«Печиво» безпеки: чи варто побоюватися файлів cookie?

Щодня мільйони людей, авторизуються на різних вебсторінках. Завдяки cookie це можна зробити один раз, а далі заходити із збереженими настройками та не заповнювати повторно призначені для користувача форми. Але чи безпечно залишати браузеру особисту інформацію? Про міфи та факти щодо шкоди cookie розповів Mind керуючий IT-безпекою Tet (ex-Lattelecom) Улдіс Лібієтіс.

Cookie (англ. Букв. – «печиво») – невеликий фрагмент даних, відправлений веб-сервером і зберігається на комп'ютері користувача. Зазвичай веббраузер щоразу при спробі відкрити сторінку відповідного сайту пересилає цей фрагмент даних вебсервера в складі HTTP-запиту. Застосовується, зокрема, для аутентифікації користувача та інших опцій.

Cookie засмічують пам'ять

Самі текстові файли cookie не варто вважати поганими, оскільки вони не містять шкідливих програм – вірусів і не можуть завдати шкоди пристрою. Але є два моменти, на які варто звернути увагу.

Першою проблемою є засмічування комп'ютерної пам'яті. Якщо користувач ніколи не чистив cookie, тобто не видаляв їх зі свого пристрою, обсяг цього «сміття» може виявитися досить великим і негативно впливати на роботу самого пристрою. Тому важлива порада – регулярно чистити cookie.

Все-файли однаково шкідливі

Друга проблема здається куди більш небезпечною, адже йдеться про можливу крадіжку персональних даних. Користувачі переживають, що, приймаючи cookie, вони полегшують доступ до особистої інформації хакерам. Ризики дійсно існують при певних умовах – наприклад, якщо людина використовує публічний Wi-Fi, незахищені або вже зламані пристрої (через неоновлене ПЗ і невстановлений антивірус).

Також проблема може виникнути у власників платформ для e-commerce. Якщо підприємці не приділяють належну увагу IT-безпеці, то хакери можуть вкрасти cookies і використовувати їх зі злочинною метою. Однак при дотриманні правил кібергігієни ці ризики істотно мінімізуються.

Приймати cookie від третіх осіб небезпечно

Найпопулярнішим способом відстеження історії та ідентифікації відвідувачів на сайті є прийняття сторонніх cookie – файлів від третіх осіб. Віднедавна для захисту особистих даних браузер пропонує блокувати такі cookie. Крім того, браузер запитує дозвіл на використання всіх видів cookie перед відвідуванням веб-сторінки.

Прикладом захисту конфіденційності користувачів стала компанія Google, яка оголосила, що до 2022 року припинить використання cookie від третіх осіб в браузері Chrome.

Для сookie теж є правила

Після того як набув чинності GDPR – Загальний регламент захисту персональних даних у ЄС – сайти зобов'язалися розміщувати повідомлення про використання cookie. Користувач був змушений або прийняти їх, або покинути сторінку.

З минулого року частина сайтів запропонувала відвідувачам вибір, на які cookie погоджуватися, а на які – ні. Так користувачі могли вилучити зі списку аналітичні (ті, що відстежують) cookie.

Після заборони «шкідливих»cookie, особливо файлів від третьої особи, інтернет-ринок переповнився блокувальними розширеннями. Серед популярних: I do not care about cookies, Cookie Notice Blocker, CookiesBlock – cookie pop-ups, GDPR Auto cookie consent.

«Незамінність» cookie

Це міф – звичайно ж, у cookie є «конкуренти». Наприклад, щоб не використовувати cookie-файли від третьої особи, Facebook вже два роки практикує технологію «Піксель Facebook» і cookie від першої особи. Існують і інші методи ідентифікації та відстеження відвідувачів: локальне сховище, сховище сеансів, вебкеш, IndexedDB. Із цих варіантів складно виділити лідера, його можна визначити в міру відмови від шкідливих і сторонніх cookie.

Як зберегти інкогніто?

Рекомендую не приймати cookie автоматично. Як варіант, можна відхиляти всі файли cookie і проаналізувати, чи буде зручно вводити особисті дані з кожним новим відвідуванням вебсторінок. Також користувачі можуть регулярно видаляти ці файли вручну.

Режим інкогніто – просте рішення, при якому cookie видаляються самі після завершення сеансу в браузері. Замість звичних пошуковиків, як-от Google або Bing, можна розглянути пошуковик DuckDuckGo.

Компанія Avast пропонує для цього дві опції: захищений браузер Avast Secure Browser, який блокує сторонні cookie, і програму Avast AntiTrack, що приховує цифровий відбиток користувача.

Підвищити безпеку допоможе використання VPN, який забезпечує зашифроване підключення між користувачем і вебсервісом, захищаючи дані про геолокацію.

Загалом в інтернеті існує маса можливостей відстежувати активність відвідувачів. Але проста уважність до того, де зберігаються персональні дані, допоможе користувачам безпечно перебувати в мережі.