Какая информация хранится в cookies?

Question

[test2235]

Что хранится в куки помимо данных авторизации на сайте? Слышал, что также хранится информация для отслеживания поведения на сайте? Но что именно хранится для отслеживания, координаты движения мышкой по экрану, клики по ссылкам или что-то еще?

Answer 1

[Stalker_RED]

Придуманы куки были именно для аутентификации, но вообще там можно сохранить ЛЮБУЮ информацию, но объем довольно скромный. И вся эта информация будет добавляться к заголовкам КАЖДОГО запроса, уходящего на сервер.

Почитайте хоть википедию для начала https://ru.wikipedia.org/wiki/Cookie

Comments

[test2235]

Stalker_RED Какой умный, википедия не даёт ответы на мои вопросы. Если бы все ответы были в википедии, у людей не возникало бы вопросов вообще и все было бы понятно

[Stalker_RED]

test2235, конечно, википедия не дает ответы на ВСЕ вопросы. Но для начала можно и ее почитать.

Если вы делаете акцент именно на слежение, то вот вам подборка статей
https://www.google.com/search?q=habr+utm
https://www.google.com/search?q=habr+fingerprint+б...
https://www.google.com/search?q=habr+evercookie

Возможно стоит начать с основ работы рекламных сетей, например.

[test2235]

Stalker_RED, Ваш ответ не соответствует вопросу, возможно вам стоит для начала поучиться русскому языку и литературе, чтобы научиться хотя бы просто понимать написанное, чтобы давать ответы, которые бы соответствовали вопросу? Вот этого бреда не надо, сейчас все умеют писать URL-ы типа google.com/search?q="ключевые слова" , это захламление сайта. Когда дают такие ответы у меня (думаю не только у меня) возникает ощущение, что человек совершенно не разбирается в вопросе (поведение типичного тролля), лишь бы написать...какую-нибудь чушь

[Stalker_RED]

test2235, возможно я действительно плохо понимаю смысл вашего вопроса. Если углубиться, то у вас там четыре вопросительных предложения, и я попытался уловить общее направление и ответить на него. Возможно, мне это не удалось. Что-же, можно попробовать ответить на каждый по отдельности.

1. вопрос из заголовка:

Какая информация хранится в cookies?

cookie это пары строк ключ=значение разделенных точкой с запятой. Кроме того, в состав входит несколько служебных полей (expires, path, domain...). Подробно это все описано в RFC 6265.

По умолчанию куки пустые, и вообще этот заголовок не передается. И клиент (браузер, его плагины и скрипты на странице) и сервер могут записать в куки какую-то информацию. Любую информацию. Я могу записать в куки имя любимой кошки, например. Мой сервер может записать вам в куки адрес биткоин-кошелька или рецепт приготовления маффинов. ЛЮБУЮ информацию, которая уместится в ограничения по длине.

2.

Что хранится в куки помимо данных авторизации на сайте?

То, что туда записали ранее. Подробнее см. выше.

3.

Слышал, что также хранится информация для отслеживания поведения на сайте?

Если это вопрос, то да, я слышал.

4.

Но что именно хранится для отслеживания, координаты движения мышкой по экрану, клики по ссылкам или что-то еще?

Что угодно, что записал туда сервер, браузер, или кто-либо еще.

Сама формулировка ваших вопросов вызывает у меня подозрения, что вы не читали даже статью из википедии, не говоря уж о более серьезных материалах типа тех же спецификаций, ссылки на которые, между прочим, есть в вики.

Можете провести мысленный эксперимент, заменить в ваших вопросах "куки" на "бумага", и попробовать дать на них осмысленные ответы.

Какая информация хранится в бумага?
Что хранится в бумага помимо данных авторизации на сайте?

правильный ответ: что угодно. Любая информация, которую туда записали. Причем сама бумага в этом не виновата, изначально она белая и пушистая.

И да, если понажимать на те "бредовые ссылки", которые вам так не нравятся, легко обнаружится десятка полтора-два статей про слежку за пользователями.

Рецепт маффинов записанный в куки можно получить здесь.

[Монти Пайтон]

test2235,

Какой умный, википедия не даёт ответы на мои вопросы. Если бы все ответы были в википедии, у людей не возникало бы вопросов вообще и все было бы понятно

имейте хотябы совесть, я позвал сюда эксперта не для того чтобы вы глумились над ним, а что бы он вам помог выучиться, а вы на языке сарказма пытаетесь с ним общаться, так вы не научитесь никогда, ничему, нигде. Как будто он виноват в сложности понимания куки другими людьми, и как будто он участвовал в их разработке. Может вам следует в начале учить азы, что такое переменная, а потом после этого вернуться к такому вопросу как куки?

Если вы не любите читать, и хотите ровно в двух словах (не в трёх) услышать что такое файл куки, то это не что иное как - Учётная запись. Если хотите вообще одним словом узнать что такое куки, то это на жарг. компьютерщиков - Учётка.

https://ru.wikipedia.org/wiki/Учётная_запись

википедия не даёт ответы на мои вопросы.

Википедия как раз таки в последнее время даёт ответы на большинство распространённых вопросов, раньше она не давала, раньше она была немного другой.

[test2235]

Stalker_RED,

По умолчанию куки пустые, и вообще этот заголовок не передается. И клиент (браузер, его плагины и скрипты на странице) и сервер могут записать в куки какую-то информацию. Любую информацию.

По-моему в куки как раз браузер не может ничего записывать, это делает сервер и отправляет браузеру. А браузер уже при каждом запросе отправляет серверу грубо говоря для применения настроек (авторизация, стили и прочее).

Но тем не менее, отслеживать поведение с помощью куки практически невозможно, imho. Максимум, что можно, это отследить только факт авторизованного пользователя, а уже дальше отслеживать (обсчитывать) будет сервер или сервисы статистики. Если знаете, что можно отследить с помощью куки - расскажите, будет интересно послушать. По-моему, статьи про отслеживание куки - это просто захламление интернета неточной и полуправильной информацией. Это как часто, кто-нибудь неправильно переведет статью на русский язык или просто напишет какую-нибудь ересь, так очень скоро интернет наполняется копипастами рерайтами это "творения" с кучей ошибок.

[Stalker_RED]

test2235,

По-моему в куки как раз браузер не может ничего записывать

Напишите в консоли браузера document.cookie = 'hello=world' и посмотрите, что получится.

отслеживать поведение с помощью куки практически невозможно, imho. Максимум, что можно, это отследить только факт авторизованного пользователя, а уже дальше отслеживать (обсчитывать) будет сервер или сервисы статистики.

Вы правы, строка текста (куки) сама по себе ничего не обсчитывает, и ни за кем не следит. Точно также автомобильный номер - бездушная железяка, которая ни за кем не следит. Но если расставить камеры на перекрестках, то наличие номеров очень сильно облегчает задачу, когда требуется отличить одну из гезелек среди сотен или тысяч подобных.

Если знаете, что можно отследить с помощью куки - расскажите, будет интересно послушать. ... По-моему, статьи про отслеживание куки - это просто захламление интернета неточной и полуправильной информацией.

Не собираюсь я переписывать сюда в комментарий содержание тех статей, которые вы считаете хламом. Вероятно, у вас либо значительный пробел в понимании того, как вообще интернет работает, либо какой-то косяк в логике. Не хотите читать ни про UTM-метки, но про evercookie - я не стану вас заставлять.

Если где-то написано, что "Вася починил велосипед при помощи скотча и проволоки", то это не значит, что проволока - основной и единственный компонент велосипеда.

[test2235]

Ostin1 Спасибо, что позвали. Но, в контексте первого сообщения, мой ответ был вполне уместен. Потому что, сейчас уже ответы типа "спроси у гугл, загляни в гугл-там все есть" или же просто дублирование вопроса с адресацией тому же гуглу (это любой человек умеет делать, он и без советов может это сделать) считаются дурным тоном. На некоторых форумах, уже за это ставят минусы и банят, что в общем-то правильно, как-никак в современном мире живём. Это раньше было нормальным давать нелепые ответы на вопросы (в т.ч. с адресацией на сайты, которые не дают ответа на вопрос). Так что на будущее, рекомендую Stalker_RED давать нормальные понятные ответы (а не как в первых 2-х сообщениях), профиль будет только улучшаться от этого. И сайту на пользу пойдет, людей будет больше заходить

[Stalker_RED]

test2235, спасибо, это очень крутая и полезная рекомендация. Дело за малым - выяснять как-то заранее, насколько странная у людей каша в голове, и какой ответ для них является понятным. Краткий ответ непонятен, а развернутый ответ читать - ниже их достоинства. Ну ок.

[Монти Пайтон]

test2235,

Спасибо, что позвали.

Вы то поняли ответ на собственный вопрос, или ещё нет?
Если да - то что именно вам помогло, тут или гдето на другом сайте. Если нет, то какие вопросы у вас остались - задавайте смелее

[test2235]

Stalker_RED

Напишите в консоли браузера document.cookie = 'hello=world' и посмотрите, что получится.

Да, но только какой в этом смысл? ну получит сервер куку, как он ее будет интерпретировать, если он ее просто не ждал. Это как сказать, не обязательно покупать windows, можно самому его написать. И за фильмы в кино тоже не обязательно платить, можно самому снять такой же фильм или лучше.

Не собираюсь я переписывать сюда в комментарий содержание тех статей, которые вы считаете хламом. Вероятно, у вас либо значительный пробел в понимании того, как вообще интернет работает, либо какой-то косяк в логике. Не хотите читать ни про UTM-метки, но про evercookie - я не стану вас заставлять.

А причем тут UTM-метки, если мы говорим о куки?
А про evercookie и fingerprint - вы тупо накидали ссылок вместо того, чтобы объяснить принцип работы и какое отношение ко всему этому имеют к куки в плане отслеживания - такая "помощь" в современном мире воспринимается как мусорный спам.

[Монти Пайтон]

test2235,

вместо того, чтобы объяснить принцип работы и какое отношение ко всему этому имеют к куки в плане отслеживания

JavaScript считывает позицию курсора на экране, записывает в куки координаты вида (абстрактный пример):

1057px:288px:2018.01.31,10:18:54,
1058px:289px:2018.01.31,10:18:55,
1059px:290px:2018.01.31,10:18:56;

и отправляет эти данные, с HTTP запросом, на сервер

[Stalker_RED]

Ostin1, сомневаюсь, что кто-то делает такое, потому что проще отправить эти данные обычным запросом или при помощи ajax. Опять-же, нужно помнить, что длина у cookies весьма ограничена.

[Stalker_RED]

test2235,

ну получит сервер куку, как он ее будет интерпретировать, если он ее просто не ждал.

А если ждал? Вы же понимаете, что пользователю не обязательно вручную писать "document.cookie=..."? Это могут сделать скрипты.

Про написание windows и съемку фильмов немного не понял. Вы же не думаете что фильмы на деревьях растут? Их таки действительно кто-то снимает. Более того, есть любительские кинофильмы, снятые сравнительно небольшими командами со скромным бюджетом. Да и список операционных систем на windows не заканчивается.

Попробуйте может быть еще разок перечитать свой вопрос, и разобраться - что именно вас интересует.
Тема со слежкой довольно обширная, и в одном предложении ее не раскрыть. Статьи читать вы не хотите. Расписывать вам сценарии наугад?

[test2235]

Stalker_RED,

Попробуйте может быть еще разок перечитать свой вопрос, и разобраться - что именно вас интересует.
Тема со слежкой довольно обширная, и в одном предложении ее не раскрыть. Статьи читать вы не хотите. Расписывать вам сценарии наугад?

Вопрос был задан четко и конкретно, как отслеживать с помощью куки (кроме авторизованных пользователей, этот и так понятно, куки для того и созданы, чтобы выдавать соответствующую инфу для авторизованных)? В ответ куча всякого бреда с фразами про utm-метки, fingerprint и evercookie. Но механизм работы, почему-то вы не описали, такое ощущение, что в вопросе совершенно не разбираетесь.

[Монти Пайтон]

Вопрос был задан четко и конкретно, как отслеживать с помощью куки

Нет, вопрос был: "Какая информация хранится в cookies?"


Ответ: любая. Куки - это простой текстовый файл. Как и в любом другом текстовом файле, в куки может храниться абсолютно любой текст.

[test2235]

Ostin1,

Нет, вопрос был: "Какая информация хранится в cookies?"

Что хранится в куки помимо данных авторизации на сайте? Но ЧТО ИМЕННО хранится ДЛЯ ОТСЛЕЖИВАНИЯ, координаты движения мышкой по экрану, клики по ссылкам или что-то еще?

[test2235]

Ostin1,

Вы то поняли ответ на собственный вопрос, или ещё нет?
Если да - то что именно вам помогло, тут или гдето на другом сайте.

Да, понял, что где и как хранится. Но Stalker_RED я бы вообще удалил с форума как тролля, тупо накидал бесполезных ссылок, которые не дают ответов на вопросы, тупо вставил слова utm-метки, fingerprint и evercookie без объяснения принципа работы. Думаю, как типичный тролль, он совершенно не понимает как это работает. Это как сейчас ведут курсы люди, которые не владеют предметом.

[Монти Пайтон]

test2235, на этот вопрос невозможно дать однозначный ответ, потому что куки это просто текстовый файл, в котором разработчик может записать всё что угодно, вы же не задаёте вопрос что можно записать в Word документе, тогда почему спрашиваете тоже самое об обычном файле куки?

[Stalker_RED]

test2235, Повторите еще несколько раз про бесполезные ссылки, если вам это доставляет удовольствие.

Еще разок: вы не спрашивали про принципы работы, и не спрашивали "как сделать самодельную систему слежения бесплатно без смс". А на поставленный вопрос я уже дал ответ.
И это не форум, и не курсы. Я не нанимался рассказывать в комментариях подробности про всякие фингерпринты, и зачем это нужно вообще.

Но вы можете задать еще один вопрос, или отредактировать текущий (сюрприз!).

[Stalker_RED]

test2235,

Но ЧТО ИМЕННО хранится ДЛЯ ОТСЛЕЖИВАНИЯ, координаты движения мышкой по экрану, клики по ссылкам или что-то еще?

Еще раз:
НИЧЕГО этого не хранится ПО УМОЛЧАНИЮ. Браузер сам по себе НИЧЕГО не записывает в куки.
Но вы можете написать скрипт, который запишет туда координаты, клики, или рецепт маффинов. И я могу такой скрипт написать. И программисты из mail.ru могут.

[Монти Пайтон]

test2235,

или что-то ещё?

да, вы можете туда записать чтото ещё для слежки за пользователем, например сколько раз он нажал на кнопку...

В JavaScript есть:
document.cookie = ""

Вы эти же данные с таким же успехом можете записать и в новый localStorage или sessionStorage:

if (localStorage.clickcount) {
    localStorage.clickcount = Number(localStorage.clickcount) + 1;
} else {
    localStorage.clickcount = 1;
}
document.getElementById("result").innerHTML = "Нажали на кнопку ОК " +
localStorage.clickcount + " раз!";

[Stalker_RED]

Ostin1, test2235, еще одна бесполезная ссылка: https://habrahabr.ru/post/348196/
Дикий теорикрафт, конечно, но сам концепт клевый.

Answer 2

[Монти Пайтон]

Но что именно хранится для отслеживания, координаты движения мышкой по экрану

4 КБ ограничение размера файла куки, координаты движения мышкой там особо не похранишь, но теоретически там могут располагаться любые "микроданные"

сейчас, наравне с куки, используют LocalStorage, и там места уже побольше чем в куки - 5 MБ

Comments

[test2235]

А что именно там хранится обычно? Просто не пойму нафига это вообще нужно? Залез в настройки firefox - там логины и пароли вообще отдельно, не в куки, тогда куки для чего. Но из LocalStorage же данные не отправляются на сервер, зачем тогда его придумали, если есть просто кеш?

[Монти Пайтон]

test2235, когда веб-сервер отправил страницу в браузер, то всё, соединение закрывается, и сервер забывает абсолютно всё о юзере. Он в состоянии конечно сохранить куда-то IP пользователя попытаться, или другие данные о браузере, версии операционной системы пользователя, фингерпринт какойто, и так далее, но это не будут точные данные на 100%

Куки изобрели чтобы решить эту проблему, теперь информацию о пользователе можно хранить у самого пользователя на компьютере или в его телефоне.

А что именно там хранится обычно?

Когда пользователь посещает сайт, то его имя можно сохранить в куки:
user = Валерий
и в следующий раз при посещении сервер может написать только вам, с учётом собственных настроек города (city=Tokyo) "Привет! Валерий, сегодня будет пасмурно, возьми зонт если собираешься на улицу".

Каждый раз, когда браузер запрашивает страницу с сервера - куки прикладываются к запросу. Таким образом, сервер сразу получает необходимые ему данные о вас, это заставляет сервер служить именно ему (пожелавшему пользователю), а не всем подряд, заходил-ли пользователь уже на сайт - поприветствовать его, или предложить зарегистрироваться (если куки не было от него получено). Другой вариант, это когда какие-то настройки пользователь уже сделал под себя на сайте, какие ему удобно, например он мог изменить фон на тёмный, о настройках сайта, что тоже можно сохранить в куки:

user = Валерий;
city = Tokyo;
background = black

Залез в настройки firefox - там логины и пароли вообще отдельно, не в куки, тогда куки для чего?

логин и пароль в куки лучше не хранить, так как при соединении через http их можно считать, лучше вообще никаких данных не хранить в куки в открытом виде, более подходяще кодировать их, чтобы в них была какаято абракадабра которая понятна только серверу

Но из LocalStorage же данные не отправляются на сервер, зачем тогда его придумали, если есть просто кеш?

до того как появился HTML5, данные сайта о пользователе хранились только в куки, и отправлялись при каждом запросе. LocalStorage хранит данные для того чтобы хранить Save к онлайн игре в которую он играл на сайте, или прогресс видеоплеера когда смотрел кино, чтобы не хранить всё это в куки, например сейв к игре может занимать несколько мегабайт что не уместится в обычное куки где всего 4 КБ. А кэш нужен для того чтобы повторно не получать файлы которые уже были загружены, если не изменились на сервере c последнего раза когда пользователь посещал сайт - то не загружать их.

[Монти Пайтон]

test2235, у LocalStorage есть целый интерфейс, при помощи которого Storage можно управлять, например удалять данные оттуда при помощи JavaScript, стереть старый Save Game онлайн игры -
оставив только новые. А управлять кэшем так не получится, у него нет такого интерфейса к которому можно обращаться.

[Монти Пайтон]

test2235, у LocalStorage есть ещё плюс, если в нём место будет заканчиваться, то вы получите:
QUOTA_EXCEEDED_ERR для принятия решения скриптом что делать дальше в таком случае.
а в кэш такого не произойдёт, сами знаете куда данные или сейвы могут деться. Правильно! Затереться другими файлами %) и поверх ценных сэйвов.

[Монти Пайтон]

test2235, если вам интересно, и вы хотите поучиться дальше, то есть ещё одна маленькая новая вещь о которой я не сказал: sessionStorage
она как и LocalStorage но только для одной сессии, если вы вкладку закроете, то всё, данные сразуже автоматически оттуда безвозвратно удалятся когда вы нажмёте на крестик

[test2235]

Ostin1 так я сам вообще пароли нигде не храню, браузер автоматически где-то их сохраняет. Например, в mozilla хранятся в файлах key3.db и logins.json .
Но я тогда не пойму, если они не будут храниться в куки, как тогда сервер авторизует пользователя автоматически?
https://support.mozilla.org/ru/kb/profili-gde-fire...

И ещё насчёт LocalStorage не понял, если прогресс видеоплеера будет храниться на компьютере в LocalStorage не в куки, как тогда сервер узнает, откуда начинать воспроизведение? Ведь LocalStorage не отправляет данные на сервер как куки?

[Монти Пайтон]

Но я тогда не пойму, если они не будут храниться в куки, как тогда сервер авторизует пользователя автоматически?

сервер вроде записывает в куки пользователя "абракадабру" вида "ghkjdhfkjdshf3w34bhkfddfsdfhsdfhdshfjkdsfsdkfjhsdkfjdskf" которая сгенерирована на комбинации логина/пароля + соль или как пожелает разработчик, и благодаря этому он (веб-сервер) понимает что вы это вы, а не ктото другой. Когда куки передаётся в интернет при каждом запросе к серверу через незащищённое соединение, то злоумышленник может перехватить это, сделать копию, и покласть это в папку с браузером где обычно хранятся куки, чтобы выдать себя за того чьи куки были фактически украдены, скомпрометировать, поэтому лучше пользоваться только https. Изза этого куки не люблю. Перехватив куки злоумышленник так и не узнает вашего логина и пароля, но сможет авторизироваться от вашего имени ими.

если прогресс видеоплеера будет храниться на компьютере в LocalStorage не в куки, как тогда сервер узнает, откуда начинать воспроизведение?

при помощи JS, скрипт сделает запрос в LocalStorage оттуда получает данные прогресса, и меняет URL на вида:
video=3m54s на конце
дописывая в конце минуты и секунды с которых надо начинать, или как либо ещё как задумал разработчик указывать временной диапазон.

вроде ничего сложного

[Монти Пайтон]

https://ru.stackoverflow.com/questions/136860/Изме... вот кстати инструкция, как изменить URL в браузере, не перезагружая страницу даже, благодаря History API (дальше не вникаю, это забирает время, и не тема вопроса)
P.S. но всё вышеперечисленное актуально только для HTML5, а в HTML 4.01 такого не было. Может имеются способы намного проще, всё быстро меняется, развивается, если есть то поправьте меня. По поводу <video> может уже существует вообще какието нативные возможности для этого

[Монти Пайтон]

test2235,

И ещё насчёт LocalStorage не понял, если прогресс видеоплеера будет храниться на компьютере в LocalStorage не в куки, как тогда сервер узнает, откуда начинать воспроизведение? Ведь LocalStorage не отправляет данные на сервер как куки?

с запросом, через AJAX Достать данные из LocalStorage и отправить их на сервер возможно? поднял этот вопрос, два человека (Алексей Ярков, и некто Окулист) сказали что можно

[Stalker_RED]

Ostin1,

сервер вроде записывает в куки пользователя "абракадабру" вида "ghkjdhfkjdshf3w34bhkfddfsdfhsdfhdshfjkdsfsdkfjhsdkfjdskf" которая сгенерирована на комбинации логина/пароля + соль или как пожелает разработчик

Конечно, некоторые разработчики могут так сделать, но обычно в куки пишут только случайный session id. Более новая тема - jwt но это сравнительно новая технология, и еще не так широко распространена.

test2235,

если прогресс видеоплеера будет храниться на компьютере в LocalStorage не в куки, как тогда сервер узнает, откуда начинать воспроизведение?

Заголовок range или параметр в URL
https://youtu.be/urglg3WimHA?list=RDhEcjgJSqSRU&t=45 (воспроизведение с сорок пятой секунды)