it-swarm-tr.com

Kullanıcılar neden çerezleri devre dışı bırakmak istiyor?

Yeni bir web uygulaması oluşturmaya başladım. Belgelerde, kullanıcıların çerezleri devre dışı bıraktığı duruma hazırlanmak zorunda olduğum yazılmıştır. Bu durumu ilk defa okumadım. Biri bana kullanıcıların neden tarayıcılarında çerezleri devre dışı bırakmak istediğini açıklayabilir mi?

22
Krystian

Çerezler, tarihsel olarak sayısız güvenlik ve gizlilik kaygısının kaynağı olmuştur.

Örneğin, izleyici çerezleri hangi web sitelerini ziyaret ettiğinizi ve bu web sitelerinde hangi etkinlikleri yaptığınızı belirlemek için kullanılabilir:

  1. A Sitesi, bir izleyici hizmetini gösteren gizli iframe içerir.
  2. İzleyici hizmeti, sizi tanımlayan ve ziyaretinizi kaydeden bir çerez yayınlar.
  3. B sitesi aynı gizli iframe içeriyor.
  4. İzleyici hizmeti çerezinizi tanır ve ziyaret eden günlükleri de tanır.
  5. Site A ve Site B, kullanıcılarına ziyaret ettikleri diğer siteler hakkında bilgi almak için izleyiciye ödeme yapar.

Bu sadece bir uygulama. İzleyici çerezlerini kullanmanın başka yolları da vardır; bunlardan bazıları kimlik hırsızlığı gibi her türlü kötü saldırıya izin verir.

Başka bir sorun, güvensiz (yani HTTPS olmayan) oturumları Hijack yapmak için kullanılabilecek çerez çalmadır. Bir sayfa bir istismar (ör. XSS) kullanarak başka bir sitenin çerezlerini kendisine geri gönderebilir ve bu da saldırganın oturum kimliğinizi çalmasına izin verebilir. Çerezleri kapatmak bunu engeller.

Bu sorunlar nedeniyle, kullanıcılar daha fazla gizlilik ve güvenlik için çerezleri devre dışı bırakır veya belirli sitelerde engeller.

27
Polynomial

İzleme çerezleriyle, reklamverenler farklı web sitelerindeki ve hatta IP adreslerindeki (ör. Dizüstü bilgisayar kullanıcıları için) kullanıcıları izleyebilir. Bu sonsuza dek sürmektedir (kelimenin tam anlamıyla Google Adwords gibi reklamcılık ağlarının başlangıcından beri), ancak son zamanlarda medya bu çerezlere karşı kamuoyunu teşvik ediyor ve onları gizlilik ihlallerinin temel nedeni olarak suçluyor. Şu ana kadar gitti: AB, katılımsız gereksiz çerezleri yasaklaması beklenen bir şeyi geçti. İronik bir şekilde, Hollanda hükümetinin web sitesi (burada yasa birkaç ay önce yürürlüğe girdi) de yasalara uymuyor.

Bu çerezler aslında kısmen gizlilik ihlaline neden olmaktadır. Takip etmenizi kolaylaştırır, ancak bir kullanıcıya başka birinden söylemek için başka birçok yol vardır. Ayrıca, bu tür hedefli reklamları engellemek için neredeyse hiçbir neden yoktur, her iki yolu da keser, ancak bu başka bir konu ve sıcak bir tartışmadır.

Çerezler olmadan, bir kullanıcının oturum açmasını zor tutabilirsiniz. Çerezler devre dışı bırakıldığında uygun hatayı verin ("Giriş yapamayabilirsiniz, tarayıcınızda çerezler devre dışı bırakıldı, daha fazla bilgi için burayı tıklayın.") Ve bence bu durum kapandı. Facebook ve Twitter gibi diğer birçok web sitesi de çerez olmadan çalışmaz.

21
Luc

En yaygın neden, yanlışlıkla yapmaları ve yaptıklarına dair hiçbir fikirleri olmamasıdır (aşağıdaki 4. paragrafa bakınız).

İkinci en yaygın neden mahremiyettir (paranoya?). Bazı insanlar ne pahasına olursa olsun anti-izleme. Bu durumda çerezlerin ne olduğunu gerçekten anlamadıklarını bulma eğilimindeyim. Büyük olasılıkla "izleme kötü" olduğunu düşünürler ve bunları kapatmazlar - örneğin, oturum çerezleri, 1./3. Parti çerezleri vb. Arasındaki fark nedir?.

Ancak daha da önemlisi, bir kullanıcının son derece basit web siteleri dışında çerezleri devre dışı bıraktığı durumu hesaba katmanın gerçekçi olduğuna inanmıyorum. Statik içerik bağlantılarını takip etmek dışında çok az kullanıcı etkileşimi olan temel bir web sitesi dışındaki herhangi bir şeyde çerezleri (veya URL tabanlı eşdeğerini) kullanmaktan kaçınmak mümkün değildir. Girişleri ve alışveriş sepetlerini unutabilirsiniz, çünkü bunları oluşturmak için en az bir oturuma veya bir çereze ihtiyacınız vardır (ve oturum izleme bir çerez veya URL eşdeğeri gerektirir).

Bir web sitesi geliştiricisi olarak 12 yıl içinde, çerezleri devre dışı bırakmış olan, karşılaştığım tek kişi bunu yanlışlıkla yaptı. İstisnalar YOK, bunun nedeni, Internet Explorer ve güvenlik/gizlilik kaydırıcısını "Yüksek" e yükseltmenin "Orta" dan daha iyi olması gerektiğini düşündü. Her durumda, ne kadar etkili olduğunu ve kaç web sitesini bozduğunu belirttikten sonra tekrar orta seviyeye indirdiler. Çoğu zaman kullanıcı ikinci bir tarayıcı yükledi, hiçbir web sitesi onunla çalışmadığı için orijinal tarayıcılarının "bozuk" olduğuna inanıyor. Bu nedenle, yüksek trafikli bir siteniz varsa kullanıcılara çerezleri devre dışı bıraktıklarını (uygun bir algılama yöntemi kullanarak) söylemenin önemli olduğuna inanıyorum.

URL'de benzersiz bir kimlik depolayarak çerezleri kullanmaktan kaçınıyorsunuz (.NET ve diğer çerçeveler bunu yerel olarak destekliyor), ancak bunun sorunu URL'ye taşıdığına inanıyorum - ve paranoyak kullanıcılar açıkça izleyen bir URL tarafından ertelenebilir . Aynı şeyi yapmak için bir homebrew yöntemi bulursanız, herhangi bir URL kimliğinin kullanıcıların IP adresine bağlı olduğundan emin olun. Değilse, oturum ele geçirme için son derece kolay bir yöntem oluşturacaksınız - bir kullanıcının sadece bağlantı gönderdiği için gönderen kullanıcının oturum durumunu alacaktır.

Bir giriş gerektiren veya bir alışveriş sepeti işlevi olan büyük web sitelerinin büyük çoğunluğu çalışmak için çerezler gerektirir ve bunu denemenin ve çalışmanın mantıklı olduğunu düşünmüyorum. Muhtemelen çerezleri devre dışı bırakılmış kullanıcıların% 1'inin küçük bir kısmından bahsediyorsunuz. WebTrends gibi otomatik sistemlerden üretilen istatistikleri yok sayın, çünkü bunlar web tarayıcıları ve destekleyici çerezleri desteklemeyen (ve gerekmeyen) gibi şeyler içerecektir, çünkü bu size devre dışı bırakılan kullanıcı sayısını yanlış bir şekilde okur. kurabiye. Kesinlikle çerezleri devre dışı bırakmış ve aslında hala web sitelerinin çalışmasını bekleyen 10 kullanıcıdan 1 yerine 5000'de 1 gibi konuşuyorsunuz :)

9
NickG

Belgelerde, kullanıcıların çerezleri devre dışı bıraktığı duruma hazırlanmak zorunda olduğum yazılmıştır.

"Hazırlanmak", HTTP çerezleri olmadan çalışan tamamen işlevsel bir giriş sistemi yapmakla aynı şey değildir.

Kullanıcılar "takip edilmekten" kaçınmak için HTTP çerezlerini kapatabilir; bu durumda, oturum yönetimi için gizli bir URL kullanmak gibi başka bir yaklaşım kullanmayı düşünebilirsiniz. Oturum kimliğini URL'de tutmanın bazı güvenlik ve kullanılabilirlik özellikleri vardır, ancak aynı zamanda gerçekten ciddi güvenlik ve kullanılabilirlik sorunları ve bu mesaj değildir bu yaklaşımı öneriyoruz. soru, oturum kimliğini URL'de tutma güvenliği ile ilgili olmadığından, bu (ilginç) sorunu burada tartışmak istemiyorum.

Sorun sadece teknik değil, bir kabul edilebilirlik sorunudur: kullanıcı çerezleri gönüllü olarak kapatırsa, izlenmesini istemediğinden emin olabilirsiniz. dolaşmaya çalışmak çerezlerin engellenmesi (hatta "kendi iyiliği için") çok muhtemeldir onu üzmek.

Bunun yerine, kullanıcılara, Web uygulamanızda oturum yönetimi için yalnızca oturum çerezlerine ihtiyaç duyulduğunu ve tarayıcı kapatıldığında tüm çerezleri otomatik olarak silmenin mümkün olduğunu açıklayabilirsiniz.

6
curiousguy