Редактирование: Cookie

Перейти к навигации Перейти к поиску
Стабильная версия была проверена 24 августа 2019. 3 изменения ожидают проверки.
Внимание: некоторые из ожидающих проверки изменений относятся к редактируемой вами части страницы.
[отпатрулированная версия][непроверенная версия]
 
* ведения статистики о [[Пользователь|пользователях]].
  
* ведения статистики о [[Пользователь|пользователях]].
   
Поддержки браузерами куки (приём, сохранение и последующая пересылка серверу сохранённых куки) требуют многие сайты с ограничениями доступа, большинство [[интернет-магазин]]ов.<ref>{{cite web|url=http://www.ozon.ru/context/detail/id/3480907/|title=Проблемы с работой интернет-магазина|publisher=[[OZON.ru]]|accessdate=12 августа 2008}}</ref> Настройка оформления и поведения многих [[веб-сайт]]ов по индивидуальным предпочтениям пользователя тоже основана на куки.<ref name="microsoft">{{cite web|url=http://www.microsoft.com/info/cookies.mspx|title=FAQ по куки|author=|website=|date=|publisher=Microsoft|lang=en|accessdate=12 августа 2008|archiveurl=https://www.webcitation.org/61DWpwhHj?url=http://www.microsoft.com/info/cookies.mspx|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
Поддержки браузерами куки (приём, сохранение и последующая пересылка серверу сохранённых куки) требуют многие сайты с ограничениями доступа, большинство [[интернет-магазин]]ов<ref>{{cite web|url=http://www.ozon.ru/context/detail/id/3480907/|title=Проблемы с работой интернет-магазина|publisher=[[OZON.ru]]|accessdate=12 августа 2008}}</ref>. Настройка оформления и поведения многих [[веб-сайт]]ов по индивидуальным предпочтениям пользователя тоже основана на куки<ref name="microsoft">{{cite web|url=http://www.microsoft.com/info/cookies.mspx|title=FAQ по куки|author=|website=|date=|publisher=Microsoft|lang=en|accessdate=12 августа 2008|archiveurl=https://www.webcitation.org/61DWpwhHj?url=http://www.microsoft.com/info/cookies.mspx|archivedate=2011-08-26|deadurl=yes}}</ref>.
   
 
Куки легко [[сниффер|перехватить]] и подменить (например, для получения доступа к учётной записи), если пользователь использует нешифрованное соединение с сервером. В группе риска пользователи, выходящие в интернет при помощи публичных точек доступа [[Wi-Fi]] и не использующие при этом таких механизмов, как [[SSL]] и [[TLS]]. Шифрование позволяет также решить и другие проблемы, связанные с безопасностью передаваемых данных.
  
Куки легко [[сниффер|перехватить]] и подменить (например, для получения доступа к учётной записи), если пользователь использует нешифрованное соединение с сервером. В группе риска пользователи, выходящие в интернет при помощи публичных точек доступа [[Wi-Fi]] и не использующие при этом таких механизмов, как [[SSL]] и [[TLS]]. Шифрование позволяет также решить и другие проблемы, связанные с безопасностью передаваемых данных.
 
Куки используются веб-серверами для идентификации пользователей и хранения данных о них.
  
Куки используются веб-серверами для идентификации пользователей и хранения данных о них.
   
К примеру, если вход на сайт осуществляется при помощи куки, то, после ввода пользователем своих данных на странице входа, куки позволяют серверу запомнить, что пользователь уже идентифицирован и ему разрешён доступ к соответствующим услугам и операциям.<ref name="microsoft" />
 +
К примеру, если вход на сайт осуществляется при помощи куки, то, после ввода пользователем своих данных на странице входа, куки позволяют серверу запомнить, что пользователь уже идентифицирован и ему разрешён доступ к соответствующим услугам и операциям<ref name="microsoft" />.
   
Многие сайты также используют куки для сохранения настроек пользователя. Эти настройки могут использоваться для персонализации, которая включает в себя выбор оформления и функциональности. Например, [[Википедия]] позволяет авторизованным пользователям выбрать [[Википедия:Персональное оформление|дизайн]] сайта. Поисковая система [[Google (поисковая система)|Google]] позволяет пользователям (в том числе и не зарегистрированным в ней) выбрать количество результатов поиска, отображаемых на одной [[веб-страница|странице]].<ref>{{cite web|url=http://www.google.com/support/bin/static.py?page=searchguides.html&ctx=preferences&hl=ru#number|title=Справочный центр, веб-поиск|publisher=[[Google (компания)|Google]]|accessdate=12 августа 2008|archiveurl=https://www.webcitation.org/61DWqUw5S?url=http://www.google.com/support/websearch/bin/answer.py?hl=ru#number|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
Многие сайты также используют куки для сохранения настроек пользователя. Эти настройки могут использоваться для персонализации, которая включает в себя выбор оформления и функциональности. Например, [[Википедия]] позволяет авторизованным пользователям выбрать [[Википедия:Персональное оформление|дизайн]] сайта. Поисковая система [[Google (поисковая система)|Google]] позволяет пользователям (в том числе и не зарегистрированным в ней) выбрать количество результатов поиска, отображаемых на одной [[веб-страница|странице]]<ref>{{cite web|url=http://www.google.com/support/bin/static.py?page=searchguides.html&ctx=preferences&hl=ru#number|title=Справочный центр, веб-поиск|publisher=[[Google (компания)|Google]]|accessdate=12 августа 2008|archiveurl=https://www.webcitation.org/61DWqUw5S?url=http://www.google.com/support/websearch/bin/answer.py?hl=ru#number|archivedate=2011-08-26|deadurl=yes}}</ref>.
   
Куки также используются для отслеживания действий пользователей на сайте. Как правило, это делается с целью сбора статистики, а рекламные компании на основе такой статистики формируют анонимные [[учётная запись|профили]] пользователей для более точного нацеливания рекламы.<ref>{{cite web|author=Киви Берд|url=http://www.ibusiness.ru/offline/2000/119/6438/|title=Целевая реклама - угроза приватности?|publisher=[[Компьютерра]]|accessdate=12 августа 2008|deadlink=404|archiveurl=https://web.archive.org/web/20130405044854/http://www.ibusiness.ru/offline/2000/119/6438/|archivedate=2013-04-05|deadurl=yes}}</ref>
 +
Куки также используются для отслеживания действий пользователей на сайте. Как правило, это делается с целью сбора статистики, а рекламные компании на основе такой статистики формируют анонимные [[учётная запись|профили]] пользователей для более точного нацеливания рекламы<ref>{{cite web|author=Киви Берд|url=http://www.ibusiness.ru/offline/2000/119/6438/|title=Целевая реклама - угроза приватности?|publisher=[[Компьютерра]]|accessdate=12 августа 2008|deadlink=404|archiveurl=https://web.archive.org/web/20130405044854/http://www.ibusiness.ru/offline/2000/119/6438/|archivedate=2013-04-05|deadurl=yes}}</ref>.
   
 
== Понятие ==
  
== Понятие ==
   
 
== История ==
  
== История ==
По одной из версий, термин «куки» (печенье) происходит от «[[Magic cookie|волшебного печенья]]»<ref>{{cite web|author=Андрей Аликберов|datepublished=1998|url=http://www.citforum.ru/internet/html/cookie.shtml|title=Что такое cookies и как с ними работать|accessdate=2 августа 2008|archiveurl=https://www.webcitation.org/61DWtfqbB?url=http://citforum.ru/internet/html/cookie.shtml|archivedate=2011-08-26|deadurl=yes}}</ref> — набора данных, которые программа получает и затем отправляет обратно неизменными. В июне 1994 года Лу Монтулли пришла идея использовать их при веб-соединении.<ref>{{cite web|author=John Schwartz|datepublished=4 сентября 2001|url=https://www.nytimes.com/2001/09/04/technology/04COOK.html|title=Giving Web a Memory Cost Its Users Privacy|publisher=[[New York Times]]|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWugEhM?url=http://www.nytimes.com/2001/09/04/technology/04COOK.html|archivedate=2011-08-26|deadurl=yes}}</ref> В то время он был сотрудником [[Netscape Communications]], которая разрабатывала по заказу пакет электронной коммерции. Куки стали решением проблемы надёжной реализации виртуальной корзины покупок.
 +
По одной из версий, термин «куки» (печенье) происходит от «[[Magic cookie|волшебного печенья]]»<ref>{{cite web|author=Андрей Аликберов|datepublished=1998|url=http://www.citforum.ru/internet/html/cookie.shtml|title=Что такое cookies и как с ними работать|accessdate=2 августа 2008|archiveurl=https://www.webcitation.org/61DWtfqbB?url=http://citforum.ru/internet/html/cookie.shtml|archivedate=2011-08-26|deadurl=yes}}</ref> — набора данных, которые программа получает и затем отправляет обратно неизменными. В июне 1994 года Лу Монтулли пришла идея использовать их при веб-соединении<ref>{{cite web|author=John Schwartz|datepublished=4 сентября 2001|url=https://www.nytimes.com/2001/09/04/technology/04COOK.html|title=Giving Web a Memory Cost Its Users Privacy|publisher=[[New York Times]]|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWugEhM?url=http://www.nytimes.com/2001/09/04/technology/04COOK.html|archivedate=2011-08-26|deadurl=yes}}</ref>. В то время он был сотрудником [[Netscape Communications]], которая разрабатывала по заказу пакет электронной коммерции. Куки стали решением проблемы надёжной реализации виртуальной корзины покупок.
   
С помощью [[Джаннандреа, Джон|Джона Джаннандреа]] в тот же год Монтулли написал начальную спецификацию куки. Mosaic Netscape 0.9beta, выпущенная 13 октября 1994 года,<ref>{{cite web|datepublished=13 октября 1994|url=http://news.cnet.com/Netscapes-original-browser-press-release/2030-1032_3-5406484.html|title=Netscape Communications Представляют Новый Сетевой Бесплатной Интернет-Навигатор|publisher=[[CNET Networks]]|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWvKlU0?url=http://news.cnet.com/Netscapes-original-browser-press-release/2030-1032_3-5406484.html|archivedate=2011-08-26|deadurl=yes}}</ref><ref>{{cite web|author=Марк Андреассен|datepublished=13 октября 1994|url=http://groups.google.com/group/comp.infosystems.www.users/msg/9a210e5f72278328|title=Мир, вот он!|accessdate=7 августа 2008|lang=en|description=Сообщение на [[Usenet]]}}</ref> уже поддерживала куки. Куки впервые начали использоваться вне лаборатории на сайте Netscape и определяли, посещал ли пользователь сайт ранее. Монтулли подал заявку на [[патент]] в 1995 году и получил его в 1998 году. Internet Explorer начал поддерживать куки с версии 2, выпущенной в октябре [[1995 год]]а.<ref>{{cite web|author=Сэнди Хардмайер|datepublished=25 августа 2005|url=http://www.microsoft.com/windows/IE/community/columns/historyofie.mspx|title=История Internet Explorer|publisher=Microsoft|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWwPHfd?url=http://windows.microsoft.com/en-US/internet-explorer/products/history|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
С помощью [[Джаннандреа, Джон|Джона Джаннандреа]] в тот же год Монтулли написал начальную спецификацию куки. Mosaic Netscape 0.9beta, выпущенная 13 октября 1994 года<ref>{{cite web|datepublished=13 октября 1994|url=http://news.cnet.com/Netscapes-original-browser-press-release/2030-1032_3-5406484.html|title=Netscape Communications Представляют Новый Сетевой Бесплатной Интернет-Навигатор|publisher=[[CNET Networks]]|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWvKlU0?url=http://news.cnet.com/Netscapes-original-browser-press-release/2030-1032_3-5406484.html|archivedate=2011-08-26|deadurl=yes}}</ref><ref>{{cite web|author=Марк Андреассен|datepublished=13 октября 1994|url=http://groups.google.com/group/comp.infosystems.www.users/msg/9a210e5f72278328|title=Мир, вот он!|accessdate=7 августа 2008|lang=en|description=Сообщение на [[Usenet]]}}</ref>, уже поддерживала куки. Куки впервые начали использоваться вне лаборатории на сайте Netscape и определяли, посещал ли пользователь сайт ранее. Монтулли подал заявку на [[патент]] в 1995 году и получил его в 1998 году. Internet Explorer начал поддерживать куки с версии 2, выпущенной в октябре [[1995 год]]а<ref>{{cite web|author=Сэнди Хардмайер|datepublished=25 августа 2005|url=http://www.microsoft.com/windows/IE/community/columns/historyofie.mspx|title=История Internet Explorer|publisher=Microsoft|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWwPHfd?url=http://windows.microsoft.com/en-US/internet-explorer/products/history|archivedate=2011-08-26|deadurl=yes}}</ref>.
   
Хотя некоторые люди знали о существовании куки уже в первом квартале 1995 года,<ref>{{cite web|author=Роджер Кларк|datepublished=1 июня 1998|url=http://www.anu.edu.au/people/Roger.Clarke/II/Cookies.html|title=Куки|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWxAgJc?url=http://www.rogerclarke.com/II/Cookies.html|archivedate=2011-08-26|deadurl=yes}}</ref> широкая общественность узнала о них лишь после статьи в «[[Financial Times]]» от 12 февраля [[1996 год]]а. В том же году куки оказались в центре внимания средств массовой информации, особенно из-за потенциальной угрозы [[приватность|приватности]]. Куки были рассмотрены в Федеральной комиссии по торговле США в двух слушаниях в 1996 и 1997 годах.
 +
Хотя некоторые люди знали о существовании куки уже в первом квартале 1995 года<ref>{{cite web|author=Роджер Кларк|datepublished=1 июня 1998|url=http://www.anu.edu.au/people/Roger.Clarke/II/Cookies.html|title=Куки|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWxAgJc?url=http://www.rogerclarke.com/II/Cookies.html|archivedate=2011-08-26|deadurl=yes}}</ref>, широкая общественность узнала о них лишь после статьи в «[[Financial Times]]» от 12 февраля [[1996 год]]а. В том же году куки оказались в центре внимания средств массовой информации, особенно из-за потенциальной угрозы [[приватность|приватности]]. Куки были рассмотрены в Федеральной комиссии по торговле США в двух слушаниях в 1996 и 1997 годах.
   
 
Развитие спецификаций куки на этом не остановилось. В частности, первые обсуждения формальной спецификации начались в апреле 1995 года. Была сформирована специальная рабочая группа в рамках [[IETF]]. В качестве отправной точки была выбрана спецификация Netscape. В феврале 1996 года рабочая группа определила сторонние куки как серьёзную угрозу приватности. Выработанная спецификация была выпущена под названием RFC 2109 в феврале [[1997 год]]а. В ней указывалось, что сторонние куки должны либо блокироваться, либо хотя бы не работать по умолчанию.
  
Развитие спецификаций куки на этом не остановилось. В частности, первые обсуждения формальной спецификации начались в апреле 1995 года. Была сформирована специальная рабочая группа в рамках [[IETF]]. В качестве отправной точки была выбрана спецификация Netscape. В феврале 1996 года рабочая группа определила сторонние куки как серьёзную угрозу приватности. Выработанная спецификация была выпущена под названием RFC 2109 в феврале [[1997 год]]а. В ней указывалось, что сторонние куки должны либо блокироваться, либо хотя бы не работать по умолчанию.
   
 
=== Сессионные куки ===
  
=== Сессионные куки ===
''Сессионные куки'', также известные как ''временные куки'', существуют только во временной памяти, пока пользователь находится на странице веб-сайта. Браузеры обычно удаляют сессионные куки после того, как пользователь закрывает окно браузера.<ref>{{Cite web|url=https://msdn.microsoft.com/en-us/library/ms526029(v=vs.90).aspx|title="Maintaining session state with cookies"|author=|website=Microsoft Developer Network|date=22 October 2012|publisher=}}</ref> В отличие от других типов куки, сессионные куки не имеют истечения срока действия, и поэтому браузеры понимают их как сессионные.
 +
''Сессионные куки'', также известные как ''временные куки'', существуют только во временной памяти, пока пользователь находится на странице веб-сайта. Браузеры обычно удаляют сессионные куки после того, как пользователь закрывает окно браузера<ref>{{Cite web|url=https://msdn.microsoft.com/en-us/library/ms526029(v=vs.90).aspx|title="Maintaining session state with cookies"|author=|website=Microsoft Developer Network|date=22 October 2012|publisher=}}</ref>. В отличие от других типов куки, сессионные куки не имеют истечения срока действия, и поэтому браузеры понимают их как сессионные.
   
 
=== Постоянные куки ===
  
=== Постоянные куки ===
 
В 2016 году Google Chrome версии 51 представил новый тип файлов куки, куки того же сайта, которые можно отправлять только в запросах, исходящих из того же источника, что и целевой домен. Это ограничение смягчает атаки, такие как подделка межсайтовых запросов (XSRF).
  
В 2016 году Google Chrome версии 51 представил новый тип файлов куки, куки того же сайта, которые можно отправлять только в запросах, исходящих из того же источника, что и целевой домен. Это ограничение смягчает атаки, такие как подделка межсайтовых запросов (XSRF).
   
=== '''Сторонние куки''' ===
 +
=== Сторонние куки ===
 
Обычно атрибут домена куки совпадает с доменом, который отображается в адресной строке веб-браузера. Это называется первый файл куки. Однако сторонний файл куки принадлежит домену, отличному от того, который указан в адресной строке. Этот тип файлов куки обычно появляется, когда веб-страницы содержат контент с внешних веб-сайтов, например рекламные баннеры. Это открывает возможности для отслеживания истории посещений пользователя и часто используется рекламодателями для предоставления релевантной рекламы каждому пользователю.
  
Обычно атрибут домена куки совпадает с доменом, который отображается в адресной строке веб-браузера. Это называется первый файл куки. Однако сторонний файл куки принадлежит домену, отличному от того, который указан в адресной строке. Этот тип файлов куки обычно появляется, когда веб-страницы содержат контент с внешних веб-сайтов, например рекламные баннеры. Это открывает возможности для отслеживания истории посещений пользователя и часто используется рекламодателями для предоставления релевантной рекламы каждому пользователю.
   
 
В качестве примера предположим, что пользователь посещает www.example.org. Этот веб-сайт содержит рекламу от ad.foxytracking.com, которая при загрузке устанавливает файл cookie, принадлежащий домену рекламы (ad.foxytracking.com). Затем пользователь посещает другой веб-сайт www.foo.com, который также содержит рекламу от ad.foxytracking.com и устанавливает файл cookie, принадлежащий этому домену (ad.foxytracking.com). В конце концов, оба этих куки будут отправлены рекламодателю при загрузке их рекламы или посещении их веб-сайта. Затем рекламодатель может использовать эти файлы куки для создания истории просмотров пользователя на всех веб-сайтах, на которых размещена реклама этого рекламодателя.
  
В качестве примера предположим, что пользователь посещает www.example.org. Этот веб-сайт содержит рекламу от ad.foxytracking.com, которая при загрузке устанавливает файл cookie, принадлежащий домену рекламы (ad.foxytracking.com). Затем пользователь посещает другой веб-сайт www.foo.com, который также содержит рекламу от ad.foxytracking.com и устанавливает файл cookie, принадлежащий этому домену (ad.foxytracking.com). В конце концов, оба этих куки будут отправлены рекламодателю при загрузке их рекламы или посещении их веб-сайта. Затем рекламодатель может использовать эти файлы куки для создания истории просмотров пользователя на всех веб-сайтах, на которых размещена реклама этого рекламодателя.
   
По состоянию на 2014 год некоторые веб-сайты устанавливали файлы куки для чтения более чем на 100 сторонних доменах.<ref>{{Cite web|url=https://webcookies.org/third-party-cookies/|title=Third party domains|author=|website=WebCookies.org.|date=|publisher=}}</ref> В среднем на одном веб-сайте было установлено 10 файлов cookie, при этом максимальное количество файлов cookie (как для сторонних, так и для третьих сторон) может превышать 800.<ref>{{Cite web|url=https://webcookies.org/number-of-cookies/|title=Number of cookies|author=|website=WebCookies.org|date=|publisher=}}</ref> Большинство современных веб-браузеров содержат настройки конфиденциальности, которые могут блокировать сторонние файлы cookie.
 +
По состоянию на 2014 год некоторые веб-сайты устанавливали файлы куки для чтения более чем на 100 сторонних доменах<ref>{{Cite web|url=https://webcookies.org/third-party-cookies/|title=Third party domains|author=|website=WebCookies.org.|date=|publisher=}}</ref>. В среднем на одном веб-сайте было установлено 10 файлов cookie, при этом максимальное количество файлов cookie (как для сторонних, так и для третьих сторон) может превышать 800<ref>{{Cite web|url=https://webcookies.org/number-of-cookies/|title=Number of cookies|author=|website=WebCookies.org|date=|publisher=}}</ref>. Большинство современных веб-браузеров содержат настройки конфиденциальности, которые могут блокировать сторонние файлы cookie.
   
=== '''Супер-куки''' ===
 +
=== Супер-куки ===
Супер-куки - это куки-файл с источником домена верхнего уровня (например, .ru) или общедоступным суффиксом (например, .co.uk). Обычные куки, напротив, имеют происхождение от конкретного доменного имени, например example.com.
 +
Супер-куки это куки-файл с источником домена верхнего уровня (например, .ru) или общедоступным суффиксом (например, .co.uk). Обычные куки, напротив, имеют происхождение от конкретного доменного имени, например example.com.
   
 
Супер-куки могут быть потенциальной проблемой безопасности и поэтому часто блокируются веб-браузерами. Если браузер разблокирует вредоносный веб-сайт, злоумышленник может установить супер-куки и потенциально нарушить или выдать себя за законные запросы пользователей на другой веб-сайт, который использует тот же домен верхнего уровня или общедоступный суффикс, что и вредоносный веб-сайт. Например, супер-куки с происхождением .com может злонамеренно повлиять на запрос к example.com, даже если файл cookie не был создан с сайта example.com. Это может быть использовано для подделки логинов или изменения информации пользователя.
  
Супер-куки могут быть потенциальной проблемой безопасности и поэтому часто блокируются веб-браузерами. Если браузер разблокирует вредоносный веб-сайт, злоумышленник может установить супер-куки и потенциально нарушить или выдать себя за законные запросы пользователей на другой веб-сайт, который использует тот же домен верхнего уровня или общедоступный суффикс, что и вредоносный веб-сайт. Например, супер-куки с происхождением .com может злонамеренно повлиять на запрос к example.com, даже если файл cookie не был создан с сайта example.com. Это может быть использовано для подделки логинов или изменения информации пользователя.
   
Публичный список суффиксов<ref>{{Cite web|url=https://publicsuffix.org/learn/|title=Learn more about the Public Suffix List|author=|website=Publicsuffix.org|date=2016|publisher=}}</ref> помогает снизить риск, который представляют супер-куки. Публичный список суффиксов - это инициатива кросс-вендоров, целью которого является предоставление точного и актуального списка суффиксов доменных имен. В старых версиях браузеров может отсутствовать актуальный список, и поэтому они будут уязвимы для супер-куки из определённых домен.
 +
Публичный список суффиксов<ref>{{Cite web|url=https://publicsuffix.org/learn/|title=Learn more about the Public Suffix List|author=|website=Publicsuffix.org|date=2016|publisher=}}</ref> помогает снизить риск, который представляют супер-куки. Публичный список суффиксов это инициатива кросс-вендоров, целью которого является предоставление точного и актуального списка суффиксов доменных имен. В старых версиях браузеров может отсутствовать актуальный список, и поэтому они будут уязвимы для супер-куки из определённых домен.
   
 
==== Другое использование ====
  
==== Другое использование ====
Термин «supercookie» (супер-куки) иногда используется для отслеживания технологий, которые не используют файлы куки HTTP. В августе 2011 года на веб-сайтах Майкрософт были обнаружены два таких механизма «супер-куки»: синхронизация файлов куки, которая порождает файлы куки MUID (уникальный идентификатор машины), и файлы куки ETag.<ref>{{Cite web|url=http://cyberlaw.stanford.edu/blog/2011/08/tracking-trackers-microsoft-advertising|title=Tracking the Trackers: Microsoft Advertising|author=Mayer, Jonathan|website=The Center for Internet and Society|date=2011|publisher=}}</ref> Из-за внимания средств массовой информации Microsoft позже отключила этот код.<ref>{{Cite web|url=https://www.computerworld.com/article/2510494/microsoft-disables--supercookies--used-on-msn-com-visitors.html|title=Microsoft disables 'supercookies' used on MSN.com visitors|author=Vijayan, Jaikumar.|website=|date=2014|publisher=}}</ref>
 +
Термин «supercookie» (супер-куки) иногда используется для отслеживания технологий, которые не используют файлы куки HTTP. В августе 2011 года на веб-сайтах Майкрософт были обнаружены два таких механизма «супер-куки»: синхронизация файлов куки, которая порождает файлы куки MUID (уникальный идентификатор машины), и файлы куки ETag<ref>{{Cite web|url=http://cyberlaw.stanford.edu/blog/2011/08/tracking-trackers-microsoft-advertising|title=Tracking the Trackers: Microsoft Advertising|author=Mayer, Jonathan|website=The Center for Internet and Society|date=2011|publisher=}}</ref>. Из-за внимания средств массовой информации Microsoft позже отключила этот код<ref>{{Cite web|url=https://www.computerworld.com/article/2510494/microsoft-disables--supercookies--used-on-msn-com-visitors.html|title=Microsoft disables 'supercookies' used on MSN.com visitors|author=Vijayan, Jaikumar.|website=|date=2014|publisher=}}</ref>.
   
=== "Зомби" куки ===
 +
=== «Зомби» куки ===
  +
Поскольку куки-файлы можно очень легко удалить из браузера, программисты ищут способы идентифицировать пользователей даже после полной очистки истории браузера. Одним из таких решений являются зомби-куки (или ''evercookie'', или ''persistent cookie'') – не удаляемые, или трудно удаляемые куки, которые можно восстановить в браузере с помощью JavaScript. Это возможно потому, что для хранения куков сайт одновременно использует все доступные хранилища браузера (''HTTP ETag, Session Storage, Local Storage, Indexed DB''), в том числе и хранилища приложений, таких как Flash Player (''Local Shared Objects''), Microsoft Silverlight (''Isolated Storage'') и Java (''Java presistence API'')<ref>{{Cite web|url=https://habr.com/ru/company/oleg-bunin/blog/321294/|title=Browser Fingerprint – анонимная идентификация браузеров|publisher=habr.com|lang=ru|accessdate=2019-09-02}}</ref>. Когда программа обнаруживает отсутствие в браузере куки-файла, информация о котором присутствует в других хранилищах – она тут же восстанавливает его на место и, тем самым, идентифицирует пользователя для сайта.
Файл куки зомби - это файл куки, который автоматически воссоздается после удаления. Это достигается путём хранения содержимого куки в нескольких местах, таких как общий объект Flash Local, веб-хранилище HTML5 и другие местоположения на стороне клиента и даже на стороне сервера. Когда обнаруживается отсутствие файла куки, он воссоздается с использованием данных, хранящихся в этих местах.
  
   
 
== Работа куки ==
  
== Работа куки ==
 
Этот запрос отличается от первого запроса тем, что содержит строку, которую сервер отправил браузеру ранее. Таким образом, сервер узна́ет, что этот запрос связан с предыдущим. Сервер отвечает, отправляя запрашиваемую страницу и, возможно, добавив новые куки.
  
Этот запрос отличается от первого запроса тем, что содержит строку, которую сервер отправил браузеру ранее. Таким образом, сервер узна́ет, что этот запрос связан с предыдущим. Сервер отвечает, отправляя запрашиваемую страницу и, возможно, добавив новые куки.
   
Значение куки может быть изменено сервером путём отправления новых строк <code>Set-Cookie: name=newvalue</code>. После этого браузер заменяет старое куки с тем же name на новую строку.
 +
Значение куки может быть изменено сервером путём отправления новых строк <code>Set-Cookie: name=new_value</code>. После этого браузер заменяет старое куки с тем же name на новую строку.
   
Куки также могут устанавливаться программами на языках типа JavaScript, встроенными в текст страниц, или аналогичными скриптами, работающими в браузере. В JavaScript для этого используется свойство cookie объекта document — <code>document.cookie</code>. Например, <code>document.cookie = "temperature=20"</code> создаст куки под именем «temperature» и значением 20.<ref>{{cite web|author=Росс Шэннон|datepublished=26 февраля 2007|url=http://www.yourhtmlsource.com/javascript/cookies.html|title=Куки и JavaScript|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWzt4OP?url=http://www.yourhtmlsource.com/javascript/cookies.html|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
Куки также могут устанавливаться программами на языках типа JavaScript, встроенными в текст страниц, или аналогичными скриптами, работающими в браузере. В JavaScript для этого используется свойство cookie объекта document — <code>document.cookie</code>. Например, <code>document.cookie = "temperature=20"</code> создаст куки под именем «temperature» и значением 20<ref>{{cite web|author=Росс Шэннон|datepublished=26 февраля 2007|url=http://www.yourhtmlsource.com/javascript/cookies.html|title=Куки и JavaScript|accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWzt4OP?url=http://www.yourhtmlsource.com/javascript/cookies.html|archivedate=2011-08-26|deadurl=yes}}</ref>.
   
 
=== Атрибуты куки ===
  
=== Атрибуты куки ===
 
Кроме пары имя/значение, куки может содержать срок действия, [[Путь к файлу|путь]] и [[доменное имя]]. RFC 2965 также предусматривает, что куки должны обязательно иметь номер версии, но это используется редко. Эти атрибуты должны идти после пары <code>name=newvalue</code> и разделяться точкой с запятой. Например:
  
Кроме пары имя/значение, куки может содержать срок действия, [[Путь к файлу|путь]] и [[доменное имя]]. RFC 2965 также предусматривает, что куки должны обязательно иметь номер версии, но это используется редко. Эти атрибуты должны идти после пары <code>name=newvalue</code> и разделяться точкой с запятой. Например:
   
<code>Set-Cookie: name=newvalue; expires=date; path=/; domain=.example.org</code>.
 +
<code>Set-Cookie: name=newvalue; expires=date; path=/; domain=.example.org</code>
   
 
[[Файл:HTTP-Cookie-Google.png|thumb|right|200px|Образец HTTP-ответа google.com, содержащего куки с атрибутами.]]
  
[[Файл:HTTP-Cookie-Google.png|thumb|right|200px|Образец HTTP-ответа google.com, содержащего куки с атрибутами.]]
Домен и путь говорят браузеру, что куки должна быть отправлена обратно на сервер при запросах [[URL]] для указанного домена и пути. Если они не указаны, используются домен и путь запрошенной страницы<ref name="rfc"/>.
 +
Домен и путь говорят браузеру, что куки должна быть отправлена обратно на сервер при запросах [[URL]] для указанного домена и пути. Если они не указаны, используются домен и путь запрошенной страницы<ref name="rfc"/>. Фактически, куки определяются тройкой параметров имя-домен-путь (оригинальная спецификация Netscape учитывала только пару имя-путь<ref name="Netscape" />). Иными словами, куки с разными путями или доменами являются разными куки, даже если имеют одинаковые имена. Соответственно, куки меняется на новое, только если новое куки имеет те же имя, путь и домен.
 
Фактически, куки определяются тройкой параметров имя-домен-путь (оригинальная спецификация Netscape учитывала только пару имя-путь<ref name="Netscape"/>). Иными словами, куки с разными путями или доменами являются разными куки, даже если имеют одинаковые имена. Соответственно, куки меняется на новое, только если новое куки имеет те же имя, путь и домен.
  
   
 
Дата истечения указывает браузеру, когда удалить куки. Если срок истечения не указан, куки удаляется по окончании пользовательского сеанса, то есть с закрытием браузера. Если же указана дата истечения срока хранения, куки становится постоянной до указанной даты. Дата истечения указывается в формате «Нед, ДД Мес ГГГГ ЧЧ:ММ:СС GMT». Например:
  
Дата истечения указывает браузеру, когда удалить куки. Если срок истечения не указан, куки удаляется по окончании пользовательского сеанса, то есть с закрытием браузера. Если же указана дата истечения срока хранения, куки становится постоянной до указанной даты. Дата истечения указывается в формате «Нед, ДД Мес ГГГГ ЧЧ:ММ:СС GMT». Например:
   
 
=== Аутентификация ===
  
=== Аутентификация ===
Куки могут использоваться сервером для опознания ранее [[Аутентификация в Интернете|аутентифицированных]] пользователей. Это происходит следующим образом:<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms936337.aspx|title=Куки и авторизация|publisher=[[MSDN]]|accessdate=13 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX0u0oM?url=http://msdn.microsoft.com/en-us/library/ms936337.aspx|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
Куки могут использоваться сервером для опознания ранее [[Аутентификация в Интернете|аутентифицированных]] пользователей. Это происходит следующим образом<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms936337.aspx|title=Куки и авторизация|publisher=[[MSDN]]|accessdate=13 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX0u0oM?url=http://msdn.microsoft.com/en-us/library/ms936337.aspx|archivedate=2011-08-26|deadurl=yes}}</ref>:
   
 
# Пользователь вводит имя пользователя и пароль в текстовых полях страницы входа и отправляет их на сервер.
  
# Пользователь вводит имя пользователя и пароль в текстовых полях страницы входа и отправляет их на сервер.
   
 
== Настройка браузера ==
  
== Настройка браузера ==
[[Файл:Cookies in Firefox 3.0.PNG|thumb|200px|Просмотр и настройка куки в браузере Firefox 3.0]] Большинство современных браузеров поддерживает куки.<ref>{{cite web|url=http://www.itpolicies.buffalo.edu/web_browser_support/|title=Поддержка веб-браузеров|publisher=[[Университет Буффало]]|datepublished=15 ноября 2004|accessdate=13 августа 2008|lang=en|deadlink=404|archiveurl=https://web.archive.org/web/20050914065452/http://www.itpolicies.buffalo.edu/web_browser_support/|archivedate=2005-09-14|deadurl=yes}}</ref> И, как правило, пользователь может выбрать, должны куки использоваться или нет. Наиболее распространены следующие настройки браузеров:<ref name="wolenfaq" />
 +
[[Файл:Cookies in Firefox 3.0.PNG|thumb|200px|Просмотр и настройка куки в браузере Firefox 3.0]] Большинство современных браузеров поддерживает куки<ref>{{cite web|url=http://www.itpolicies.buffalo.edu/web_browser_support/|title=Поддержка веб-браузеров|publisher=[[Университет Буффало]]|datepublished=15 ноября 2004|accessdate=13 августа 2008|lang=en|deadlink=404|archiveurl=https://web.archive.org/web/20050914065452/http://www.itpolicies.buffalo.edu/web_browser_support/|archivedate=2005-09-14|deadurl=yes}}</ref> и, как правило, пользователь может выбрать, должны куки использоваться или нет. Наиболее распространены следующие настройки браузеров<ref name="wolenfaq" />:
   
 
# Полное отключение куки.
  
# Полное отключение куки.
 
# Установка разумных сроков истечения куки.
  
# Установка разумных сроков истечения куки.
   
Большинство браузеров, поддерживающих JavaScript, позволяют пользователю увидеть активные на данном сайте куки, набрав <code>javascript:alert( document.cookie )</code> или <code>javascript:prompt( document.cookie )</code> в адресной строке браузера<ref name="wolenfaq" />. Некоторые браузеры содержат менеджер куки, позволяющий пользователю выборочно просмотреть и удалить куки, хранящиеся в браузере.
 +
Большинство браузеров, поддерживающих JavaScript, позволяют пользователю увидеть активные на данном сайте куки, набрав <code>javascript:alert(document.cookie)</code> или <code>javascript:prompt(document.cookie)</code> в адресной строке браузера<ref name="wolenfaq" />. Некоторые браузеры содержат менеджер куки, позволяющий пользователю выборочно просмотреть и удалить куки, хранящиеся в браузере.
   
 
== Приватность и сторонние куки ==
  
== Приватность и сторонние куки ==
Существует заблуждение, что куки являются программами и могут самостоятельно отслеживать действия пользователей, хотя это только фрагменты данных, хранящиеся на компьютере браузером<ref>{{cite web|url=https://www.theguardian.com/technology/2012/apr/23/cookies-and-web-tracking-intro|title=Tracking the trackers: What are cookies? An introduction to web tracking|date=23 April 2012|author=Joanna Geary|publisher=[[The Guardian]]}}</ref>. Согласно опросу, проведённому американской компанией ''Insight Express'' в 2005 году, 25 % респондентов уверены в этом<ref>{{cite web|author=Brian Quinton|datepublished=18 мая 2005|url=http://searchlineinfo.com/InsightExpress_cookie_study/|title=Users Don't Understand, Can't Delete Cookies |accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWyVAXI?url=http://searchlineinfo.com/InsightExpress_cookie_study/|archivedate=2011-08-26|deadurl=yes}}</ref>.
 +
Существует заблуждение, что куки являются программами и могут самостоятельно отслеживать действия пользователей, хотя это только фрагменты данных, хранящиеся на компьютере браузером<ref>{{cite web|url=https://www.theguardian.com/technology/2012/apr/23/cookies-and-web-tracking-intro|title=Tracking the trackers: What are cookies? An introduction to web tracking|date=23 April 2012|author=Joanna Geary|publisher=[[The Guardian]]}}</ref>. Согласно опросу, проведённому американской компанией ''Insight Express'' в 2005 году, 25% респондентов уверены в этом<ref>{{cite web|author=Brian Quinton|datepublished=18 мая 2005|url=http://searchlineinfo.com/InsightExpress_cookie_study/|title=Users Don't Understand, Can't Delete Cookies |accessdate=7 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DWyVAXI?url=http://searchlineinfo.com/InsightExpress_cookie_study/|archivedate=2011-08-26|deadurl=yes}}</ref>.
   
 
Куки значительным образом влияют на анонимность пользователей Интернета и [[конфиденциальность]] пользовательской информации. Хотя куки отправляются только на серверы домена, для которого они предназначены, веб-страница может подгружать изображения или другие компоненты из других доменов. Куки, получаемые во время подгрузки этих компонентов из других доменов, называются «сторонними»<ref>
  
Куки значительным образом влияют на анонимность пользователей Интернета и [[конфиденциальность]] пользовательской информации. Хотя куки отправляются только на серверы домена, для которого они предназначены, веб-страница может подгружать изображения или другие компоненты из других доменов. Куки, получаемые во время подгрузки этих компонентов из других доменов, называются «сторонними»<ref>
 
Создание профиля пользователей рассматривается как потенциальная угроза приватности даже при отслеживании в рамках одного домена, но особенно это актуально при отслеживания на нескольких доменах с использованием сторонних куки. По этой причине в некоторых странах куки регулируются законодательством.
  
Создание профиля пользователей рассматривается как потенциальная угроза приватности даже при отслеживании в рамках одного домена, но особенно это актуально при отслеживания на нескольких доменах с использованием сторонних куки. По этой причине в некоторых странах куки регулируются законодательством.
   
[[Федеральное правительство США|Правительство Соединённых Штатов]] приняло строгие законы в отношении куки в 2000 году, после того, как выяснилось, что [[DEA|Агентство по борьбе с наркотиками США]] использовало куки для отслеживания пользователей, просмотревших их антинаркотическую рекламу в сети. В 2002 году Дэниел Брандт установил, что [[Центральное разведывательное управление|ЦРУ]] устанавливает на компьютеры постоянные куки со сроком хранения до 2010 года. Когда ЦРУ было уведомлено о неправомерности подобного использования куки, управление заявило, что это было непреднамеренно и прекратило их установку.<ref>{{cite web|datepublished=20 марта 2002|url=http://www.cbsnews.com/stories/2002/03/20/tech/main504131.shtml|title=ЦРУ поймано на краже куки|publisher=[[CBS News]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX1WQIe?url=http://www.cbsnews.com/stories/2002/03/20/tech/main504131.shtml|archivedate=2011-08-26|deadurl=yes}}</ref> 25 декабря [[2005 год]]а Брандт обнаружил, что [[Агентство национальной безопасности (США)|Агентство национальной безопасности]] оставляло пару постоянных куки после обновления программного обеспечения. После этого сообщения Агентство немедленно отключило куки.<ref>{{cite web|datepublished=29 декабря 2005|url=https://www.nytimes.com/2005/12/29/national/29cookies.html|title=Агентство удаляет незаконные файлы слежения|publisher=[[Associated Press]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX2E9iP?url=http://www.nytimes.com/2005/12/29/national/29cookies.html|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
[[Федеральное правительство США|Правительство Соединённых Штатов]] приняло строгие законы в отношении куки в 2000 году, после того, как выяснилось, что [[DEA|Агентство по борьбе с наркотиками США]] использовало куки для отслеживания пользователей, просмотревших их антинаркотическую рекламу в сети. В 2002 году Дэниел Брандт установил, что [[Центральное разведывательное управление|ЦРУ]] устанавливает на компьютеры постоянные куки со сроком хранения до 2010 года. Когда ЦРУ было уведомлено о неправомерности подобного использования куки, управление заявило, что это было непреднамеренно и прекратило их установку<ref>{{cite web|datepublished=20 марта 2002|url=http://www.cbsnews.com/stories/2002/03/20/tech/main504131.shtml|title=ЦРУ поймано на краже куки|publisher=[[CBS News]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX1WQIe?url=http://www.cbsnews.com/stories/2002/03/20/tech/main504131.shtml|archivedate=2011-08-26|deadurl=yes}}</ref>. 25 декабря [[2005 год]]а Брандт обнаружил, что [[Агентство национальной безопасности (США)|Агентство национальной безопасности]] оставляло пару постоянных куки после обновления программного обеспечения. После этого сообщения Агентство немедленно отключило куки<ref>{{cite web|datepublished=29 декабря 2005|url=https://www.nytimes.com/2005/12/29/national/29cookies.html|title=Агентство удаляет незаконные файлы слежения|publisher=[[Associated Press]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX2E9iP?url=http://www.nytimes.com/2005/12/29/national/29cookies.html|archivedate=2011-08-26|deadurl=yes}}</ref>.
   
Директива [[Европейский союз|Европейского союза]] 2002/58/ЕС о конфиденциальности и электронных средствах связи 2002 г.<ref>{{cite web|datepublished=12 июля 2002|url=http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=en&numdoc=32002L0058&model=guichett|title=Директива о неприкосновенности частной жизни и электронных коммуникаций|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX34Jxw?url=http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc|archivedate=2011-08-26|deadurl=yes}}</ref> содержит нормы, касающиеся использования куки. В частности, статья 5(3) устанавливает, что хранение данных (в том числе куки) может осуществляться лишь если:
 +
Директива [[Европейский союз|Европейского союза]] 2002/58/ЕС о конфиденциальности и электронных средствах связи<ref>{{cite web|datepublished=12 июля 2002|url=http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=en&numdoc=32002L0058&model=guichett|title=Директива о неприкосновенности частной жизни и электронных коммуникаций|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX34Jxw?url=http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc|archivedate=2011-08-26|deadurl=yes}}</ref> содержит нормы, касающиеся использования куки. В частности, статья 5(3) устанавливает, что хранение данных (в том числе куки) может осуществляться лишь если:
   
# пользователю предоставляется информация о том, как эти данные используются;
 +
* пользователю предоставляется информация о том, как эти данные используются;
# пользователь имеет возможность отказаться от этого.
 +
* пользователь имеет возможность отказаться от этого.
   
В 2009 году Директива 2009/136/ЕС<ref>{{cite web|url=http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32009L0136|title=Директива 2009/136/EC от 25 ноября 2009 г.|accessdate=6 июня 2017|lang=en}}</ref> внесла изменения в Директиву 2002/58/ЕС, которые вступили в силу мае 2011 г. Изменения ужесточили требования к порядку сбора информации о посетителях сайтов. Согласно новым правилам владельцы сайтов должны получать предварительное согласие посетителей на сбор информации (в том числе куки) и сообщать о действующих на сайте инструментах сбора информации.<ref>{{cite web|url=http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf|title=Рабочая группа статьи 29 - Позиция 04/2012 от 7 июня 2012 об исключении из требования о получении согласия в отношении cookie файлов|accessdate=6 июня 2017|lang=en}}</ref>
 +
В 2009 году Директива 2009/136/ЕС<ref>{{cite web|url=http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32009L0136|title=Директива 2009/136/EC от 25 ноября 2009 г.|accessdate=6 июня 2017|lang=en}}</ref> внесла изменения в Директиву 2002/58/ЕС, которые вступили в силу мае 2011 года. Изменения ужесточили требования к порядку сбора информации о посетителях сайтов. Согласно новым правилам владельцы сайтов должны получать предварительное согласие посетителей на сбор информации (в том числе куки) и сообщать о действующих на сайте инструментах сбора информации<ref>{{cite web|url=http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf|title=Рабочая группа статьи 29 - Позиция 04/2012 от 7 июня 2012 об исключении из требования о получении согласия в отношении cookie файлов|accessdate=6 июня 2017|lang=en}}</ref>.
   
 
В мае 2018 года в Евросоюзе вступил в силу [[Общий регламент по защите данных]], заменивший действующую Директиву 2002/58/ЕС, относящийся ко всем сайтам, посещаемым из Евросоюза, и приравнивающий большую часть куки к другим персональным данным. В изначальном проекте предполагалось, что настройки браузера могут признаваться достаточным выражением согласия пользователя на установку куки<ref>{{cite web|url=https://www.cookielaw.org/blog/2016/5/13/the-gdpr,-cookie-consent-and-customer-centric-privacy/|title=Proposal for an ePrivacy Regulation|accessdate=6 июня 2017|lang=en}}</ref>, а согласно окончательной версии достаточно уведомления об установке куки<ref>{{cite web|url=https://texterra.ru/blog/novye-pravila-raboty-s-personalnymi-dannymi-evropeytsev.html|title=Новые правила работы с персональными данными европейцев|author=Елена Неб|publisher=texterra.ru|date=26 июня 2018}}</ref>.
  
В мае 2018 года в Евросоюзе вступил в силу [[Общий регламент по защите данных]], заменивший действующую Директиву 2002/58/ЕС, относящийся ко всем сайтам, посещаемым из Евросоюза, и приравнивающий большую часть куки к другим персональным данным. В изначальном проекте предполагалось, что настройки браузера могут признаваться достаточным выражением согласия пользователя на установку куки<ref>{{cite web|url=https://www.cookielaw.org/blog/2016/5/13/the-gdpr,-cookie-consent-and-customer-centric-privacy/|title=Proposal for an ePrivacy Regulation|accessdate=6 июня 2017|lang=en}}</ref>, а согласно окончательной версии достаточно уведомления об установке куки<ref>{{cite web|url=https://texterra.ru/blog/novye-pravila-raboty-s-personalnymi-dannymi-evropeytsev.html|title=Новые правила работы с персональными данными европейцев|author=Елена Неб|publisher=texterra.ru|date=26 июня 2018}}</ref>.
 
Спецификация [[P3P]] включает возможность для веб-сервера сообщить браузеру о нарушении конфиденциальности, указывая характер собираемой информации и цели сбора. Сюда входит и использование информации, полученной с помощью куки. По спецификации P3P браузер может принимать или отклонять куки согласно пользовательским настройкам или же спросить пользователя.
  
Спецификация [[P3P]] включает возможность для веб-сервера сообщить браузеру о нарушении конфиденциальности, указывая характер собираемой информации и цели сбора. Сюда входит и использование информации, полученной с помощью куки. По спецификации P3P браузер может принимать или отклонять куки согласно пользовательским настройкам или же спросить пользователя.
   
Многие браузеры, включая [[Safari]] от [[Apple]] и [[Internet Explorer]] версий 6 и 7 от Microsoft, поддерживают спецификации P3P, которые позволяют определить, следует ли разрешать сторонние куки. Браузер [[Opera]] позволяет пользователям отказаться от сторонних куки и создать глобальные или выборочные профили безопасности для веб-доменов.<ref>{{cite web|url=http://operawiki.info/NewCookieSettings|title=Настройки куки в Opera 9|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX3ifpR?url=http://operawiki.info/NewCookieSettings|archivedate=2011-08-26|deadurl=yes}}</ref> [[Firefox]] 2 был лишён этой опции, но она была восстановлена в версии 3.
 +
Многие браузеры, включая [[Safari]] от [[Apple]] и [[Internet Explorer]] версий 6 и 7 от Microsoft, поддерживают спецификации P3P, которые позволяют определить, следует ли разрешать сторонние куки. Браузер [[Opera]] позволяет пользователям отказаться от сторонних куки и создать глобальные или выборочные профили безопасности для веб-доменов<ref>{{cite web|url=http://operawiki.info/NewCookieSettings|title=Настройки куки в Opera 9|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX3ifpR?url=http://operawiki.info/NewCookieSettings|archivedate=2011-08-26|deadurl=yes}}</ref>. [[Firefox]] 2 был лишён этой опции, но она была восстановлена в версии 3.
   
 
== Недостатки куки ==
  
== Недостатки куки ==
 
Куки могут быть украдены с помощью анализа [[сетевой трафик|трафика]] — это называется взломом сессии. Сетевой трафик может быть перехвачен не только его отправителем и получателем (особенно в публичных сетях [[Wi-Fi]]). Этот трафик включает в себя и куки, передаваемые через незашифрованные HTTP-сессии. Там, где сетевой трафик не шифруется, злоумышленники могут прочесть сообщения пользователей сети, в том числе их куки, используя программы, называемые [[сниффер]]ами.
  
Куки могут быть украдены с помощью анализа [[сетевой трафик|трафика]] — это называется взломом сессии. Сетевой трафик может быть перехвачен не только его отправителем и получателем (особенно в публичных сетях [[Wi-Fi]]). Этот трафик включает в себя и куки, передаваемые через незашифрованные HTTP-сессии. Там, где сетевой трафик не шифруется, злоумышленники могут прочесть сообщения пользователей сети, в том числе их куки, используя программы, называемые [[сниффер]]ами.
   
Шифрование сервером данных в куки снимает вопрос о их безопасности, однако, возможна подмена куки злоумышленником. Для невозможности доступа даже к зашифрованным куки может помочь установление между пользователем и сервером шифрованного соединения с использованием протокола [[HTTPS]]. Сервер также может использовать специальный флаг при установке куки, после чего браузер будет передавать их только по надёжному каналу, например, через [[SSL]]-соединение.<ref name="rfc"/>
 +
Шифрование сервером данных в куки снимает вопрос о их безопасности, однако, возможна подмена куки злоумышленником. Для невозможности доступа даже к зашифрованным куки может помочь установление между пользователем и сервером шифрованного соединения с использованием протокола [[HTTPS]]. Сервер также может использовать специальный флаг при установке куки, после чего браузер будет передавать их только по надёжному каналу, например, через [[SSL]]-соединение<ref name="rfc"/>.
   
Однако большое число веб-сайтов, даже использующих безопасные HTTPS-сессии для идентификации пользователя, затем отправляют куки и другие данные более простым незашифрованным HTTP-соединением. Злоумышленники могут легко перехватить куки других пользователей и использовать их на соответствующих веб-сайтах.<ref>{{cite web|datepublished=3 августа 2007|url=http://news.bbc.co.uk/2/hi/technology/6929258.stm|title=Wi-fi взлом веб-почты|publisher=[[BBC News]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX4CmXi?url=http://news.bbc.co.uk/2/hi/technology/6929258.stm|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
Однако большое число веб-сайтов, даже использующих безопасные HTTPS-сессии для идентификации пользователя, затем отправляют куки и другие данные более простым незашифрованным HTTP-соединением. Злоумышленники могут легко перехватить куки других пользователей и использовать их на соответствующих веб-сайтах<ref>{{cite web|datepublished=3 августа 2007|url=http://news.bbc.co.uk/2/hi/technology/6929258.stm|title=Wi-fi взлом веб-почты|publisher=[[BBC News]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX4CmXi?url=http://news.bbc.co.uk/2/hi/technology/6929258.stm|archivedate=2011-08-26|deadurl=yes}}</ref>.
 
[[Файл:Cookie-theft.PNG|thumb|200px|Межсайтовый скриптинг: куки должны обмениваться лишь между сервером и клиентом, а отправляются третьей стороне.]] Для того чтобы гарантировать передачу куки только через HTTPS-сессию, куки должны иметь атрибут Secure.
  
[[Файл:Cookie-theft.PNG|thumb|200px|Межсайтовый скриптинг: куки должны обмениваться лишь между сервером и клиентом, а отправляются третьей стороне.]] Для того чтобы гарантировать передачу куки только через HTTPS-сессию, куки должны иметь атрибут Secure.
   
Другой способ кражи куки — [[межсайтовый скриптинг]] и несанкционированная отправка куки на серверы, которые не должны получать их. Современные браузеры могут исполнять фрагменты кода, полученные с сервера. Если куки доступны во время этого исполнения, их содержимое может в той или иной форме оказаться на серверах, которые не должны получать к ним доступ. Шифрование куки не поможет в этом случае.<ref>{{cite web|datepublished=май 2002|url=http://www.cgisecurity.com/articles/xss-faq.shtml#theft|title=На что похожа XSS-кража куки?|publisher=[[Cgisecurity.com]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX53rTG?url=http://www.cgisecurity.com/articles/xss-faq.shtml#theft|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
Другой способ кражи куки — [[межсайтовый скриптинг]] и несанкционированная отправка куки на серверы, которые не должны получать их. Современные браузеры могут исполнять фрагменты кода, полученные с сервера. Если куки доступны во время этого исполнения, их содержимое может в той или иной форме оказаться на серверах, которые не должны получать к ним доступ. Шифрование куки не поможет в этом случае<ref>{{cite web|datepublished=май 2002|url=http://www.cgisecurity.com/articles/xss-faq.shtml#theft|title=На что похожа XSS-кража куки?|publisher=[[Cgisecurity.com]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX53rTG?url=http://www.cgisecurity.com/articles/xss-faq.shtml#theft|archivedate=2011-08-26|deadurl=yes}}</ref>.
   
 
Следующий вид межсайтового скриптинга, как правило, используют на сайтах, где пользователям разрешено отправлять сообщения с HTML-содержимым. При вставке соответствующего PHP/Javascript -кода в сообщение атакующий может получить куки других пользователей.
  
Следующий вид межсайтового скриптинга, как правило, используют на сайтах, где пользователям разрешено отправлять сообщения с HTML-содержимым. При вставке соответствующего PHP/Javascript -кода в сообщение атакующий может получить куки других пользователей.
   
Эти атаки можно предотвратить установкой флага HttpOnly,<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|title=Снижение опасности межсайтового скриптинга с помощью HTTP-only кук|publisher=Microsoft|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/60ujxtZnN?url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|archivedate=2011-08-13|deadurl=yes}}</ref> делающей куки недоступными для скриптов со стороны клиента. Тем не менее, веб-разработчики должны предусматривать защиту от межсайтового скриптинга на стадии [[Веб-разработка|разработки]] веб-сайтов.<ref>{{cite web|author=Майкл Ховард|coauthors=Кит Браун|datepublished=2000|url=http://msdn.microsoft.com/ru-ru/magazine/cc188938(en-us).aspx|title=10 советов по защите кода|publisher=Microsoft|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX5Tc3Z?url=http://msdn.microsoft.com/ru-ru/magazine/cc188938(en-us).aspx|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
Эти атаки можно предотвратить установкой флага HttpOnly<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|title=Снижение опасности межсайтового скриптинга с помощью HTTP-only кук|publisher=Microsoft|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/60ujxtZnN?url=http://msdn.microsoft.com/en-us/library/ms533046.aspx|archivedate=2011-08-13|deadurl=yes}}</ref>, делающей куки недоступными для скриптов со стороны клиента. Тем не менее, веб-разработчики должны предусматривать защиту от межсайтового скриптинга на стадии [[Веб-разработка|разработки]] веб-сайтов<ref>{{cite web|author=Майкл Ховард|coauthors=Кит Браун|datepublished=2000|url=http://msdn.microsoft.com/ru-ru/magazine/cc188938(en-us).aspx|title=10 советов по защите кода|publisher=Microsoft|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX5Tc3Z?url=http://msdn.microsoft.com/ru-ru/magazine/cc188938(en-us).aspx|archivedate=2011-08-26|deadurl=yes}}</ref>.
   
 
=== Подмена куки ===
  
=== Подмена куки ===
 
Многие веб-сайты используют файлы куки для персонализации в соответствии с предпочтениями пользователя. Пользователи выбирают свои предпочтения, вводя их в веб-форму и отправляя форму на сервер. Сервер кодирует настройки в куки и отправляет куки обратно в браузер. Таким образом, каждый раз, когда пользователь получает доступ к странице на веб-сайте, сервер может персонализировать страницу в соответствии с предпочтениями пользователя. Например, поисковая система Google однажды использовала файлы куки, чтобы позволить пользователям (даже незарегистрированным) решать, сколько результатов поиска на странице они хотят видеть.
  
Многие веб-сайты используют файлы куки для персонализации в соответствии с предпочтениями пользователя. Пользователи выбирают свои предпочтения, вводя их в веб-форму и отправляя форму на сервер. Сервер кодирует настройки в куки и отправляет куки обратно в браузер. Таким образом, каждый раз, когда пользователь получает доступ к странице на веб-сайте, сервер может персонализировать страницу в соответствии с предпочтениями пользователя. Например, поисковая система Google однажды использовала файлы куки, чтобы позволить пользователям (даже незарегистрированным) решать, сколько результатов поиска на странице они хотят видеть.
   
=== '''Отслеживание''' ===
 +
=== Отслеживание ===
 
Файлы куки используются для отслеживания привычек пользователей в Интернете. Это также можно сделать в некоторой степени, используя IP-адрес компьютера, запрашивающего страницу, или поле referer заголовка HTTP-запроса, но куки-файлы позволяют повысить точность. Это можно продемонстрировать, если пользователь запрашивает страницу сайта, но запрос не содержит куки, сервер предполагает, что это первая страница, которую посетил пользователь. Таким образом, сервер создаёт уникальный идентификатор (обычно последовательность случайных букв и цифр) и отправляет его в виде файла куки в браузер вместе с запрашиваемой страницей.
  
Файлы куки используются для отслеживания привычек пользователей в Интернете. Это также можно сделать в некоторой степени, используя IP-адрес компьютера, запрашивающего страницу, или поле referer заголовка HTTP-запроса, но куки-файлы позволяют повысить точность. Это можно продемонстрировать, если пользователь запрашивает страницу сайта, но запрос не содержит куки, сервер предполагает, что это первая страница, которую посетил пользователь. Таким образом, сервер создаёт уникальный идентификатор (обычно последовательность случайных букв и цифр) и отправляет его в виде файла куки в браузер вместе с запрашиваемой страницей.
   
   
 
=== Сохранение на клиентской стороне ===
  
=== Сохранение на клиентской стороне ===
Некоторые веб-браузеры позволяют странице сохранять информацию локально для последующего извлечения. Internet Explorer, например, поддерживает сохранение информации в истории, [[Избранное|избранном]], [[XML]]-хранилище, или позволяет провести прямое сохранение веб-страницы на диск.<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533007(VS.85).aspx|title=Введение в Хранение|publisher=[[MSDN]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX6fnF2?url=http://msdn.microsoft.com/en-us/library/ms533007(VS.85).aspx|archivedate=2011-08-26|deadurl=yes}}</ref>
 +
Некоторые веб-браузеры позволяют странице сохранять информацию локально для последующего извлечения. Internet Explorer, например, поддерживает сохранение информации в истории, [[Избранное|избранном]], [[XML]]-хранилище, или позволяет провести прямое сохранение веб-страницы на диск<ref>{{cite web|url=http://msdn.microsoft.com/en-us/library/ms533007(VS.85).aspx|title=Введение в Хранение|publisher=[[MSDN]]|accessdate=8 августа 2008|lang=en|archiveurl=https://www.webcitation.org/61DX6fnF2?url=http://msdn.microsoft.com/en-us/library/ms533007(VS.85).aspx|archivedate=2011-08-26|deadurl=yes}}</ref>.
   
 
Немного отличный механизм используется в браузерах, [[кэш]]ирующих файлы javascript, используемые в веб-странице. Например, страница может содержать ссылку <code>&lt;script type="text/javascript" src="example.js"&gt;</code>. С загрузкой страницы загружается и example.js. Затем скрипт кэшируется и не требует загрузки при повторном посещении страницы. В результате, если скрипт содержит такое значение, как id=3243242, этот идентификатор остаётся в силе и может быть использован другим сценарием javascript или другой страницей, запрашивающей этот скрипт.
  
Немного отличный механизм используется в браузерах, [[кэш]]ирующих файлы javascript, используемые в веб-странице. Например, страница может содержать ссылку <code>&lt;script type="text/javascript" src="example.js"&gt;</code>. С загрузкой страницы загружается и example.js. Затем скрипт кэшируется и не требует загрузки при повторном посещении страницы. В результате, если скрипт содержит такое значение, как id=3243242, этот идентификатор остаётся в силе и может быть использован другим сценарием javascript или другой страницей, запрашивающей этот скрипт.
   
 
=== Веб-токены JSON ===
  
=== Веб-токены JSON ===
JSON Web Token (JWT) - это автономный пакет информации, который можно использовать для хранения информации о личности и подлинности пользователя. Это позволяет использовать их вместо файлов cookie сеанса. В отличие от файлов куки, которые автоматически присоединяются к каждому HTTP-запросу браузером, JWT должны быть явно присоединены веб-приложением к каждому HTTP-запросу.
 +
JSON Web Token (JWT) это автономный пакет информации, который можно использовать для хранения информации о личности и подлинности пользователя. Это позволяет использовать их вместо файлов cookie сеанса. В отличие от файлов куки, которые автоматически присоединяются к каждому HTTP-запросу браузером, JWT должны быть явно присоединены веб-приложением к каждому HTTP-запросу.
   
 
=== DOM Window.name ===
  
=== DOM Window.name ===
   
 
== Настройки браузера ==
  
== Настройки браузера ==
Большинство современных браузеров поддерживают файлы куки и позволяют пользователю отключать их. Ниже приведены общие варианты:<ref>{{Cite web|url=http://www.cookiecentral.com/faq/|title=The Unofficial Cookie FAQ v2.6|author=David Whalen|website=|date=2002|publisher=}}</ref>
 +
Большинство современных браузеров поддерживают файлы куки и позволяют пользователю отключать их. Ниже приведены общие варианты<ref>{{Cite web|url=http://www.cookiecentral.com/faq/|title=The Unofficial Cookie FAQ v2.6|author=David Whalen|website=|date=2002|publisher=}}</ref>:
   
 
* Полностью включить или отключить файлы куки, чтобы они всегда были приняты или всегда блокировались.
  
* Полностью включить или отключить файлы куки, чтобы они всегда были приняты или всегда блокировались.
 
* Для просмотра и выборочного удаления файлов куки используется менеджер файлов cookie.
  
* Для просмотра и выборочного удаления файлов куки используется менеджер файлов cookie.
 
* Чтобы полностью стереть все личные данные, в том числе куки.
  
* Чтобы полностью стереть все личные данные, в том числе куки.
* По умолчанию Internet Explorer разрешает сторонние файлы cookie только в том случае, если они сопровождаются P3P-полем «CP» (компактная политика).<ref>{{Cite web|url=https://grack.com/blog/2010/01/06/3rd-party-cookies-dom-storage-and-privacy/|title=3rd-Party Cookies, DOM Storage and Privacy : Matt Mastracci's blog|author=|website=grack.com|date=2010|publisher=}}</ref>
 +
* По умолчанию Internet Explorer разрешает сторонние файлы cookie только в том случае, если они сопровождаются P3P-полем «CP» (компактная политика)<ref>{{Cite web|url=https://grack.com/blog/2010/01/06/3rd-party-cookies-dom-storage-and-privacy/|title=3rd-Party Cookies, DOM Storage and Privacy : Matt Mastracci's blog|author=|website=grack.com|date=2010|publisher=}}</ref>.
   
 
== См. также ==
  
== См. также ==

[добавить уведомление]

Внимание: Вы не представились системе. Ваш IP-адрес будет записан в историю изменений этой страницы. Если вы создадите учётную запись, вы сможете скрыть ваш IP-адрес и пользоваться другими преимуществами. Сообщения, отправленные на ваш IP, можно посмотреть на вашей странице обсуждения.
Пожалуйста, не сохраняйте тестовые правки. Если вы хотите поэкспериментировать, используйте песочницу.

Сохраняя изменения, вы соглашаетесь с условиями использования, а также соглашаетесь на безотзывную публикацию по лицензиям CC BY-SA 3.0 и GFDL. Вы соглашаетесь, что указание гиперссылки на соответствующую страницу или её URL-адреса будет достаточным для выполнения условия атрибуции лицензии Creative Commons.

Отменить Справка по правкам (в новом окне)

Быстрая вставка: «» „“ | {{}} [[]] [] [[|]] {{|}} {{подст:}} <br> &nbsp; #перенаправление [[]] [[Категория:]] {{DEFAULTSORT:}} [[Участник:]] {{u|}} {{userlinks|}} {{ping|}} {{pagelinks|}} {{D-|}} [[d:|]] ~~~~

__NOTOC__ __TOC__ __FORCETOC__   [[ ()|]] [[ (фильм)|]] {{commonscat|}} [[wikt:]] [[Special:Diff/|]] [[Special:Permalink/|]] [[Special:Contributions/]]

Теги: <></>   <!-- -->   <blockquote></blockquote>   <code></code>   <code><nowiki></nowiki></code>   <math></math>   <nowiki></nowiki>   <includeonly></includeonly>   <noinclude></noinclude>   <onlyinclude></onlyinclude>   <poem></poem>   <pre></pre>   <s></s>   <small></small>   <syntaxhighlight lang=""></syntaxhighlight>   <sub></sub>   <sup></sup>

Теги галереи файлов: <gallery></gallery>   <gallery class="center" caption=""></gallery>   <gallery mode="packed" heights="" caption=""></gallery>

Разделы: == ==   === ===   === Итог ===  {{подст:Служебные разделы}}   == См. также ==   == Примечания == {{примечания}}   == Литература ==   == Ссылки ==

Шаблоны: {{tl|}}   {{cl|}}   {{clear}}   {{lang-en|}}   {{ref-en}}   {{s|}}   {{неоднозначность}}   {{викифицировать}}   {{переработать}}   {{достоверность}}   {{rq|}}   {{div col}}{{div col end}}   {{нарушение авторских прав|url=}}   {{подст:L}}   {{подст:предложение к удалению}} {{подст:короткая статья}}   {{подст:перелить|}}   {{закрыто}}{{закрыто-конец}}   {{начало цитаты}}{{конец цитаты|источник=}}   {{перенесено с||~~~~}}   {{перенесено на||~~~~}}   {{hello}}~~~~  

Источники: <ref></ref>   <ref name=""></ref>   <ref name="" />   <ref group=""></ref>   {{ref+||group=""}}   {{подст:АИ}}   {{подст:АИ2|}}   {{подст:не АИ}}   {{подст:отсутствие источников}}   {{подст:отсутствие источников в разделе}}   {{нет в источнике}}

Символы: Ё ё ~ # @ § · ¡ ¿ \ ½ ¼ ¾ ± × ÷ ° ^ ¹ ² ³ £ ¥ $ ¢ © ® {{подст:ударение}}

Греческий алфавит: Α α Β β Γ γ Δ δ Ε ε Ζ ζ Η η Θ θ Ι Ϊ ι ϊ Κ κ Λ λ Μ μ Ν ν Ξ ξ Ο ο Π π Ρ ρ Σ σ ς Τ τ Υ Ϋ υ ϋ Φ φ Χ χ Ψ ψ Ω ω

Не копируйте тексты с других сайтов (исключения). Материалы, нарушающие авторские права, будут удалены. Убедитесь, что ваши правки основаны на данных, поддающихся проверке, и ссылайтесь на источники. Правьте смело, но для тестирования, пожалуйста, используйте «песочницу».

Сущности Викиданных, используемые на этой странице

  • куки: Заголовок, Другие (Утверждения), Ссылка на сайт, Утверждение: P103, Утверждение: P17, Утверждение: P31, Утверждение: P373

Шаблоны, используемые на этой странице:

Эта страница относится к 7 скрытым категориям:

Источник — https://ru.wikipedia.org/wiki/Cookie