«Печенька» безопасности: стоит ли опасаться файлов cookie?

Ежедневно миллионы людей авторизируются на различных веб-страницах. Благодаря cookie это можно сделать один раз, а дальше заходить с сохраненными настройками и не заполнять повторно пользовательские формы. Но безопасно ли оставлять браузеру личную информацию? Про мифы и факты о вреде cookie рассказал Mind управляющий IT-безопасностью Tet (ex-Lattelecom) Улдис Либиетис.

Cookie (англ. букв. – «печенье») – небольшой фрагмент данных, отправленный веб-сервером и хранящийся на компьютере пользователя. Обычно веб-браузер всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса. Применяется, в частности, для аутентификации пользователя и других опций.

Cookie засоряют память

Сами текстовые файлы cookie не стоит считать плохими, так как они не содержат вредоносных программ – вирусов – и не могут нанести ущерб устройству. Но есть два момента, на которые стоит обратить внимание.
Первой проблемой является забивание компьютерной памяти. Если пользователи никогда не чистили cookie, то есть не удаляли их со своего устройства, объем этого «мусора» может оказаться довольно большим и негативно влиять на работу самого устройства. Поэтому важный совет – регулярно чистить cookie.

Все сookie одинаково вредны

Вторая проблема кажется куда более опасной, ведь речь идет о возможной краже персональных данных. Пользователи переживают, что, принимая cookie, они облегчают доступ к личной информации хакерам. Риски действительно существуют при определенных условиях – например, если человек использует публичный Wi-Fi, незащищенные или уже взломанные устройства (из-за необновленного PO и неустановленного антивируса).

Также проблема может возникнуть со стороны владельцев платформ для e-commerce. Если предприниматели не уделяют должное внимание IT-безопасности, то хакеры могут украсть cookies и использовать их в своих преступных целях. Однако при соблюдении правил кибер-гигиены эти риски существенно минимизируются.

Принимать cookie от третьих лиц опасно

Самым популярным способом отслеживания истории и идентификации посетителей на сайте является принятие сторонних cookie – файлов от третьих лиц. С недавних пор для защиты личных данных браузер предлагает блокировать такие cookie. Кроме того, браузер запрашивает разрешение на использование всех видов cookie перед посещением веб-страницы.

Примером защиты конфиденциальности пользователей стала компания Google, объявившая, что к 2022 году прекратит использование cookie от третьих лиц в браузере Chrome.

Для сookie тоже есть правила

После того как вступил в силу GDPR – Общий регламент защиты персональных данных в ЕС – сайты обязались размещать сообщения об использовании cookie. Пользователь был вынужден либо принять их, либо покинуть страницу.

С прошлого года часть сайтов предложила посетителям выбор, на какие cookie соглашаться, а на какие – нет. Так пользователи могли исключить из списка аналитические (отслеживающие) cookie.

После запрета «вредных» cookie, в особенности файлов от третьего лица, интернет-рынок переполнился блокирующими расширениями. Среди популярных: I don't care about cookies, Cookie Notice Blocker, CookiesBlock – cookie pop-ups, GDPR Auto cookie consent.

«Незаменимость» cookie

Это миф – конечно же, у cookie есть «конкуренты». Например, чтобы не использовать cookie-файлы от третьего лица, Facebook уже два года практикует технологию «Пиксель Facebook» и cookie от первого лица. Существуют и другие методы идентификации и отслеживания посетителей: локальное хранилище, хранилище сеансов, веб-кэш, IndexedDB. Из этих вариантов сложно выделить лидера, его можно определить по мере отказа от вредных и сторонних cookie.

Как сохранить инкогнито?

Рекомендую не принимать cookie автоматически. Как вариант, можно отклонять все файлы cookie и проанализировать, будет ли удобно вводить личные данные с каждым новым посещением веб-страниц. Также пользователи могут регулярно удалять эти файлы вручную.

Режим инкогнито – простое решение, при котором cookie удаляются сами после завершения сеанса в браузере. Вместо привычных поисковиков типа Google или Bing можно рассмотреть поисковик DuckDuckGo.
Компания Avast предлагает для этих целей две опции: защищенный браузер Avast Secure Browser, который блокирует сторонние cookie, и программу Avast AntiTrack, скрывающую цифровой отпечаток пользователя.
Повысить безопасность поможет использование VPN, который обеспечивает зашифрованное подключение между юзером и веб-сервисом, защищая данные о геолокации.

В целом в интернете существует масса возможностей отслеживать активность посетителей. Но простая внимательность к тому, где сохраняются персональные данные, поможет пользователям обеспечить безопасное пребывание в сети.