HTTP tanımlama bilgisi

Bir çerez ([ kʊki ]; İngilizce "bisküvi") 'dir metin bilgileri saklanabilir içinde tarayıcısı bir ziyaret için görüntüleyici (bilgisayar, dizüstü bilgisayar, akıllı telefon, tablet, vb) uç cihazda web ( web sunucusu , sunucu ). Çerez, web sunucusundan tarayıcıya gönderilir veya tarayıcıda bir komut dosyası ( JavaScript ) tarafından oluşturulur. Web sunucusu, daha sonra bu sayfayı tekrar ziyaret ettiğinizde bu çerez bilgilerini doğrudan sunucudan okuyabilir veya web sitesindeki bir komut dosyası aracılığıyla çerez bilgilerini sunucuya aktarabilir. Bu çerez görev sörfçü (tanımlamak için, örneğin, bir oturum kimliği bir tasarruf,) giriş a web uygulaması vb Wikipedia, Facebook, ya da bir kaydetmek için alışveriş sepeti bir de online perakendeci . Kullanıcıların özel olarak hazırlanmış sayfalarla web üzerinden takip edilmesi sık kullanımlardan biridir. Veri korumada çerez terimi , fiziksel bir çerezin gerçekten kullanılıp kullanılmadığına veya diğer tekniklerin kullanılmasına bakılmaksızın veri çıkarma, veri depolama, veri kullanımı, veri işleme, veri aktarımı ve veri kötüye kullanımı ile eşanlamlı olarak da kullanılır.

yapı

Çerez, bir ad ve bir değerden oluşur. Bir tanımlama bilgisi tanımlanırken, bir veya daha fazla nitelik de belirtilebilir veya belirtilmelidir. 

"Set-Cookie:" Name "=" Wert *( ";" Attribut)
"Cookie:" Name "=" Wert *( ";" Name "=" Wert)

Nameve Wertyazdırılabilir US-ASCII karakter dizileridir, bazı karakterler hariç tutulur. Sözdizimi ait Namekullanımlar için diğer kullanılan sınırlı bir karakter kümesi HTTP başlıklar RFC 2616'da . İçin Wertolan noktalı virgül , virgül , boşluk karakterleri ve ters eğik çizgi hariç. Nasıl bir kodunu depolamak için tanımlama değeri olarak herhangi bir veri için Base64 veya URL kodlama için %xxkullanılabilmektedir.

HttpOnlyNitelik JavaScript kullanarak kurabiye erişimi engellemek için tasarlanmıştır. Niteliğe sahip çerezlere HttpOnlyJavaScript aracılığıyla erişilemez. Bu , kullanılan tarayıcının bu özelliği desteklemesi koşuluyla, siteler arası komut dosyası çalıştırmaya karşı olası bir korumayı temsil eder .

Şartname

RFC 6265'e göre , bir tarayıcı aşağıdaki minimum boyutları desteklemelidir:

  • Bir tanımlama bilgisi en az 4096 bayt içerebilmelidir.
  • Etki alanı başına en az 50 çerez depolamak mümkün olmalıdır.
  • Toplamda en az 3000 çerez saklanabilmelidir.

Minimum boyutlar, katılan tüm tarayıcılar ve sunucular tarafından garanti edilmelidir. Spesifikasyon, daha büyük çerezlere veya daha fazla sayıda çereze izin verir.

işlevsellik

Bir web sitesi tarafından çerezlerin iletilmesi, atanması ve değerlendirilmesi için iki seçenek vardır:

  1. Başlıktaki ( başlık ) istek ve yanıtların HTTP aracılığıyla iletilmesi . Tanımlama bilgileri, bir web sunucusuna erişirken, sunucunun yanıtındaki diğer HTTP başlıklarına ek olarak bir dizi tanımlama bilgisi de iletildiğinde istemcide oluşturulur ( yapıya bakın ).
  2. Ek olarak, JavaScript veya diğer komut dosyası dilleri kullanılarak yerel olarak bir tanımlama bilgisi oluşturulabilir. Komut dosyası, sunucu tarafından iletilen web sitesinde bulunabilir.

Aynı etki alanından , yani diğer web sitelerinden olmayan yerel çerezler  okunabilir, kullanılabilir ve değiştirilebilir. Örneğin JavaScript, oturumda meydana gelen yerel kullanıcı etkinlikleriyle ilgili bilgileri sunucuyla daha fazla iletişim kurmadan birleştirmek için kullanılabilir. Web sitesiyle bir sonraki bağlantınızda, onlar da HTTP başlıklarında oraya aktarılır.

Çerez bilgileri, tarayıcıda yerel olarak, genellikle bir çerez veritabanında depolanır . Web sunucusuna sonradan erişildiğinde, istemci tarayıcısı bu etki alanından web sunucusu ve geçerli çağrının dizin yolu ile eşleşen tüm tanımlama bilgilerini arar. Bu tanımlama bilgisi verileri, tanımlama bilgilerinin yalnızca kaynaklandıkları web sunucusuna geri gönderilebilmesi için HTTP erişiminin başlığında iletilir.

Bir çerez herhangi bir metin içerebilir, bu nedenle saf tanımlamaya ek olarak herhangi bir ayarı yerel olarak da kaydedebilir, ancak tüm tarayıcılarla uyumlu kalması için uzunluğu 4 kilobaytı (4 · 1024  bayt ) aşmamalıdır. Çerezler, görüntü dosyaları veya diğer herhangi bir dosya türü de dahil olmak üzere iletilen her dosyayla birlikte aktarılır; bu özellikle, görüntülenen bir HTML dosyasının kaynağı dışındaki sunucular tarafından entegre edilen reklam afişleri gibi gömülü öğeler için geçerlidir. Örneğin, tek bir web sitesi, farklı sunuculardan gelen ve her birine geri gönderilen birden fazla çereze yol açabilir.

Çerezler yalnızca müşteri tarafından yönetilir. Bu şekilde müşteri, örneğin bir çerezin web sunucusu tarafından istenen hizmet ömründen sonra kaydedilip kaydedilmediğine veya silinip silinmediğine karar verir. Bununla birlikte, örneğin web sitelerine yapılan ziyaretlerin sayısı hakkında istatistikler oluşturmak için ilgili bilgiler de sunucuda saklanabilir .

örnek

Senaryo: Bir web sitesi, kullanıcı bu arada tarayıcıdan çıksa bile en son girilen arama terimini hatırlayabilen bir arama işlevi sunar. Bu arama terimi sunucuya kaydedilemez, çünkü sunucunun bunu yapmak için ziyaretçiyi benzersiz bir şekilde tanımlaması gerekir ve bu saf HTTP ile mümkün değildir. Bu nedenle, son girilen arama terimi ziyaretçinin tarayıcısı tarafından (bir çerezde) kaydedilmelidir.

Ziyaretçi arama fonksiyonunu ilk kez çağırdığında (burada "çerez yapısı" arama terimi ile), sunucuya aşağıdaki isteği gönderir: 

GET /cgi/suche.py?q=cookie+aufbau HTTP/1.0

Sunucu arama sonucuyla yanıt verir ve tarayıcıdan "Çerez Ayarla" alanını kullanarak son arama terimini hatırlamasını ister: 

 HTTP/1.0 200 OK
 Set-Cookie: letzteSuche=Y29va2llIGF1ZmJhdQ==;
             expires=Tue, 29-Mar-2014 19:30:42 GMT;
             Max-Age=2592000;
             Path=/cgi/suche.py

(Normalde, çerezin tüm bileşenleri tek bir satırdadır. Ancak daha iyi okunabilirlik için her satırda yalnızca bir öznitelik vardır.)

Çerez aşağıdaki bileşenlere sahiptir:

  • Kullanıcı verileri (son arama): Kullanıcı verileri izin verilmeyen karakterler ("çerez yapısındaki" boşluklar) içerebileceğinden, sunucu bunları Base64 ile kodlanmış olarak buraya döndürür .
  • Son kullanma tarihi (sona eriyor): Çerez yalnızca 29 Mart 2014'ten önce yapılan isteklerde gönderilecektir.
  • Maksimum yaş: Çerez, daha sonra değil, yalnızca sonraki 30 gün için gönderilecektir.
  • Web sitesinin bir bölümü (Yol): Çerez, /cgi/suche.pyweb sitesinin diğer tüm bölümlerinin bilgiye ihtiyacı olmadığından yalnızca arama motoruna ( ) gönderilir.

Uygulamalar

HTTP durumsuz bir protokoldür, bu nedenle web sunucusu için sayfa görünümleri birbirinden bağımsızdır. Kullanıcıyla etkileşimi birkaç sayfa görüntülemeden uzun süren bir web uygulaması, birkaç ziyarette katılımcıyı tanımlayabilmek için hilelerle çalışmalıdır. Bu amaçla, tekrar çağrıldığında bu istemciyi tam olarak tanımak için sunucu tarafından bir çerezde benzersiz bir oturum tanımlayıcısı saklanabilir. Güvenlik nedenleriyle, elektronik bankacılık , sayfa görünümü başına bir kerelik belirteç kullanır .

Çevrimiçi mağazalar , sanal alışveriş sepetlerinde mal toplamak için çerezleri kullanabilir. Müşteri, ürünleri alışveriş sepetine koymak için kullanabilir ve ardından ürünleri birlikte satın almak için web sitesinde gezinmeye devam edebilir. Alışveriş sepetinin kimliği veya kullanıcının oturumu çerezde saklanır, makale kimlikleri bu alışveriş sepetine veya kullanıcının web sunucusundaki oturumuna atanır. Bu bilgiler yalnızca sipariş verildiğinde sunucuda değerlendirilir.

Çerezler ara depolama için de kullanılabilir , böylece sunucu için amaçlanan kullanıcı eylemleri ve girişleri vardır kaybolmaz içinde web uygulamaları sunucusuna bağlantısı (örneğin kesildiğinde hücresel ağlar ). Bağlantı yeniden kurulduğunda sunucu tarafından sorgulanır. Web uygulaması, tanımlama bilgilerinin oluşturulduğu sırayı tanır ve önceden işlenmiş tanımlama bilgilerini işaretler veya içeriklerini siler. Bu kullanımla, tarayıcı kapatıldığında en erken silinen, ancak tarayıcının çerezler için depolama alanı sınırlı olan birçok çerez oluşturulabileceğinden, web uygulamasının bir çerez taşmasına karşı önlem alması gerekir .

Güvenlik ve Tehlikeler

izleme

Açık tanımlama olasılığı kötüye kullanılabilir. Çerezler, diğer şeylerin yanı sıra, bir kullanıcının gezinme davranışı hakkında kullanıcı profilleri oluşturmak için kullanılır. Örneğin, bir çevrimiçi mağaza bu verileri müşterinin adıyla ilişkilendirebilir ve hedef grup odaklı reklam e - postaları gönderebilir.

Ancak, çevrimiçi mağaza yalnızca kendi web sitesinde gezinme davranışını izleyebilir. Müşterilerinin internette gezinme davranışları hakkında bilgi edinmek için çevrimiçi mağazanın bir izleme sağlayıcısı olan üçüncü bir taraf kullanması gerekir. İzleme sağlayıcısı, çevrimiçi mağazanın yanı sıra, onları web sitelerine entegre eden diğer çevrimiçi mağaza izleme bileşenlerini sunar. Bunlar , çevrimiçi mağazalara erişildiğinde yüklenen ve izleme sağlayıcısına sunucu istekleri oluşturan komut dosyaları, bağlantılı komut dosyaları veya bağlantılı bileşenlerdir (web siteleri, resimler, afişler, izleme pikselleri , yazı tipleri). tarayıcı . Üçüncü şahıslar tarafından oluşturulan bu tanımlama bilgilerine üçüncü şahıs tanımlama bilgileri denir . Bu çerezler izleme amacıyla kullanılıyorsa " izleme çerezleri " olarak da anılırlar . İzleme sağlayıcısı, kendisine bağlı çevrimiçi mağazalara yapılan ziyaretleri kaydeder ve bu nedenle bu ziyaretleri bireysel kullanıcılara atayabilir. İzleme sağlayıcısı bu bilgileri çevrimiçi mağazaya sunarsa, ikincisi ziyaretçinin ilgi alanlarını çıkarabilir ve çevrimiçi mağazasını buna göre uyarlayabilir (“kişiselleştirebilir”).

Teknik nedenlerle izleme bilgilerini toplayan saygın üçüncü taraf hizmetleri de vardır. Üçüncü taraf tanımlama bilgileri, başarılı izleme için yararlıdır, ancak kesinlikle gerekli değildir. Parmak izi alma gibi diğer tanımlama yöntemleriyle toplanan kimlik bilgileri çerez gerektirmez. Daha da kötüsü, iletilecek bilgi, bağlantılı bileşenlerle parametreler aracılığıyla iletilir. Ancak tüm izleme tekniklerinin ortak noktası, izleme bileşenlerinin web sitesi koduna entegre edilmesidir. Tarayıcıda çerezleri kapatmak, izlemeyi mutlaka engellemez, daha sonra başka teknikler kullanılır. İzlemeye karşı en etkili koruma, yalnızca izleme teknikleri kullanmayan web sitelerine erişmektir.

Popüler web sitelerinin birden fazla veri toplayıcı içermesi nadir değildir. Berkeley Üniversitesi tarafından yapılan bir araştırma , 2011 yılında TOP100 web sitelerinde gezinirken 5675 çerez buldu (oturum açma veya sipariş olmadan). Bunlardan 4914 çerez, üçüncü taraflarca, yani erişilen web sitesi tarafından ayarlanmamıştır. Veriler 600'den fazla sunucuya iletildi. Veri toplayıcıların başında Google geliyor. Popüler web sitelerinin %97'si Google çerezlerini kullanır.

Üçüncü taraflardan gelen çerezler oldukça kolay bir şekilde engellenebildiğinden, giderek daha fazla izleme hizmeti çerezleri birinci taraf bağlamında ayarlamaya geçiyor.

  • Bir ampirik tarafından yapılan çalışmada Leuven Üniversitesi 2014 o zaman zaten 44 izleme hizmetleri üçüncü taraf siteler için çerezleri engellemek ve yalnızca birinci taraf çerezlere izin bile, sörf davranış% 40'ından fazlasını izleyebilir olduğunu göstermiştir.
  • Bir örnek, izleme çerezlerini ayarlamak için heise.de, zeit.de veya zalando.de gibi web sitelerinde birinci taraf statüsü kazanmak için izlenen web sitesinin alt etki alanı olarak DNS takma adlarını kullanan izleme hizmeti WebTrekk'tir (2013) .
  • Google, Analytics hizmetini 2017'den beri AdWords izleme ile birleştiriyor. Google Analytics için, web yöneticisi, izleme kodunu doğrudan web sitesine entegre eder; bu, birinci taraf statüsünü alır ve ayrıca AdWord izleme için çerezleri ayarlar.
  • Bunu Ocak 2018'de Microsofts izledi ve birinci taraf bağlamında konuşma takibi için tanımlama bilgisini Microsoft Click Kimliği ile ayarlayan bir çözüm uyguladı. Microsoft İzleme Kimliği, bir URL parametresi olarak iletilir ve ardından Javascript kullanılarak bir tanımlama bilgisine yazılır.
  • Facebook, 2018 sonbaharında Mozilla'nın Safari modeline dayalı olarak Firefox'ta üçüncü taraf çerezler aracılığıyla izlemeyi zorlaştıracağını açıklamasının ardından Google ve Microsoft örneğini izledi. Microsoft'ta olduğu gibi, izleme kimliği bir URL parametresinde iletilir ve ardından Javascript kullanılarak birinci taraf tanımlama bilgisine yazılır.

İzleme çerezleri, küresel izlemenin bir parçası olarak NSA ve GCHQ tarafından da kullanılır. Gizli servisler, İnternet'teki veri akışını izler ve uzun ömürlü izleme çerezleri kullanarak sörfçüleri tanımlar. Hedef kişiler bu çerezler kullanılarak izlenir ve gerekirse kimlik tespiti iki hafta boyunca sabit kalırsa Foxit Acid ile hedeflenir.

Halka açık internet erişimiyle ilgili tehlike

Birkaç kullanıcının aynı bilgisayarı paylaştığı ortamlarda, örneğin okullarda veya internet kafelerde, bilgisayarın bir sonraki kullanıcısı tarafından hala geçerli olan bir oturum tanımlama bilgisinin kullanılması riski vardır. Bir yabancının kendi oturumunuza devam etmesini önlemek için, tarayıcıyı kapatmadan veya ilgili tarayıcı ayarını kullanmadan önce her zaman tüm çerezleri silmelisiniz.

Federal Adalet Divanı Kararı

Mayıs 2020'de Süddeutsche Zeitung, Federal Adalet Divanı'nın , kullanıcıların çerezlere aktif olarak onay vermeleri gerektiğine dair bir kararı bildirdi . Bu, Almanya'da birçok güncel çerez afişine izin verilmediği anlamına gelir. BGH yargıçları kararlarında büyük ölçüde Avrupa Adalet Divanı'nın (ECJ) Ekim 2019 tarihli kararının argümanını izledi. Bu, önceden doldurulmuş çerez afişlerinin Avrupa yasalarıyla uyumlu olmadığına karar verdi. Birçok Alman web sitesi, kullanıcıların çerez takibine aktif olarak itiraz etmesi gerektiğinden daha önce Alman Telemedya Yasası'nı (TMG) başlatmıştı.

Tarayıcıdaki güvenlik ayarları

Yaygın tarayıcılar, kullanıcının çerezlerin nasıl kullanılacağını az çok tanımlamasına izin verir, ör. B .:

  • İstisnalar için beyaz liste oluşturma seçeneğiyle çerezleri kabul etmeyin .
  • İstisnalar için kara liste oluşturma seçeneği ile erişilen sayfanın sunucusundan çerezleri kabul edin .
  • gibi üçüncü taraf sunuculardan gelen çerezler B. reklam afişleri için:
    • Burada Her zaman izin ver , Yalnızca ziyaret edilen üçüncü taraf sağlayıcılardan izin ver veya Hiçbir zaman izin verme arasında seçim yapabilirsiniz .
  • Her çerez için kullanıcıya sorun:
    • Burada genellikle izin ver (kalır), bu oturum için izin ver (her zaman kabul edilir, ancak tarayıcı kapatıldıktan sonra silinir) ve reddet (kabul etme) arasında seçim yapabilirsiniz, böylece seçilen seçenek kaydedilir.
  • Çerezleri saklayın:
    • Burada, artık geçerli olmayana kadar veya tarayıcı kapatılana kadar ("oturum çerezi") arasında seçim yapabilirsiniz .

Ek olarak, tarayıcılar bir oturum sırasında aşağıdakiler gibi yönetimsel işlemlere izin verir:

  • Çerezdeki verileri görüntüleyin.
  • Tek tek veya tüm çerezleri silin.
  • Çerezlerin içeriğini değiştirin, boşaltın veya silin.

İstemci, çerezlerin kaydedildiğini bildirmediğinden, sunucu uygulaması yalnızca bir çerezin kabul edilip edilmediğini veya başka HTTP istekleriyle reddedildiğini anlayabilir.

Çerezlerin avantajları ve dezavantajları göz önüne alındığında, tarayıcınızı, kalıcı çerezlere izin verilmeyecek (veya yalnızca istek üzerine) (örneğin, kullanıcı profilleri oluşturmayı zorlaştıran) ve yalnızca oturum tanımlama bilgilerine otomatik olarak izin verilir (örn. Web satın alımları veya parolalar için). Çoğu tarayıcı, belirli alanlar için çerezlere seçici olarak izin verme veya bunları engelleme veya gezindikten sonra bunları otomatik olarak silme seçeneği de sunar (oturum çerezlerinde otomatik olarak olduğu gibi). Sunucu olmayan çerezler (web sitesinin reklam ortağı gibi bir üçüncü tarafın birkaç sunucuda kendi davranışlarını kaydedebildiği) otomatik olarak reddedilebilir.

Web tarayıcıları genellikle tarayıcı uzantılarını kullanarak işlevleri iyileştirme seçeneği sunar . Örneğin Firefox ile, web sitelerinin tanımlama bilgilerini kaydetmesine veya hatta tanımlama bilgilerinin içeriğini kendiniz değiştirmesine izin vermek için belirli bir uzantıyla bir düğmeyi tıklamak mümkündür . Bu, çerezlerin genel olarak devre dışı bırakılmasına ve istisnai durumlarda, web sitesi çerezler olmadan düzgün çalışmıyorsa veya bir çevrimiçi hizmette oturum açmak istiyorsanız izin verilmesine izin verir . Diğer uzantılar, tarayıcıdan çıkarken tüm çerezleri silme veya yalnızca beyaz liste aracılığıyla belirli İnternet etki alanlarından çerezleri tutarak , ancak bir tarayıcı sekmesini veya penceresini kapatırken diğerlerini veya web tarayıcısı tamamen kapatıldığında silinmesini sağlayan tarayıcı seçeneği arasında bir uzlaşma sunar. kapalı. Bu sayede bir yandan istenmeyen takipler diğer yandan kalıcı olarak saklanması gereken bilgilerin kaybolmasının önüne geçilebilir.

Geliştirme geçmişi

Konsept ilk olarak Netscape Communications tarafından geliştirildi ve 1994'te yayınlanan Netscape Navigator'da uygulandı. Netscape, web sitesinde bir ön belirtim yayınladı. 1995'te IETF , RFC olarak standartlaştırılacak bir spesifikasyon üzerinde çalışmaya başladı . 1997'de spesifikasyon RFC 2109 olarak yayınlandı ; bazı ayrıntılarda Netscape belirtiminden farklıdır. Netscape Navigator yeniliklerle yukarı doğru uyumlu olduğundan , yeni spesifikasyon kademeli olarak yayılmalıdır . Internet Explorer'ın tanımlama bilgisi uygulamasının yeni spesifikasyonla uyumlu olmadığı anlaşılınca , yeni bir sürüm üzerinde çalışmaya başlandı. Bu, 2000 yılında RFC 2965 olarak yayınlandı ve mevcut uygulamalarla uyumsuzlukları önlemek için “Set-Cookie2” gibi yeni HTTP başlıklarını kullanıyor.

IETF, RFC 2109'u "eski" (güncel değil) olarak sınıflandırırken , RFC 2965 yaygın olarak kullanılmadı. Opera , eski biçime ek olarak "Set-Cookie2"yi de destekledi, ancak Mozilla Firefox desteklemedi . 2011 yılında, RFC 6265 önceki iki RFC'nin yerini aldı . En yaygın işlevselliği belirtildi içinde RFC 6265 ve “Set-Cookie2” eskimiş olarak işaretlendi. Ayrıca Microsoft tarafından 2002 yılında Internet Explorer 6'da tanıtılan ve bazı web tarayıcıları tarafından benimsenen “HttpOnly” özniteliği belirtildi.

Netscape belirtimi tanımlama bilgileri

"Set-Cookie:" Name "=" Wert *(";" Attribut)
"Cookie:" Name "=" Wert *(";" Name "=" Wert)

Name=Wertnoktalı virgül , virgül ve boşluk karakterleri olmayan yazdırılabilir US-ASCII karakterleri dizisidir . Bu karakterlerden birinin ad veya değerde görünmesi gerekiyorsa, URL kodlaması ile kodlanmalıdır%xx .

Netscape belirtiminde aşağıdaki nitelikler tanımlanmıştır:

EXPIRES=dateValue (isteğe bağlı)
Çerezin son kullanma tarihi biçimindedir .Wdy, DD-Mon-YY HH:MM:SS GMT
Son kullanma tarihi verilmezse, tarayıcı kapatıldığında çerez silinir.
DOMAIN=domainName (isteğe bağlı)
Çerezin geçerliliğini belirli bir alan adıyla sınırlamak için alan adı. Belirtilen alan adı yalnızca alan adının bir son eki olmalıdır, yani DOMAIN=example.combelirli bir tanımlama bilgisi, veya example.comgibi temel alan adları için geçerlidir . Bu öznitelik belirtilmezse, geçerli alan adı kullanılır.foo.example.combar.quux.example.com
PATH=pathName (isteğe bağlı)
Tanımlama bilgisinin geçerliliğini belirli bir yol veya yol önekiyle sınırlamak için yol öneki. Bu öznitelik belirtilmezse, geçerli yol kullanılır.
SECURE (isteğe bağlı)
Çerezler, sunucuya yalnızca güvenli bir bağlantı (ör. HTTPS) aracılığıyla gönderilebilir.

RFC 2109'a göre çerezler

RFC 2109'un belirtimi ile Netscape'in belirtimi arasındaki temel fark , artık Wertnoktalı virgül, virgül ve boşluk karakterlerinin de eklenebilmesidir, ancak bunların tırnak içine alınması gerekir. Nameancak artık a ile $başlamamalıdır, çünkü bunlar HTTP isteklerindeki tanımlama bilgilerinin özniteliklerini tanımlamak için kullanılır. 

"Set-Cookie:" Name "=" Wert *(";" Attribut)
"Cookie:" "$Version" "=" value 1*((";" | ",") Cookie)

Cookiead-değer çiftine ek olarak, içinde Set-Cookiebelirtilen ve birbirinden noktalı virgülle ayrılan yol ve alan için değer çiftlerini de içerebilen bir çerezdir :

Ad " =" Değer [" ;" " Path=" Yol ] [" ;" " Domain=" Etki Alanı ]

Ek olarak, Expire özniteliği, Expire öznitelik değerinin aksine , geçerlilik süresini zaman içinde sabit bir nokta yerine saniye cinsinden belirten Max Age özniteliği ile değiştirildi . Etki alanı semantiği genişletildi. Yorum ve Sürüm özellikleri eklendi .

"Comment" "=" value (isteğe bağlı)
Çerezin daha ayrıntılı bir açıklaması hakkında yorum yapın
"Domain" "=" value (isteğe bağlı)
Çerezin geçerli olduğu alan veya alan adının bir kısmı. Bu öznitelik belirtilmezse, geçerli alan adı kullanılır. Ancak bu öznitelik belirtilmişse değer bir nokta ile başlamalıdır; değilse, nokta müşteri tarafından eklenir.
"Max-Age" "=" value (isteğe bağlı)
Saniye cinsinden sona erme süresi - anında silme için 0. İstemci bu süreden sonra tanımlama bilgisini de kullanabilir, bu nedenle sunucu, bu sona erme süresinden sonra tanımlama bilgisinin silinmesine güvenemez.
"Path" "=" value (isteğe bağlı)
Netscape'in spesifikasyonunda olduğu gibi
"Secure" (isteğe bağlı)
Netscape'in spesifikasyonunda olduğu gibi
"Version" "=" 1*DIGIT (gerekli)
Çerez yönetimi belirtimini ondalık sayı olarak belirtir (bu belirtimde her zaman 1)

RFC 2965'e göre çerezler

RFC 2965'e göre tanımlama bilgileri , Netscape'in belirtimine ve RFC 2109'a göre olanlardan , özellikle Set-Cookie2bunun yerine başlık alanının Set-Cookieçağrılmasıyla farklılık gösterir . 

"Set-Cookie2:" Name "=" Wert *(";" Attribute)
"Cookie:" "$Version" "=" value 1*((";" | ",") Cookie)

Ayrıca bazı ek özellikler de vardır:

"Comment" "=" value (isteğe bağlı)
gibi , RFC 2109
"CommentURL" "=" <"> http_URL <"> (isteğe bağlı)
İşlev açıklamasının altında bulunabileceği URL ( RFC 2965'te belirtilmiştir )
"Discard" (isteğe bağlı)
Web tarayıcısı kapatıldığında tanımlama bilgisinin koşulsuz olarak silinmesi ( RFC 2965'te belirtilir, Tamamlanan Süre Sonu = 0, Maks-Yaş = 0).
"Domain" "=" value (isteğe bağlı)
gibi , RFC 2109
"Max-Age" "=" value (isteğe bağlı)
gibi , RFC 2109
"Path" "=" value (isteğe bağlı)
Netscape'in spesifikasyonunda olduğu gibi
"Port" [ "=" <"> portlist <"> ] (isteğe bağlı)
Bağlantı noktasının şu anda kullanılan veya bir bağlantı noktası listesiyle sınırlandırılması
"Secure" (isteğe bağlı)
Netscape'in spesifikasyonunda olduğu gibi
"Version" "=" 1*DIGIT (gerekli)
Çerez yönetimi belirtimini ondalık sayı olarak belirtir (bu belirtimde her zaman 1)

Aşağıdaki örnek, RFC 2965'e göre bir sunucu yanıtını göstermektedir . Sunucu arama sonucuyla yanıt verir ve tarayıcıdan "Set-Cookie2" alanını kullanarak son arama terimini hatırlamasını ister: 

 HTTP/1.0 200 OK
 Set-Cookie2: letzteSuche="cookie aufbau";
              Max-Age=2592000;
              Path=/cgi/suche.py;
              Version="1";
              Port = 101;
              CommentURL = "http://example.org/docs/cookies/letzteSuche"

veri koruması

Bir tanımlama bilgisi, örneğin program başlatıldığında, bir hizmet sağlayan bir bilgisayarın işletim sisteminin uygulama programları veya bölümleri veya uzantıları tarafından "ayarlanabilir". Bu normalde kullanıcının doğrudan onayını gerektirmez. Set edilen çerezler daha sonra kullanıcı tarafından tarayıcı veya işletim sistemi aracılığıyla bulunabilir ve silinebilir. Güvenlik uzmanları, çerezleri dikkatli bir şekilde kullanmanızı tavsiye eder. Bu, gezinirken ziyaret edilen bir sayfanın hangi çerezleri ayarlamak istediğinin bilinmesini içerir . Yalnızca çok az sayıda web sitesi çerezleri zorunlu kılar (Wikipedia'ya giriş sayfası gibi). Çoğu zaman, çerezler sörf davranışını kaydetmek için keyfi olarak ayarlanır. Bunu önlemek can sıkıcıdır, ancak bilgi konusunda kendi kaderini tayin hakkı ve veri korumasını sağlar . Tek bir ticari web sitesinin bir düzine veya daha fazla çerez yerleştirmeye çalışması nadir değildir. Bunu önlemek için tarayıcı ayarlarında çerezlerin otomatik olarak kabul edilmesini devre dışı bırakmanız gerekir.

Çerezin değer tipik olarak bir içeren bir bellek adresi bunun üzerinden işlevleri hizmet erişilebilir. Bu tür veritabanlarına çerez kavanozları da denir . Web tarayıcıları genellikle sağlamak çerez de denir veritabanı, kurabiye önbellek . Ziyaret edilen bir web sitesinin web sunucusu, bu veri tabanında HTTP çerezleri şeklinde bilgi saklayabilir ve web sitesi tekrar ziyaret edildiğinde bunu okuyabilir.

Google çerezleri ve "PREFID"leri , tarayıcıyı açıkça tanımlayabilir. Edward Snowden'in ifşaatları sırasında , NSA'nın onları hedefli casus yazılımları bireysel bilgisayarlara yerleştirmek ve onları otomatik olarak izlemek ve "uzaktan sömürmek" için kötüye kullandığı biliniyordu .

"Çerez Direktifi" olarak bilinen 2009/136/EC sayılı Direktif, 19 Aralık 2009 tarihinden beri yürürlüktedir. Bu, web sitesi kullanıcısının kişisel verilerinin web sitesi operatörü tarafından kullanılmasına izin vermesini gerektirir. Ancak AB ülkeleri bu direktife farklı tepkiler verdiler.

Federal Meclis konuyu ele aldı. SPD'nin, muhalefet tarafından desteklenen Telemedya Yasası'nı (17/8814) değiştiren yasa tasarısı, 18 Ekim 2012'de reddedildi.

Bunu 2012'de 29. Madde grubundan ayrıntılı tavsiyeler izledi.2014'te uygulama hakkında “Almanya'da belirsizlik” devam ederken, “İspanya'da denetim makamları zaten para cezaları gönderiyor”. 2014'teki kafa karıştırıcı yasal duruma rağmen, uzman avukatlar zaten bir web sitesinin her kullanıcısı için bir açılır pencere şeklinde açık onay ( opt-in ) önermektedir .

Avusturya'da, direktif Telekomünikasyon Yasası'nın (TKG) 96 (3) Bölümünde uygulanmıştır.

Mayıs 2018'de yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR) ile AB'nin 10 Ocak 2017'de taslağını resmen sunduğu sözde e-Gizlilik Yönetmeliği'nin de yasal olarak bağlayıcı hale gelmesi gerekiyor. Özellikle çerezlerin uygulanması alanında GDPR'ye ayrıntılı bir eki temsil eder.eGizlilik Yönetmeliği taslağı şu anda Avrupa Parlamentosu'ndan geçmektedir (Eylül 2018 itibariyle) ve en erken Mayıs 2019'da geçerli yasa haline gelmelidir. . Bu, AB çerez direktifinin yerini alacak ve kullanımla ilgili yeni düzenlemeler yaratacaktır.

1 Ekim 2019'da Avrupa Adalet Divanı , web siteleri tarafından çerezlerin ayarlanması ve alınmasının web sitesi ziyaretçisinin aktif rızasını gerektirdiğine karar verdi .

Ayrıca bakınız

İnternet linkleri

Bireysel kanıt

  1. a b Çerezler , Karsten Neß, Gizlilik El Kitabı, erişim tarihi 24 Aralık 2018
  2. RFC 6265 bölüm 4.1.1 , RFC 2616 bölüm 2.2'deki belirteçlerin belirtimine atıfta bulunur .
  3. ^ Carsten Bormann: Panik modu: Bağlantı kesilmesine toleranslı bir AJAX Kitaplığı . ( İnternet Arşivinde 28 Eylül 2007 hatırası ) O'Reilly Gelişen Teknoloji, Mart 2006
  4. Web siteleri çerez karşıtı önlemlerden yararlanıyor , Herbert Braun, çevrimiçi heise , 31 Temmuz 2011, erişim tarihi 24 Aralık 2018
  5. Web Never Forgets: Persistent Track Mechanisms in the Wild , Gunes Acar, Christian Eubank, Steven Englehardt, Marc Juarez, Arvind Narayanan, Claudia Diaz, Universität Leuven , 2014, tr. PDF 950 kB, erişim tarihi 24 Aralık 2018
  6. Çerezler nasıl silinir , test.de 17 Temmuz 2012'den itibaren, 24 Ekim 2018'de erişildi
  7. Web sitelerinin bilgisayarınızda sahip olduğu verileri kaldırmak için çerezleri silin , support.mozilla.org, erişilen 24 Ekim 2018
  8. Mirjam Hauck, Max Muth: Kancalı şey. Süddeutsche Zeitung, 28 Mayıs 2020 (29 Mayıs 2020'de erişildi)
  9. Firefox eklenti çerez düğmesi  ( sayfa artık mevcut değil , web arşivlerinde arama yapınBilgi: Bağlantı otomatik olarak kusurlu olarak işaretlendi. Lütfen bağlantıyı talimatlara göre kontrol edin ve ardından bu uyarıyı kaldırın.@1@ 2Şablon: ölü bağlantı / addons.mozilla.org  
  10. Kurabiye Canavarı
  11. Çerezleri Düzenle  ( sayfa artık mevcut değil , web arşivlerinde arama yapınBilgi: Bağlantı otomatik olarak kusurlu olarak işaretlendi. Lütfen bağlantıyı talimatlara göre kontrol edin ve ardından bu uyarıyı kaldırın.@1@ 2Şablon: ölü bağlantı / addons.mozilla.org  
  12. Çerez Yöneticisi
  13. David M. Kristol: " HTTP Çerezleri: Standartlar, Gizlilik ve Politika ", 9 Mayıs 2001. arxiv : cs.SE/0105018 .
  14. bugzilla.mozilla.org
  15. Genel Bakış HttpOnly, tarihçe ve OWASP referansı
  16. Bölüm 10.1 arasında RFC 2109 Buna karşılık gelir.
  17. ^ Gizli servis skandalı: NSA, Google çerezleriyle İnternet kullanıcılarını gözetliyor. İçinde: Spiegel Çevrimiçi . 11 Aralık 2013, Erişim Tarihi: 10 Şubat 2014 .
  18. Direktif 2009/136 / EC (PDF)
  19. Avrupa'da Çerez Politikası. İçinde: Computerwoche 11 Ocak 2013. Erişim tarihi: 15 Ekim 2014 .
  20. Basılı madde Alman Federal Meclisi 17/5705. (PDF) Erişim tarihi: 12 Ekim 2014 .
  21. ^ 18 Ekim'deki kararlar. In: Alman Federal Meclisi web ve metin arşivi. 14 Ekim 2014 tarihinde alındı .
  22. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf
  23. Çerez Direktifi ile ilgili AB Komisyonu. İçinde: Heise Verlag Newsticker. 14 Ekim 2014 tarihinde alındı .
  24. Çerezlerin onayı ve veri koruması. İçinde: Bilişim hukuk firmasının web sitesi. Arşivlenmiş orijinal üzerinde 23 Ekim 2014 ; 14 Ekim 2014 tarihinde erişildi .
  25. Michael Feike: Mahkeme kararı: Çerezlere kaydolmak zorunludur! İçinde: Onlinemarketing.berlin. Erişim tarihi: 3 Ağustos 2020 .
  26. Federal Ekonomi Bakanlığı, çerez politikasının uygulandığını söyledi. İçinde: Haufe.de web portalı. 14 Ekim 2014 tarihinde alındı .
  27. Kullanıcıdan önce çerez istenmelidir. 5 Mart 2014 standardı .
  28. Almanya'da AB çerez direktifinin uygulanması . 1und1.de/digitalguide. 20 Nisan 2018. Erişim tarihi: 12 Eylül 2018.
  29. Çerezler? - ama sadece rıza ile! . rechtslupe.de. 2 Ekim 2019. Erişim tarihi: 2 Ekim 2019.