Informasjonskapsler (cookies)

Fra IT2
Hopp til: navigasjon, søk

En "cookie" (både tracking cookie, browser cookie og HTTP cookie)er en liten bit med tekst lagret på en brukers datamaskin lagret av nettleseren. En "cookie" består av en eller fler navn-verdi par som inneholder biter med informasjon. "Cookien" blir sendt som en HTTP header av en web server til en nettleser og så sendt tilbake uforandret av nettleseren hver gang den får adgang til den serveren. En "cookie" kan bli brukt for verifisering, lagring av side instillinger, handlekurv innhold eller alt mulig annet som kan bli oppnådd gjennom lagring av tekstdata. Som ren tekst er ikke "cookies" "kjørbare". Fordi de er ikke "kjørt", de kvalifiserer ikke som spyware eller virus. Anti-spyware produkter vil ofte advare brukere mot enkelte "cookie"s fordi "cookies" kan f.eks bli brukt til å "tracke" folk. De nyeste nettleserne gir brukere valg om de vil aktivere "cookies" eller ikke, og hvor lange de blir lagret på harddisken, men om du ikke aktiverer "cookies" kan det hende at enkelte websider ikke vil fungere. Informasjonskapsler ble introdusert i 1994 av Netscape Communications Corporation i Netscape Navigator for å ta vare på tilstandsinformasjon, noe som ikke støttes i HTTP.

Hva er informasjonskapsler (cookies)

Cookies er små filer med data, det norske ordet for dette, informasjonskapsler, er bra dekkende. Cookies kan misbrukes og blir derfor ofte omtalt som skadelig programvare, med de er verken virus eller programkode.

Det er alltid webtjener som oppretter cookies og lagrer disse på klientmaskin slik at de kan benyttes av nettleser ved senere oppslag på samme webtjener. En bestemt cookie bukes alltid for en bestemt webtjener, defor lagres det et stort antall cookies hos klienten.

Hvorfor bruker man cookies

Cookies er konstruert for å skape mer fleksibilitet på web. Kommunikasjon mellom klient og tjener skjer med HTTP-protokollen. Den er tilstandløs, det vil si at hvert weboppslag er uavhengig av hva som har skjedd før. Cookies er standardisert i RFC 2109, skrevet i 1997, 10 sider, dokumentet heter HTTP State Management Mechanism:

  • Abstract
    • This document specifies a way to create a stateful session with HTTP requests and responses.
    • It describes two new headers, Cookie and Set-Cookie, which carry state information between participating origin servers and user agents...

Siden det er en og samme tjener som både setter og etterpå leser innholdet i en coookie, står man fritt til å utforme innholdet så lenge webtjeneren selv skjønner hvordan innholdet skal tolkes. Vanlige nettlesere setter en grense på 4 kByte for størrelsen på informasjonskapsler.

Eksempler på anvendelser av informasjonskapsler

  • Personalisering: Tillater hver enkelt bruker å ha preferanser for hvordan websider skal vises. Ekempelvis i Google man man velge hvor mange treff som skal vises etter et søk, og denne informasjonen er det cookie som angir når den sendes sammen med søket.
  • Pålogging: Når man leser websider som er beskyttet med passord, vil hver ny side kreve pålogging om man ikke hadde cookies. Etter at pålogging er verifisert, opprettes en cookie med sesjons-ID som sendes med når nye, beskyttede websider hentes.
  • Handlekurv: Når man hopper frem og tilbake på en webshop og krysser av for hva man vil kjøpe, skal man til slutt til "kassen" for å betale. Her brukes igjen cookies, men denne gangen lagres informasjon om hander og pris i database hos leverandør, og cookies gir en referanse inn i denne databasen

Trusler fra fra informasjonskapsler

  • 3.part cookies: Når man leser en webside med annonser, vil reklamebannere som regel ligge hos en 3.part som har kjøpt seg en visningslenke på websiden man besøker. HTML tillater å hente objekter fra andre tjenere enn den vi har slått opp på. Det å hente disse reklamebannerne fra eksterne webtjenere gjøres i seperate weboppslag, og dermed også åpner for å få nye informasjonskapsler fra disse plassene. Så hvis nå denne 3.parten ønsker en logg over hvor ofte deres reklame vises, og av hvem, kan man samle slik informasjon ved bruk av informasjonskapsler. Dette er en form for informasjonshenting som skjer uten brukeren samtykke eller viten. I dag kan nettlesere gradere sikkerheten og nekte å motta 3.part cookies.
  • Cookie tyveri: Siden cookies sendes over nettet, kan de fanges opp av andre. Dersom en cookie inneholder en sesjons-ID for passordbeskyttet pålogging, kan andre stjele cookien og overta sesjonen om det ikke er tatt forhåndsregler i programmeringen på tjenersiden. En annen metode for å stjele cookies er om man besøker en webside som rett og slett ber om å få lasted ned alle cookiene på maskinen din. Disse kan da undersøkes for passord og annen sensitiv informasjon.
  • Cookie endring(forgiftning): En mellompart, eller brukeren selv, kunne gå inn og endre cookie-innholdet som skal sendes tilbake til tjener. Dersom en cookie for handlekurv inneholdt pris, kunne prisen endres før man kom til "kassen". Nettopp defor er det vanlig at tjeneren oppbevarer handlelisten og at cookien bare er en indekspeker til hva man har bestilt.