Cookies - Олег Зайцев (http://www.ibiblio.ru/index.php/option/content/task/view/id/147)
Зачем cookies нужны (http://www.winsov.ru/safe049.php)
Читаем две статьи про cookies и делаем выводы - действительно ли cookies такие безобидные текстовые файлы?

Подливаю ещё немного масла в огонь - как Олег правильно говорит в своей статье:

В этом случае рекомендуется запретить приём сторонних cookies и разрешить работу с сеансовыми, поскольку они хранятся только в течение сеанса и потому не представляют особой опасности.Doubleclick, однако, нашла решение против этого - они договорились с PayPal'ом, что ссылки на PayPal должны выглядеть так:
https_://ad.doubleclick.net/clk; (очень большой номер) ; вопросительный знак и только потом https_://www.paypal.com/us/cgi-bin blah blah blah

Что это значит? На самом деле, нажимая на такую ссылку, вы говорите браузеру, что вы хотите идти на doubleclick.net, который потом вас перенаправляет на PayPal (помните? тот сайт, на который вы на самом деле хотели зарегиться?).

Для чего это делается? Уже точно не чисто в рекламных целях. Дело в том, что таким образом вдруг double-click уже не сторонний, а ОСНОВНОЙ сайт - cookie принимается, значит, несмотря на рекомендуемую политику Олега, не принимать cookies от таких сайтов. Действительно ли cookie такой безобидный текстовой файл, если double-click готов на такие меры? На что они ещё договорились с PayPal'ом?

И даже когда у нас на компе в файле ничего не видно, кроме идентификатора, что за инфа стоит на самом сервере, который их выдал и определил параметры, привязанные к этому идентификатору?

Paul

Проголосовал за осторожное обращение. Кроме потдверждения установки куков в браузерах я регулярно удаляю все, кроме форумных :). К сожалению многие порталы, как уже упомянутый PayPal, eBay, порталы по продаже всякой всячины установку куков требуют в обязательном порядке.

Выбрал вариант "С ними надо быть осторожным". У меня политика такая, с форумов принимаю и храню до истечения их срока, с ресурсов которые без этого не работают только до конца сеанса с остальных не принимаю вообще.

учим пхп и все вопросы по кукам отпадут сами собой...
не понимаю, что тут обсуждать - вроде и так все по логике понятно...
что клювом просто щелкать не нужно

С cookies обращаюсь осторожно,прием разрешен только с доверенных сайтов(у меня их 2),но с ответом в опросе немного промахнулся:) больше всего меня удивил ответ Олега:)

но с ответом в опросе немного промахнулся:)
Возможно СуперМодератор или администратор может поправить это...

Paul

@Paul

Это не столь важно:)

Что это значит? На самом деле, нажимая на такую ссылку, вы говорите браузеру, что вы хотите идти на doubleclick.net, который потом вас перенаправляет на PayPal (помните? тот сайт, на который вы на самом деле хотели зарегиться?).

а cookies то здесь причём?

Добавлено через 9 минут

Кстати на сайте банка которым я пользуюсь, стоит очень интересная система защиты.
Когда вы регистрируетесь на сайте и входите в свой аккаунт, сайт вам ставит куки. После этого, в следующий раз когда вы заходите в свой аккаунт, сайт проверяет этот куки, и если куки нет то тогда требует номер, который можна получить по email, смс, или по телефону.

а cookies то здесь причём?
Если у вас политика 'блокировать cookies с третьих сторон', то тогда doubleclick обходит таким образом эту политику - она больше не третья сторона, а становится основным сайтом (значит её cookies принимаются вашим браузером).

Paul

что-то я не думаю, что этот редирект сделан для того что бы впарить юзеру куки...

что-то я не думаю, что этот редирект сделан для того что бы впарить юзеру куки...
Security Now! - PayPal and DoubleClick (http://www.grc.com/sn/SN-119.htm).
Факт остаётся, что трафик к PayPal, от которого надо бы ожидать конфиденциальность, раз вы доверяете им свои деньги, идёт через сервера DoubleClick, не из лучших рекламщиков. Как вы понимаете, данный выпуск Стива Гибсона вызвал бурные реакции...

Paul

что-то я не думаю, что этот редирект сделан для того что бы впарить юзеру куки...
Именно так и есть. Редиректы вида:
http://мой_сайт.com/redirect.php?<тра-ля-ля>?URL=куда_пойти
сделаны только для одного - ссылка на сайт "куда пойти" идет не напрямую, а вызывается скрипт редиректа, получающйи кучу параметров + URL, куда нужно пойти. Для чего это нужно ? А тут все просто - в параметрах кодируется сайт, страница и местоположение ссылки, что позволяет владельцам сайта "мой_сайт" вести точный учет, по каким ссылкам с него уходят пользователи, причем фиксируется не просто ссылка, а точная информация типа "Сайт Зайцева Олега, раздел статьи, статья про кукизы, ссылка номер 5 в теле статьи, ведет на сайт virusinfo, страницу такую-то". Такая фича есть в движке моего сайта (она выключена за ненадобностью), и соответственно есть хитрая система "анализа уходов". Это полезно, если скажем некий сервис рекламирует товары, продаваемые в куче магазинов-клиентов - можно точно узнать, по каким ссылкам и куда уходят посетители, и взыскать копеечку с рекламодателей. Это очень наглядно видно в Яндексе - можно поискать что угодно, скажем слово "унитаз" и справа появится реклама "Яндекс-директ" - можно поводить по ссылкам рекламы мышом и посмотреть на ссылки - они ведут не на сайты рекламодателей, а на тот самый скрипт-редиректор, получающий километровый код, позволяющий Яндексу понять, по какой конкретно рекламной ссылке ушел посетитель, куда он ушел ... например


http://www.yandex.ru/redir?dtype=shop&uid=20627600808200804162328444&categid=845&
price=14097&ext=&hyper_id=&
hyper_cat_id=91609&pp=1&cp=10&cb=10&cp_ab=10&ae=0&shop_id=2031&pof=&
url=www.teplomarket.ru/product_info.php%3Fproducts_id%3D2512&onstock=1&
classifier_magic_id=b742e641a222e12cd59861f6f8d1cd df&hash=bkjejipnhnnpgcaolccbenieeoakmkgji
и выставить сайто-держателю небольшую копеечку за посетителя.

Так что к кукизам, их хранению и похищению эта технология не имеет отношения :) Исключение - это когда я не попадаю на сайт "куда_пойти", а идет трансляция трафика через сайт "мой_сайт.com" (т.е. скрипт за кадром загрузит страничку и выдаст ее мне, я при этом буду находиться на сайте "мой_сайт.com" ... но и тту кукизы не причем - тут налицо полный контроль над обменом с сайтом "куда_пойти" ...). Но это очень легко увидеть по адресной строке браузера

Security Now! - PayPal and DoubleClick (http://www.grc.com/sn/SN-119.htm).
Факт остаётся, что трафик к PayPal, от которого надо бы ожидать конфиденциальность, раз вы доверяете им свои деньги, идёт через сервера DoubleClick, не из лучших рекламщиков. Как вы понимаете, данный выпуск Стива Гибсона вызвал бурные реакции...

Paul


Послушал... Да конечно я на 99% процентов согласен с авторами.
Куки являются инструментом для крос-сайт трекинга, но у кукисов есть и другое применение. И самое главное сам куки не может нанести никакого вреда...

И самое главное сам куки не может нанести никакого вреда...
А это я не говорил; нож сам по себе тоже не вредная штука, но применение бывает разное... :)
P.S.: Я пока лет на 5 промолчу про них. 'Время скажет', как говорят на английском...

Paul

...Для чего это делается? Уже точно не чисто в рекламных целях. Дело в том, что таким образом вдруг double-click уже не сторонний, а ОСНОВНОЙ сайт - cookie принимается, значит, несмотря на рекомендуемую политику Олега, не принимать cookies от таких сайтов. Действительно ли cookie такой безобидный текстовой файл, если double-click готов на такие меры? ...-компания DoubleClick живёт интернет-рекламой, ну, а реклама есть товар, причём, ценность этого товара напрямую зависит от того насколько он способен дойти до целевой аудитории, этим всё и обусловлено...
-а что же тут делать, если эта самая аудитория, почему-то ;), всеми доступными ей способами пытается себя оградить от такого "товара" :) ...вот и приходится изощряться в способах втюхивать... не хотите принимать сторонние cookies, их преподнесут как ОСНОВНЫЕ... научитесь и от этого уклоняться, придумают ещё что-то... иначе им не выжить, а cookies как были 'безобидными текстовыми файлами', так ими и останутся :>

[Сообщение отредактированно p2u по причине нарушения политики форума]. :)

-Paul, Вы проиллюстрировали нам ещё один из способов использования cookies, так сказать, не во благо... но, на самом то деле, это же не cookies уводят почтовый ящик, а злые хацкеры используют их содержимое, и с этим ничего не поделаешь, т.к. HTTP для отслеживание состояния сессии не может обойтись без cookie

-Paul, Вы проиллюстрировали нам ещё один из способов использования cookies, так сказать, не во благо... но, на самом то деле, это же не cookies уводят почтовый ящик, а злые хацкеры используют их содержимое, и с этим ничего не поделаешь, т.к. HTTP для отслеживание состояния сессии не может обойтись без cookie
Это я понимаю, Alex; сами файлы безобидные, но их применение (как нож, помните?) может не быть в нашу пользу. Они отредактируются сами серверами (скрыто от нас - инфа сразу же удаляется), и в комбинации со скриптами они могут иметь серьёзные, очень серьёзные последствия (для нашего кармана, допустим). Потом не все сервера добросовестные - существуют куки, которые также могут быть прочитаны третьими сторонами - их партнёрами. Это меня как раз волнует в связки doubleclick-PayPal. Поэтому и голосовал - с ними надо бы осторожно. :)
P.S.: 'Кража личности' в США уже очень серьёзная проблема - куки в этом играют роль.

Paul

... Поэтому и голосовал - с ними надо бы осторожно. :)...
-а в чём заключается осторожность пользователя по отношению к cookies?.. по ассоциации с ножом, он(нож) в данном случае не в руках пользователя, не в его власти :(

Политика обычная: блокировка всех по умолчанию, разрешено доверенным.

-а в чём заключается осторожность пользователя по отношению к cookies?.. по ассоциации с ножом, он(нож) в данном случае не в руках пользователя, не в его власти :(
Принимать их не больше, чем обязательно нужно - это всё, что мы можем делать...
У меня их на 2 форумах и на мейл - всё остальное блокируется.

Paul

Политика обычная: блокировка всех по умолчанию, разрешено доверенным.
Принимать их не больше, чем обязательно нужно - это всё, что мы можем делать...
У меня их на 2 форумах и на мейл - всё остальное блокируется.

Paul-'блокировка' не есть синоним 'осторожность' ;) ...боюсь, что для рядового пользователя это совсем непросто, определять какому ресурсу разрешить, а какому бан...

-'блокировка' не есть синоним 'осторожность' ;) ...боюсь, что для рядового пользователя это совсем непросто, определять какому ресурсу разрешить, а какому бан...
Мне кажется всё очень просто:
* Разрешать только там, где требуется авторизацию
* Закрыть сессию как следует ВСЕГДА ВЕЗДЕ при выходе (то есть - нажать 'Выход').
* Очищать при закрытии браузера (это можно обычно задать в настройках).
Потом существуют готовые списки тех сайтов, от которых их лучше не принимать - SpywareBlaster, например, вставляет такие сайты в Зоне Недоверенных в IE и в группе Block в Firefox'e...

Paul

Для фокса - https://addons.mozilla.org/en-US/firefox/addon/5207
Там есть блек-лист, который постоянно обновляется, даблклик в этом списке тоже есть :)

Для фокса - https://addons.mozilla.org/en-US/firefox/addon/5207
Там есть блек-лист, который постоянно обновляется, даблклик в этом списке тоже есть :)
Не сомневаюсь - у них очень даже грязную историю. Может сейчас лучше станет, так как Гугл их выкупил...

Paul

Весь этот шум вокруг кукис чистой воды паранойя. Кроме того, те кто блокирует куки часто бьют сами по себе мешая владельцам сайтов получать статистику и улучшать таким образом сайт. А так же лишая владельцев заработка, а следовательно опять же лишая их возможности улучшать сайт.

Весь этот шум вокруг кукис чистой воды паранойя. Кроме того, те кто блокирует куки часто бьют сами по себе мешая владельцам сайтов получать статистику и улучшать таким образом сайт. А так же лишая владельцев заработка, а следовательно опять же лишая их возможности улучшать сайт.
Для эффективной статистики и заработки не только куки требуются, а ещё баннеры и скрипты. Как только уважаемые владельцы сайтов наконец-то научатся настроить разрешения на своих сайтах, научатся как правильно слить свой контент на сайт, и могут обеспечить нормальный уровень безопасности и конфиденциальности для посетителей, я буду разрешать и то, и другое...

Возражаю против ярлыка 'паранойя', 'параноик', и пр. Есть люди, которые очень серьёзно изучали этот предмет, и знают о чём они - вполне разумные люди. Я считаю себя одним из них.

Без куки Spyware даже теряет всякий смысл. Здесь лишь несколько примеров того, как рекламщики-паразиты умышленно пишут свои куки поверх куки конкурентов (или просто всовывают куки таких сайтов, где браузер не был) на компьютерах незнающих пользователей. Пусть это делают за счёт кого-то ещё, но не за счёт меня - поставить всех этих (http://www.benedelman.org/cookiestuffing/) искателей лёгкой наживы в чёрный список слишком много работы:
http://www.benedelman.org/spyware/180-affiliates/tgw-double-072404.html
http://www.benedelman.org/spyware/180-affiliates/valuemags-double-072404.html
http://www.benedelman.org/spyware/180-affiliates/freshpair-double-072704.html
http://www.benedelman.org/spyware/180-affiliates/lillianvernon-double-100704.html

P.S.: Бен Эдельман, один из научных сотрудников Школы бизнеса в Гарварде. Его комп НЕ ЗАРАЖЁН ничем!

P.S.2: В IE, куки с первых сторон могут быть отданы системой как куки с третьих сторон (то есть readable!). Когда допрашивают Майкрософт по этому поводу, они говорят как всегда с улыбкой: 'It's not a bug - it's by design' (Это не баг - так задумано). Добавьте к этому бесчисленные веб-баги, браузер кэш + баннеры + скрипты и некрасиво получается. Что они друг другу шептают, когда они думают, что вы не слышите ничего, а? Но об этом нельзя говорить - это будет ущерб на миллиарды. Поэтому удобно обзывать тех, которые не знают - 'дураками', а тех, которые знают - 'Параноиками'...

Paul

Куки – совершенно безобидные файлы. Опасность заключается не в них, а в тех сценариях, которые эти куки используют. Опасность даблклика не в том, что он вам куки впаривает, а в том, что он вообще задался целью следить за вами и уверяю, отключением куков вы от него не отвяжетесь.

Добавлено через 41 минуту


Кроме того, те кто блокирует куки часто бьют сами по себе мешая владельцам сайтов получать статистику и улучшать таким образом сайт.+1 Всем жутко нравится, как красиво и хорошо ищет гугл, а обеспечить его обратной связью что-то никто не спешит.

Вокруг этих злосчастных кукизов хватает и излишней нервозности и домыслов и желания сыграть на этом. Но вариант "Как вы относитесь к исполняемым файлам?" : ) (я их запускаю : ) как правило : ) - "Это безобидные бинарные файлы с расширениями {...list goes here}" тоже малость удручает : )

to Geser:
негодование профессионала? : )

Куки -безобидные файлы и чего вокруг них такой шум?

Своеобразный ликтест с куками:
http://www.grc.com/cookies/forensics.htm?yvdbf0v5sa1wm

Paul

90% сайтов/форумов, которые я посещаю стоят на дле/ипб/вобле - все, что за куки и для чего пишут эти движки - я знаю.
когда выскакиваю на остальные 10% сайтов - пусть пишут, что хотят - после закрытия браузера все куки автоматом у меня чистятся.

Кукис-переносчики троянов,как минимум.

когда-то не обращал внимания, а теперь чуть ли не каждый "кукиш" рассматриваю как врага )

Удивительно! Здесь нет моего голоса/ :) Из тех вариантов что есть, выбрал второй/ Мне что они есть что их нет/

куки словно ключ от авто- сам по себе не стоит ничего, но позволяет получить доступ к дорогому. Куки, для стремящихся к наибольшей безопасности людей, безусловно, информация, требующая контроля и обработки.

зы спросил както слаборазбирающегося в ПК американца- "wat ya thin`bau cookies?" (шо ты насчёт куки думашь?), оне подумал и ответил-"mmm... coockie... i`m eat it..." (печеньки? я их ем...)

Я себе куки вообще отключил давным-давно,единственное добавил только в исключение доверенные сайты.

Удаляю куки перед тем, как закрыть браузер.

Не особо я отношусь к кукам и соккиес... Тоже проголосовала за осторожное обращение...
В настройках у меня очистка кук при закрытии браузера....

По умолчанию cookies запрещены. Разрешены же всего 13 сайтам. В основном это различные форумы, где без них слетает авторизация

СOOKIE CRUMBLER способен облегчить жизнь любому юзеру...

я с ними осторожен

по возможности не трогаю

но могу и удалить, если глюки вижу, или думаю, что там вирус может сидеть :)

Бояться и скрываться от них не надо :)
Но вред компьютеру могут причинить...
Выбираю вариант
С ними надо быть осторожным

Однажды мне форум сломали с помощью размещения в посте вместо картинки JavaScript, который украл мою админскую куку. Так что с ними нужно быть осторожными и завершать сессии.