Там, где сетевой трафик не шифруется, злоумышленники могут прочесть сообщения пользователей сети, в том числе их cookie, используя программы, называемые снифферами. Публичный список суффиксов[17] помогает снизить риск, который представляют супер-cookie. Публичный список суффиксов — это инициатива кросс-вендоров, целью которого является предоставление точного и актуального списка суффиксов доменных имен. В старых версиях браузеров может отсутствовать актуальный список, и поэтому они будут уязвимы для супер-cookie из определённых доменов. Хотя некоторые люди знали о существовании cookie уже в первом квартале 1995 года[13], широкая общественность узнала о них лишь после статьи в «Financial Times» от 12 февраля 1996 года. В том же году cookie оказались в центре внимания средств массовой информации, особенно из-за потенциальной угрозы приватности.

Для чего нужны куки?

При вставке соответствующего PHP/Javascript-кода в сообщение атакующий может получить cookie других пользователей. Другой способ кражи cookie — межсайтовый скриптинг и несанкционированная отправка cookie на серверы, которые не должны получать их. Если cookie доступны во время этого исполнения, их содержимое может в той или иной форме оказаться на серверах, которые не должны получать к ним доступ.

HTTP-аутентификация

В таких системах один браузер может иметь несколько IP-адресов, и несколько пользователей могут использовать один IP-адрес, в результате чего отслеживание IP-адреса не представляется возможным. Если на компьютере используется более одного браузера, то, как правило, каждый имеет отдельное хранилище для cookie. Поэтому cookie идентифицируют не человека, а сочетание учётной записи, компьютера, и браузера. Таким образом, любой человек, который использует несколько учётных записей, компьютеров или браузеров, имеет несколько наборов cookie. Супер-cookie — это cookie-файл с источником домена верхнего уровня (например, .ru) или общедоступным суффиксом (например, .co.uk). Обычные cookie, напротив, имеют происхождение от конкретного доменного имени, например example.com.

Как очистить, запретить или блокировать куки в браузерах?

Когда пользователь успешно входит в систему, сервер запоминает, что этот конкретный идентификатор сеанса был аутентифицирован, и предоставляет пользователю доступ к его услугам. Обычно атрибут домена cookie совпадает с доменом, который отображается в адресной строке веб-браузера. Однако сторонний файл cookie принадлежит домену, отличному от того, который указан в адресной строке.

• Сервер также может использовать специальный флаг при установке cookie, после чего браузер будет передавать их только по надёжному каналу, например через SSL-соединение[7].
• Более того, существует возможность заменить сессионные cookie постоянными (с указанием срока годности).
• Cookie могут быть украдены с помощью анализа трафика — это называется взломом сессии.
• При нарушении хотя бы одного из перечисленных требований установка cookie-файла в браузер будет отклонена.
• В ней указывалось, что сторонние cookie должны либо блокироваться, либо хотя бы не работать по умолчанию.

Что такое сторонние и постоянные куки?

Данная техника доступна с самого появления World Wide Web, которая требует знания IP-адреса клиента для загрузки страницы. Эту информацию можно хранить на сервере вне зависимости от того, используются cookie или нет. Существует заблуждение, что cookie являются программами cookie lifetime и могут самостоятельно отслеживать действия пользователей, хотя это только фрагменты данных, хранящиеся на компьютере браузером[26]. Согласно опросу, проведённому американской компанией Insight Express в 2005 году, 25 % респондентов уверены в этом[27].

Cookies и защита персональных данных

Например, при переходе с внутренних страниц сайта и с внешних поисковых систем строки запроса будут разными, тогда как cookie оставались бы одинаковыми. Обычно для этого используется строка запроса, но так же могут задействоваться и другие части URL. Языки JavaScript и PHP активно используют эти механизмы при отключённых cookie. Шифрование сервером данных в cookie снимает вопрос о их безопасности, однако возможна подмена cookie злоумышленником. Для невозможности доступа даже к зашифрованным cookie может помочь установление между пользователем и сервером шифрованного соединения с использованием протокола HTTPS. Сервер также может использовать специальный флаг при установке cookie, после чего браузер будет передавать их только по надёжному каналу, например через SSL-соединение[7].

На практике некоторые браузеры могут накладывать более жёсткие ограничения. К примеру, Internet Explorer предоставляет 4096 байт для всех cookie в одном домене. В разделе «Конфиденциальность и безопасность» выбираем «Настройки сайта» и далее «Файлы cookie». Cookie могут быть украдены с помощью анализа трафика — это называется взломом сессии. Сетевой трафик может быть перехвачен не только его отправителем и получателем (особенно в публичных сетях Wi-Fi). Этот трафик включает в себя и cookie, передаваемые через незашифрованные HTTP-сессии.

Настройка оформления и поведения многих веб-сайтов по индивидуальным предпочтениям пользователя тоже основана на куки[1]. Благодаря файлам куки веб-браузер на компьютере или мобильном устройстве обменивается с сервером сайта персональной информацией пользователя. В них могут содержаться самые разные сведения, включая пользовательский логин и пароль, данные о его местоположении, часовом поясе, выбранной теме дизайна интерфейса сайта, языке, валюте и т.д. Постоянные cookie критикуются экспертами за свой долгий срок хранения, который позволяет веб-сайтам отслеживать пользователей и создавать их профиль с течением времени[41]. Здесь затрагиваются и вопросы безопасности, поскольку украденные постоянные cookie могут использоваться на протяжении значительного периода времени. Каждый сайт должен иметь свои собственные cookie, и сайт example1.com не должен изменять или устанавливать cookie другого сайта example2.org.

• В июне 1994 года Лу Монтулли пришла идея использовать их при веб-соединении[9].
• Файлы cookie используются для отслеживания привычек пользователей в Интернете.
• Так, браузер должен хранить по меньшей мере 300 cookie по 4096 байт каждая и по меньшей мере 20 cookie для одного сервера или домена.
• Там, где сетевой трафик не шифруется, злоумышленники могут прочесть сообщения пользователей сети, в том числе их cookie, используя программы, называемые снифферами.
• Поэтому cookie идентифицируют не человека, а сочетание учётной записи, компьютера, и браузера.