Что такое куки

Что еще нужно знать про cookie

И в заключение данного урока нужно добавить, что cookie устанавливаются с помощью заголовка в ответе сервера по протоколу HTTP. Протокол HTTP устроен таким образом, что заголовок должен всегда идти перед данными, и никак иначе. Таким образом, функция setcookie и любые другие функции в PHP, изменяющие заголовок в HTTP-ответе, должны вызываться до любого вывода данных.

Можно сначала задать cookie, а затем вывести текст.

Всё прекрасно отработает.

Но нельзя вывести текст (являющийся телом HTTP-ответа), а затем пытаться установить cookie.

Как мы видим, это приведет к ошибке. Так устроен протокол HTTP. Сначала — заголовок, затем — тело. Только так и никак иначе.

Other ways to store information in the browser

Another approach to storing data in the browser is the Web Storage API. The window.sessionStorage and window.localStorage properties correspond to session and permanent cookies in duration, but have larger storage limits than cookies, and are never sent to a server. More structured and larger amounts of data can be stored using the IndexedDB API, or a library built on it.

Other techniques have been created to cause cookies to be recreated after they are deleted, known as «zombie» cookies. These techniques violate the principles of user privacy and user control, may violate data privacy regulations, and could expose a website using them to legal liability.

Удалить куки с одного сайта в Chrome, IE, Firefox, Safari или Opera

При просмотре веб-страниц большинство сайтов размещают на вашем компьютере файлы cookie для сбора данных о вашей деятельности и других данных о вас. Когда вы больше не хотите, чтобы эти куки на вашем компьютере, очистите кеш. Если вы не хотите удалять всю историю посещенных страниц, узнайте, как удалить файлы cookie для сайта.

Что происходит при удалении файлов cookie в веб-браузере?

Бывают случаи, когда вы больше не хотите, чтобы файлы cookie сохранялись на вашем компьютере. Например:

• Веб-страницы загружаются медленно.
• На веб-сайте отображается ошибка 400 Bad Request.
• Веб-сайт содержит слишком много рекламы, которая хранит куки на вашем устройстве.
• Вы подозреваете, что веб-сайт использует файлы cookie для отслеживания вас в Интернете
• Вы больше не хотите, чтобы веб-браузер автоматически заполнял формы.

При удалении файлов cookie вы больше не будете автоматически входить на веб-сайты, и сайт не будет настроен в соответствии с вашими предпочтениями. Кроме того, если вы используете двухфакторную аутентификацию на сайте, удаление cookie означает, что вам нужно будет снова установить двухфакторную аутентификацию.

Если вы используете один и тот же веб-браузер, например, Google Chrome, но на разных устройствах, удаление файлов cookie из Chrome на вашем ноутбуке не приведет к удалению файлов cookie из Chrome на планшете. Файлы cookie относятся к конкретному устройству.

Кроме того, если вы используете разные веб-браузеры на одном устройстве, например, Firefox и Opera, удаление файлов cookie из Firefox не приводит к удалению файлов cookie, хранящихся в Opera. Файлы cookie не передаются между веб-браузерами, установленными на одном устройстве.

Как использовать Chrome для очистки файлов cookie для одного сайта

1. Выберите три вертикальные точки в правом верхнем углу, чтобы открыть меню Chrome, и выберите Настройки .

2. Прокрутите страницу вниз и выберите Дополнительно .

3. В разделе Конфиденциальность и безопасность выберите Настройки контента .

4. Выберите Файлы cookie .

5. Выберите Показать все файлы cookie и данные сайта .

6. Найдите сайт.

   Чтобы быстро найти сайт, введите название сайта в поле поиска.

7. Выберите Удалить .

8. По завершении закройте вкладку Настройки .

Удалите куки во время просмотра. Нажмите значок блокировки рядом с именем веб-сайта в адресной строке и выберите Файлы cookie . В диалоговом окне Используемые файлы cookie разверните имя сайта, выберите файл cookie, затем выберите Удалить .

Очистить куки для одного сайта в Internet Explorer

Выполните следующие действия, чтобы очистить файлы cookie для отдельного сайта в Internet Explorer:

1. Выберите значок шестеренка и выберите Свойства обозревателя .

2. На вкладке Общие в разделе История просмотров выберите Настройки .

3. В диалоговом окне Настройки данных веб-сайта выберите Просмотр файлов .

4. Прокрутите список файлов cookie, чтобы найти тот, который вы хотите удалить.

5. Выберите файл cookie и нажмите Удалить .

6. В диалоговом окне Предупреждение выберите Да .

Microsoft Edge не может удалить куки для отдельного сайта. Чтобы удалить информацию о сайте в Microsoft Edge, используйте очиститель файлов cookie, такой как CCleaner.

Очистить куки в Firefox

Если вы хотите удалить файлы cookie с отдельного веб-сайта с помощью Firefox, выполните следующие действия:

1. Выберите три горизонтальные линии и выберите Параметры .

2. Выберите Конфиденциальность и безопасность .

3. В разделе История выберите стрелку раскрывающегося списка Firefox и выберите Использовать пользовательские настройки для истории .

4. В разделе Файлы cookie и данные сайта выберите Управление данными .

5. В диалоговом окне Управление файлами cookie и данными сайта выберите сайт.

6. Выберите Удалить выбранное .

7. Выберите Сохранить изменения .

8. В диалоговом окне Удаление файлов cookie и данных сайта выберите ОК .

Очистить кэш для одного сайта в Safari

Управляя файлами cookie в Safari, вы улучшите производительность браузера и его взаимодействие с веб-сайтами.

1. Нажмите значок gear , чтобы открыть меню Safari, и выберите Настройки .

2. Перейдите на вкладку Конфиденциальность и выберите Подробности .

3. Выберите сайт, который разместил куки в вашем браузере.

4. Выберите Удалить .

5. Выберите Готово , когда вы удалили все файлы cookie из Safari.

Очистить куки для сайта в Opera

Чтобы удалить файлы cookie для сайта в веб-браузере Opera, найдите значок блокировки или значок глобуса в адресной строке.

1. Выберите значок блокировки или значок глобус , затем выберите Файлы cookie .

2. Разверните сайт, на котором размещены файлы cookie на вашем компьютере.

3. Выберите папку Cookies , чтобы развернуть ее.

4. Выберите файл cookie, который вы хотите удалить.

5. Выберите Удалить .

6. Выберите Готово , когда закончите удаление файлов cookie для сайта.

IOS

Очистить историю и данные сайтов Айос

Если возникает ситуация, когда приходится самостоятельно разобраться в удалении мусора из Айоса, то вам как раз сюда:

1

Для удаления истории посещения страниц и файлов мусора важно позаботиться о том, чтобы нажать на «Настройки» , выбрать Safari , потом остается лишь «Очистить историю и данные сайтов»

2. Стоит понимать, что после избавления от данных, мусорных элементов, заполненное и автоматически возникающее не будет терпеть изменения, а останется прежним.

3

Если владелец посчитал нужным добиться удаления всех остальные файлов, то ему снова понадобятся «Настройки», выбор Safari из предложенного перечня, потом важно клацнуть именно на «Дополнения»

4. Будет открыт список, предлагающий много всяких переходов, но «Данные сайтов» только и нужны, затем остается избирать «Удалить все данные».

5. При желании просматривать сайты, и чтобы не сохранялась история, есть в параметрах функция «Частный доступ».

Бывают случаи отсутствия доступа к таким вещам, как изменение данных истории или другой информации. Это может означать, что кэш сам по себе не присутствует или же включен параметр «родительского контроля.

Если надо проверить такие сведения, то через меню надо осуществить переход к «основным», где из перечня можно будет избрать «ограничения», остается потом лишь внизу увидеть «Разрешенный контент».

Безопасность

Важная информация никогда не должна храниться или передаваться в куках HTTP, поскольку этот механизм сам по себе небезопасен.

Куки часто используются в веб-приложениях для идентификации пользователя и сеанса работы, в котором он прошёл процедуру аутентификации. Соответственно, похищение куков из приложения может привести к захвату авторизованного сеанса пользователя. Кража куков часто осуществляется посредством социальной инженерии (Social Engineering) и использования уязвимости приложения для XSS (en-US).

Атрибут HttpOnly помогает понизить эту угрозу, перекрывая доступ к кукам из JavaScript..

В  приведён хороший пример CSRF. В сообщение (например, в чате или на форуме) включают (якобы) изображение, которое, на самом деле, представляет собой запрос к банковскому серверу на снятие денег:

Теперь, если вы зашли в свой банковский аккаунт, а куки по-прежнему действительны (и никакой дополнительной проверки не требуется), то при загрузке HTML-документа с этим изображением деньги будут переведены с вашего счета. Для защиты от этого используется ряд методов:

Как и при XSS (en-US), важна фильтрация входящей информации.
Для любой важной операции должно запрашиваться подтверждение.
Куки, используемые для ответственных операций, должны иметь короткий срок действия.
Дополнительную информацию можно получить в пользовательской инструкции по предотвращению OWASP CSRF.

Приложение: GDPR

Эта тема вообще не связана с JavaScript, но следует её иметь в виду при установке куки.

В Европе существует законодательство под названием GDPR, которое устанавливает для сайтов ряд правил, обеспечивающих конфиденциальность пользователей. И одним из таких правил является требование явного разрешения от пользователя на использование отслеживающих куки.

Обратите внимание, это относится только к куки, используемым для отслеживания/идентификации/авторизации. То есть, если мы установим куки, которые просто сохраняют некоторую информацию, но не отслеживают и не идентифицируют пользователя, то мы свободны от этого правила

То есть, если мы установим куки, которые просто сохраняют некоторую информацию, но не отслеживают и не идентифицируют пользователя, то мы свободны от этого правила.

Но если мы собираемся установить куки с информацией об аутентификации или с идентификатором отслеживания, то пользователь должен явно разрешить это.

Есть два основных варианта как сайты следуют GDPR. Вы наверняка уже видели их в сети:

1. Если сайт хочет установить куки для отслеживания только для авторизованных пользователей.

   То в регистрационной форме должен быть установлен флажок «принять политику конфиденциальности» (которая определяет, как используются куки), пользователь должен установить его, и только тогда сайт сможет использовать авторизационные куки.

2. Если сайт хочет установить куки для отслеживания всем пользователям.

   Чтобы сделать это законно, сайт показывает модально окно для пользователей, которые зашли в первый раз, и требует от них согласие на использование куки. Затем сайт может установить такие куки и показать пользователю содержимое страницы. Хотя это создаёт неудобства для новых посетителей – никому не нравится наблюдать модальные окна вместо контента. Но GDPR в данной ситуации требует явного согласия пользователя.

GDPR касается не только куки, но и других вопросов, связанных с конфиденциальностью, которые выходят за рамки материала этой главы.

Зачем нужно удалять куки

Само по себе наличие cookies-файлов не вредно и даже, наоборот, полезно. Поэтому без особой необходимости не стоит их удалять. Вот несколько причин, когда вам может потребоваться удалить куки.

1 Чтобы другие люди не прочитали вашу почту и соцсети. Пример: у меня есть рабочий компьютер, которым, кроме меня, редко кто пользуется. Недавно моя жена заходила в свою почту, чтобы распечатать документ и после работы не нажала кнопку выхода:

Теперь я могу посмотреть ее почту. Нет, не подумайте, что у нас есть тайны друг от друга. Это всего лишь пример. Ведь таким образом можно оставить свою почту открытой для коллег на работе. И не только почту. Любой сайт, где нужно вводить свой логин и пароль может быть доступен другим людям. Удаляя cookies вы закрываете доступ ко всем сайтам, куда вы входили ранее с данного браузера.

2 Сбой в работе каких-либо сайтов. Если у вас при попытке зайти на какой-то сайт, куда ранее вы входили без проблем – вдруг выскакивает ошибка, то решением может стать удаление cookies.

Например, владельцы сайтов, работающих на WordPress могут столкнуться с такой ошибкой при переносе своего сайта на другой хостинг: «Cookies заблокированы из-за неожиданного вывода на экран. Посмотрите документацию или обратитесь за помощью на форумы поддержки».

В конкретном случае сами файлы cookies не причем и их удаление не решит проблему. Здесь ошибка в файле wp-config.php и этот пример приведен только для понимания того, какие ошибки могут выскочить.

3 Стереть данные, собранные браузером в рекламных и иных целях. Например, вы искали какой-то товар, например, подарок своей девушке или жене. Браузеры запоминают эту информацию и потом еще долгое время после этого показывают вам рекламу с таким товаром. Например, некоторое время назад я смотрел на Ozon ортопедические сланцы, стойку для микрофона, масло для бороды. И даже спустя несколько недель реклама с этими товарами продолжала преследовать меня на разных сайтах:

В данном случае меня это не напрягает. Но представим ситуацию, что вы искали подарок для своей жены или подруги. На компьютере, где вы искали подарок, работаете не только вы, но и ваша вторая половина. Если не удалить куки, то реклама с подарком для нее будет крутиться и в то время, когда она будет за компом. Это может испортить сюрприз.

4 Конфиденциальность. По кукисам можно отследить историю ваших перемещений в интернете. Если вы не хотите, чтобы кто-либо узнал какие сайты вы посещали, то помимо истории посещений самого браузера, стоит удалить и все cookies-файлы, а также очистить кэш браузера.

5 Свободное место на компьютере и производительность. Если у вас старенький компьютер, который сильно тормозит, то имеет смысл периодически удалять куки, чтобы очистить место на вашем компьютере и увеличить скорость его работы. Если вы просматриваете много разных сайтов, то со временем на компьютере накапливается большое количество таких куки-файлов.

6 Оптимизация работы за компьютером. В настройках браузера я обычно ставлю галочку «Не запоминать пароли для сайтов». Но логины при этом могут сохраниться и в этом нет ничего страшного, даже мне это помогает быстрее зайти на нужный сайт и сэкономить время. Сам логин вводить не нужно, он подставится автоматически. Только пароль указать и все. Однажды мне потребовалось создать новый аккаунт на одном из сайтов, но у меня из-за куки постоянно вылазил старый логин, что мне жутко мешало:

Тогда я удалил куки конкретного сайта и поставил галочку Запомнить меня при вводе нового логина. С тех пор старый логин меня больше не отвлекал. Кстати, можно удалить только определенные куки, а не все сразу. Подробнее об этом ниже.

Что будет, если удалить куки

Ничего критичного. На работу браузера это не повлияет, а после удаления у вас освободится незначительное место на компьютере (например, мои cookie весят всего 1 МБ). Просто при посещении сайтов вы обнаружите, что нужно заново вводить логин и пароль, производить нужные настройки, а из корзины исчезнут отложенные товары.

Tracking and privacy

A cookie is associated with a domain. If this domain is the same as the domain of the page you are on, the cookie is called a first-party cookie. If the domain is different, it is a third-party cookie. While the server hosting a web page sets first-party cookies, the page may contain images or other components stored on servers in other domains (for example, ad banners), which may set third-party cookies. These are mainly used for advertising and tracking across the web. See for example the types of cookies used by Google.

A third-party server can build up a profile of a user’s browsing history and habits based on cookies sent to it by the same browser when accessing multiple sites. Firefox, by default, blocks third-party cookies that are known to contain trackers. Third-party cookies (or just tracking cookies) may also be blocked by other browser settings or extensions. Cookie blocking can cause some third-party components (such as social media widgets) to not function as intended.

Note: Servers can (and should) set the cookie SameSite attribute to specify whether or not cookies may be sent to third party sites.

Legislation or regulations that cover the use of cookies include:

• The General Data Privacy Regulation (GDPR) in the European Union
• The ePrivacy Directive in the EU
• The California Consumer Privacy Act

These regulations have global reach, because they apply to any site on the World Wide Web that is accessed by users from these jurisdictions (the EU and California, with the caveat that California’s law applies only to entities with gross revenue over 25 million USD, among other things.)

These regulations include requirements such as:

• Notifying users that your site uses cookies.
• Allowing users to opt out of receiving some or all cookies.
• Allowing users to use the bulk of your service without receiving cookies.

There may be other regulations governing the use of cookies in your locality. The burden is on you to know and comply with these regulations. There are companies that offer «cookie banner» code that helps you comply with these regulations.

Вопрос–ответ

Куки – это программа? Нет. Куки не могут выполниться сами по себе, что-то сделать или удалить важный файл. Это просто текст, который лежит на компьютере. Когда у куки заканчивается срок годности, браузер её удаляет, но есть бессрочные куки: они сами не удаляются, но и не вредят при этом компьютеру. Единственное, что делает куки – хранит нужную информацию для сайта.

Почему все сайты это пишут? Таковы правила GDPR – Европейского регламента по защите данных. Если сайт используется или может использоваться жителями Евросоюза, то он должен предупредить читателя о том, что будет применять куки для своих нужд. Многие российские сайты сотрудничают с европейскими компаниями, поэтому с их точки зрения попадают под действие GDPR, а значит, должны информировать пользователя и выводить такое сообщение. Если такой надписи нет, то сайт не использует куки или на него не распространяется действие GDPR. Или распространяется, но владелец сайта этим пренебрегает. Правило такое: если надпись есть – сайт точно использует куки. Если надписи нет – скорее всего, тоже, просто сайт об этом не говорит.

Если их отключить – следить перестанут? Нет. Допустим, пользователь отключил всё это (и ходит через прокси или даже vpn). Есть ли способ всё-таки его отследить? Оказывается – да. Это кэш браузера. Даже если вы отключите куки, сайты могут продолжить следить за вами с помощью:

• Строк запросов в URL, когда данные о пользователе встраиваются прямо в URL-адрес.
• Скрытых полей форм, так как никто не мешает сайтам делать скрытые формы, писать в них данные, а потом отправлять на свой сервер.
• Сохранения данных средствами самого браузера, например в localstorage. Даже мы это делали в своей программе-тудушке и в остальных проектах.
• JSON-токенов. Это как куки, только их никто не запрещает.
• DOM-архитектуры страницы – способа встроить нужные данные в сам код сайта.
• Кэша браузера – как localstorage, только в другом месте.

Как избавиться от куки? Использовать режим «инкогнито» в браузере или перейти в настройки приватности браузера и принудительно отключить приём куки с сайтов. Есть плагины, которые очищают куки после посещения каждой страницы или после закрытия браузера. А ещё можно запустить специальную программу, которая сама будет искать все куки на компьютере и удалять их.

Что будет без куки? В общем случае – сайты перестанут вас помнить и автоматически входить по логину и паролю. Каждый раз нужно будет логиниться заново, даже если случайно закроете окно браузера. Некоторые сайты могут начать работать неправильно, например, те, где что-то нужно сделать за несколько шагов. Если на сайте есть три шага по настройке личного кабинета и на каждом шаге перезагружается страница, то сайт может не сохранить важные данные и всё надо начинать сначала.

Что такое IDFA и грядущие изменения для iOS

До этого мы познакомились с механизмом и изменениями в отслеживании веб-сайтов. IDFA же затрагивает аналитику мобильных приложений.

IDFA — уникальный идентификатор устройства. В маркетинге он нужен для того, чтобы понять, откуда конкретный клиент пришёл в приложение. То есть он выполняет часть предназначений cookies, но только в мобильной аналитике.

Что случилось? Осенью 2020 года в компании Apple решили, что доступ к идентификатору IDFA больше не будет предоставляться по умолчанию. Это должно было произойти ещё в том году, однако сроки постоянно сдвигались. По текущей информации от Apple, изменения в новой политике конфиденциальности ожидаются вместе с версией iOS 14.5. Её публичная версия должна выйти в конце апреля или в начале мая. Apple также показал, как это будет выглядеть.

Чем это грозит? Пользователю необходимо будет дать разрешение на использование IDFA по аналогии с push-уведомлениями. Владельцу iOS-устройства будет показан очень прямолинейный и пугающий текст. В переводе на русский язык он будет звучать примерно следующим образом: «Вы даёте разрешение этому приложению отслеживать вас в приложениях и веб-сайтах от других разработчиков?» Ожидается, что только 10% пользователей дадут такое согласие. Это встряхнёт рынок мобильной аналитики, и рекламодатели больше не смогут точно знать, откуда пришёл конкретный клиент.

Security

It is important to note that the attribute does not protect
against unauthorized reading of the cookie from a different path. It can be easily
bypassed using the DOM, for example by creating a hidden
element with the path of the cookie, then accessing this iframe’s
property. The only way to protect the cookie is by
using a different domain or subdomain, due to the same origin policy.

Cookies are often used in web applications to identify a user and their authenticated
session. Stealing a cookie from a web application leads to hijacking the
authenticated user’s session. Common ways to steal cookies include using social
engineering or by exploiting a cross-site scripting (XSS) vulnerability in the application —

The cookie attribute can help to mitigate this attack by
preventing access to cookie value through Javascript. Read more about Cookies and
Security.

Безопасность

It is important to note that the path attribute does not protect against unauthorized reading of the cookie from a different path. It can be easily bypassed using the DOM, for example by creating a hidden iframe element with the path of the cookie, then accessing this iframe’s property. The only way to protect the cookie is by using a different domain or subdomain, due to the same origin policy.

Cookies are often used in web application to identify a user and their authenticated session. So stealing cookie from a web application, will lead to hijacking the authenticated user’s session. Common ways to steal cookies include using Social Engineering or by exploiting an XSS vulnerability in the application —

The HTTPOnly cookie attribute can help to mitigate this attack by preventing access to cookie value through Javascript. Read more about Cookies and Security.

Для чего нужны куки-файлы?

Персональные данные cookies делают взаимодействие пользователей с сайтами гораздо более быстрым и удобным. Эти файлы помогают выполнять такие распространенные действия, как:

Таким образом, файлы cookie являются неотъемлемой частью современного интернета. Без них серфинг в интернете не был бы таким комфортным, а страницы сайтов загружались бы дольше обычного – так как множеству посетителей приходилось вводить логин/пароль и авторизовываться вручную. При этом владельцы сайтов обязаны спрашивать согласие пользователей на отправку им cookies, это положение регулирует известный закон GDPR в Евросоюзе и ряд подобных законов в других странах.

Syntax

Set-Cookie: <cookie-name>=<cookie-value>
Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date>
Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<number>
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>
Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value>
Set-Cookie: <cookie-name>=<cookie-value>; Secure
Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly

Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict
Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax
Set-Cookie: <cookie-name>=<cookie-value>; SameSite=None; Secure

// Multiple attributes are also possible, for example:
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly