Μια σειρά από πλεονεκτήματα άλλα και ορισμένους προβληματισμούς που επιφέρει η λειτουργία και η χρήση των cookies, καθώς και οι διαφορετικές κατηγορίες τους  αποτελούν το θέμα που εξετάζουν στο συγκεκριμένο άρθρο
Τα cookies έχουν καθιερωθεί ως η πιο βολική λύση για την παρακολούθηση και εξυπηρέτηση της επικοινωνίας μεταξύ του browser του επισκέπτη και του web server. Παρόλα αυτά εγείρουν ανησυχίες ως προς την ασφάλεια και ιδιωτικότητα του επισκέπτη, λόγω της διαρκούς εξέλιξής τους η οποία είναι συνέπεια των αυξανόμενων «αναγκών» ορισμένων Οργανισμών, όπως για παράδειγμα κάποιων διαφημιστικών εταιρειών.

Ο ENISA (European Network and Information Security Agency) διενήργησε μία μελέτη για τη νέα πραγματικότητα γύρω από τα cookies, υπό το πρίσμα της ασφάλειας της πλοήγησης με όρους εμπιστευτικότητας, αυθεντικοποίησης και ακεραιότητας, τα βασικά σημεία της οποίας αναπτύσσονται στη συνέχεια.

Γενική προσέγγιση
Η καθημερινή εμπειρία του χρήστη με τον κόσμο του internet θα ήταν πολύ διαφορετική αν δεν υπήρχαν τα cookies να προσφέρουν εξατομίκευση (personalization) στην επικοινωνία. Το πρωτόκολλο επικοινωνίας HTTP που χρησιμοποιείται για τη σύνδεση χρήστη – server δεν επιτρέπει τη συσχέτιση του αιτήματος που υποβάλλεται από το χρήστη με προγενέστερες επιλογές του.
Σε ιστοσελίδες όπου ο χρήστης πραγματοποιεί ρυθμίσεις απεικόνισης, γλώσσας, ασφάλειας κ.ά., θα έπρεπε να τις επαναλαμβάνει με κάθε σύνδεση ή θα ήταν αδύνατο να συμπληρωθεί ένα «καλάθι αγοράς» και να δημιουργηθεί μία λίστα με τα αντικείμενα ενδιαφέροντος ή ακόμα και να διενεργηθούν συναλλαγές και αγοραπωλησίες. Αυτά είναι μερικά παραδείγματα για το πώς βελτιώνεται η επικοινωνία του χρήστη με το διαδίκτυο και πώς επιτρέπεται η παροχή υπηρεσιών με τη χρήση των cookies, όπου κάθε ερώτημα που υποβάλλει ο πρώτος στους servers απαντάται σύμφωνα με τις προτιμήσεις του, που έχουν αποθηκευτεί με τη μορφή cookie στον υπολογιστή του.
Ο τρόπος λειτουργίας των cookies και η διαδικασία χωρίζεται σε τρία βασικά βήματα:
Βήμα 1: Ο χρήστης-πελάτης στέλνει αίτημα επικοινωνίας για πρώτη φορά στο web server που φιλοξένει τον επιθυμητό ιστότοπο. Ως απάντηση ο web server παράγει ένα αναγνωριστικό της σύνδεσης (ID), το οποίο θα συμπεριλάβει στο cookie.
Βήμα 2: Ο server παράγει ένα cookie το οποίο αποστέλλει στον πελάτη ως μέρος της επικεφαλίδας της σελίδας. Εν συνεχεία ο browser του τελευταίου αποθηκεύει στην τοπική του μνήμη το cookie και εφεξής θα το επισυνάπτει σε κάθε αίτημα που υποβάλλει ο πελάτης στη συγκεκριμένη σελίδα (στο συγκεκριμένο URL).
Βήμα 3: Το περιεχόμενο της ιστοσελίδας ανακτάται σταδιακά από το χρήστη, με πρώτο να φορτώνεται το κείμενο, κατόπιν οι υπερσυνδέσεις, οι εικόνες, οι ήχοι και άλλα αντικείμενα που απαρτίζουν τη δομή της. Τα URLs που εμπεριέχονται στην αρχική σελίδα μπορεί να αναφέρονται στον ίδιο web server (first party server) ή σε διαφορετικό (third party server).

Tα third party cookies (άλλων κατασκευαστών) είναι αυτά που εγείρουν το μεγαλύτερο ποσοστό αντιδράσεων ως προς τον τρόπο χρήσης τους. Τα διαχειρίζονται εκτενώς διαφημιστικές εταιρείες, οι οποίες μισθώνουν χώρους στους διάφορους ιστότοπους. Από τη στιγμή που ο χρήστης πληκτρολογήσει την επιθυμητή URL στη μπάρα διεύθυνσης, αποστέλλει αίτημα επικοινωνίας σε όλους τους web servers που την απαρτίζουν και άρα πληθώρα cookies αποθηκεύονται στον υπολογιστή του, χωρίς προηγουμένως να προειδοποιείται για την επικοινωνία του με τους άλλους κατασκευαστές, χωρίς να ζητείται η συγκατάθεσή του και δίχως να είναι ενήμερος για το ποιοι ακριβώς είναι αυτοί οι άλλοι κατασκευαστές και τι είδους πληροφορίες συλλέγουν(εικόνα2).
Εν συνεχεία, επειδή οι διαφημιστικές εταιρείες στοχεύουν στην ακριβή καταμέτρηση των μοναδικών χρηστών που τις επισκέπτονται και επιθυμούν να δημιουργήσουν το προφίλ των ενδιαφερόντων τους ώστε να επιτύχουν πιο στοχευμένη διαφήμιση, αναζήτησαν πιο διεισδυτικά αρχεία και έτσι δημιουργήθηκαν νέοι τύποι cookies, όπως τα SuperCookies, FlashCookies, EverCookies, UberCookies. Τα νέα αυτά cookies βασίζονται σε μηχανισμούς ικανούς να εντοπίσουν το χρήστη ανεξάρτητα από το browser, μιας και αποθηκεύονται εκτός της τοπικής του μνήμης.
Εξ ορισμού όλες οι ενέργειες που σχετίζονται με την αποθήκευση των cookies στον υπολογιστή του χρήστη και η αποστολή τους προς το server είναι αόρατες και είθισται να περιέχουν πληροφορίες που έχει καταχωρίσει ο χρήστης στον ιστότοπο, ακόμα και αν αυτές αποτελούν ευαίσθητα προσωπικά δεδομένα. Έτσι, σ’ ένα αρχείο cookie μπορεί να περιέχονται πληροφορίες του χρήστη όπως το τηλέφωνό του, η διεύθυνση οικίας, το e-mail αλλά και το όνομα χρήστη και ο κωδικός σύνδεσης (username και password), προτιμήσεις και ρυθμίσεις εξατομίκευσης, δεδομένα σύνδεσης καθώς και πληροφορίες εντοπισμού, τα οποία έχει κάποια στιγμή καταχωρίσει ο χρήστης σε έναν ιστότοπο.
Η χρήση των cookies αν και εγείρει θέματα ιδιωτικότητας και ασφάλειας, έχει σημαντικά πλεονεκτήματα:

  • Για το χρήστη:
    • Αυθεντικοποίηση και αναγνώριση του χρήστη, αποφεύγοντας περιπτώσεις ταυτόχρονων συνδέσεων.
    • Στατιστικά στοιχεία για τον αριθμό των επισκέψεων.
    • Αποθήκευση προτιμήσεων και ρυθμίσεων εξατομίκευσης.
  • Για τις εταιρείες διαφήμισης:
    • Ποσοτικοποίηση και αξιολόγηση της αποτελεσματικότητας των διαφημίσεων.
    • Δημιουργία προφίλ ενδιαφερόντων του χρήστη, με στόχο την στοχευμένη διαφήμιση.
    • Βέλτιστη διαχείρισης των διαφημίσεων.

Τα cookies στο σύστημα του χρήστη
Σε κάθε browser επιτρέπεται η αποθήκευση κατά το ελάχιστο 300 cookies, με ελάχιστο μέγεθος 4096bytes/cookie και ελάχιστο αριθμό 20 cookies/host. Για τους browsers ειδικού σκοπού ή για browsers που λειτουργούν σε συστήματα περιορισμένης χωρητικότητας παρέχονται το λιγότερο 20 cookies των 4096 bytes, ώστε ο χρήστης να μπορεί να επικοινωνήσει επιτυχώς με το server. Παράλληλα οι εφαρμογές του συστήματος οφείλουν να χρησιμοποιούν λιγοστά cookies, με όσο το δυνατό μικρότερο μέγεθος και να επιδεικνύουν ευελιξία αν υπάρξει απώλεια σε κάποιο από τα αυτά. Επίσης πρέπει να υπάρχει και ένα ανώτερο όριο αποθήκευσης cookies από συγκεκριμένο host ή domain, ώστε να μη δοθεί η ευκαιρία σε κάποιο κακόβουλο λογισμικό να υπερχειλίσει τη σύνδεση με cookies και στο τέλος να οδηγηθεί ο server σε «άρνηση εξυπηρέτησης» (denial of service).
Οι νέοι τύποι cookies αποθηκεύουν στον υπολογιστή του χρήστη 512Kbytes / σελίδα και 10MB/domain. Συνήθως βρίσκονται στην προσωρινή μνήμη του browser (cache) με τη μορφή XML αρχείου και θεωρούνται «επίμονα» μιας και εφαρμόζουν μηχανισμούς διαρκών επανεκκινήσεων και προσωρινών διαγραφών φακέλων, για να παραμείνουν όσο το δυνατόν περισσότερο στον υπολογιστή του χρήστη.
Σαφώς υπάρχουν τεχνικές μέθοδοι για την παρακολούθηση και τον έλεγχο της αποθήκευσης των cookies. Για παράδειγμα, ο Adobe Flash Player παρέχει εργαλείο με το οποίο γίνεται απεικόνιση όλων των ιστοσελίδων που έχει επισκεφθεί ο χρήστης. Η λίστα που δημιουργείται περιέχει πληροφορίες για το όνομα του ιστότοπου, το χώρο που καταλαμβάνουν στο δίσκο οι αποθηκευμένες από το server πληροφορίες και τη μέγιστη χωρητικότητα που επιτρέπεται να χρησιμοποιήσει αυτή η ιστοσελίδα, χωρίς πρώτα να ενημερώσει το χρήστη. Το εργαλείο δίνει τη δυνατότητα στο χρήστη να επιτρέψει ή όχι την αποθήκευση πληροφοριών στο δίσκο του από μία ιστοσελίδα και παράλληλα να καθορίσει τον όγκο των δεδομένων που θα αποθηκεύονται επιλέγοντας ανάμεσα στα 10ΚΒ, 100ΚΒ, 1ΜΒ και 10ΜΒ. Αν παρόλα αυτά η ιστοσελίδα απαιτεί μεγαλύτερο αποθηκευτικό χώρο από αυτόν που όρισε ο χρήστης, θα προβληθεί μήνυμα που θα ζητά διόρθωση των ορίων.

Η διάρκεια ζωής των cookies
Ανάλογα με το πόσο καιρό παραμένουν αποθηκευμένα τα cookies στον υπολογιστή του χρήστη, χωρίζονται σε:

  • Μη – επίμονα ή προσωρινά ή session: πρόκειται για cookies που διαγράφονται μετά το κλείσιμο του browser ή τον τερματισμό της σύνδεσης (session). Συνήθως αποθηκεύονται στην προσωρινή μνήμη του browser.
  • Επίμονα ή μόνιμα: τα cookies αυτά αποθηκεύονται στη μνήμη του browser, δηλαδή στο σκληρό δίσκο, σε ειδικό φάκελο που έχει δημιουργηθεί για τα cookies και ουσιαστικά είναι έξω από τον έλεγχο του χρήστη. Τα συγκεκριμένα cookies επιβιώνουν μεταξύ πολλαπλών συνδέσεων και έχουν ημερομηνία λήξης.

Οι web-servers χρησιμοποιούν και τις δύο αυτές κατηγορίες ώστε να παρέχουν άρτιες υπηρεσίες. Έτσι τα προσωρινά cookies διευκολύνουν στην αποθήκευση δεδομένων κατάστασης όταν ο χρήστης κινείται μεταξύ ιστοσελίδων που ανήκουν στον ίδιο server. Τα μόνιμα cookies αποθηκεύουν πληροφορίες μεταξύ συνεχόμενων επισκέψεων, όπως π.χ. σε ένα δικτυακό κατάστημα οι προτιμήσεις γλώσσας απαιτούν μόνιμη αποθήκευση, ενώ η λίστα αγορών προσωρινή. Σύμφωνα με την ENISA περί το 70% των παρόχων χρησιμοποιούν και τους δύο αυτούς τύπους cookies.

Απομάκρυνση, μπλοκάρισμα ή απενεργοποίηση
Οι browsers στην πλειοψηφία τους προσφέρουν τη δυνατότητα παράκαμψης του αυτόματου χειρισμού των cookies, επιτρέποντας στο χρήστη να αποφασίζει για το αν θα αποδέχεται ή όχι την αποθήκευσή τους (για τον Internet Explorer: εργαλεία ?επιλογές internet ? καρτέλα απόρρητο ? κουμπί «για προχωρημένους»). Η ρύθμιση συνήθως γίνεται ξεχωριστά για τα first party cookies και third party cookies. Επίσης ενσωματώνουν δυνατότητες «ιδιωτικής περιήγησης» κατά την οποία κανένα cookie δεν αποθηκεύεται.
Παρόλα αυτά, τίποτα από τα προαναφερόμενα δεν είναι αρκετό ώστε να εγγυηθεί ιδιωτικότητα κατά την περιήγηση στο διαδίκτυο. Ο web browser που χρησιμοποιεί κάθε χρήστης, εύκολα ταυτοποιείται και αναγνωρίζεται ώστε να συνδέεται με τον κάτοχό του χωρίς καν να είναι απαραίτητη η χρήση cookies.
Μία εκ των επιλογών είναι η διαγραφή των cookies με τη βοήθεια του browser, κάτι που συνεπάγεται ότι διαγράφεται και το ιστορικό της επικοινωνίας του χρήστη με τον εκάστοτε server και στην επόμενη σύνδεση θα θεωρηθεί ότι πρόκειται για νέο πελάτη. Από την άλλη μεριά, ο πλήρης αποκλεισμός των cookies δεν θα επιτρέπει στο χρήστη να περιηγηθεί στο μεγαλύτερο μέρος του παγκόσμιου ιστού και κάθε είδους συναλλαγή θα είναι αδύνατη. Η πιο συνετή προσέγγιση είναι να επιτρέπονται τα cookies της τοποθεσίας που επισκέπτεται ο χρήστης και ο αποκλεισμός ή η ερώτηση για το αν επιτρέπονται τα cookies που ανήκουν σε άλλες τοποθεσίες. Η ΙΑΒ (ευρωπαϊκός Οργανισμός για την ψηφιακή και διαδραστική βιομηχανία marketing) παρέχει οδηγίες για το χειρισμό των cookies σε διαφορετικούς browsers, καθώς και δίνει υπερσυνδέσεις σε εργαλεία χειρισμού των FlashCookies.

Ασφάλεια και cookies
Οποιαδήποτε ιστοσελίδα μπορεί να δημιουργήσει cookies, μιας και πρόκειται για αρχεία απλού κειμένου τα οποία αλλάζουν κάθε φορά που πραγματοποιεί σύνδεση ο χρήστης. Η απλοϊκή μορφή τους, επιτρέπει την εύκολη υποκλοπή τους, αλλαγή και πλαστογράφησή τους και αν και μέχρι τώρα δεν έχουν χρησιμοποιηθεί για να εκτελούν κώδικα ή να μεταφέρουν ιούς, πρέπει να αναγνωριστεί η πληθώρα των τρωτών σημείων που φέρουν.
Αναγνωρίστηκαν λοιπόν τρεις μορφές απειλών που σχετίζονται με τα cookies και ουσιαστικά η μία συμπληρώνει την άλλη. Πρώτη στη σειρά είναι η «δικτυακή απειλή» κατά την οποία τα υπό μετάδοση cookies διαβάζονται από τρίτους ή αλλάζει το περιεχόμενό τους, εν αγνοία βεβαίως τόσο του αποστολέα όσο και του παραλήπτη. Στην προκειμένη περίπτωση μπορεί να χρησιμοποιηθεί SSL προστασία. Δεύτερη είναι η «απειλή τελικού συστήματος» (end-system) όπου στο σύστημα αποθηκεύονται cookies με αλλαγμένο περιεχόμενο ή πλαστά τα οποία παριστάνουν ότι ανήκουν σε νόμιμους servers. Τελευταία είναι η απειλή «cookies-harvesting» κατά την οποία τα κακόβουλα cookies που αποθηκεύτηκαν στο σύστημα, συλλέγουν προσωπικές πληροφορίες του χρήστη και αντλούν όλα τα αποθηκευμένα cookies που βρίσκονται στη μνήμη του.
Πληθώρα μελετών και εργαλείων προτείνουν λύσεις για τις ανωτέρω επιθέσεις, αλλά μέχρι τώρα δεν έχει βρεθεί μία συνολική απάντηση στο πρόβλημα. Για να ελαχιστοποιηθεί ο αντίκτυπος των ανωτέρω απειλών πρέπει να εφαρμοστούν πολιτικές α) εμπιστευτικότητας, που διασφαλίζει τη μετάδοση των Cookies χωρίς να διαβάζονται από τρίτους, β) ακεραιότητας, που απαγορεύει τη μη εξουσιοδοτημένη αλλαγή του περιεχομένου τους και γ) αυθεντικοποίησης από το χρήστη, ώστε ο δημιουργός των Cookies να μπορεί να ταυτοποιηθεί από μία ανεξάρτητη αρχή.

Ιδιωτικότητα
Αν και ο εντοπισμός συμπεριφοράς ατόμων στο διαδίκτυο απαγορεύεται – ειδικά όταν συλλέγονται δεδομένα με προσωπικές πληροφορίες όπως είναι το όνομα, το τηλέφωνο κ.ά., το web – tracking εφαρμόζεται κατά κόρον και θεωρείται κατάφορη παραβίαση της ιδιωτικότητας του χρήστη. Το web – tracking έχει ως στόχο να δημιουργήσει για κάθε μοναδικό χρήστη ένα προφίλ ενδιαφερόντων, το οποίο πολλές φορές σχετίζεται με τα αληθινά προσωπικά του στοιχεία και γι’ αυτό το λόγο συλλέγει πληροφορίες σε σχέση με τις κινήσεις του στο δίκτυο. Πληροφορίες όπως η σειρά που επισκέπτεται τις διάφορες ιστοσελίδες, πόσο συχνά και πόσο χρόνο αφιερώνει για την καθεμία… Αυτό επιτυγχάνεται με την παρακολούθηση της IP -Address και με τη χρήση των cookies και SuperCookies.
Συγκεκριμένα, τα third party cookies σημειώνουν αυξανόμενη παρουσία στο διαδίκτυο και προέκυψε ότι η εισβολή των 10 πιο σημαντικών third party sites από 40% το 2005, αυξήθηκε στο 70% το 2007 και σήμερα έχει ξεπεράσει κατά πολύ αυτό το ποσοστό. Χαρακτηριστικά αναφέρουμε ότι σε ηλεκτρονικό κατάστημα ρούχων εντοπίστηκαν 9 ετικέτες 8 διαφορετικών εταιρειών που συλλέγουν πληροφορίες για τον επισκέπτη.
Τα javascripts που απαρτίζουν πληθώρα ιστοσελίδων αποτελούν εκτελέσιμα αρχεία που «κατεβαίνουν» στον υπολογιστή του επισκέπτη και αν περιέχουν κακόβουλο κώδικα μπορούν να αλλάξουν τα first party cookies, ώστε να αποστείλουν πληροφορίες και στο third party server. Τα javascripts έχουν περιορισμένη πρόσβαση στα δεδομένα του χρήστη αλλά έχουν πρόσβαση στις πληροφορίες που είναι αποθηκευμένες στον browser, συμπεριλαμβανομένων των cached αντικειμένων και του ιστορικού. Έτσι ο συνδυασμός cookies και javascripts αρχείων δίνει τη δυνατότητα στα tracking sites να αντλούν πληθώρα πληροφοριών μέσω ενός απλού HTTP αιτήματος, πληροφορίες όπως η IP διεύθυνση του επισκέπτη, το λογισμικό χρήσης του παρόχου, τρέχουσα και προηγούμενη URL επίσκεψης, email διεύθυνση, προτιμήσεις γλώσσας κ.ά.

SuperCookies και EverCookies
Σε μια προσπάθεια να αντιμετωπιστούν οι τεχνικές εντοπισμού και διαγραφής των cookies από τη βιομηχανία «internet tracking» δημιουργήθηκαν πιο εύρωστοι μηχανισμοί αναζήτησης, τα γνωστά SuperCookies. Από αυτά, τα πιο γνωστά είναι τα FlashCookies, ένας τύπος cookies που διατηρείται από το πρόσθετο του Adobe Flash το οποίο χρησιμοποιείται για τις flash εφαρμογές που ενσωματώνουν οι ιστοσελίδες. Το συγκεκριμένο cookie αποθηκεύεται εκτός browser ώστε να αποφεύγεται ο άμεσος χειρισμός του εν αγνοία του χρήστη και δεν έχει ημερομηνία λήξης. Ως αποτέλεσμα οι χρήστες εντοπίζονται ακριβώς όπως γινόταν και με τα HTTP cookies, συχνά όμως με παράκαμψη της πολιτικής ασφαλείας και ιδιωτικότητας, των τελευταίων. Επιπρόσθετα, αφού τα FlashCookies δεν λήγουν ποτέ, οι servers μπορούν αυτόματα να αναγεννήσουν διαγραμμένα HTTP cookies με τη βοήθειά τους.
Σε αυτή την «επιμονή» των SuperCookies προστίθενται νέες δυνατότητες με την εμφάνιση των EverCookies. Αυτός ο τύπος cookies αναγνωρίζει την ταυτότητα ενός χρήστη ακόμα και αν τα HTTP cookies και FlashCookies έχουν διαγραφεί από τον υπολογιστή του. Η διαδικασία περιλαμβάνει αποθήκευση του περιεχομένου τους υπό διαφορετικούς τύπους αρχείων, όπως αυτοί διατίθενται από τον browser στην τοπική του μνήμη.
Εν κατακλείδι, η νέα γενιά cookies δρα περισσότερο συγκαλυμμένα και ο τρόπος λειτουργίας της δεν είναι προφανής. Αφού λοιπόν η κακόβουλη χρήση των cookies είναι πέρα για πέρα ρεαλιστική, ανακύπτουν θέματα ασφάλειας και ιδιωτικότητας, τα οποία δυστυχώς δεν είναι πολλές φορές άμεσα μετρήσιμα. Γι’ αυτό το λόγο διεξάγονται μελέτες και η πολίτική ασφάλειας που θα τα διέπει βρίσκεται ήδη υπό δημιουργία.

Αναφορά :
http://www.enisa.europa.eu/act/it/library/pp/cookies/
‘Bittersweet cookies’: new types of ‘cookies’ raise online security & privacy concerns

Της Παναγιώτας Τσώνη