it-swarm-vi.com

Tại sao người dùng muốn tắt cookie?

Tôi mới bắt đầu tạo một ứng dụng web mới. Trong tài liệu này, tôi viết rằng tôi phải chuẩn bị cho tình huống người dùng đã tắt cookie. Đây không phải là lần đầu tiên tôi đọc điều kiện này. Bất cứ ai có thể giải thích cho tôi tại sao người dùng muốn tắt cookie trong trình duyệt của họ?

22
Krystian

Cookies, trong lịch sử, là một nguồn của nhiều mối quan tâm về bảo mật và quyền riêng tư.

Ví dụ: cookie theo dõi có thể được sử dụng để xác định trang web nào bạn đã truy cập và hoạt động nào bạn đã thực hiện trên chúng:

  1. Trang web A bao gồm ẩn iframe trỏ đến dịch vụ theo dõi.
  2. Dịch vụ theo dõi phát hành một cookie xác định bạn và ghi nhật ký chuyến thăm của bạn.
  3. Trang web B bao gồm cùng ẩn iframe.
  4. Dịch vụ theo dõi nhận ra cookie của bạn và nhật ký cũng truy cập.
  5. Trang web A và Trang web B trả tiền cho người theo dõi để có được thông tin về những trang web khác mà người dùng của họ đã truy cập.

Đây chỉ là một ứng dụng. Có nhiều cách khác để sử dụng cookie theo dõi, một số trong đó cho phép tất cả các loại tấn công khó chịu như trộm cắp danh tính.

Một vấn đề khác là ăn cắp cookie, có thể được sử dụng cho các phiên Hijack không an toàn (tức là không phải HTTPS). Sử dụng khai thác (ví dụ: XSS), một trang có thể quản lý để đăng cookie của một trang web khác lên chính nó, cho phép kẻ tấn công đánh cắp ID phiên của bạn. Tắt cookie ngăn chặn điều này.

Do những vấn đề này, người dùng thường vô hiệu hóa cookie hoặc chặn chúng trên một số trang web nhất định để tăng tính riêng tư và bảo mật.

27
Polynomial

Với cookie theo dõi, nhà quảng cáo có thể theo dõi người dùng trên các trang web khác nhau và thậm chí trên các địa chỉ IP (ví dụ: đối với người dùng máy tính xách tay). Điều này đã diễn ra mãi mãi (theo nghĩa đen từ khi bắt đầu các mạng quảng cáo, như Google Adwords), nhưng gần đây các phương tiện truyền thông đã kích động công chúng chống lại các cookie đó, đổ lỗi cho chúng là nguyên nhân gốc rễ cho vi phạm quyền riêng tư. Nó đã đi quá xa đến nỗi EU đã thông qua một cái gì đó được cho là cấm các cookie không cần thiết mà không chọn tham gia. Trớ trêu thay, trang web của chính phủ Hà Lan (ở đây luật đã có hiệu lực vài tháng trước) cũng không tuân theo luật.

Những cookie này thực sự, một phần, là một nguyên nhân của sự xâm phạm quyền riêng tư. Nó giúp bạn dễ dàng theo dõi, nhưng có nhiều cách khác để nói với người dùng này từ người dùng khác. Ngoài ra, hầu như không có bất kỳ lý do nào để chặn loại quảng cáo được nhắm mục tiêu này, nó cắt giảm cả hai cách, nhưng đó là một chủ đề khác và một cuộc tranh luận sôi nổi.

Không có cookie, bạn khó có thể giữ người dùng đăng nhập. Đưa ra lỗi thích hợp khi cookie bị vô hiệu hóa ("Bạn có thể không đăng nhập được, cookie bị vô hiệu hóa trong trình duyệt của bạn, nhấp vào đây để biết thêm thông tin.") Và tôi nghĩ đó là trường hợp đóng. Hầu hết các trang web khác như Facebook và Twitter cũng sẽ không hoạt động nếu không có cookie.

21
Luc

Lý do phổ biến nhất là họ đã vô tình làm điều đó và không biết họ đã làm điều đó (xem đoạn 4 dưới đây).

Lý do phổ biến thứ hai là sự riêng tư (hoang tưởng?). Một số người chống theo dõi bằng mọi giá. Tôi có xu hướng thấy họ không thực sự hiểu cookie là gì trong trường hợp này. Nhiều khả năng họ chỉ nghĩ rằng "theo dõi là xấu" và tắt chúng đi - chẳng hạn như không có ý tưởng nào, sự khác biệt giữa cookie phiên, cookie của bên thứ 1/3, v.v.

Tuy nhiên, quan trọng hơn, tôi không tin rằng nó thực tế khi tính đến tình huống người dùng đã tắt cookie trên bất kỳ thứ gì ngoại trừ các trang web cực kỳ cơ bản. Không thể tránh sử dụng cookie (hoặc tương đương dựa trên URL) trong bất kỳ thứ gì ngoài trang web cơ bản có rất ít tương tác người dùng ngoài việc theo các liên kết đến nội dung tĩnh. Bạn có thể quên thông tin đăng nhập và giỏ mua sắm, vì để tạo chúng, bạn cần ít nhất một phiên hoặc cookie (và theo dõi phiên yêu cầu cookie hoặc URL tương đương).

Trong 12 năm làm nhà phát triển trang web, những người duy nhất tôi từng gặp phải đã vô hiệu hóa cookie, đã vô tình làm điều đó. Không có ngoại lệ, điều này là do họ đã ở trong màn hình cài đặt của Internet Explorer và nghĩ rằng việc đẩy thanh trượt bảo mật/quyền riêng tư lên "Cao" phải tốt hơn "Trung bình". Trong mọi trường hợp, họ đã đặt nó xuống mức trung bình, một khi tôi đã chỉ ra tác dụng của nó và số lượng trang web bị hỏng. Thông thường người dùng đã cài đặt trình duyệt thứ hai, tin rằng trình duyệt ban đầu của họ bị "hỏng" vì không có trang web nào hoạt động với nó. Vì vậy, tôi tin rằng điều quan trọng là phải nói với người dùng rằng họ đã tắt cookie (sử dụng phương pháp phát hiện phù hợp) nếu bạn có trang web có lưu lượng truy cập cao.

Bạn tránh sử dụng cookie bằng cách lưu trữ một ID duy nhất trong URL (.NET và các khung công tác khác hỗ trợ điều này một cách tự nhiên) nhưng tôi tin rằng điều này chỉ đơn giản là chuyển vấn đề sang URL - và người dùng hoang tưởng có thể bị tắt bởi một URL đang theo dõi rõ ràng chúng . Hãy chắc chắn đảm bảo rằng nếu bạn đưa ra một phương pháp homebrew để làm điều tương tự, thì bất kỳ ID URL nào cũng được gắn với địa chỉ IP của người dùng. Nếu không, bạn sẽ tạo một phương thức cực kỳ dễ dàng để chiếm quyền điều khiển phiên - vì người dùng chỉ cần gửi một liên kết, sẽ có được trạng thái phiên của người dùng gửi.

Phần lớn các trang web lớn yêu cầu đăng nhập hoặc có chức năng giỏ hàng yêu cầu cookie hoạt động và tôi không nghĩ việc thử và xử lý vấn đề này là hợp lý. Có lẽ bạn đang nói về một phần rất nhỏ của 1% người dùng đã tắt cookie. Bỏ qua các số liệu thống kê được tạo ra từ các hệ thống tự động như WebTrends vì chúng sẽ bao gồm những thứ như trình thu thập dữ liệu web và bot không (và không cần) hỗ trợ cookie, vì điều này sẽ cho bạn đọc số lượng người dùng bị vô hiệu hóa cao bánh quy. Bạn chắc chắn đang nói nhiều hơn 1 trên 5000 thay vì 1 trong 10 người dùng đã tắt cookie và thực sự vẫn mong các trang web hoạt động :)

9
NickG

Trong tài liệu này, tôi viết rằng tôi phải chuẩn bị cho tình huống người dùng đã tắt cookie.

Được "chuẩn bị" không giống như tạo ra một hệ thống đăng nhập đầy đủ chức năng hoạt động mà không cần cookie HTTP.

Người dùng có thể tắt cookie HTTP để tránh "bị theo dõi"; trong trường hợp này, bạn có thể nghĩ đến việc sử dụng một cách tiếp cận khác để quản lý phiên, như sử dụng một URL bí mật. Giữ ID phiên trong URL có một số giá trị bảo mật và khả năng sử dụng, nhưng cũng thực sự vấn đề bảo mật và khả năng sử dụng nghiêm trọng thông báo này không phải là đề xuất phương pháp này. Bởi vì câu hỏi không phải là về tính bảo mật của việc giữ ID phiên trong URL , tôi không muốn thảo luận về vấn đề (thú vị) này ở đây.

Vấn đề không chỉ là kỹ thuật, đây là vấn đề có thể chấp nhận: nếu người dùng tự nguyện tắt cookie, bạn có thể đặt cược rằng anh ta không muốn bị theo dõi. Cố gắng đi xung quanh việc chặn cookie (thậm chí "vì lợi ích của mình") rất có thể rất có thể làm anh khó chịu.

Thay vào đó, bạn có thể giải thích cho người dùng rằng chỉ cần cookie phiên để quản lý phiên trong ứng dụng Web của bạn và có thể tự động xóa tất cả cookie khi đóng trình duyệt.

6
curiousguy