Czy tzw. cookies to nieznośna pomoc dla dwuznacznych etycznie operacji polegających na zgłębianiu twoich danych, czy też są one zupełnie niegroźnym narzędziem służącym do zapisywania ustawień stron internetowych? W tym artykule oddzielimy fakty od fikcji.
Cookies nie mają ostatnio dobrej prasy. Powstaje masa artykułów stwierdzających, że cookies to nic innego jak narzędzie hakerów kryjące się pod przykrywką przyjaznych programów, które potajemnie instalują się na komputerze, zbierając informacje na twój temat, zasilając globalną bazę danych utrzymywaną przez zorganizowaną grupę spamerów. Prawda jest nieco bardziej przyziemna. Cookies to w rzeczywistości proste pliki tekstowe gromadzone w chronionych katalogach twojego komputera. Ich pobieranie odbywa się automatycznie, jeżeli tylko na to zezwolisz, a ich zawartość określają szczegółowe restrykcje.
Dlaczego lubimy cookies?
- Nie musisz pamiętać wszystkich swoich haseł do stron internetowych. Cookies zapamiętają hasła lub to, gdzie je znaleźć za ciebie.
- Poprzez śledzenie twojego zachowania strony mogą po cichu spersonalizować swoją zawartość specjalnie dla ciebie.
- Cookies są proste do ustanowienia jeżeli tylko znasz podstawy programowania.
- Dzięki elastycznemu systemowi par imię & wartość można zapisać każdą informację.
- Bez nich nie istniałyby zakupy online.
Jak wiele innych innowacji, tak i powstanie cookies to zasługa Netscape. Jeden z programistów, Lou Montulli – ten sam człowiek, który napisał niegdyś przeglądarkę tekstową Lynx, zaprezentował mechanizm cookies już w wersji 1.0 szacownej Netszkapy. To jego możemy także obwiniać za migotające tagi i wsparcie dla animowanych GIF-ów.
Niektóre źródła sugerują, że nazwa cookies (ciasteczka) wzięła się od ciasteczek z przepowiednią, które kryją w sobie wiadomość. Również nazwa magic cookie (magiczne ciasteczko) oznaczająca mały pakiet informacji przetransferowany pomiędzy procedurami programu jest powszechna w branży komputerowej. Mimo wszystko sam Montulli przyznaje, że termin ten zapożyczył z systemu UNIX.
To prawda, że cookies mogą być, i w praktyce często są, używane do całej masy mało honorowych celów. Wyjaśnimy zatem jak to się odbywa i co możesz zrobić, aby uchronić informacje dostępne na twoim komputerze.
Jak to działa
Wiemy już, że cookies gromadzą informacje na twoim komputerze w postaci prostych plików tekstowych. Te dane są powiązane z tobą oraz stroną internetową, z której dany cookie pochodzi. Budowa ciasteczka jest bardzo prosta. Główne dane zapisywane są w parach: nazwa i wartość. Jeżeli na przykład odwiedzisz serwis, który pozwala na zmianę koloru tła, tekst w przypisanym do niego cookie wyglądałby mniej więcej tak:
{stala}UserID=23456{/stala}
{stala}BGColor=green{/stala}
To sprawia, że cookies są naprawdę elastyczne. Dosłownie każda informacja, którą podasz na stronie lub którą prześle twoja przeglądarka, może zostać zapisana w postaci cookies. To potężny mechanizm, dlatego dobrze wiedzieć, że istnieją pewne wbudowane ograniczenia chroniące użytkowników przed nadużyciami.
Pliki cookies mogą zostać odczytane lub nadpisane tylko przez stronę, z której pochodzą, np. Amazon.com nie może odczytać cookies nadanych przez eBay. Dodatkowo serwer może ustanawiać ciasteczka tylko dla własnej domeny, co chroni serwisy przed zapisywaniem plików, które będą mogły potem zostać odczytane przez inne strony.
Typy cookies
Istnieją dwa podstawowe typy cookies, te wielokrotnego użytku i te okazjonalne. Cookies przypisane do jednej sesji to swoiste sieciowe wizytówki, przydatne tylko do momentu, aż nie zamkniesz danej strony. Są one pomocne przy zapamiętywaniu twoich ustawień lub listy przedmiotów na czas wizyt w kolejnych serwisach. Trwałe cookies mogą istnieć bez końca. W praktyce mają one jednak wbudowaną datę ważności na wypadek, gdyby nie nastąpiło ich odnowienie. Zwykle zawierają takie informacje jak ustawienia strony lub login.
Trudno znaleźć jakikolwiek większy serwis, który nie stosuje tych małych stworów. Przejrzyj swoją kolekcję cookies, a zrozumiesz, co mam na myśli. Jeżeli używasz Internet Explorera, znajdziesz je w katalogu {stala}C:\\Documents and Settings\\nazwa_użytkownika\\Cookies\\{/stala} dla Windows XP lub {stala}C:\\Windows\\Cookies{/stala} dla starszych wersji tego systemu. Zobaczysz tam mnóstwo plików tekstowych ponazywanych wedle nazwy użytkownika i domeny internetowej strony, do której są przypisane. Z kolei Firefox i Mozilla trzymają wszystkie cookies w jednym dużym pliku cookies.txt zlokalizowanym w domyślnym dla twojego katalogu.
Ekspedycja w głąb ukrytych zasobów twojego komputera może przynieść odkrycie olbrzymich ilości ciasteczek z takich stron jak Google, Microsoft, eBay i wielu innych, zaprojektowanych tak, aby nie robić nic bardziej mrocznego i złowieszczego jak tylko zapisywać twoje osobiste ustawienia od jednej sesji do drugiej.
Stałe cookies wyszukiwarki Google mogą rejestrować, kiedy ostatni raz korzystałeś z tej strony oraz gromadzić ustawienia związane z Bezpiecznym Wyszukiwaniem (Safe Search). Strona z prognozą pogody BBC używa informacji zapisanych w cookies do wyszukania prognozy dla twojego regionu, bazując na miejscu twojego zamieszkania. Z kolei serwis pocztowy Hotmail automatycznie wstawia twój adres e-mail, także dzięki cookies.
Ustawienia i informacje na temat użytkownika to jednak nie jedyne informacje trzymane w cookies. Mogą być one użyte do nadania każdemu odwiedzającemu stronę unikalnego ID, pozwalającego na śledzenie interakcji internautów z serwisem. To znacznie bardziej efektywna i odpowiednia droga do zebrania statystyk ruchu na stronie niż proste liczenie kliknięć.
Również zakupy online bez cookies to jak wędrowanie po supermarkecie z dziurą na dnie wózka. Cookies przypisane do pojedynczej sesji to sposób wykorzystywany przez każdy duży e-sklep do zapamiętywania towarów, które dodałeś do koszyka. Yahoo! używa ich nawet w bardziej udoskonalony sposób, konstruując spersonalizowane podstrony w My Yahoo!, które najważniejsze dane pobierają z dysku twardego użytkownika.
Czujesz się zmartwiony, że te wszystkie cenne informacje składowane są w skromnych i niezabezpieczonych plikach tekstowych? Nie ma potrzeby: para imię i wartość w cookies jest rzadko zapisywana w surowej postaci. W większości przypadków dane te tylko odnoszą się do informacji, które znajdują się w zabezpieczonej bazie serwisu, przy czym same odnośniki również bywają szyfrowane.
Specjalna odmiana cookies, tzw. bezpieczne cookies (secure cookies), może być wysłana tylko za pośrednictwem połączeń SSL. Oznacza to, że twoje transakcje i dane personalne są tak bezpieczne, jak to tylko możliwe. I pamiętaj, że każda strona internetowa może emitować i odczytywać tylko własne cookies.
Źli chłopcy
Podczas gdy sensacyjne opowieści o cookies, które kradną hasła i adresy e-mail są grubą przesadą, to już każda informacja przesłana za pośrednictwem HTTP na potrzeby twojej przeglądarki internetowej może zostać przechwycona. Oznacza to, że cookies mogą śledzić jakiego systemu operacyjnego i przeglądarki używasz, jaki masz publiczny adres IP, z jakiego kraju i regionu pochodzisz oraz jaką stronę internetową ostatnio odwiedzałeś. To sprawia, że masz pełne prawo czuć się nieco paranoicznie odnośnie do tego, kto właśnie myszkuje wokół ciebie. Szczególnie, że istnieją strony, które nie przestrzegają reguł.
Wystarczy chwilę poszukać w sieci, aby znaleźć firmy, które są znane z wykorzystywania luki w mechanizmie cookies, umożliwiające im zbieranie informacji za pośrednictwem bannerów reklamowych.
Działa to następująco: cookies są wykorzystywane poprzez protokół HTTP za każdym razem, gdy twoja przeglądarka internetowa dokona połączenia w celu pozyskania kolejnych elementów danej strony. Firmy z kolei pośredniczą w dostarczaniu reklam swoim klientom. Aby skorzystać z ich usług, właściciel strony musi zamieścić w kodzie odnośnik do serwera reklamowego. Kiedy oglądasz taką stronę, twoja przeglądarka łączy się zatem także z drugim serwerem, a odpowiedni kod tworzy nowe ciasteczko na twojej maszynie. Sprytne.
Nieproszone ciasteczko przypisuje tobie unikalny ID, a następnie śledzi twoje wizyty na innych stronach, które zamieściły reklamy z tej samej firmy. W ten sposób możliwe jest zbudowanie profilu zawierającego nawyki, ulubione strony i zainteresowania konkretnych internautów. Tak skumulowane dane niemałej populacji warte są wiele dolarów i to jest jeden z powodów, dlaczego firmy je zbierają. Drugi powód to szansa na lepsze dopasowanie reklam do oczekiwań odbiorców.
Obrońcy prawa do prywatności podnoszą wrzawę w związku z problemami powodowanymi przez podrzucanie ciasteczek i błędy w sieci, ponieważ zbieranie informacji odbywa się bez naszej zgody. Firmy, które to wykorzystują, zarabiają na naszym zachowaniu, używając tej technologii w sposób, dla którego nie została zaprojektowana.
Niedawne akty prawne UE zabraniają pewnych rodzajów tego typu aktywności. Dyrektywa o Prywatności i Regulacjach w Komunikacji Elektronicznej z 2003 roku stwierdza, że strony internetowe powinny informować o przechowywaniu informacji na twój temat, dając możliwość wycofania swojego zezwolenia. Odnosi się to do sytuacji, gdy podajesz swoje dane samodzielnie lub gdy zostaną one pobrane z twojego komputera w inny sposób.
Gromadzenie informacji bez zezwolenia jest także wbrew wytycznym Platformy dla Polityki Prywatności W3C (Web Consortium\’s Platform for Privacy Policy – P3P). Raport opublikowany przez Komisję UE w grudniu 2004 roku stwierdza jednak, że większość strony niewiele robi sobie z tych wszystkich ustaleń.
Hacki i cracki
Kwestie prywatności mogą się jednak wydać błahe, jeżeli spojrzeć na inne cele, do których mogą być wykorzystane cookies. W 2002 roku Microsoft został zmuszony do załatania dziury w Internet Explorerze, która umożliwiała stronom zapisanie kodu HTML lub JavaScript do ciasteczka i wykonanie go na twoim komputerze. Bug ten był obecny w przeglądarce Internet Explorer od wersji IE5 i nie został unieszkodliwiony aż do wydania wersji IE6.
Mozilla, niekwestionowana miłość sieciowej społeczności, ukrywała nawet bardziej złowieszczy błąd, który naświetlił inną przerażającą metodę crackowania ciasteczek. W wydaniach poprzedzających Mozillę w wersji 0.9.7 i Netscape 6.1 możliwa była kradzież ciasteczek użytkownika z jego komputera.
Bug ten został załatany w roku 2002, ale inne metody podbierania cookies przetrwały, wykorzystując takie narzędzia jak CGI, JavaScript czy PHP, które mogą zostać zawarte w odnośniku. Niedawno odkryta dziura pozwalała hakerom na skopiowanie cookies od Google dzięki słabej odporności na skrypty dostępnego w serwisie mechanizmu porównywania ofert sklepów internetowych.
Gdy haker dostanie już twoje cookies, może stać się tobą. Hakerzy mogą logować się i publikować posty na forach internetowych, które odwiedzasz, przeglądać twoje konta w komercyjnych serwisach, zmieniać twoje dane w serwisie randkowym itd. Kradzież cookies nie zdarza się często, ale nie jest niemożliwa.
Techniki kradzieży cookies prawie zawsze wykorzystują podatność stron na zdalnie uruchamiane skrypty. Praktyka, znana guru zabezpieczeń jako XSS, sprowadza się do przesyłania informacji na stronę z wykorzystaniem skryptu po stronie klienta za pośrednictwem dziur, które zostały uprzejmie pozostawione otwarte przez twórców oprogramowania. Może to być księga gości, która zezwala na wpisy w HTML lub format odnośnika zawierający niezaszyfrowane dane użytkownika.
Lecz hakerzy nie tylko kradną cookies, mogą je także zatruć. Ciasteczka są często używane do przechowywania tymczasowych parametrów, takich jak koszt towaru lub liczba zakupionych przedmiotów podanych w formularzu. Parametry te przekazywane są między jedną stroną a drugą właśnie za pośrednictwem cookies. Jeżeli zmienisz dowolny parametr samodzielnie lub zostanie on zafałszowany zdalnie, podrobione dane będą przesyłane dalej. Taka taktyka może być użyta przeciwko słabo zabezpieczonej stronie w celu zamówienia dwóch towarów w cenie jednego lub odnowienia konta testowego w dowolnej usłudze opartej na abonamencie.
Cookies nie są złe same w sobie, ale ludzie, którzy ich używają i robią to niewłaściwie, mogą właśnie tacy być. Pamiętaj o tym następnym razem, gdy ktoś powie ci, że obrońcy prywatności w sieci posuwają się za daleko.
Stwórz cookies przy pomocy JavaScript
1. Nowe ciasteczko
Nie musisz stosować skryptu po stronie serwera aby dodać ciasteczko – ta metoda wykorzystująca JavaScript została opublikowana w serwisie www.p3pwriter.com. Zaczyna się od ustawienia funkcji, która stworzy trwałe ciasteczko ze zmienną nazwą i datą ważności.
function SetCookie(sName, sValue){
document.cookie = sName + \"=\" + escape(sValue) + \";
expires=Mon,31 Dec 2010 23:59:59 UTC;\";
}
2. Wyszukiwanie ciasteczka
Druga sekcja stanowi trzon kodu – ustanawia funkcję dla wyszukiwania ciasteczka na każdej stronie na której je umieściłeś. Zaczyna się od deklaracji funkcji GetCookie, która sprawdza czy dane ciasteczko istnieje a następnie pobiera z niego dane.
function GetCookie(sName){
var docCookie = document.cookie
if(docCookie.lenght>0){
var begin = docCookie. indexOf(sName+\'=\')
if(begin!=-1){
end=docCookie.indexOf(\';\',
begin)
3. Puste ciasteczko
Końcowa część kodu stanowi kontynuację części poprzedniej i mówi funkcji co należy zrobić jeżeli ciasteczko jest puste – czyli właściwe nic. Wywołaj skończoną funkcję SetCookie i GetCookie tak jak ma to miejsce z każdą inną funkcją JavaScript, np. z odnośnika lub zdarzenia onLoad.
if(end==-1)end=docCookie.lenght
return unescape(docCookie.substring
(begin+sName.lenght+1,end))
}
}
//a cookie with the requested name does not exist
return null
}
Skrypty cookies
- Cookie Password Protection
http://www.xaviermedia.com/php/cookieprotection.phtml
Dzięki temu skryptowi PHP zabezpieczysz nieograniczoną ilość stron, przydzielając użytkowników do różnych grup i nadając im bezpieczne hasła a wszystko dzięki cookies. - ASP Cookie Writer
http://www.codeave.com/asp/code.asp?u_log=139
Generator cookies dostępny online. Po prostu wpisz nazwę, wartość i liczbę dni przez które ciasteczko ma obowiązywać, naciśnij przycisk i już jesteś posiadaczem fragmentu skryptu ASP gotowego do zamieszczenia na twoich stronach. - Remember Me!
http://www.downtoearthscripts.com/PPC/remember_me.html
Dostępny w wersji PHP lub CGI wszechstronny skrypt, który pozwoli ci na ustanowienie złożonych cookies z dowolnymi wartościami. Za 32$ otrzymujesz tani i przyjazny sposób na dodanie pełnej obsługi cookies do twojej strony. - Cookie Utility Class
http://www.codehouse.com/javascript/scripts/cjl/cookie
Poręczna darmowa biblioteka funkcji JavaScript, która umożliwi dodawanie, czytanie i kasowanie cookies z poziomu zwykłej statycznej strony internetowej. - Cookies Scripts
http://www.scripts.com/javascript-scripts/cookies-scripts/
Skrypty Cookies dla programistów, zarówno darmowe i jak płatne.
Obrona przed cookies
Internet Explorer
{tlo_1}
W programie Internet Explorer wybierz z menu Narzędzia -> Opcje internetowe i przejdź do zakładki Prywatność. Domyślne ustawienia to Średni poziom zabezpieczeń: powoduje on blokowanie wszystkich zewnętrznych cookies, które nie są zawarte w Skróconej Polityce Prywatności W3C. Kiedy IE zablokuje ciasteczka, zobaczysz ikonę Raportu Prywatności w pasku stanu swojej przeglądarki.
{/tlo}
{tlo_0}
Zmień ustawienia. Możesz ręcznie zmienić domyślny Średni poziom zabezpieczeń poprzez przesunięcie suwaka na poziom Średnio-Wysoki lub Wysoki. Możesz także kliknąć na ustawienia Zaawansowane i wybrać opcję Zastąp automatyczną obsługę plików cookie. Zalecamy włączenie blokowania wszystkich cookie z innych firm i monitorowania plików cookie tej samej firmy.
{/tlo}
Firefox
{tlo_1}
Aby zmienić opcję kontroli cookies, w przeglądarce Firefox wybierz z menu Narzędzia -> Opcje sekcję Prywatność. Kliknij pole Ciasteczka, a następnie, aby zablokować cookies z innych firm, zaznacz opcję \”pochodzące wyłącznie z serwera, z którym nawiązano pierwotne połączenie\”. Firefox umożliwia także blokowanie indywidualnych serwerów w menu Wyjątki.
{/tlo}
Przejmij kontrolę nad cookies
{tlo_1}
Ad-Aware Personal Edition SE
http://www.lavasoftusa.com/software/adaware
Darmowy do niekomercyjnego wykorzystania program Ad-Aware SE wyśledzi spyware oraz cookies innych firm na twoim komputerze. Regularnie aktualizowana baza danych pozwala na łatwą identyfikację zagrożeń i ich usunięcie.
{/tlo}
{tlo_0}
Cookie Crusher
http://www.thelimitsoft.com/cookie
Bardziej wszechstronne narzędzie do zarządzania ciasteczkami. Cookie Crusher umożliwia edycję cookies na twoim komputerze oraz pozwala na ustanowienie reguł postępowania dla indywidualnych serwerów. Program w wersji shareware, koszt jednej licencji to 15$.
{/tlo}
{tlo_1}
Cookie Jar
http://www.barefootinc.com/cookiejar.htm
Za 15$ ten program znajdzie wszystkie cookies na twoim komputerze oraz sprawdzi ich zawartość.
{/tlo}
{tlo_0}
Cookie Dog 2.03
http://mypage.bluewin.ch/atmani/index.html
Cookie Dog to menedżer ciasteczek dla komputerów Mac. Użyj go do blokowania konkretnych cookies lub zsynchronizowania różnych ciasteczek dla różnych przeglądarek. Koszt licencji to 10$, dostępna jest darmowa wersja testowa.
{/tlo}
{tlo_1}
Bad Cookie!
http://www.bainsware.com/badcookie
Kolejne narzędzie dla posiadaczy Maców. Za 10$ będziesz mógł zajrzeć wewnątrz plików Cookie i zadecydować, które chcesz zatrzymać, a które usunąć. Program pozwala na dodawanie komentarzy do plików.
{/tlo}
{tlo_0}
AboutCookies
http://www.aboutcookies.org
Chcesz wiedzieć więcej o tym, jak usuwać lub kontrolować cookies? Na tej stronie znajdziesz pomocne FAQ, przewodniki i wiele innych przydatnych informacji.
{/tlo}
