Sikkerhed

I kølvandet på udbredelsen af cookies har mange stillet spørgsmål ved sikkerheden omkring dem. Mange "normale" brugere er ikke umiddelbart klar over, hvad det betyder, når en server prøver at sende en cookie, og hvad det medfører. Det skyldes blandt andet, at en cookie-advarsel fra en browser er meget kryptisk. Den viser nemlig blot indholdet af cookien, og det er som regel information, der er kodet på en eller anden måde til brug for programmering på serveren. Her er et eksempel på cookie-forvirring fra det virkelige liv:

"For example, while testing Navigator 3.0, we were frequently warned that "focalink.com" was trying to place information in our Cookie file. As far as we knew, we had never visited focalink.com. The warning came up only when we were viewing seemingly unrelated Web sites, and the information focalink.com wanted to store looked like a list of graphics files. Who was focalink.com, and why was it trying to give us a Cookie?

The answer, after some investigation, was found at the top of the Web pages we were viewing: the advertisements. Even though we were viewing, say, PC Week's site, some of the ads were being retrieved from a server at Focalink Communications Inc.

Other users have encountered similar mysterious messages, from sites like ad.doubleclick.net (DoubleClick Inc.) and interse.com (Interse Corp.). All of these organizations bill themselves as "targeted marketing" companies. What they are doing is managing the presentation of advertisements to users. According to a Focalink spokesperson, if a company is running a series of advertisements, Focalink uses Cookies to make sure the user doesn't see the same advertisement over and over. If the user, for example, already saw a Microsoft Exchange ad, Focalink tries to ensure that he or she sees the Microsoft Windows NT Server ad next."

Edward Sullivan, managing technical director of PC Week Labs, East Coast
[www8.zdnet.com/pcweek/reviews/0624/24cook.htm]

Det er derfor vigtigt en gang for alle at slå fast, hvad en cookie ikke kan bruges til:

  • Cookies kan ikke benyttes til at spore en brugers færden på forskellige servere uden forbindelse med hinanden.
  • Cookies kan ikke benyttes til automatisk at finde identiteten på brugeren, der sidder ved computeren.
  • Cookies kan ikke benyttes til at indsamle information om brugerens system og indhold af harddisk.
  • Cookies kan ikke bruges til at placere en virus hos klienten.

Mange er usikre over, hvem der kan læse ens cookies. En cookie kan ikke læses af andre end den server der oprindelig har placeret den hos klienten. Ifølge Len Feldman, Product Manager hos Netscape, er det dog teknisk muligt for en server at udgive sig for at være en anden, end den reelt er [cgi.sjmercury.com/business/cooki212.htm]. Vi vil ikke komme nærmere ind på dette.

Man skal som bruger være opmærksom på flere ting, når man har med cookies at gøre. Hvis man har adgang til nogle web-sider, hvor ens password til siderne bliver gemt i en cookie, har alle med adgang til ens maskine også adgang til ens cookie. Det kan for det første bruges i det tilfælde, hvor en uautoriseret person starter din browser op på din maskine, og surfer hen på ovennævnte side. Denne side vil nu tro, at du er på besøg igen og vil slippe dig ind. Den anden måde at misbruge det på er ved at læse filen, som indeholder alle oplysningerne om dine cookies. Denne fil er en ganske almindelig flad tekstfil, der ikke er krypteret eller beskyttet på anden måde. Løsningen på dette problem er at sikre sig, at ingen andre end dig selv har adgang til din maskine. Alternativet er, at man sletter sine cookies, hver gang man er færdig med at bruge maskinen, men så mister man funktionaliteten på de web-sider, som benytter dine cookies.

Fra og med Netscape Navigator 3.0 og Microsoft Internet Explorer 3.0 kan browseren konfigureres til at spørge brugeren om lov, hver gang en server vil give en cookie til klienten. Brugeren kan så vælge at modtage cookien eller ej. Nogle kilder påstår fejlagtigt, at hverken Netscape Navigator eller Microsoft Internet Explorer kan afvise cookies, kun advare om dem. Det er en misforståelse. Det drejer sig istedet om, at ingen browser på markedet i dag kan indstilles til at afvise alle cookies, men kan derimod indstilles til at advare brugeren, hvorefter brugeren kan lade browseren afvise cookien.

Flere har rejst spørgsmålet om, hvorfor Netscape og Microsoft ikke bare forbyder cookies i deres browsere, når der åbenbart er så mange, der er utrygge ved dem. Til det svarer Frank Chen, teknisk direktør hos Netscape, at "Netscape ikke kun har en forpligtigelse overfor den enkelte bruger, men i lige så høj grad overfor de udbydere, som bruger Internettet kommercielt." [Netscape]. Til gengæld giver cookies også mange positive anvendelser, som brugerne af Internettet skal oplyses om for at komme utrygheden til livs.

« Teori - Teori: HTTP client-server interaktion »