Kể từ khi cuộc bỏ phiếu của E.U. diễn ra vào năm 2012 nhằm đưa ra các cảnh báo cookie bắt buộc, chúng luôn ám ảnh tâm trí người dùng.
Tuy nhiên, không phải tất cả các cookie đều giống nhau. Trên thực tế, có rất nhiều loại cookie khác nhau. Một số loại là cookie tốt, một số khác là cookie xấu. Hãy cùng xem xét kỹ hơn qua bài viết sau đây!
7 loại cookie trình duyệt phổ biến nhất
- 1. Cookie Session
- 2. Cookie của bên thứ nhất
- 3. Cookie của bên thứ ba
- 4. Cookie Secure
- 5. Cookie HTTP-Only
- 6. Cookie Flash
- 7. Cookie Zombie
1. Cookie Session
Hãy tưởng tượng bạn đang mua sắm trên Amazon. Bạn phải nhớ tất cả các mặt hàng muốn mua khi duyệt trang web. Không có các Cookie Session (cookie phiên), việc đó sẽ không thể thực hiện được.
Cách đơn giản nhất là coi cookie phiên như bộ nhớ ngắn hạn của một trang web. Chúng cho phép các trang web “nhận ra” bạn khi bạn chuyển từ trang này sang trang khác trong cùng một domain. Nếu không có cookie phiên, bạn sẽ được coi là khách truy cập mới, mỗi lần bạn nhấp vào một liên kết nội bộ mới.
Cookie phiên không thu thập bất kỳ thông tin nào về máy tính và cũng không chứa thông tin nhận dạng cá nhân nào có thể liên kết một phiên với một người dùng cụ thể.
Cookie phiên có tính chất tạm thời. Khi đóng trình duyệt, máy tính của bạn sẽ tự động xóa tất cả các cookie phiên.
2. Cookie của bên thứ nhất
Còn được gọi là cookie liên tục, cookie vĩnh viễn và cookie được lưu trữ, Cookie First-Party (cookie của bên thứ nhất) gần giống với bộ nhớ dài hạn của một trang web. Chúng giúp các trang web ghi nhớ thông tin và cài đặt của người dùng khi họ truy cập lại chúng trong tương lai.
Nếu không có các cookie này, các trang web sẽ không thể nhớ các tùy chọn như cài đặt menu, theme, lựa chọn ngôn ngữ và bookmark (dấu trang) nội bộ giữa các phiên. Với cookie của bên thứ nhất, bạn có thể thực hiện các lựa chọn nêu trên trong lần truy cập đầu tiên của mình và chúng sẽ được duy trì cho đến khi cookie hết hạn.
Hầu hết các cookie loại này hết hạn sau một hoặc hai năm. Nếu bạn không truy cập trang web trong khung thời gian kể trên, trình duyệt sẽ tự động xóa cookie. Tuy nhiên, người dùng cũng có thể loại bỏ chúng theo cách thủ công.
Cookie của bên thứ nhất cũng đóng một vai trò quan trọng trong việc xác thực người dùng. Nếu bạn đã vô hiệu hóa chúng, bạn sẽ cần nhập lại thông tin đăng nhập mỗi lần truy cập vào một trang web.
Về nhược điểm, các công ty có thể sử dụng loại cookie này để theo dõi người dùng. Không giống như cookie phiên, chúng ghi lại thông tin về thói quen duyệt web của người dùng trong toàn bộ thời gian chúng được kích hoạt.
3. Cookie của bên thứ ba
Cookie Third-Party (Cookie của bên thứ ba) là những cookie xấu. Việc loại cookie này có tiếng xấu như vậy đối với những người dùng Internet là có lý do của nó.
Đối với cookie của bên thứ nhất, domain của cookie sẽ khớp với domain của trang web mà người dùng đang truy cập. Tuy nhiên, cookie của bên thứ ba lại có nguồn gốc từ một domain khác.
Vì nó không đến từ trang web mà người dùng đang truy cập, nên cookie của bên thứ ba không cung cấp bất kỳ lợi ích nào như cookie phiên và cookie của bên thứ nhất mà bài viết vừa đề cập ở trên.
Thay vào đó, mục đích duy nhất của cookie bên thứ ba là theo dõi người dùng. Việc theo dõi có thể diễn ra dưới nhiều hình thức. Các cookie có thể tìm hiểu về lịch sử duyệt web, hành vi trực tuyến, nhân khẩu học, thói quen chi tiêu của người dùng và hơn thế nữa.
Nhờ khả năng theo dõi này mà cookie của bên thứ ba đã trở thành đối tượng yêu thích của các mạng quảng cáo, nhằm mục đích tăng doanh số và số lần người dùng truy cập trang của họ.
Ngày nay, hầu hết các trình duyệt đều cung cấp một cách đơn giản để chặn cookie của bên thứ ba. Bài viết khuyến nghị bạn nên tiến hành các bước này trên trình duyệt đang dùng để giữ an toàn khi duyệt web.
Nếu sử dụng Chrome, hãy đi tới phần More > Settings > Advanced > Privacy and Security > Content Settings > Cookies > Block Third-Party Cookies.
Với trình duyệt Mozilla Firefox, vui lòng tham khảo bài viết: Cách chặn cookie theo dõi trên Firefox để biết cách thực hiện.
4. Cookie Secure
Ba loại cookie mà bài viết đã đề cập cho đến nay là những loại phổ biến nhất. Nhưng còn một vài loại cookie khác người dùng cũng nên biết.
Đầu tiên là Cookie Secure (cookie bảo mật). Nó chỉ có thể truyền qua một kết nối được mã hóa, thường là HTTPS.
Chừng nào thuộc tính “Secure” (bảo mật) của cookie này vẫn còn phát huy tác dụng, thì người dùng sẽ không thể truyền cookie qua một kênh không được mã hóa. Nếu không có thuộc tính bảo mật như vậy, cookie sẽ được gửi bằng văn bản mà ai cũng có thể đọc được, do đó nó có thể bị chặn bởi các bên thứ ba trái phép.
Tuy nhiên, ngay cả khi yếu tố bảo mật được đảm bảo, các nhà phát triển vẫn không nên sử dụng cookie để lưu trữ thông tin nhạy cảm. Trong thực tế, thuộc tính “Secure” chỉ bảo vệ tính bảo mật của cookie. Những kẻ tấn công mạng có thể ghi đè cookie bảo mật từ một kết nối không an toàn. Điều này đặc biệt đúng nếu một trang web có cả phiên bản HTTP và HTTPS.
5. Cookie HTTP-Only
Cookie bảo mật thường cũng là Cookie HTTP-Only (cookie chỉ có HTTP). Hai thuộc tính “Secure” và “HTTP-only” hoạt động song song để giúp giảm tác động từ một cuộc tấn công cross-site scripting (XSS) tới cookie. XSS là một kỹ thuật tấn công buộc 1 trang web phải hiển thị các đoạn mã độc, sau đó các mã này sẽ được thực thi trên trình duyệt web của người dùng.
Trong một cuộc tấn công XSS, một hacker sẽ truyền mã độc vào các trang web đáng tin cậy, buộc trang web phải hiển thị các đoạn mã độc, sau đó các mã này sẽ được thực thi trên trình duyệt web của người dùng. Một trình duyệt không thể cho người dùng biết tập lệnh nào là không đáng tin cậy. Do đó, tập lệnh có thể truy cập dữ liệu của trình duyệt về trang web bị nhiễm mã độc, bao gồm cả cookie.
Một cookie bảo mật không thể được truy cập bằng các ngôn ngữ lập trình (như JavaScript), do đó nó không thể tự bảo vệ mình trước các cuộc tấn công như vậy.
6. Cookie Flash
Cookie Flash là loại siêu cookie phổ biến nhất. Một siêu cookie thực hiện nhiều chức năng giống như cookie thông thường, nhưng chúng khó tìm và xóa hơn.
Trong trường hợp của cookie Flash, các nhà phát triển sử dụng plugin Flash để ẩn cookie các công cụ quản lý cookie gốc của trình duyệt.
Cookie Flash có sẵn cho tất cả các trình duyệt (vì vậy sử dụng một trình duyệt cho tài khoản thẻ tín dụng và một trình duyệt khác để tải xuống torrent sẽ có lợi ích bảo mật không đáng kể). Cookie Flash có thể chứa 100KB dữ liệu trong khi cookie HTTP chỉ có khoảng 4KBb mà thôi.
7. Cookie Zombie
Cookie zombie được liên kết chặt chẽ với cookie Flash. Một cookie zombie có thể tự tạo lại ngay lập tức sau khi ai đó xóa nó đi. Việc tái tạo có thể thực hiện được nhờ các bản sao được lưu trữ bên ngoài thư mục cookie thông thường của trình duyệt, thường là Flash Local Shared Object hoặc HTML5 Web Storage.
Việc tái tạo dựa trên công nghệ Quantcast. Vì cookie Flash lưu trữ ID người dùng duy nhất trong thư mục lưu trữ của Adobe Flash player, nên Quantcast có thể áp dụng lại nó vào cookie HTTP mới nếu cookie cũ bị xóa.
Điều quan trọng cần ghi nhớ là không phải tất cả các cookie đều xấu. Không có chúng, web sẽ không thể hoạt động theo cách chúng ta mong đợi.
Tuy nhiên, biết cách quản lý cookie là một phần thiết yếu để giữ an toàn khi trực tuyến.
Chúc bạn thành công!
Xem thêm:
