Krótka historia cookies
Popularne ciasteczka zostały wymyślone przez pracownika Netscape Communications (firmy odpowiedzialnej za popularną w latach 90. XX w. przeglądarkę internetową), Lou Montulliego. Była to odpowiedź na zapotrzebowanie firmy MCI na optymalizację zachowywania przez jej serwery częściowych stanów koszyków. Wprowadzone i systematycznie rozwijane, pliki cookie już pod koniec minionego wieku budziły kontrowersje ze względu na kwestię prywatności użytkowników. Nieustandaryzowane mechanizmy zarządzania cookies w różnych przeglądarkach zrodziły potrzebę powstania przepisów prawnych regulujących tę kwestię. W 2009 roku (w Polsce od 22 marca 2013) weszła dyrektywa Unii Europejskiej nakładająca na właścicieli witryn obowiązek informowania o sposobie zarządzania danymi przeglądarek w ramach cookies.
Rodzaje cookies
Ze względu na funkcje i trwałość (niektóre z nich mogą mieć nawet kilka lat!) cookies wyróżniamy ich kilka rodzajów.
Session cookie (sesyjny/przejściowy/nietrwały plik cookie) funkcjonuje w pamięci tymczasowej jedynie w czasie poruszania się użytkownika po stronie internetowej. Pliki tego rodzaju wygasają albo są usuwane po zakończeniu sesji lub zamknięciu przeglądarki internetowej. Ta ostatnia identyfikuje je po braku przypisanej im daty ważności.
Z kolei persistent cookie (trwały/śledzący plik cookie) wygasa po upływie określonego czasu, przez który informacje w nim zawarte przesyłane są za każdym razem, kiedy użytkownik odwiedzi konkretną witrynę lub wyświetli treść należącą do tejże witryny z poziomu innej (np. reklamę). Tego rodzaju cookies są wykorzystywane przez reklamodawców do śledzenia kampanii oraz do utrzymywania sesji dla zalogowanych użytkowników w celu uniknięcia konieczności ponownego logowania się.
Pliki cookie mogą mieć również różne dodatkowe atrybuty wpływające na ich poziom bezpieczeństwa.
Secure cookie (bezpieczny/zabezpieczony plik cookie) nie może być wysyłane poprzez popularne, nieszyfrowane połączenie HTTP, a jedynie za pomocą szyfrowanego HTTPS, chronionego przez protokół TLS (będący rozwinięciem SSL). Plik tego typu w nagłówku HTTP jest oznaczany atrybutem SECURE.
Http-only cookie (plik cookie tylko HTTP) to plik, do którego nie da się uzyskać dostępu poprzez API po stronie klienta (np. JavaScript). Ryzyko kradzieży plików wciąż jednak istnieje – działanie to jest możliwe dzięki skryptom XSS, XST i CSRF. W nagłówku HTTP ten parametr ma oznaczenie HttpOnly.
Same-site cookie to atrybut, który określa, czy i kiedy dany plik cookie może być wysyłany w żądaniach między różnymi stronami (cross-site). W przeglądarce Chrome może przyjmować trzy wartości:
- strict – pliki cookie są wysyłane tylko do domeny docelowej, takiej samej jak źródłowa,
- lax – pliki cookie są wysyłane także do domen docelowych różnych od źródłowej (ale tylko w przypadku bezpiecznych żądań, jak GET),
- none – nie zezwala na pliki cookie innych firm.
Wśród różnych typów plików cookie można wymienić także supercookie pochodzące z domeny najwyższego poziomu (.org czy .pl – tego typu pliki mogą stanowić potencjalne zagrożenie, dlatego są często blokowane przez przeglądarki) lub zombie cookie, umieszczone w ukrytym miejscu, poza folderem przechowywania plików cookie.
Jakie dane zbierają pliki cookie?
Użycie plików cookie sprowadza się do kilku podstawowych działań:
- Zarządzanie sesją – np. zakupową (identyfikacja koszyka) poprzez unikalny identyfikator sesji czy logowania do strony; dzięki cookies możliwe jest także skrócenie czasu ładowania witryny.
- Personalizacja – zapamiętywanie informacji o użytkowniku i jego preferencji w celu wyświetlania mu odpowiednich treści.
- Śledzenie nawyków użytkowników w zakresie korzystania z internetu – jet to możliwe także dzięki np. IP urządzenia, ale pliki cookies zapewniają większą precyzję.
Implementacja cookies – korzyści
Choć pliki cookies w potocznym odbiorze – wbrew przyjaznej nazwie – nie mają dobrej prasy, bez nich każde uruchomienie strony internetowej byłoby inicjalne, pozbawione kontekstu pozostałych odsłon. W dużej mierze ułatwiają więc codzienne korzystanie z sieci.
Aby korzystać z plików cookie, przeglądarka musi obsługiwać:
- pliki cookie do 4096 bajtów,
- co najmniej 50 plików cookie na domenę,
- łącznie co najmniej 3000 plików.
Cookies – najczęściej zadawane pytania
Czy trzeba zaakceptować cookies, aby korzystać ze strony?
Nie musisz akceptować wszystkich plików cookie po wejściu na stronę, aby się po niej poruszać. Niektóre z nich są jednak wymagane do prawidłowego działania serwisu i nie można ich wyłączyć. Ciasteczka analityczne czy marketingowe możesz natomiast odrzucić lub zaakceptować według własnych preferencji.
Jak znaleźć zapisane pliki cookie?
W przypadku najpopularniejszej przeglądarki Google Chrome jest to bardzo proste. Należy kliknąć trzy kropki w prawym górnym rogu przeglądarki, a następnie w menu kontekstowym wybrać: Ustawienia → Prywatność i bezpieczeństwo → Pliki cookie innych firm.