specifice celor autentificați.

Unele site-uri folosesc cookie-urile și pentru a permite utilizatorilor să modifice felul în care afișează paginile de web, în funcție de preferințele personale, care sunt reținute și între sesiuni. Se pot modifica și reține în acest fel atât aspecte legate de funcționalitatea cât și de afișarea grafică a paginilor. De exemplu, Wikipedia permite utilizatorilor înregistrați să modifice aspectul paginilor, iar în Google, chiar și utilizatorii neînregistrați pot de exemplu alege câte rezultate să fie afișate într-o pagină.

Cookie-urile se folosesc și pentru a urmări activitatea unui utilizator pe un site, sau chiar pe mai multe site-uri, în cazul cookie-urilor „third party” sau a așa-numiților „web bugs”. Urmărirea în cadrul unui site este făcută în scopul obținerii unor statistici de folosire. În special companiile de publicitate urmăresc activitatea utilizatorilor în cadrul mai multor situri pentru a afla mai exact interesele lor, putând astfel să decidă care anume reclame să trimită la un anumit moment unui anumit utilizator.

Realizarea

Cookie-urile de obicei conțin date fără semnificație pentru utilizator sau pentru navigatorul său, dar care pot fi interpretate de server. Navigatorul le primește și le returnează serverului nemodificate, introducând astfel o „amintire” a evenimentelor trecute în cererea HTTP, care în sine este atemporală (altfel spus, fiecare cerere este în principiu un eveniment izolat, fără a avea vreo legătură cu alte cereri HTTP trecute sau viitoare către același server). Returnând însă un cookie unui server, acesta poate lega cererea actuală de cereri precedente (în care același server a trimis cookie-ul), în acest fel luând naștere o așa numită sesiune. În afară de servere, cookie-urile mai pot fi create și de aplicații web care rulează pe server, comunică cu clienții prin HTTP, și sunt scrise în limbaje de programare cum ar fi Java și C# sau în scripturi ce rulează pe server.

Descrierea detaliată a mecanismului^[1][2] sugerează ca navigatoarele să poată reține cel puțin 300 de cookie-uri de câte 4 kb, și cel puțin 20 pentru fiecare server sau domeniu de Internet.

La crearea cookie-ului se poate specifica și data de ștergere; în caz contrar, acesta va fi șters la închiderea navigatorului. Un magazin virtual poate dori să se rețină conținutul coșului de cumpărături între sesiuni, astfel încât la următoarea vizită utilizatorul să nu trebuiască să caute din nou toate produsele. În acest caz, serverul magazinului va crea un cookie cu un termen de ștergere ceva mai lung. Doar cookie-urile care au un termen de ștergere lung, specificat explicit, vor „supraviețui” între sesiuni, în care caz ele pot fi numite „persistente”.

Neadevăruri

De la apariția cookie-urilor pe Internet s-au răspândit și mai multe păreri greșite despre ele.^[3][4] În 2005, Jupiter Research a publicat rezultatele unui sondaj,^[5] conform căruia o bună parte din cei chestionați credeau că:

• cookie-urile sunt similare viermilor sau virușilor, putând să șteargă date de pe discul dur;
• cookie-urile sunt o formă de spyware, ele putând să citească informații personale stocate în PC;
• cookie-urile generează popup-uri (ferestre cu reclame, deschise automat de către navigator, în general deranjante);
• cookie-urile sunt folosite pentru a trimite spam;
• cookie-urile sunt o formă de reclamă.

De fapt cookie-urile conțin doar date, nu și cod (instrucțiuni executabile): ele nu pot să șteargă sau să citească nimic de pe PC-ul utilizatorului.^[6] Totuși, ele permit detectarea paginilor vizitate de un utilizator pe unul sau mai multe situri. Aceste informații pot fi colectate într-un profil al utilizatorului. Acesta este ce-i drept anonim (nu conține informații personale cum ar fi nume sau adresă, cu excepția cazului în care utilizatorul și-a indicat el însuși datele personale), dar conține totuși o adresă IP. Chiar dacă sunt în teorie anonime, datele colectate în acest fel au dat naștere unor îngrijorări cu privire la cât de bine se asigură anonimitatea utilizatorului atunci când navighează pe Internet.

În plus, conform aceluiași sondaj, destul de mulți intervievați nu știau cum să șteargă cookie-urile reținute de navigatoarele lor.

Anonimitatea și cookie-urile de „terță parte”

Cookie-urile au implicații destul de importante în ceea ce privește anonimitatea și securitatea informațiilor de natură personală ale celor care accesează pagini de web. Deși cookie-urile sunt trimise doar serverului care le-a creat sau unuia care este în același domeniu de Internet, o pagină poate conține imagini (sau alte elemente) găzduite pe mai multe servere din domenii diferite. Cookie-urile create de aceste servere secundare (față de serverul pe care este găzduită pagina propriu-zisă) se numesc „de terță parte”.

Companiile publicitare folosesc astfel de cookie-uri pentru a urmări utilizatorii care accesează paginile în care aceasta are imagini sau așa numite „Web-bugs” (care sunt imagini cu dimensiunea de un singur pixel, în mod normal invizibile — transparente, al căror singur rol constă în a declanșa un transfer de cookie-uri). În acest fel compania cunoaște comportamentul utilizatorilor și poate plasa reclame pertinente (apropiate de preocupările și interesele utilizatorului) în anumite pagini.

Posibilitatea generării unei aproximări a comportamentului utilizatorilor a fost considerată de unii drept o amenințare a anonimității, mai ales atunci când aceasta se face prin urmărirea acțiunilor pe mai multe domenii de Internet, folosind cookie-uri de „terță parte”. Din această cauză, folosirea cookie-urilor este reglementată prin lege în unele țări.

Guvernul Statelor Unite ale Americii a elaborat un set strict de reguli în privința cookie-urilor în anul 2000, după ce a ieșit la iveală faptul că Direcția pentru Controlul Drogurilor a Casei Albe folosea cookie-uri pentru a vedea dacă cei care îi accesau site-ul accesau după aceea pagini de web despre folosirea ori producerea drogurilor. În 2002, Daniel Brandt, militant pentru securitatea datelor personale pe web, a descoperit că și pagina de web a CIA lăsa pe hard-disk-urile utilizatorilor cookie-uri persistente (cu data de expirare 2010). După ce a fost anunțată că își încalcă propriile reguli, CIA a răspuns că trimiterea cookie-urilor a fost accidentală, că ele nu au fost folosite efectiv pentru a urmări utilizatorii și și-a modificat pagina astfel încât să nu mai folosească cookie-uri.^[8] Pe 25 decembrie 2005, Brandt a descoperit că și NSA lăsa două cookie-uri persistente pe calculatoarele utilizatorilor, din cauza unui update de software. După ce a fost informată de acest lucru, NSA a dezactivat trimiterea de cookie-uri de pe site-ul propriu.^[9]

O directivă din 2002 a Uniunii Europene în privința securității informațiilor de natură personală pe Internet conține reguli legate de folosirea cookie-urilor. Printre altele, Articolul 5, Alineatul 3 specifică faptul că salvarea datelor (cum ar fi cookie-uri) pe calculatorul unui utilizator poate fi făcută doar dacă: 1) utilizatorului i se spune cum vor fi utilizate aceste date; și 2) utilizatorului i se dă posibilitatea de a refuza aceste date. Totuși, același articol menționează faptul că salvarea datelor necesare din motive tehnice este exceptată de la această regulă. Această directivă trebuia aplicată încă din octombrie 2003, dar un raport din decembrie 2004^[10] spune (la pagina 38) că această prevedere nu a fost pusă în practică, și că unele țări membre nici măcar nu au adoptat-o (Slovacia, Letonia, Grecia, Belgia, și Luxembourg). Același raport propune o analiză serioasă a situației din statele membre (ale Uniunii Europene).

Dezavantaje ale cookie-urilor

În afară de problema securității datelor personale, mai există câteva motive pentru care folosirea cookie-urilor este criticată: ele nu pot identifica foarte precis utilizatorii, și pot fi folosite pentru a ataca sistemele IT.

Identificarea imprecisă

Dacă pe un calculator sunt folosite mai multe navigatoare, fiecare va avea cookie-urile sale. Deci cookie-urile nu identifică persoana, ci combinația cont de utilizator, calculator, navigator. Oricine folosește mai multe conturi de utilizator, calculatoare sau navigatoare, va avea mai multe seturi de cookie-uri.

De asemenea, prin cookie-uri nu se poate face diferența dintre doi utilizatori care folosesc același calculator și navigator (dacă nu folosesc conturi de utilizator diferite).

Alternative la cookie-uri

Există o serie de alternative la folosirea cookie-urilor. Acestea au însă și ele dezavantajele lor, de aceea cookie-urile sunt preferate de cele mai multe ori în practică. Cele mai multe dintre aceste metode alternative permit urmărirea acțiunilor utilizatorilor, deși cu o acuratețe mai mică decât cea a cookie-urilor. Securitatea informațiilor personale rămâne deci o problemă, chiar dacă navigatorul este configurat să nu accepte cookie-uri.

Istoria cookie-urilor

Termenul vine de la expresia din limba engleză „magic cookie”, care desemnează un pachet de date pe care un program îl primește doar pentru a-l trimite înapoi nemodificat. Acest procedeu era deja larg răspândit atunci când, în iunie 1994, Lou Montulli a avut ideea de a-l folosi în cadrul comunicațiilor web^[14]. Pe atunci el era angajat al Netscape Communications, care dezvolta o aplicație e-commerce pentru un client, iar cookie-urile au fost folosite pentru a implementa un „coș de cumpărături virtual”^[15][16]

Împreună cu John Giannandrea, Montulli a scris descrierea tehnică a cookie-urilor, iar versiunea 0.9 a navigatorului Netscape (lansată în septembrie 1994) accepta cookie-uri. Prima aplicație a cookie-urilor a fost pe situl Netscape - se verifica dacă un vizitator intra accesa pentru prima dată situl. Montulli și Giannandrea au depus o cerere de brevetare a mecanismului (1995), primind brevetul în 1998. Versiunea 2 a Internet Explorer (lansată în 1995) suporta de asemenea cookie-uri.^[17]

La acel moment, introducerea cookie-urilor nu era foarte cunoscută de publicul larg. Cookie-urile erau acceptate de setările implicite ale navigatorului, iar utilizatorii nu erau notificați de prezența lor. Un articol Financial Times, publicat în12 februarie 1996, a atras atenția asupra cookie-urilor, mai ales din cauza posibilității de a sustrage cu ajutorul lor informații personale.

Primele specificații oficiale au fost scrise în februarie 1997, de IETF (documentul RFC 2109). Cookie-urile „third-party” au fost identificate ca fiind o amenințare la adresa anonimității utilizatorilor, astfel încât documentul recomandă ca ele să nu fie acceptate deloc, sau măcar ca aceasta să fie setarea implicită a navigatorului.

Companiile de publicitate deja foloseau cookie-uri, iar recomandarea privind cookie-uri „third-party” nu au fost respectate de Netscape ori de Internet Explorer. RFC 2109 a fost urmat de RFC 2965 în octombrie 2000.

Expirare

cookie-urile expiră, și de aceea nu sunt trimise de către navigator spre server în condițiile de mai jos:

1. La sfârșitul unei sesiuni (de exemplu, când este închis navigatorul) dacă acel cookie nu este persistent
2. Dacă a fost specificată o dată de expirare și data se află la momentul curent în trecut
3. Dacă data expirării este schimbată (de către server sau script) într-o dată din trecut
4. Navigatorul șterge cookie-ul la cererea utilizatorului

A treia condiție permite unui server sau unui script să șteargă în mod explicit un cookie.

Autentificare

Cookie-urile pot fi folosite de servere pentru a recunoaște utilizatorii autentificați și pentru a modifica paginile trimise în funcție de preferințele acestora (personalizare). De exemplu:

1. Utilizatorul introduce numele de utilizator și parola în câmpurile de editare ale unei pagini și le trimite spre server;
2. Serverul primește numele de utilizator și parola și le verifică; dacă sunt corecte, trimite o pagină care confirmă acest lucru utilizatorului, împreună cu un cookie; de asemenea, serverul memorează perechea nume/cookie (sau doar cookie-ul);
3. La fiecare accesare a unei pagini de pe acel server, navigatorul trimite și cookie-ul împreună cu cererea; serverul compară cookie-ul primit cu cele memorate, și poate să decidă dacă este vorba de un utilizator autentificat sau nu, trimițând pagina potrivită.

Aceasta este metoda folosită de aproape toate siturile, inclusiv Wikipedia.

Personalizarea paginilor

În mod similar autentificării, serverul află ce utilizator îi cere o pagină și poate să o trimită în consecință, în funcție de preferințele exprimate anterior, și care au fost reținute de server. Se pot personaliza pagini chiar în cazul utilizatorilor care nu au un cont pe server: pur și simplu se rețin preferințele în cadrul cookie-ului, și la cererile următoare, trimițând și cookie-ul, navigatorul trimite și preferințele utilizatorului.

De exemplu, Google reține preferințele utilizatorilor într-un cookie numit PREF. Acesta e creat cu valori implicite la prima accesare a sitului. Atunci când utilizatorul intră în pagina de preferințe și alege ceva, serverul trimite o cerere de modificare a cookie-ului, reținând în el noua valoare.

Urmărirea utilizatorilor

Metoda cea mai folosită este următoarea:

1. Dacă o cerere nu conține nici un cookie, se presupune că este prima accesare a unei pagini de pe acel server; acesta creează un cookie cu o valoare arbitrară (dar unică) și-l trimite, împreună cu pagina solicitată;
2. De acum încolo, navigatorul va primi împreună cu cererile și cookie-ul; el va trimite paginile cerute, dar va reține numele paginii cerute, data și ora, precum și valoarea cookie-ului într-o listă specială.

Parcurgând această listă, este posibil să se afle ce pagini (și în ce ordine) au fost vizitate de un anumit utilizator (identificat de un anumit cookie).

Cookie-uri „third-party”

Imaginile sau alte obiecte conținute de o pagină web pot să fie de fapt pe alt server decât cel pe care este pagina propriu-zisă. Pentru a afișa aceste obiecte, navigatorul le descarcă de pe serverele lor, eventual primind și cookie-uri. Acestea se numesc „third party”, dacă serverul care le-a creat se află în alt domeniu decât serverul paginii.

Acest fenomen se întâmplă mai ales în cazul reclamelor. Imaginile publicitare se află de obicei stocate pe serverele companiei publicitare, în alt domeniu decât pagina web pe care sunt afișate. Dacă navigatorul acceptă cookie-urile, compania de publicitate poate să urmărească activitatea utilizatorului pe mai multe situri (pe toate siturile vizitate, care au imagini ce provin de la acea companie de publicitate). Aceasta se face folosind un URL unic pentru fiecare sit (astfel încât aceeași imagine afișată pe două situri are alt URL) sau cu ajutorul câmpului referer din tranzacția HTTP. Același lucru se poate obține intercalând în pagina de web imagini invizibile utilizatorului, dar care sunt downloadate de navigator.

Companiile de publicitate au negat permanent că aceste informații ar fi folosite și pentru alte scopuri în afara stabilirii unor preferințe ale utilizatorilor.

Multe navigatoare moderne, cum ar fi Internet Explorer, Opera sau Mozilla Firefox, permit utilizatorului să aleagă blocarea cookie-urilor „third party”. Versiunea 6 a Internet Explorer permite și o formă intermediară de blocare: dacă third.com trimite un cookie odată cu o imagine de pe o pagină din domeniul first.com, cookie-ul nu este trimis în cazul în care o este nevoie de o imagine de pe același third.com, dar pentru un document din domeniul other.com; dacă însă un document oarecare din domeniul inițial first.com are nevoie de o imagine de pe third.com, cookie-ul va fi trimis.^[19]

Securitate si probleme legate de confidenţialitate

Cookie-urile NU sunt viruşi! Ele folosesc formate tip plain text. Nu sunt alcătuite din bucăţi de cod, aşa că nu pot fi executate, nici nu pot rula în mod automat. În consecinţă, nu se pot duplica sau replica pe alte reţele pentru a rula sau a se replica din nou. Deoarece nu pot îndeplini aceste funcţii, nu pot fi considerate viruşi. Cookie-urile pot fi, totuşi, folosite pentru scopuri negative. Deoarece stochează informaţii despre preferinţele şi istoricul de navigare al utilizatorilor, atât pe un anume website cât şi pe alte website-uri, cookie-urile pot fi folosite ca o formă de Spyware. Multe produse anti-spyware sunt conştiente de acest fapt şi, în mod constant, marchează cookie-urile pentru a fi şterse, în cadrul procedurilor de ştergere/scanare anti-virus/anti-spyware. În general, browserele au integrate reglaje de confidenţialitate, care furnizează diferite nivele de acceptare a cookie-urilor, perioada de valabilitate şi ştergere automată după ce utilizatorul a vizitat un anumit site.

Alte aspecte de securitate legate de cookie-uri

Deoarece protecţia identităţii este foarte valoroasă şi reprezintă dreptul fiecărui utilizator de Internet, este indicat să se ştie ce eventuale probleme pot crea cookie-urile.

Pentru că prin intermediul lor se transmit în mod constant, în ambele sensuri, informaţii între browser şi website, dacă un atacator sau persoană neautorizată intervine în parcursul de transmitere a datelor, informaţiile conţinute de cookie pot fi interceptate. Deşi foarte rar, acest lucru se poate întâmpla dacă browserul se conectează la server folosind o reţea necriptată (ex.: o reţea WiFi nesecurizată).

Alte atacuri bazate pe cookie implică reglaje greşite ale cookie-urilor pe webservere. Dacă un website nu solicită browserului să folosească doar canale criptate, atacatorii pot folosi aceasta vulnerabilitate pentru a păcăli browserele în a trimite informaţii prin intermediul canalelor nesecurizate. Atacatorii utilizează apoi informaţiile cu scopul de a accesa neautorizat anumite site-uri.

Este foarte important ca utilizatorii să fie atenţi în alegerea metodei celei mai potrivite de protecţie a informaţiilor personale.

Sfaturi pentru o navigare sigură şi responsabilă, bazată pe cookies

Datorită flexibilităţii lor şi a faptului că majoritatea dintre cele mai vizitate website-uri, inclusiv cele mai mari, folosesc cookie-uri, acestea sunt aproape inevitabile. Dezactivarea cookie-urilor nu va permite accesul utilizatorului pe site-urile cele mai răspândite şi utilizate, printre care: Facebook, Twitter, YouTube, Gmail, Yahoo şi altele.

Iată câteva sfaturi care vă pot asigura că navigaţi fără grijă, însă cu ajutorul cookie-urilor:

·         particularizaţi-vă reglajele browserului, în ceea ce priveşte cookie-urile, pentru a reflecta un nivel confortabil pentru dumneavoastră al securităţii utilizării cookie-urilor;

·         dacă nu vă deranjează cookie-urile şi sunteţi singura persoană care utilizează computerul, puteţi regla termene lungi de expirare pentru stocarea istoricului de navigare şi al datelor personale de acces;

·         dacă împărţiţi accesul la calculator, puteţi lua în considerare reglarea browserului pentru a şterge datele individuale de navigare de fiecare dată când închideţi browserul. Aceasta este o variantă de a accesa website-urile care plasează cookie-uri şi de a şterge orice informaţie de vizitare, la închiderea sesiunii de navigare;

·         instalaţi-vă şi actualizaţi-vă constant aplicaţii antispyware. Multe dintre aplicaţiile de detectare şi prevenire a spyware-ului includ detectarea atacurilor pe site-uri. Astfel, împiedică browserul de a accesa website-uri care ar putea să exploateze vulnerabilităţile browserului sau să descarce software periculos;

·         asiguraţi-vă că aveţi browserul mereu actualizat. Multe dintre atacurile bazate pe cookies se realizează exploatând punctele slabe ale versiunilor vechi ale browserelor.

Cookie-urile sunt pretutindeni şi nu pot fi evitate, dacă doriţi să vă bucuraţi de acces pe cele mai bune şi cele mai mari site-uri de pe Internet – locale sau internaţionale. Cu o înţelegere clară a modului lor de operare şi a beneficiilor pe care le aduc, puteţi lua măsurile necesare de securitate, astel încât să puteţi naviga cu încredere pe Internet.

Cum procedați dacă nu doriți să fie instalate module cookie pe computerul dumneavoastră?

Există persoane pentru care stocarea unor informații extrase din computerul sau dispozitivul lor mobil are un caracter relativ invaziv, mai ales atunci când informațiile în cauză sunt stocate și utilizate de către terți care le sunt necunoscuți. Dacă preferați, aveți posibilitatea de a bloca toate modulele cookie sau doar pe unele dintre acestea ori chiar de a elimina module cookie care au fost instalate pe terminalul dumneavoastră. Fiți însă conștient de faptul că riscați să nu puteți utiliza anumite funcții. Pentru a activa acest blocaj, trebuie să modificați parametrii de confidențialitate ai browserului. Unii operatori terți au elaborat instrumente ale căror module permit să se dezactiveze culegerea și utilizarea datelor. Dezactivarea şi refuzul de a primi cookie-uri pot face anumite site-uri impracticabile sau dificil de vizitat şi folosit. De asemenea, refuzul de a accepta cookie-uri nu înseamnă că utilizatorul nu va mai primi / vedea publicitate online. Este posibilă reglarea din browser pentru ca aceste cookie-uri să nu mai fie acceptate, sau se poate regla browserul să accepte cookie-uri de la un anumit website. Dar, de exemplu, daca un utilizator nu este înregistat folosind cookie-urile, nu va putea lăsa comentarii. Toate browserele moderne oferă posibilitatea de a schimba reglajele cookie-urilor.

Aceste reglaje se găsesc, de regulă, în meniurile (butoanele) „Opţiuni”, „Reglaje” sau „Preferinţe” ale browserului.

 

• Setări cookie-uri în Internet Explorer
• Setări cookie-uri în Mozilla Firefox 
• Setări cookie-uri în Google Chrome
• Setări cookie-uri în Safari