it-swarm-id.com

Mengapa pengguna ingin menonaktifkan cookie?

Saya baru mulai membuat aplikasi web baru. Dalam dokumentasi, ada tertulis bahwa saya harus bersiap untuk situasi di mana pengguna telah menonaktifkan cookie. Ini bukan pertama kalinya saya membaca kondisi ini. Adakah yang bisa menjelaskan mengapa pengguna ingin menonaktifkan cookie di browser mereka?

22
Krystian

Cookies, secara historis, telah menjadi sumber berbagai masalah keamanan dan privasi.

Misalnya, cookie pelacak dapat digunakan untuk mengidentifikasi situs web yang telah Anda kunjungi dan kegiatan apa yang telah Anda lakukan pada mereka:

  1. Situs A termasuk iframe tersembunyi yang menunjuk pada layanan pelacak.
  2. Layanan pelacak mengeluarkan cookie yang mengidentifikasi Anda, dan mencatat kunjungan Anda.
  3. Situs B termasuk iframe tersembunyi yang sama.
  4. Layanan pelacak mengenali cookie Anda, dan mencatat kunjungan itu juga.
  5. Situs A dan Situs B membayar pelacak untuk mendapatkan informasi tentang situs lain yang dikunjungi pengguna mereka.

Ini hanya satu aplikasi. Ada cara lain untuk menggunakan cookie pelacak, beberapa di antaranya memungkinkan segala macam serangan jahat seperti pencurian identitas.

Masalah lain adalah mencuri cookie, yang dapat digunakan untuk membajak sesi tidak aman (mis. Non-HTTPS). Menggunakan exploit (mis. XSS) sebuah halaman mungkin dapat memposting cookie situs lain kembali ke dirinya sendiri, memungkinkan penyerang mencuri ID sesi Anda. Mematikan cookie mencegah hal ini.

Karena masalah ini, pengguna sering menonaktifkan cookie atau memblokirnya di situs tertentu untuk meningkatkan privasi dan keamanan.

27
Polynomial

Dengan melacak cookie, pengiklan dapat melacak pengguna di berbagai situs web dan bahkan melintasi alamat IP (mis. Untuk pengguna laptop). Ini telah berlangsung sejak selamanya (secara harfiah sejak awal jaringan periklanan, seperti Google Adwords), tetapi baru-baru ini media telah menghasut masyarakat terhadap cookie tersebut, menyalahkan mereka sebagai akar penyebab pelanggaran privasi. Sudah terlalu jauh sehingga UE mengeluarkan sesuatu yang seharusnya melarang cookie yang tidak perlu tanpa ikut serta. Ironisnya, situs web pemerintah Belanda (di sini hukum mulai berlaku beberapa bulan lalu) juga tidak mengikuti hukum.

Cookies ini sebenarnya, sebagian, merupakan penyebab gangguan privasi. Itu membuat Anda mudah dilacak, tetapi ada banyak cara lain untuk memberi tahu satu pengguna dari yang lain. Juga hampir tidak ada alasan untuk memblokir jenis iklan yang ditargetkan ini, itu memotong kedua cara, tapi itu topik lain dan debat panas.

Tanpa cookie, Anda hampir tidak dapat membuat pengguna tetap masuk. Berikan kesalahan yang sesuai ketika cookie ternyata dinonaktifkan ("Anda mungkin tidak dapat masuk, cookie dinonaktifkan di browser Anda, klik di sini untuk info lebih lanjut."), Dan saya pikir ini ditutup. Sebagian besar situs web lain seperti Facebook dan Twitter juga tidak akan berfungsi tanpa cookie.

21
Luc

Alasan paling umum adalah bahwa mereka telah melakukannya secara tidak sengaja dan tidak tahu mereka telah melakukannya (lihat paragraf 4 di bawah).

Alasan kedua yang paling umum adalah privasi (paranoia?). Beberapa orang anti-pelacakan dengan biaya berapa pun. Saya cenderung menemukan mereka tidak benar-benar mengerti cookie apa yang ada dalam contoh ini. Kemungkinan besar mereka hanya berpikir "pelacakan itu buruk" dan mematikannya - tanpa memiliki ide misalnya, apa perbedaan antara cookie sesi, cookie pihak pertama/ketiga, dll.

Namun yang lebih penting, saya tidak percaya itu realistis untuk menjelaskan situasi di mana pengguna telah menonaktifkan cookie pada apa pun kecuali situs web yang sangat dasar. Tidak mungkin untuk menghindari menggunakan cookie (atau yang setara dengan URL) dalam hal lain selain situs web dasar dengan sedikit interaksi pengguna selain mengikuti tautan ke konten statis. Anda dapat melupakan login dan keranjang belanja, karena untuk membuatnya, Anda memerlukan setidaknya satu sesi atau cookie (dan pelacakan sesi membutuhkan cookie, atau setara dengan URL).

Dalam 12 tahun sebagai pengembang situs web, satu-satunya orang yang pernah saya temui yang menonaktifkan cookie, melakukannya dengan tidak sengaja. Tanpa pengecualian, ini karena mereka telah berada di layar pengaturan Internet Explorer dan berpikir bahwa mendorong penggeser keamanan/privasi hingga "Tinggi" harus lebih baik daripada "Sedang". Dalam semua kasus, mereka mengembalikannya ke tingkat sedang, setelah saya menunjukkan efeknya dan berapa banyak situs web yang rusak. Seringkali pengguna memasang peramban kedua, meyakini peramban asli mereka "rusak" karena tidak ada situs web yang menggunakannya. Karena itu saya yakin penting untuk memberi tahu pengguna bahwa cookie mereka dinonaktifkan (menggunakan metode deteksi yang sesuai) jika Anda memiliki situs dengan traffic tinggi.

Anda seorang menghindari menggunakan cookie dengan menyimpan ID unik di URL (.NET dan kerangka kerja lainnya mendukung ini secara asli) tapi saya percaya ini hanya memindahkan masalah ke URL - dan pengguna paranoid dapat ditunda oleh URL yang dengan jelas melacaknya . Pastikan untuk memastikan bahwa jika Anda menemukan metode homebrew untuk melakukan hal yang sama, setiap ID URL terikat dengan alamat IP pengguna. Jika tidak, Anda akan membuat metode yang sangat mudah untuk pembajakan sesi - karena pengguna hanya mengirim tautan, akan memperoleh status sesi dari pengguna pengirim.

Sebagian besar situs web utama yang memerlukan login, atau memiliki fungsi keranjang belanja memerlukan cookie untuk berfungsi dan saya rasa tidak masuk akal untuk mencoba dan mengatasinya. Anda mungkin berbicara tentang sebagian kecil dari 1% pengguna yang menonaktifkan cookie. Abaikan statistik yang dihasilkan dari sistem otomatis seperti WebTrends karena ini akan mencakup hal-hal seperti perayap web dan bot yang tidak (dan tidak perlu) mendukung cookie, karena ini akan memberi Anda pembacaan yang sangat tinggi jumlah pengguna yang telah dinonaktifkan kue. Anda tentu berbicara lebih seperti 1 dalam 5000 daripada 1 dalam 10 pengguna yang telah menonaktifkan cookie dan sebenarnya masih berharap situs web berfungsi :)

9
NickG

Dalam dokumentasi, ada tertulis bahwa saya harus bersiap untuk situasi di mana pengguna telah menonaktifkan cookie.

Menjadi "siap" bukanlah hal yang sama dengan membuat sistem login yang berfungsi penuh yang bekerja tanpa cookie HTTP.

Pengguna dapat mematikan cookie HTTP untuk menghindari "dilacak"; dalam hal ini, Anda bisa memikirkan menggunakan pendekatan lain untuk manajemen sesi, seperti menggunakan URL rahasia. Menjaga ID sesi di URL memiliki beberapa manfaat keamanan dan kegunaan, tetapi juga sangat masalah keamanan dan kegunaan yang serius , dan pesan ini bukan merekomendasikan pendekatan ini. Karena pertanyaannya bukan tentang keamanan menjaga ID sesi di URL , saya tidak ingin membahas masalah (menarik) ini di sini.

Masalahnya bukan hanya teknis, ini masalah penerimaan: jika pengguna secara sukarela mematikan cookie, Anda dapat bertaruh dia tidak ingin dilacak. Mencoba menyiasati pemblokiran cookie (bahkan "untuk kebaikannya sendiri") adalah sangat mungkin untuk membuatnya kesal.

Sebagai gantinya, Anda dapat menjelaskan kepada pengguna bahwa hanya cookie sesi yang diperlukan untuk manajemen sesi dalam aplikasi Web Anda, dan bahwa ada kemungkinan untuk menghapus semua cookie secara otomatis ketika browser ditutup.

6
curiousguy