Открыть сервис

Куки

Куки — это небольшой фрагмент данных, создаваемый веб-сервером и хранимый на компьютере пользователя в виде текстового файла в рамках веб-браузера. Куки используются для идентификации пользователя, сохранения информации о его настройках, истории посещений и действиях на сайте, а также для реализации механизмов сессий и персонализации веб-контента. Куки являются одним из основных способов обеспечения состояния протокола HTTP, который сам по себе не хранит информацию о предыдущих запросах клиента.

История

Концепция куки была впервые предложена в 1994 году сотрудником компании Netscape Communications Лу Монтье (Lou Montulli). Изначально они разрабатывались для реализации корзины покупок в ранних версиях интернет-магазина. Первая официальная спецификация куки (HTTP State Management Mechanism) была включена в черновик стандарта Netscape в том же году. В 1997 году Ку́ки были стандартизированы в рамках документа RFC 2109, который впоследствии был заменён на более поздние версии — RFC 2965 (2000 год) и, наконец, RFC 6265 (2011 год), действующий до сих пор.

На протяжении 2000-х годов куки подвергались критике за недостаточную защиту конфиденциальности пользователей, что привело к появлению законодательных актов в Евросоюзе (Директива 2009/136/EC, известная как «Cookie Law» или «ePrivacy Directive») и, впоследствии, к внедрению General Data Protection Regulation (GDPR) в 2018 году. В России регулирование использования куки частично включено в Федеральный закон «О персональных данных» № 152-ФЗ, согласно которому сбор и обработка данных куки с целью идентификации пользователя требуют его согласия.

Технические основы

Структура и создание

При первом посещении сайта веб-сервер может отправить в HTTP-ответе заголовок Set-Cookie, содержащий пару «имя=значение», а также необязательные параметры:

Браузер после получения куки сохраняет его локально. При каждом последующем запросе к домену, соответствующему значению Domain и Path, браузер добавляет заголовок Cookie с перечислением всех подходящих куки.

Ограничения

Каждое куки обычно имеет максимальный размер в 4096 байт (4 КБ). В одном домене браузер может хранить ограниченное количество куки — стандартом RFC 6265 установлен минимум 50 куки на домен, но на практике это число может быть больше. Общее количество куки, которое может быть сохранено для всех доменов, также ограничено (обычно около 300–600 штук).

Классификация куки

Куки можно разделить по нескольким признакам.

По времени жизни

Сессионные куки (Session cookies) — существуют только в течение одной сессии браузера; удаляются после закрытия окна или вкладки. Не имеют параметра Expires или Max-Age. Используются для временного хранения данных, таких как идентификатор корзины покупок или токен аутентификации.

Постоянные куки (Persistent cookies) — хранятся на диске пользователя до наступления указанной даты истечения или до удаления вручную. Позволяют запоминать настройки пользователя между визитами (например, язык интерфейса, входа в учётную запись).

По происхождению

Первичные куки (First-party cookies) — устанавливаются непосредственно веб-сайтом, который посещает пользователь. Они обычно необходимы для работы сайта (например, сессионные куки) или для его персонализации.

Сторонние куки (Third-party cookies) — создаются доменами, отличными от домена посещаемого сайта (например, рекламными сетями, трекерами социальных сетей, сервисами аналитики). Они используются для отслеживания поведения пользователя на разных сайтах, показа таргетированной рекламы и сбора статистики.

По назначению

На практике куки часто классифицируются по функциональному назначению:

Применение

Аутентификация и управление сессиями

Самый распространённый сценарий — идентификация пользователя после входа в систему. Куки содержит уникальный идентификатор сессии, который сервер связывает с данными пользователя в своей базе. Без куки сайт не может «запомнить», что пользователь уже авторизовался.

Персонализация

Сохранение настроек интерфейса (цветовая схема, шрифт, язык), истории просмотра, избранного, а также рекомендации товаров или контента на основе предыдущих действий.

Корзина покупок

Интернет-магазины сохраняют в куки список товаров, добавленных в корзину, чтобы корзина не обнулялась при переходе между страницами.

Статистика и аналитика

Сторонние сервисы (например, Google Analytics, Яндекс.Метрика) устанавливают куки для сбора данных о посещаемости, поведении пользователей, трафике из рекламных кампаний.

Таргетированная реклама

Рекламные сети (Google Ads, Яндекс.Директ, Facebook и другие) используют сторонние куки для отслеживания интересов пользователя и показа релевантной рекламы на различных сайтах.

Конфиденциальность и безопасность

Риски и атаки

Основные угрозы, связанные с куки, включают:

Законодательное регулирование

В странах Европейского союза (в рамках ePrivacy Directive, GDPR) и в Великобритании закон требует от владельцев сайтов получать информированное согласие пользователя на хранение и чтение необязательных куки (всех, кроме технически необходимых). Обычно это реализуется через «баннер согласия» или всплывающее окно. В США единого федерального закона нет, но есть отраслевые нормы и законы отдельных штатов (например, California Consumer Privacy Act, CCPA). В России с 2015 года действуют нормы, требующие согласия пользователя на сбор персональных данных, к которым могут относиться и куки, если они позволяют идентифицировать конкретное лицо.

Альтернативы

В связи с ростом проблем конфиденциальности и попытками замедлить отслеживание, разработаны и внедряются альтернативные технологии:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →