Cookie

For alternative betydninger, se Cookie (flertydig). (Se også artikler, som begynder med Cookie)

Cookies befinder sig hos klienten. Det er som udgangspunkt kun muligt for brugerne at se, ændre eller slette HTTP-cookies. Andre cookie-typer formidlet via evt. installerede web-browser udvidelser (plug-ins), har klienten som udgangspunkt ingen mulighed for at moderere via web-browserens indstillinger.

En cookie indeholder data, der indeholder data såsom brugerens indstillinger, indhold af indkøbskurv, interne server data, eller andre data brugt af webserveren som f.eks. en unik identifikationskode og personlige oplysninger såsom navn eller brugernavn. Det, og når cookies sendes uden kryptering (f.eks. uden https eller VPN), var grunden til at demonstrationsudvidelsen Firesheep kunne sniffe Facebook og Twitter sessions-cookies data og overtage folk sessioner og dermed læse, sende beskeder i deres navn og muligvis ændre deres private data.

Cookies kan bruges positivt, til hjælp for brugeren, når vedkommende vender tilbage til det cookie-udstedende websted, men bruges også af reklamebureauer, annoncefirmaer og statistikmoduler til at holde øje med brugerens færdsel rundt på et website, eller på tværs af websites der alle bruger samme reklame- eller statistikleverandør. Bruges også til at se om køb via Internet foretages af en person der har set eller klikket på en reklame, evt et par dage tidligere.

Data om brugeren kan i mange lande formidles eller videresælges uden brugerens vidende. Ydermere kan data om brugeren, hvor brugeren har læst på sitet at virksomheden ikke vil dele brugerdata med andre, uhindret formidle brugerdata, når eller hvis virksomheden krakker og opkøbes af tredjepart. Tredjepart har ikke indgået forpligtelser over for brugeren, så det er lovligt.

Nyere smart-tv har en "spion"-chip indbygget, som sender cookie-bot data tilbage. Smart-tv mulliggør normalt ikke automatisk (eller manuel) sletning cookies, så her spores man til "evig" tid.

Cookies sporing på tværs af sites

Som udgangspunkt er det kun det site, der opretter en cookie, som kan få lov til at læse og ændre i cookien. Men da en hjemmeside kan indeholde elementer fra flere sites, kan disse "eksterne" servere også oprette og læse cookies:

De sites som er repræsenteret på mange sider f.eks. reklame-sites, Facebook og Twitter, får faktisk mange oplysninger om brugerens færden på nettet, da sitets cookie sendes tilbage hver gang en web-side med de givne indlejrede site-"links" besøges. Site-"links" kan være en eller flere html-elementer – f.eks. en 1*1 pixel illustration (eller større).

Firefox 85 er den første webbrowser, som hindrer cookies i at "sladre" om andre besøgte sites, da hvert hovedsites cookies lander i hver sin "sandkasse", hvorved cross-site tracking hindres.

Cookies anvendes målrettet af mange større on-line butikker til at sætte prisen op, hvis din profil hos tværgående sites cookies viser, at du er til luksus og/eller din browsning kommer fra en geografisk dyr lokation.

HTTP-cookies kan have flere egenskaber:

• HTTP-cookies kan indstilles med et udløbstidspunkt, hvormed data eksisterer i en kortere eller længere periode (persistent cookies). Disse gemmes typisk på harddisken.
• Session-HTTP-cookies slettes som udgangspunkt automatisk fra browseren, når browseren lukkes.

HTTP-cookies er tekstdata, der sendes frem og tilbage mellem browseren og webserveren ved siden af selve websidens overførsel. Webbrowseren foretager ingen behandling af cookies, udover at sende dem med forespørgsler tilbage til webserveren.

• Ændring af cookie: Browseren kan få instruktioner om at ændre en cookie fra et script på en hjemmeside, fx javascript. Cookiens indhold, udløbstid mv. kan ændres afhængig af fx brugerens handlinger (fx klik på en knap). Browseren kan også ændre cookien, når den modtager svar fra webserveren (ved indlæsning af en side eller opdatering af sideelementer).

De fleste moderne web browsere giver brugeren mulighed for at slå HTTP-cookies fra, og eventuelt hvor længe de skal gemmes, men der er websider, der ikke kan fungere uden cookies.

Eksempelvis vil mange indkøbskurve og websider med login ikke fungere uden cookies.

  Uddybende artikel: Local Shared Object

Flash-cookies (Local Shared Object, LSO) er data (f.eks. tracking-data) og programmer der kan køre på brugerens computer. Visse programmer kan deles på tværs af web-sites. Web-sites kan i dag (2011) uden brugerens vidende downloade op til 100kByte til PCen.

Efter installering af flash og flash-udvidelsen på PCen, kan man ikke styre hvem eller hvad der må lægge flash-cookies på sin PC via de fleste web-browsere. I så fald er den eneste måde at se og slette flash-cookies at gå ind på Adobe Flash hjemmeside.

En af de få browsere hvor man kan moderere flash-cookies er Firefox med udvidelsen "Better Privacy".

Der er også de såkaldte zombie-cookies eller super-cookies og koden, som opretter, udlæser og vedligeholder dem, kan opfattes uønsket og er i så fald malware. Formålet med zombie-cookies/software er at cookien overlever selv omfattende forsøg på sletning, hvis den bare overses i et lagringssted på PCen - og næste gang zombie-softwaren udlæser zombie-cookien, genopstår den igen på alle lagringsstederne. Zombie-cookies kan benytte følgende lagringssteder:

• Standard HTTP-cookies
• Gemme cookies i og udlæsning fra Web-historikken
• Gemme cookies i HTTP ETags
• Internet Explorer userData storage (startende med IE9 understøttes userData ikke mere)
• HTML5 Session Storage
• HTML5 Local Storage
• HTML5 Global Storage
• HTML5 Database Storage via SQLite
• Gemme cookies i RGB-værdier af auto-genererede, force-cached PNGs ved at anvende HTML5 Canvas tag til at udlæse pixels (cookies)
• Local Shared Objects (Flash-cookies)
• Silverlight Isolated Storage

En open source variant af en zombie-cookie er en "evercookie".

En Kissmetrics-cookie er en anden zombie-cookie variant.

En verizon-cookie er en særlig midlertidig super-cookie.

Der findes formentlig andre zombie cookie-typer og gemmesteder.

Firefox 85 er den første webbrowser, som hindrer supercookies i at "sladre" om andre besøgte sites, da hvert hovedsites supercookies lander i hver sin "sandkasse", hvorved cross-site tracking hindres.

I 2012 viste det sig at visse Facebook-spil og Google omgik Safari (MacOS X, iPhone, iPad) privatlivsindstillinger ved at snyde Safari til at tro, at en online-formular er blevet udfyldt. I denne sammenhæng tillader Safari placering af en cookie – og det banede vej for at annonce-cookies også kunne installeres. Det vides ikke om denne formular baserede cookie-type stadig anvendes.

• Terminologiudvalget

• Cookie Central (på engelsk)
• Cookie Cooker (på engelsk og tysk)
• europa.eu: Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009
  • comon.dk: Her er cookie-kravene til danske hjemmesider
  • fdih.dk: Bliv klogere på den nye EU cookie bekendtgørelse