HTTP-бисквитка

HTTP бисквитката (буквален превод от английски HTTP cookie), обикновено наричана просто „бисквитка“, е пакет информация, изпратен от уеб сървър към Интернет браузър, а след това връщан от браузъра всеки път, когато той получи достъп до този сървър. „Бисквитките“ са изобретени от Лу Монтули, бивш служител на Нетскейп Комюникешънс.

[редактиране] Предназначение

„Бисквитките“ могат да съдържат произволна информация, избрана от сървъра, и се използват да поддържат състоянието на HTTP транзакциите, които иначе са „без състояние“. Обикновено те се използват за удостоверяване на самоличността на регистриран потребител на даден уебсайт като част от процеса на влизане или първоначална регистрация в сайта, като от потребителя не се изисква ново въвеждане на потребителско име и парола при всеки следващ достъп до този сайт. Други използват бисквитките за поддържане на „пазарска кошница“ за избрани стоки за купуване от даден сайт по време на една сесия, за персонализация на сайт (представяне на различни страници за различните потребители), и за проследяване на достъпа на отделни потребители до даден сайт.

[редактиране] Разрешение

Даден браузър може да позволи или да забрани използването на „бисквитки“. Потребителят обикновено може да избере настройка.

[редактиране] Microsoft Internet Explorer

Tools > Internet Options > Privacy Tab

• Използвайте плъзгача, за да зададете опциите, или използвайте допълнителните опции (Advanced...)

[редактиране] Mozilla

• Tools > Cookie Manager ИЛИ
• Edit > Preferences > Privacy & Security
  • Задайте опции в точка Cookies
    • Cookie Sites позволява настройки по домейни: Block/Session/Allow
    • Stored Cookies отваря прозорец за управление на „бисквитки“, в който се показват подробности за съхранените бисквитки, като има възможност да се изтриват или блокират

[редактиране] Трайност

Дадена „бadasdsa

[редактиране] Идентификация

Ако на даден компютър се използва повече от един браузър, всеки си има отделно пространство за съхранение на „бисквитки“. „Бисквитките“ не идентифицират дадено лице, а комбинация от компютър и уеб браузър. Следователно, едно лице, което използва няколко браузъра и / или компютъра има отделен набор от „бисквитки“ за всяка комбинация компютър – браузър. От друга страна, „бисквитките“ не правят разлика между множество потребители, споделящи един и същ компютър и браузър, освен ако те не използват различни потребителски сметки.

[редактиране] Мнения против „бисквитките“

Някои хора са против използването на „бисквитки“ в Интернет. По-долу се излагат някои от техните доводи:

[редактиране] Погрешна идентификация

Вижте по-горе „Идентификация“.

[редактиране] Поверителност, анонимност и реклама

„Бисквитките“ могат сериозно да се намесят за разкриване на поверителни лични данни и анонимността на даден потребител в Интернет. Един начин за това е, например, когато някои компании следят посещенията на потребителите на различни сайтове с маркетингова цел. Някои сайтове съдържат картинки, наречени уеб бръмбари (които са прозрачни и с размер един пиксел, така че не се забелязват), които записват „бисквитки“ на всеки компютър, който получи достъп до тях. Уебсайтове за електронна търговия могат след това да прочетат тези „бисквитки“, да разберат от кои уебсайтове са ги записали и да изпратят електронно писмо-спам с реклами за продуктите, свързани с тези уебсайтове.

Компаниите, които използват тази система, я защитават като ефективен начин за даване на потребителите достъп до продуктите, от които те евентуално се интересуват. Ако сайтовете, които записват такива „бисквитки“, получават заплащане от рекламна агенция, приходът ще им позволи да записват тяхното съдържание онлайн безплатно за създателите.

В Швеция е приет закон за „бисквитките“, който задължава сайтовете, които използват „бисквитки“ да поставят за това съобщение и указания как потребителите могат да ги избягват.

[редактиране] Кражба на „бисквитки“, междусайтово скриптиране и „отравяне“ на „бисквитки“

Макар че „бисквитките“ сами по себе си не са опасни, те съдържат информация, съответстваща на даден контекст: потребител, компютър, уеб браузър и, преди всичко, домейн, обслужван от уеб сървъра, откъдето произхождат. Заобикалянето на този контекст, т.е. „изтичането“ на информация за този контекст е нежелателно за потребителя, особено когато информацията от „бисквитките“ съдържа лични данни. Такова заобикаляне представлява ценно начинание за някой, който извършва атаки. Междусайтовото скриптиране е превъзходен инструмент за постигане на тази цел. Освн заплахите от атаки с междусайтово скриптиране и кражба на „бисквитки“, „отравянето“ на „бисквитки“ също представлява опасност за потребителя, тъй като то позволява прескачане на контекста и доверяване на приносителя им.

• Кражба на „бисквитки“: събиране на потребителски „бисквитки“ и изпращането им на уебсайта на този, който извършва атаки. След това той може да използва информацията от „бисквитките“ за „отвличане“ на потребителската сметка от доверен / засегнат уебсайт.
• „Отравяне“ на „бисквитки“: като заобикаля защитния механизъм на доверието, основано върху контекст, този който извършва атаки може да „инжектира“ код, получен от модификацията на съдържанието на „бисквитките“, като по този начин осъществява постоянни атаки.

[редактиране] Бъдещето на „бисквитките“

Предложени са няколко алтернативи на „бисквитките“, напр. Проектът Brownie („шоколадови сладки“), проект с отворен код на SourceForge. „Шоколадовите сладки“ трябваше да бъдат предназначени за множество домейни в противовес на „бисквитките“, които (по общо мнение) са ограничени до единичен домейн. Разработката на проекта е прекратена.

[редактиране] Външни препратки

• Състояние Постоянен клиент — HTTP „бисквитки“ – предварителна спецификация (Netscape) (на английски)
• Фиксиране на сесия (в PDF формат) (на английски)
• Често задавани въпроси за „бисквитките“ (неофициална страница) (на английски)
• „Можете ли да ми обясните какво е кражба на «бисквитки» чрез междусайтово скриптиране? “ (откъс от Cgisecurity Често задавани въпроси за междусайтовото скриптиране) (на английски)
• CERT® Advisory CA-2000-02 Злонамерени HTML етикети, вложени в заявки на уеб клиенти (на английски)
• Описание на атака с отравяне на „бисквитка“
• Опасни ли са „бисквитките“ — Статия, обясняваща какво представляват „бисквитките“ и за какво да внимаваме. (на английски)