Перейти к содержимому

Фотография

Как работают файлы "cookie", SameSite и Chrome80

библиотека

  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1
VOR

VOR
  • Пользователь
  • 15 сообщений
    Репутация: -1

Если вы используете веб-браузер, то, вероятно, вы уже собрали несколько файлов "cookie". Файлы "cookie" используются для хранения информации о веб-сайтах: вашей регистрационной информации, того, что у вас есть в корзине, какой язык вы предпочитаете и т.д.
Они создаются веб-сайтами и хранятся в вашем браузере до истечения срока их действия.

Некоторые cookie-файлы безвредны, а некоторые остаются активными даже на сайтах, которым они не принадлежат, собирая информацию о вашем поведении. Они называются сторонними файлами "cookie" или, в более разговорной форме - отслеживающими файлами "cookie" .

Отслеживающие файлы "cookie" могут быть настолько агрессивными, что многие антивирусные программы классифицируют их как шпионские программы. Несмотря на свою плохую репутацию, они стали настолько повсеместными, что их почти невозможно избежать. В этой статье мы разберем, как отслеживающие файлы "cookie" регистрируют вашу веб-активность.
 

Виды cookies

Во-первых, давайте кратко рассмотрим основные виды файлов "cookie": сеансовые ( temporary cookies ) и постоянные ( persistent cookies ).
Постоянные cookies делятся на два типа:

  • Основной файл cookie ( first-party ) – создается одним доменом веб-сайта. Посетитель запрашивает его, когда вводит URL в адресную строку браузера или выполняет переход по ссылке. Это куки, который создается одним доменом и не может использоваться другим. Могут храниться на компьютере в течение нескольких дней, месяцев или даже лет.
  • Сторонний файл cookie ( third-party ) – это такой файл куки, который создается одним доменом при заходе пользователя на другой домен. Яркие примеры сторонних куки-файлов — это ретаргетинг и ремаркетинг, пиксели или скрипты отслеживания социальных сетей и так далее.

Сеансовые cookies ( temporary cookies )

Самый основной тип файлов "cookie" - сеансовые ( временные ). Сеансовые куки существуют только в оперативной памяти и удаляются при закрытии браузера. Любой файл "cookie", созданный без даты истечения срока действия, автоматически является сеансовым. Простой пример использования временного файла "cookie" - запись в память данных о наполнении корзины в интернет-магазине.

Основные постоянные cookies ( persistent cookies first-party )

Основные файлы "cookie"
записываются на жесткий диск устройства и имеют срок годности. Они используются только тем веб-сайтом, который их создал, и могут хранится очень долго. Они остаются на вашем устройстве даже после закрытия веб-браузера. Одно из основных назначений постоянных файлов "cookie" создание удобств пользователю и экономия времени.

Сторонние постоянные cookies ( persistent cookies third-party )

Сторонние файлы "cookie"
, также известные как отслеживающие, являются основной темой этой статьи. Они так же хранятся в памяти вашего устройства и имеют установленный срок годности. В отличие от основных файлов "cookie", сторонние "cookie" создаются на чужом сайте с помощью различных виджетов (т.е посещая такой сайт вы цепляете файл "cookie" сайта который посетили, и так же цепляете файл "cookie" который создан виджетами и принадлежит другому сайту). Это позволяет создателю cookie собирать и получать данные в любое время, когда пользователь посещает страницу с принадлежащим ему (создателю) ресурсом.

 

 

Откуда берутся сторонние файлы "cookie"?

Сегодня сайты редко состоят исключительно из кода и контента, зачастую они используют ресурсы других сайтов для создания и добавления функционала на свои веб-страницы. Эти ресурсы часто полезны и даже необходимы, но, к сожалению, эти же ресурсы часто являются крупнейшими виновниками онлайн-отслеживания. Несколько примеров ресурсов, через которые можно следить за пользователем:

 

  • Рекламные объявления
  • Виджеты социальных сетей ( кнопки «Нравится» и «Поделиться», разделы комментариев и т. д. )
  • Веб-аналитика

Вам даже не нужно открывать рекламу или нажимать кнопку публикации в социальных сетях, чтобы информация о файлах "cookie" передалась обратно на сервер. Как только вы загрузите страницу, файл cookie автоматически отправляется на сервер, на котором он был создан. Если куки еще не существует, ресурс их создаст и после этого отправит на сервер.

Вот некоторые компании, которые используют отслеживающие файлы "cookie":

 

  • AddThis
  • Adnxs
  • Facebook
  • Google
  • Quantserve
  • Scorecard Research
  • Twitter
  • Yieldmanager
  • Admob
  • Adsensecustomsearchads
  • Adwords
  • Doubleclick
  • Googleadservices
  • Googleapis
  • Googlesyndication
  • Googletagmanager
  • Googletagservices
  • Googletraveladservices
  • Googleuserconten
  • Google-analytics
  • Gstatic
  • Urchin
  • Youtube
  • Ytimg
  • И многие, многие другие...
Что сторонние файлы "cookie" знают обо мне?

Отслеживающие файлы "cookie" обычно используются в рекламных целях, в частности , для ретаргетинга . Ретаргетинг - это тактика, которая часто основывается на отслеживании файлов cookie для показа рекламы людям, которые ранее посещали определенный сайт или проявили интерес к определенному продукту. Если вы когда-либо покупали или просто смотрели продукт на Amazon, а затем начали видеть объявления о похожих продуктах на других веб-сайтах - вы попали под ретаргетинг.

На первый взгляд кажется, будто отслеживающие файлы "cookie" не так уж опасны, но эти файлы "cookie" могут начать собирать много информации о том, как вы просматриваете веб-страницы, какие страницы, как часто. Рекламные объявления Google есть везде, и, хотя это крупнейшая в мире рекламная компания, помимо неё существует множество других компаний. Из-за этого все рекламные компании могут собрать воедино историю того, какие веб-сайты вы посещаете, в какой последовательности и т.д.
Когда куки отправляются обратно на их серверы, они часто содержат информацию о предыдущем сайте, который посетил пользователь, который называется URL-Referer .

История просмотра это только начало. Отслеживающие файлы "cookie" могут записывать все виды информации: поисковые запросы, информацию о покупках, информацию об устройстве, местоположение, где вы бываете чаще, какие магазины\рестораны посещаете, когда и где вы видели предыдущую рекламу, сколько раз вы видели рекламу, по каким ссылкам вы нажимаете и т.д.

Все это и многое другое собирается в фоновом режиме.
 

Из чего состоит файл "cookie"?

Файлы "cookie" состоят только из трех элементов: имени , значения и атрибутов.

Имя ( .hulu.com | _ga ) используется веб-сайтами и рекламодателями для определения файлов "cookie" и того, для чего они используются.

В компоненте значения ( Value ) хранится ваш уникальный рекламный идентификатор, чтобы создатель трекера мог идентифицировать вас при посещении других веб-сайтов. Обычно это выглядит как случайная строка цифр и цифр, но в некоторых случаях она не случайна и может содержать закодированную информацию, как изложено выше.

Атрибуты включают характеристики cookie, такие как:

 

  • Когда срок действия файла "cookie" истекает. Если дата истечения срока действия не установлена, cookie закрывается при закрытии браузера. У отслеживающих куки всегда есть сроки годности.
  • Могут ли файлы "cookie" использоваться другими доменами.
  • Может ли файл "cookie" быть отправлен через незащищенное соединение.
  • Можно ли получить доступ к файлам "cookie" через JavaScript.
Другие методы отслеживания

Отслеживание через файлы "cookie" не новая технология. Они используются более десяти лет, и мало что изменилось в их механизмах работы. Несмотря на это, они предоставляют простой и точный способ отслеживать и записывать поведение пользователей в Интернете, и в ближайшее время они не исчезнут.

Это не значит, что отслеживание файлов cookie - это единственный способ, с помощью которого третьи лица могут отслеживать, что вы делаете в Интернете. Помимо файлов "cookie" и отпечатка устройства есть:

URL-Referer

URL-Referer - это веб-адрес предыдущего веб-сайта, на котором вы щелкнули ссылку, чтобы перейти на текущий веб-сайт. Например, если вы нашли Opencard.us с помощью поиска Google и нажали на ссылку на эту статью в результатах поиска, URL-адрес для этой страницы будет принадлежать Google. URL-Referer могут использоваться по нескольким причинам, и одной из них является запись истории просмотров.

Когда куки отправляются на сервер, который их создал, они часто содержат URL-адреса реферера.

( Собственно из-за URL-Referer и советуют заходить в шопы не из поисковой системы, а из соц.сетей, новостных сайтов, из ссылок в почте. )

Веб-маячок

Веб-маяки или так называемые пиксели ( привет арбитраж ), представляют собой небольшие фрагменты кода на веб-страницах, которые проверяют, обращались ли вы к определенному контенту. Веб-маяк на самом деле является общим термином для нескольких аналогичных методов.

Веб-маяки могут быть скрыты внутри элементов содержимого веб-страницы, что затрудняет их предотвращение. Они могут быть скрыты внутри изображений и других элементов страницы, чтобы регистрировать поведение пользователя и передавать эти данные обратно владельцу сайта.

Веб-маяки обычно используются, чтобы проверить, действительно ли кто-то, получивший письмо, прочитал его. Встраивая пиксельный тег в электронное письмо - электронное письмо должно загружать ресурс от стороннего производителя. Когда это происходит, ресурс может запросить IP-адрес получателя, временную метку, тип браузера и то, установил ли владелец ресурса cookie в этом браузере. Как и файлы "cookie", сервер может хранить всю эту информацию и связывать ее с уникальным идентификатором отслеживания пользователя.
 

Синхронизация файлов cookie

Большинство отслеживающих файлов "cookie" могут использоваться только доменом, который их создал. Рекламные компании несут ответственность за многие домены, которые обслуживают сторонние файлы cookie, каждый из которых имеет свою собственную базу данных профилей пользователей и сегментов аудитории, используемых для таргетинга.

Если не считать Google, большинство этих рекламных компаний недостаточно активны, чтобы охватить большие части сети, что приводит к пробелам в их данных. Поэтому появилась синхронизация файлов "cookie" - практика объединения рекламных наборов данных для создания более точных и полных профилей пользователей,естественно для последующего отслеживания.

Синхронизация файлов "cookie" происходит, когда две рекламные компании объединяются или приобретают базы друг у друга. Эта консолидация помогает им конкурировать с Google, но также оказывает негативное влияние на конфиденциальность пользователей.

 

 

Same Site и Google 80

Что такое SameSite и как он работает?

Весной 2019 года разработчики Chrome объявили о внедрении новой модели безопасности для обработки файлов "cookie". Теперь у каждого пользователя по умолчанию будет активирован флаг «same-site-by-default-cookies». При этом, если в файле не будет атрибута SameSite, браузер все равно самостоятельно поставит значение «SameSite=Lax» —это ограничит отправку сookie для вставок со сторонних сайтов ( т.е ограничит возможности работы отслеживающих "cookie" файлов ). Однако владельцы сайтов смогут снимать это ограничение, прописывая в настройках сookie параметр «SameSite=None, Secure» — последний параметр означает, что такой запрос вдобавок должен приходить на сервер только по защищённому каналу.

Изначально, по стандарту HTTP, браузер отправлял cookies при любом запросе на соответствующий им домен. Однако такие механизмы открывали возможности для проведения CSRF-атак — мошенники могли при определенном стечении обстоятельств получить доступ к разным ресурсам, пользуясь файлами "сookie". Поэтому в 2019 году появился атрибут SameSite, позволяющий контролировать, как браузер будет отправлять cookies в случае, если страница сайта посылает запрос на другой домен.

При этом первоначально, когда Chrome только начали разрабатывать SameSite, атрибуту нужно было присвоить явное значение Strict или Lax (позже мы их рассмотрим подробнее). Отсутствие SameSite было эквивалентно «SameSite=None», то есть по умолчанию cookies всё так же передавались при любых запросах.

Основной целью изменения работы атрибута SameSite является повышение прозрачности и безопасности для пользователей — люди смогут узнавать, кто отслеживает и использует информацию из сookie, которой они делятся. Кроме того, изменение в SameSite повлияет как на поведение пользователей, так и на рекламодателей, медиа и любых компаний, которые используют файлы сookie для анализа поведения своей аудитории.

 

 

В 2016 году инженеры из Chrome представили концепцию атрибута SameSite, с помощью которого разработчики сайтов смогут устанавливать правила для совместного использования и доступа к файлам SameSite. Значение атрибута может устанавливаться в трех диапазонах — Strict, Lax или None.

Strict — самое строгое значение атрибута. К файлам "cookie" с таким параметром можно получить доступ только при посещении домена, с которого он был изначально установлен. Другими словами, «SameSite= Strict» полностью блокирует передачу cookie с a.com, когда страница сайта b.com отправляет запрос. При этом передача "cookie" не произойдет даже в том случае, если пользователь щелкнет ссылку верхнего уровня в стороннем домене. Такой вариант лучше всего подходит для сервисов, требующих высокой безопасности, например, для банковского сектора.

Lax — это значение позволяет всем типам сайта, которые принадлежат к одному и тому же домену, получить доступ к cookie. В отличие от None, где "cookie" отправляются всегда по умолчанию, это значение, как и Strict, отправляется только по запросу определенного сайта. Однако Lax разрешает доступ к навигации верхнего уровня с помощью безопасного метода HTTP, такого как HTTP GET. Файл "cookie" не будет отправляться с POST-запросами между доменами или при загрузке сайта во фрейме с несколькими источниками, но он будет отправляться при переходе на сайт по стандартной <a href=...> ссылке верхнего уровня.

None — это значение позволяет отслеживать пользователей на разных сайтах. Файлы "cookie" с этим параметром будут работать так же, как они работают сегодня. При этом для установки этого значения атрибута необходимо не просто указать None, но и выбрать тип — Secure, который гарантирует, что запрос передается по безопасному соединению. В случае, если пользователь не станет указывать Secure, то запрос будет отклонен браузером.

 

 

Обновление Chrome 80 SameSite

С обновлением Chrome версии 51 Google предоставила разработчикам сайтов возможность устанавливать правила совместного использования файлов "cookie". При этом многие разработчики не следуют этой рекомендуемой практике, поэтому в очередном обновлении — Chrome 80, разработчики Google насильно изменили значение SameSite на Lax по умолчанию. Другими словами, Chrome решил по умолчанию ограничить использование всех файлов "cookie" и требует, чтобы разработчики самостоятельно помечали файлы "cookie" значением «SameSite=None» в том случае, если им это необходимо, и, естественно, брали на себя ответственность за это.

 

 

Что будут делать остальные браузеры?

Firefox, Edge и другие браузеры также изменят работу с файлами "cookie" по умолчанию следующим образом:

— Cookie без SameSite-атрибута будут обрабатываться как «SameSite=Lax». Если вам нужен сторонний доступ, то необходимо обновить "cookie".

— Файлы "cookie", для которых требуется доступ третьих сторон, должны иметь атрибут «SameSite=None; Secure», чтобы разрешить доступ к ним.

 

 

Примечание

Как мы видим после введения SameSite - чуда не произойдёт, отслеживать не перестанут, но "усилят" защиту от веб-атак.
В плане конфиденциальности: создалась видимость изменения политики обработки "cookie", но по факту корпорации типа Google просто добавили геморроя разработчикам сайтов и при этом ещё и переложили всю ответственность на них же, иными словами очередной - "Do Not Track", на который снова будут класть большой болт 90% сайтов.

Что это значит для нас? Изменится ли что-нибудь?
Если вы не хакер - Нет.
Единственное - со старым печеньем могут возникнуть проблемы.

 


Спасибо за внимание.
Всем удачи и профита!

  • 0

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий




Темы с аналогичным тегами библиотека