Регистрация
Инструкции

Как сайты следят за пользователями через cookie | Onlinesim

  • 29 нояб. 2022 г., 17:11
  • 9 минут

Если вы авторизовались на сайте, выключили браузер, потом включили и зашли на сайт снова — авторизовываться заново вряд ли понадобится. Ресурс сохранил на вашем компьютере куки и воспользовался ими, чтобы авторизоваться самостоятельно.

Кроме авторизации куки используют и для других целей: персонализации контента, рекламы, а также слежки и воровства денег с личной информацией.

В третьей статье из цикла «безопасность в интернете» рассказываем, что такое куки и как с их помощью отслеживают людей.

Что такое куки

Cookies — небольшие фрагменты файлов, которые собирает и сохраняет сервер при взаимодействии с сайтом. Файлы хранятся на компьютере пользователя и при повторном посещении ресурса отправляются обратно на него. Cookie содержат информацию о том, как человек взаимодействовал с сайтом, запоминают настройки вашего ПК, браузера и так далее.

Файлы куки могут содержать информацию о вас: историю просмотра страниц, данные, которые вы ввели в формы, историю поиска в интернете и ваше местоположение. Количество информации зависит от того, что владельцы ресурсов хотят знать о вас.

Защититься от куки можно в режиме инкогнито. В нем cookie основного режима браузера не используются, а записываются только сессионные. После закрытия окна инкогнито куки пропадают, информация не сохраняется.

Из чего состоят cookie

Файлы куки — это код из набора слов.

Выглядят они так:

Set-Cookie: __Secure-name=value; max-age=31536000; domain=example.com; path=/; secure; httponly; samesite=lax

Каждая фраза отвечает за определенный параметр:

  • Name обозначает имя cookie-файла.
  • Value помогает идентифицировать пользователя, содержит служебную информацию.
  • Expires и max-age определяют срок жизни cookie. Когда срок закончится — файлы удаляются.

Если параметр равен нулю — файлы автоматически удалятся при закрытии браузера.

Параметр Expires указывается в формате Mon, 08-Aug-2022 13:35:22 GMT. А max-age указывает на продолжительность жизни куки в секундах с момента установки параметра в браузер.

  • Path указывает путь на сайте, по которому доступны cookie. Если указать корневой каталог «/», файлы будут доступны для всех страниц ресурса.
  • Domain означает домен или поддомен, который может просматривать cookie. Чтобы они были доступны всему сайту, указывают имя домена «example.com».
  • Secure параметр определяет, что куки передаются через защищенное соединение HTTPS, а не обычное HTTP.
Обычное HTTP-соединение не защищается с помощью SSL- или TLS шифрования
  • Httponly запрещает доступ к JavaScript кукам через свойства Document.cookie Property. Это защищает от межсайтовой кражи информации.
  • Samesite ограничивает обмен куками между сайтами. Это может защитить от межсайтовых подделок запроса (CSRF).
CSRF — атака на сайт с помощью мошеннического сайта или скрипта. Он заставляет браузер пользователя выполнить нежелательное действие на доверенном сайте, на котором пользователь авторизован. Чтобы атака сработала, пользователь должен перейти по хакерской ссылке.

Например, человек авторизовался на сайте банка и случайно открыл мошенническую ссылку с запросом на перевод денег на счет вора. Банк обработает транзакцию без ведома клиента, т.к. тот авторизован в личном кабинете.

Виды куков

Сессионные. Собираются, когда человек посещает сайт. Когда человек закрывает браузер → сессионные cookie удаляются.

Постоянные. Существуют, пока не закончится срок их жизни. Каждый раз отправляются на ресурс, когда человек на него заходит. Делятся на:

  • Прямые. Куки сайта, на котором находится пользователь. Другие ресурсы о сборе этих куков не знают. Они помогают автоматически авторизовывать вас в системе и сохранять корзины в интернет-магазинах.
  • Сторонние. Куки другого сайта, не того, на котором находится человек. Например, на medium.com есть кнопки «поделиться» от Twitter. Такая кнопка использует куки, о которых знает Twitter. Такие куки — чаще всего рекламные трекеры. Помогают сайтам настраивать таргетированную рекламу

Защищенные куки. Cookies, которые могут быть отправлены на веб-сервер только по HTTPS-протоколу.

HTTPonly cookies. Куки, которые недоступны по API. Защищают от кражи межсайтовой информации.

Зомби cookies. Такие куки восстанавливаются из резервных копий, даже, если удалить их с ПК. Копии хранятся отдельно от остальных cookie браузера, например, в интернете или в скрытых папках на ПК.

Суперкуки. Это такие же куки как и обычные. Они отслеживают поведение пользователя и историю просмотров. Отличие в том, что суперкуки хранятся не на пк пользователя, а на серверах или в других местах. Они могут воссоздавать профили пользователей даже после удаления обычных файлов cookie.

Supercookies работают только с незашифрованным HTTP-соединением. Поэтому, чтобы избавиться от supercookies — нужно посещать только HTTPS-сайты. Они используют, сертификаты SSL или TLS, которые помогают избежать отслеживания через supercookie.

Зачем используют cookies

Запомнить логин, пароль, пожелания и товары, которые пользователь хочет купить. Получается, сбор cookies улучшают клиентский опыт и упрощают взаимодействие человека с сайтом.

Связать сайт с конкретным пользователем. Файлы cookie соответствуют сеансу пользователя и определенной учетной записи. Когда человек в следующий раз зайдет на сайт — ему покажут персонализированную рекламу благодаря уникальному файлу cookie.

Отслеживать ресурсы, которые посещают пользователи. Эта информация отправляется на сервер, а потом отправляется обратно на сайт, когда человек заходит на него вновь.

Анализировать действия пользователей. Ко всем сайтам подключены сервисы Google Analytics, Яндекс.Метрика и другие законные инструменты web-аналитики. Они собирают информацию благодаря cookie-файлам, которые создают автоматически и отправляют на сервер.

Владельцы сайтов используют сервисы аналитики, чтобы развивать и улучшать ресурс, составлять портрет целевой аудитории.

Почему пишут — наш сайт использует куки?

Это правила GDPR — Европейского регламента по защите данных. Если сайтом пользуются жители Европы — он должен предупреждать посетителей о том, что использует куки в своих целях.

По правилам директивы пользователи должны быть уведомлены о том, как сайт использует файлы cookie. А потом согласиться на обработку данных.

Некоторые ресурсы собирают cookie, даже, если пользователь не согласился на обработку данных. Такими куками считаются файлы, которые необходимо собирать для работы сайта.

В Китае cookie собираются государством и используются для оценки благонадежности на основе страниц, который посещает пользователь. Потом это влияет на решение по выдаче кредита или на стоимость страховки.

Cookie безопасны?

Cами по себе cookie безопасны и не могут навредить пользователю. Они — обычный текстовый код, который содержит только информацию и не может содержать вредоносное ПО. Cookies не могут создавать копии самих себя, менять настройки ПК и распространяться в другие сети для повторного выполнения.

Но навредить могут хакеры и мошенники, которые используют cookie в своих целях. Например, чтобы связать действия человека в интернете с реальной личностью. А потом использовать эту информацию для нежелательной рекламы, слежки за пользователем или кражи информации и денег.

Крадут с помощью cookie часто. Вот несколько историй:

В ноябре 2010 года червь Koobface использовал cookie пользователей Facebook (запрещен в РФ), крал данные для входа и пользовался чужими аккаунтами.

В 2019 году в своих целях куки использовали копии сервисов для блокировки рекламы — AdBlock и uBlock. Они тайно внедряли свои файлы cookie в браузеры пользователей, которые установили расширения и изменяли cookie-файлы. Блокировщики добавляли параметр, который гарантировал, что авторы расширения будут получать комиссию от любых платежей, которые пользователи делали на сайтах.

А в 2021 году хакеры использовали cookie, чтобы украсть данные для входа в известные YouTube-аккаунты. Потом украденные аккаунты продавали на разных площадках.

Недостатки cookies

Неточная аутентификация. Если человек пользуется несколькими браузерами и учетными записями — сохраняет разные наборы куков. Также и с одной учетной записью на несколько клиентов: куки относятся не к конкретному пользователю, а к учетной записи в целом.

Подмена куки. Мошенники могут украсть cookies и изменить информацию в них. Допустим, в cookies написана стоимость товара. Хакеры могут зайти в настройки cookie изменить сумму оплаты и заплатить меньше.

Кража куки. Мошенники взламывают сессии, крадут cookies или отправляют их на другой сервер, чтобы узнать конфиденциальную информацию. Потом с ее помощью авторизуются в социальных сетях, электронной почте или других онлайн-платформах. Нередко крадут данные банковской карты, если они сохранены на сайте и содержаться в куках.

Межсайтовые cookie. Разные сайты могут обмениваться информацией из cookies между собой — по сути, продавать личную информацию пользователей друг другу.

Нестабильность между клиентом и сервером. Cookies могут давать неверную информацию серверам. Например, человек согласился на обработку cookie в интернет-магазине и добавил товар в корзину. Потом передумал и нажал кнопку «назад», но покупка осталась в корзине. Это может привести к ошибочным заказам и снижению лояльности к бизнесу.

Срок действия cookie. Вечные cookie критикуют за то, что он позволяют сайтам постоянно следить за пользователями и составлять их точный портрет для настройки рекламы. А хакеры могут использовать вечные куки для кражи информации.

Что будет, если отключить куки

Пропадет авторизация. Если отключить cookies — некоторые сайты вас забудут и вы не сможете автоматически входить в кабинет по логину и паролю. Придется заново вводить данные при каждом обновлении страницы или переходе в другой раздел.

Формы придется заполнять самостоятельно. Когда вы заполняете форму, браузер запоминает данные и в следующий раз предлагает заполнить форму автоматически. Если отключить cookie, информацию придется вводить каждый раз самостоятельно.

А некоторые сайты с шагами и формами могут работать некорректно. Например, если сайт перезагрузится — придется идти по шагам с самого начала.

Изменится реклама. Без cookies сайтам будет сложнее отслеживать информацию о вас. Поэтому серверы не смогут проверять, какие ресурсы вы посещаете и перестанут предлагать персонализированную рекламу. Скорее всего, рекламные объявления не будут соответствовать вашим интересам.

Пропадут корзины интернет-магазинов. Если вы добавите товары в корзину — сервер их запомнит благодаря кукам. Если их отключить, то и товары будут пропадать из корзины, пока вы вновь не добавите их в корзину.

Как отключить cookies

После отключения всех куков вы выйдете из всех личных кабинетов в браузере. Данные для входа придется вводить заново.

Отключаем cookie в Google Chrome

  1. Зайдите в настройки браузера. Для этого кликните на три точки в правом верхнем углу экрана → кликните на настройки (settings).
  2.   В настройках зайдите в раздел «Конфиденциальность и безопасность» (Privacy and security) и перейдите в подраздел «куки и другая информация» (cookies and other site data).  
  3.   Чтобы отключить все куки, выбирайте в настройках соответствующий пункт. Чтобы отключить только сторонние куки — нажмите «отключить сторонние куки» (block third-party cookies).

Отключаем куки в Mozilla Firefox

  1. Зайдите в настройки браузера. Для этого кликните на шестеренку в правом верхнем углу экрана.
  2. В настройках зайдите в раздел «Конфиденциальность и безопасность» (Privacy and security). 
    Отключаем cookie в настройках Mozilla Firefox
  3. Перейдите в подраздел «персональная настройка (custom). Откройте список куков и выберите, какие хотите заблокировать: сторонние или все.
    Блокируем куки в настройках на выбор: все или только сторонние
Firefox защищает от файлов куки созданием отдельной среды для каждого сайта, который вы посещаете. Т.е. каждый сайт создает свои cookie, но и доступ у него будет только к своим.

Это позволяет сохранять работоспособность сайта и мешать трекерам рекламы. Кроме того, функция включена по умолчанию, искать самостоятельно ее не нужно.
Как Mozilla защищает от обмена куками

Но Total Cookie Protection не изолирует файлы cookie с разных открытых вкладок из одной и той же группы сайтов. Например, если в разных вкладках у вас открыты Gmail, Google погода и Google покупки, Google будет знать, что у вас открыты все три страницы, и соединит их следы файлов cookie.

Эту проблему тоже можно решить — устанавливать специальные расширения-контейнеры, благодаря которым каждый сайт будет иметь доступ только к своим cookie. Даже, если несколько сайтов Google будут открыты в разных вкладках или на сайте будут встроены Facebook виджеты. Чтобы получить такие расширения, переходите в магазин плагинов Firefox и ищите контейнеры для разных сервисов через поиск «containers».

Учтите, что не все плагины официальные. Поэтому читайте отзывы и смотрите на рейтинг расширения перед тем, как его установить.

Другой вариант — заходить в разные сайты под разными учетными записями.

Отключаем куки-файлы в Opera

Здесь все как в Google Chrome: заходим в настройки (settings) → безопасность (privacy and security) → куки и другая информация (cookies and other site data).

Отключаем cookie в настройках Opera