Cookie HTTP

Un cookie ([ ˈkʊki ] ; anglais "biscuit") est une information textuelle qui peut être stockée dans le navigateur de l'appareil final du spectateur (ordinateur, ordinateur portable, smartphone, tablette, etc.) pour un site Web visité ( serveur Web , serveur). Le cookie est soit envoyé du serveur Web au navigateur, soit généré par un script ( JavaScript ) dans le navigateur. Lorsque vous visitez à nouveau ce site ultérieurement, le serveur Web peut lire ces informations de cookie directement à partir du serveur ou transmettre les informations de cookie au serveur via un script sur le site Web. La tâche de ce cookie est, par exemple, d'identifier l'internaute ( session ID), en enregistrant une connexion à une application Web telle que Wikipédia, Facebook, etc. ou en enregistrant un panier d'achat chez un détaillant en ligne . Une application fréquente est le suivi Web des utilisateurs ^[1] avec des pages spécialement préparées. Le terme cookie est également utilisé dans la protection des données comme synonyme d'extraction de données, de stockage de données, d'utilisation de données, d'exploitation de données, de transfert de données et d'utilisation abusive de données, qu'un cookie physique soit effectivement utilisé ou que d'autres techniques soient utilisées.

Construction

Un cookie est composé d'un nom et d'une valeur. Lors de la définition d'un cookie, un ou plusieurs attributs supplémentaires peuvent ou doivent être spécifiés.

"Set-Cookie:"name"="value *( ";" attribut)
"Cookie :"nom "=" valeur *( ";"nom "=" valeur)

Nameet Wertsont des séquences de caractères US-ASCII imprimables, à l'exclusion de certains caractères. La syntaxe de Nameutilise un jeu de caractères restreint comme celui utilisé pour les autres en-têtes HTTP dans la RFC 2616 . ^[2] For Wertexclut le point- virgule , la virgule , l'espace et la barre oblique inverse . Pour stocker des données en tant que valeur de cookie, un codage tel que Base64 ou un codage URL peut être %xxutilisé.

L' HttpOnlyattribut est destiné à empêcher l'accès aux cookies utilisant JavaScript. Les cookies qui HttpOnlyont l'attribut ne sont pas accessibles via JavaScript. Cela représente une protection possible contre le cross-site scripting , à condition que le navigateur utilisé supporte cet attribut.

spécification

Selon RFC 6265 , un navigateur doit prendre en charge les tailles minimales suivantes :

Un cookie doit contenir au moins 4096 octets.
Au moins 50 cookies doivent être stockés par domaine.
Au total, au moins 3000 cookies doivent pouvoir être stockés.

Les tailles minimales doivent être garanties par tous les navigateurs et serveurs participants. Cependant, la spécification autorise des cookies plus grands ou un plus grand nombre de cookies.

Fonctionnalité

Un site Web peut transmettre, attribuer et évaluer des cookies de deux manières :

Transmission dans les en-têtes (the header ) des requêtes et des réponses via HTTP . Les cookies dans le client sont créés lorsqu'une ligne de cookie est transmise en plus d'autres en-têtes HTTP dans la réponse du serveur lorsqu'il accède à un serveur Web (voir Structure ).
De plus, un cookie peut être généré localement par JavaScript ou d'autres langages de script. Le script se trouve dans la page Web envoyée par le serveur.

Les cookies locaux du même domaine - pas d'autres sites Web - peuvent être lus, utilisés et modifiés. Par exemple, JavaScript peut être utilisé pour incorporer des informations sur les activités des utilisateurs locaux qui se sont produites dans la session sans autre contact avec le serveur. La prochaine fois que vous contacterez le site Web, ils y seront également transférés dans les en-têtes HTTP.

Les informations sur les cookies sont stockées localement dans le navigateur, généralement dans une base de données de cookies . Lors d'autres accès ultérieurs au serveur Web, le navigateur client recherche tous les cookies de ce domaine qui correspondent au serveur Web et au chemin de répertoire de l'appel en cours. Ces données de cookie sont également transmises dans l'en-tête de l'accès HTTP, de sorte que les cookies ne peuvent remonter que vers le serveur Web d'où ils proviennent à l'origine.

Un cookie peut contenir n'importe quel texte, donc en plus de l'identification pure, il peut également enregistrer localement n'importe quel paramètre, mais sa longueur ne doit pas dépasser 4 kilo-octets (4*1024 octets ) afin de rester compatible avec tous les navigateurs. Les cookies sont transmis avec chaque fichier transmis, y compris les fichiers image ou tout autre type de fichier ; c'est notamment le cas des éléments embarqués tels que des bannières publicitaires qui sont intégrés par des serveurs autres que l'origine d'un fichier HTML affiché. Un seul site Web peut entraîner la création et le renvoi de plusieurs cookies provenant de différents serveurs.

Les cookies sont gérés exclusivement par le client. Le client décide ainsi si, par exemple, un cookie doit être enregistré ou supprimé à nouveau après la durée de vie souhaitée par le serveur Web. Cependant, les informations correspondantes peuvent également être stockées sur le serveur, par exemple pour générer des statistiques sur le nombre de visites sur les sites Web.

Exemple

Scénario : un site Web propose une fonction de recherche capable de mémoriser le dernier terme de recherche saisi, même si l'utilisateur quitte le navigateur entre-temps. Ce terme de recherche ne peut pas être stocké sur le serveur car le serveur devrait identifier de manière unique le visiteur, ce qui n'est pas possible avec HTTP pur. Par conséquent, le dernier terme de recherche saisi doit être enregistré par le navigateur du visiteur (dans un cookie).

Lorsque le visiteur appelle la fonction de recherche pour la première fois (ici avec le terme de recherche "structure de cookie"), il envoie la requête suivante au serveur :

GET /cgi/suche.py?q=cookie+composition HTTP/1.0

Le serveur répond avec le résultat de la recherche et demande au navigateur de se souvenir du dernier terme de recherche en utilisant le champ "Set-Cookie":

HTTP/1.0 200 OK
 Définir le cookie : dernière recherche=Y29va2llIGF1ZmJhdQ== ;
             expire=Mar, 29-Mar-2014 19:30:42 GMT ;
             Âge maximum=2592000 ;
             Chemin=/cgi/search.py

(Généralement, toutes les parties du cookie sont sur une seule ligne. Pour une meilleure lisibilité, cependant, il n'y a qu'un seul attribut par ligne.)

Le cookie a les composants suivants :

Données utilisateur (dernière recherche) : les données utilisateur pouvant contenir des caractères non autorisés (espaces dans la "structure des cookies"), le serveur les renvoie ici encodés avec Base64 .
Date d'expiration (expire) : Le cookie n'est envoyé que dans les demandes effectuées avant le 29 mars 2014.
Âge maximum (Max-Age) : Le cookie ne sera envoyé que dans les 30 jours suivants, pas plus tard.
Partie du site Web (chemin) : le cookie est uniquement envoyé au moteur de recherche ( /cgi/suche.py) car toutes les autres parties du site Web n'ont pas besoin de ces informations.

applications

HTTP est un protocole sans état, de sorte que les pages vues sont indépendantes les unes des autres pour le serveur Web. Une application Web qui interagit avec l'utilisateur sur plusieurs pages vues doit travailler avec des astuces pour pouvoir identifier le participant à travers plusieurs accès. À cette fin, un identifiant de session unique peut être stocké dans un cookie par le serveur afin de reconnaître exactement ce client lors d'appels ultérieurs. Pour des raisons de sécurité, les services bancaires électroniques ont tendance à utiliser un jeton unique par page vue.

Les boutiques en ligne peuvent utiliser des cookies pour collecter des marchandises dans des paniers virtuels. Le client peut l'utiliser pour placer des articles dans le panier et poursuivre sa navigation sur le site afin d'acheter ensuite les articles ensemble. L'identification du panier ou de la session de l'utilisateur est stockée dans le cookie, les identifiants d'article sont attribués à ce panier ou à la session de l'utilisateur sur le serveur Web. Ces informations ne sont évaluées côté serveur que lorsque la commande est passée.

Les cookies peuvent être utilisés pour le stockage temporaire afin que les actions et les entrées de l'utilisateur destinées au serveur ne soient pas perdues dans les applications Web si la connexion au serveur est perdue (par exemple dans les réseaux de téléphonie mobile ). Lorsque la connexion est rétablie, ils sont interrogés par le serveur. L'application Web reconnaît l'ordre dans lequel les cookies ont été générés et marque les cookies qui ont déjà été traités ou supprime leur contenu. Étant donné que cette utilisation peut entraîner la création de nombreux cookies qui ne sont supprimés qu'au plus tôt à la fermeture du navigateur, mais que l'espace mémoire du navigateur pour les cookies est limité, l'application Web doit prendre des précautions contre le débordement de cookies . ^[3]

sécurité et dangers

suivi

La possibilité d'une identification claire peut être utilisée à mauvais escient. Les cookies sont utilisés, entre autres, pour créer des profils d'utilisateurs sur le comportement de navigation d'un utilisateur. Par exemple, une boutique en ligne peut lier ces données au nom du client et envoyer des e-mails publicitaires ciblés .

Cependant, la boutique en ligne ne peut suivre le comportement de navigation que sur son propre site Web. Afin d'obtenir des informations sur le comportement de navigation de ses clients, la boutique en ligne doit faire appel à un tiers, un fournisseur de suivi. Le fournisseur de suivi propose à la boutique en ligne ainsi qu'à d'autres composants de suivi de boutiques en ligne qu'ils intègrent dans leurs sites Web. Il s'agit de scripts, de scripts liés ou de composants liés (sites Web, images, bannières, pixels de suivi , polices) qui sont chargés lors de l'accès à la boutique en ligne et génèrent des demandes de serveur au fournisseur de suivi, qui à son tour place des cookies avec les informations reçues dans le navigateur. Ces cookies créés par des tiers sont appelés cookies tiers(Anglais pour les cookies tiers). Si ces cookies ont une finalité de suivi, ils sont également appelés « cookies de suivi ». Le fournisseur de suivi enregistre les visites des boutiques en ligne qui lui sont connectées et peut ainsi attribuer ces visites à des utilisateurs individuels. Si le fournisseur de suivi met ces informations à la disposition de la boutique en ligne, celle-ci peut en déduire les intérêts du visiteur et ajuster ("personnaliser") sa boutique en ligne en conséquence.

Il existe également des services tiers réputés qui collectent des informations de suivi pour des raisons techniques. Les cookies tiers sont utiles pour un suivi réussi, mais ne sont pas absolument nécessaires. Informations d'identité collectées via d'autres méthodes de vérification d'identité, telles que les empreintes digitales, ne nécessitent pas de cookies. Encore plus perfide, les informations à transmettre sont transmises via des paramètres avec les composants liés. Cependant, toutes les techniques de suivi ont en commun l'intégration de composants de suivi dans le code du site Web. La désactivation des cookies dans le navigateur n'empêche pas nécessairement le suivi, seules d'autres techniques sont alors utilisées. La protection la plus efficace contre le suivi consiste à accéder uniquement aux sites Web qui n'utilisent pas de techniques de suivi.

Il n'est pas rare que des sites Web populaires intègrent plusieurs collecteurs de données. Une étude de l' Université de Berkeley en 2011 a trouvé 5675 cookies lors de la navigation sur les sites TOP100 (sans connexion ni commande). Parmi ceux-ci, 4914 cookies ont été installés par des tiers, c'est-à-dire pas par le site Web consulté. Les données ont été transmises à plus de 600 serveurs. Google est le favori parmi les collecteurs de données. 97 % des sites Web populaires définissent des cookies Google. ^[4]

De plus en plus de services de suivi commencent à définir des cookies dans le contexte de première partie, car les cookies tiers peuvent être bloqués assez facilement.

Une étude empirique de l' Université de Louvain de 2014 ^[5] a montré que 44 services de suivi étaient déjà en mesure de suivre plus de 40 % du comportement de navigation, même si les cookies des sites tiers étaient bloqués et que seuls les cookies propriétaires étaient autorisés.
Un exemple est le service de suivi WebTrekk, qui utilise des alias DNS comme sous-domaine du site Web surveillé pour obtenir le statut de première partie sur des sites Web tels que heise.de, zeit.de ou zalando.de afin de définir ses cookies de suivi (2013) .
Google associe le service Analytics au suivi AdWords depuis 2017. Pour Google Analytics, le webmaster intègre le code de suivi directement dans le site Web, qui reçoit ainsi le statut de première partie et définit également les cookies pour le suivi AdWord.
Microsofts a suivi en janvier 2018 et a mis en œuvre une solution qui définit le cookie avec l'ID de clic Microsoft pour le suivi des conversations dans le contexte de première partie. L'ID de suivi Microsoft est transmis en tant que paramètre d'URL, puis écrit dans un cookie à l'aide de Javascript.
Facebook a suivi l'exemple de Google et Microsoft à l'automne 2018 après que Mozilla a annoncé qu'il rendrait plus difficile le suivi via des cookies tiers dans Firefox, à l'instar de Safari. Comme avec Microsoft, l'ID de suivi est transmis dans un paramètre d'URL, puis écrit dans un cookie propriétaire à l'aide de Javascript.

Les cookies de suivi sont également utilisés par la NSA et le GCHQ dans le cadre de la surveillance mondiale. Les services secrets surveillent les flux de données sur Internet et identifient les internautes grâce à des cookies de suivi à longue durée de vie. Les cibles sont suivies à l'aide de ces cookies et, si nécessaire, ciblées avec Foxit Acid si l'identification est stable pendant plus de deux semaines. ^[1]

Danger avec l'accès public à Internet

Dans les environnements où plusieurs utilisateurs partagent le même ordinateur, comme dans les écoles ou les cybercafés, il existe un risque qu'un cookie de session encore valide soit utilisé par le prochain utilisateur de l'ordinateur. Afin d'empêcher un étranger de poursuivre votre propre session, vous devez toujours supprimer tous les cookies avant de fermer le navigateur ou utiliser un paramètre de navigateur correspondant. ^[6]^[7]

Décision de la Cour fédérale de justice

En mai 2020, le Süddeutsche Zeitung a rendu compte d'une décision de la Cour fédérale de justice selon laquelle les utilisateurs doivent donner activement leur consentement aux cookies. Cela signifie que de nombreuses bannières de cookies actuelles ne sont pas autorisées en Allemagne. Dans leur décision, les juges du BGH ont largement suivi le raisonnement d'un arrêt de la Cour européenne de justice (CJUE) d'octobre 2019, qui a jugé que les bannières de cookies pré-remplies n'étaient pas compatibles avec le droit européen. Jusqu'à présent, de nombreux sites Web allemands se sont référés à la loi allemande sur les télémédias (TMG) après que les utilisateurs ont dû s'opposer activement au suivi des cookies. ^[8ème]

Paramètres de sécurité dans le navigateur

Les navigateurs courants permettent à l'utilisateur de définir plus ou moins comment les cookies sont traités, par ex. par exemple.:

N'acceptez pas les cookies, avec la possibilité de créer une liste blanche pour les exceptions.
Accepter les cookies du serveur de la page consultée, avec la possibilité de créer une liste noire d'exceptions.
Les cookies tiers tels que B. avec des bannières publicitaires :
- Ici, vous pouvez choisir entre Toujours autoriser , Uniquement des fournisseurs tiers visités ou Ne jamais autoriser .
Demandez aux utilisateurs pour chaque cookie :
- Ici, vous pouvez généralement choisir entre autoriser (reste), autoriser cette session (toujours accepté, mais supprimé après la fermeture du navigateur) et rejeter (ne pas accepter), l'option sélectionnée étant enregistrée.
Conserver les cookies :
- Ici, vous pouvez choisir entre jusqu'à ce qu'ils ne soient plus valides ou jusqu'à ce que le navigateur soit fermé ("cookie de session").

De plus, les navigateurs permettent des actions de gestion au cours d'une session telles que :

Afficher les données dans le cookie.
Supprimer un ou tous les cookies.
Modifier, vider ou supprimer le contenu des cookies.

L'application serveur ne peut reconnaître si un cookie a été accepté ou rejeté qu'avec d'autres requêtes HTTP, car le stockage des cookies n'est pas signalé par le client.

Compte tenu des avantages et des inconvénients des cookies, il est conseillé de configurer votre navigateur de manière à ce que les cookies persistants ne soient pas autorisés (ou uniquement sur demande) (ce qui rend plus difficile la création de profils d'utilisateurs) et que seuls les cookies de session soient automatiquement autorisés ( par exemple pour les achats sur le Web ou les mots de passe). De plus, la plupart des navigateurs offrent la possibilité d'autoriser ou de bloquer sélectivement les cookies pour certains domaines ou de les supprimer automatiquement après la navigation (comme cela se fait automatiquement avec les cookies de session). Les cookies non-serveur (par lesquels un tiers, tel qu'un partenaire publicitaire du site Web, pourrait enregistrer votre propre comportement sur plusieurs serveurs) peuvent être automatiquement rejetés.

Les navigateurs Web offrent souvent la possibilité d'ajouter des fonctionnalités via des extensions de navigateur . Avec Firefox , par exemple, il est possible avec une certaine extension de permettre aux sites web d'enregistrer des cookies ^[9]^[10] ou encore de manipuler soi-même le contenu des cookies en cliquant sur un bouton. ^[11]^[12] Cela permet de désactiver les cookies en général et de les autoriser dans des cas exceptionnels si le site Web ne fonctionne pas correctement sans cookies ou si vous utilisez un service en lignesouhaitez vous inscrire. D'autres extensions offrent un compromis entre permettre au navigateur d'effacer tous les cookies à la sortie du navigateur et ne pas les effacer en mettant uniquement sur liste blanche les cookies de domaines Internet spécifiques , mais en conservant tous les autres lors de la fermeture d'un onglet ou d'une fenêtre du navigateur ou supprimés lorsque le navigateur Web est complètement fermé. De cette manière, d'une part, un suivi indésirable et, d'autre part, la perte d'informations qui doivent être stockées en permanence peuvent être évitées.

historique du développement

Le concept a été développé à l' origine par Netscape Communications et implémenté dans Netscape Navigator , sorti en 1994 . Netscape a publié une spécification préliminaire sur son site Web. En 1995, l' IETF a commencé à travailler sur une spécification à normaliser en tant que RFC . En 1997, la spécification a été publiée en tant que RFC 2109 ; elle diffère de la spécification Netscape sur certains détails. La nouvelle spécification devrait se répandre progressivement, puisque le Netscape Navigator était compatible avec les innovations . Lorsqu'il est devenu connu que l'implémentation des cookies d' Internet Explorer était incompatible avec la nouvelle spécification, les travaux ont commencé sur une nouvelle version. Cela a été publié en 2000 en tant que RFC 2965 et utilise de nouveaux en-têtes HTTP tels que "Set-Cookie2" pour éviter les incompatibilités avec les implémentations existantes. ^[13]

Alors que l'IETF a classé la RFC 2109 comme "obsolète" (obsolète), la RFC 2965 n'a pas été largement diffusée. Opera a également pris en charge Set-Cookie2 en plus de l'ancien format, mais Mozilla Firefox ne l'a pas fait. ^[14] En 2011, la RFC 6265 a remplacé les deux RFC précédentes. La fonctionnalité la plus courante a été spécifiée dans la RFC 6265 et "Set-Cookie2" a été marqué comme obsolète. De plus, l'attribut "HttpOnly" a été spécifié, qui a été introduit par Microsoft dans Internet Explorer 6 en 2002 et adopté par certains navigateurs Web. ^[15]

Cookies de spécification Netscape

"Set-Cookie:"name"="value *(";" attribut)
"Cookie :"nom"="valeur *(";"nom"="valeur)

Name=Wertest une séquence de caractères US-ASCII imprimables sans point- virgule , virgule et espace blanc . Si l'un de ces caractères doit apparaître dans le nom ou la valeur, il doit être codé à l'aide du codage URL %xx .

Les attributs suivants sont définis dans la spécification Netscape : ^[16]

EXPIRES=dateValue(optionnel): Date d'expiration du cookie au format .Wdy, DD-Mon-YY HH:MM:SS GMT; Si aucune date d'expiration n'est spécifiée, le cookie sera supprimé à la fermeture du navigateur.
DOMAIN=domainName(optionnel): Nom de domaine pour limiter la validité du cookie à un nom de domaine spécifique. Le nom de domaine spécifié ne doit être qu'un suffixe du nom de domaine, c'est-à-dire qu'un DOMAIN=example.comcookie spécifique est valide pour example.comainsi que les domaines sous-jacents tels que foo.example.comou bar.quux.example.com. Si cet attribut n'est pas spécifié, le nom de domaine actuel est utilisé.
PATH=pathName(optionnel): Préfixe de chemin pour limiter la validité du cookie à un chemin ou préfixe de chemin spécifique. Si cet attribut n'est pas spécifié, le chemin actuel est utilisé.
SECURE(optionnel): Les cookies ne peuvent être envoyés au serveur que via une connexion sécurisée (c'est-à-dire HTTPS).

Cookies RFC2109

La différence entre la spécification RFC 2109 et celle de Netscape est que les Wertpoints-virgules, les virgules et les espaces blancs peuvent désormais également être inclus, mais ils doivent alors être placés entre guillemets. Namemais ne doit plus $commencer par un, car ceux-ci sont utilisés pour identifier les attributs des cookies dans les requêtes HTTP.

"Set-Cookie:"name"="value *(";" attribut)
"Cookie :" "$Version" "=" valeur 1*((";" | ",") Cookie)

Cookieest un cookie qui, en plus de la paire nom-valeur, peut également contenir les paires de valeurs pour le chemin et le domaineSet-Cookie spécifiés et séparés par un point-virgule :

nom " =" valeur [" ;" " Path=" chemin ] [" ;" " Domain=" domaine ]

De plus, l' attribut Expire a été remplacé par l' attribut Max-Age qui, contrairement à la valeur de l'attribut Expire , spécifie désormais la période de validité en secondes au lieu d'un point fixe dans le temps. La sémantique du domaine a été étendue. Les attributs Commentaire et Version ont été ajoutés .

"Comment" "=" value(optionnel): Commentaire pour décrire le cookie plus en détail
"Domain" "=" value(optionnel): Domaine ou partie du nom de domaine auquel le cookie s'applique. Si cet attribut n'est pas spécifié, le nom de domaine actuel sera utilisé. Cependant, si cet attribut est spécifié, la valeur doit commencer par un point ; sinon, le point est ajouté par le client.
"Max-Age" "=" value(optionnel): Délai d'expiration en secondes - 0 pour une suppression immédiate. Le client est autorisé à utiliser le cookie même après ce délai, de sorte que le serveur ne peut pas compter sur la suppression du cookie après ce délai d'expiration.
"Path" "=" value(optionnel): selon les spécifications de Netscape
"Secure"(optionnel): selon les spécifications de Netscape
"Version" "=" 1*DIGIT(nécessaire): Spécifie la spécification de gestion des cookies dans un nombre décimal (toujours 1 dans cette spécification)

Cookies RFC2965

Les cookies selon RFC 2965 diffèrent de ceux selon la spécification de Netscape et selon RFC 2109 en ce que le champ d'en-tête est nommé à la Set-Cookie2place Set-Cookie.

"Set-Cookie2:" nom "=" valeur *(";" attributs)
"Cookie :" "$Version" "=" valeur 1*((";" | ",") Cookie)

Il existe également des attributs supplémentaires :

"Comment" "=" value(optionnel): comme dans la RFC 2109
"CommentURL" "=" <"> http_URL <">(optionnel): URL sous laquelle une description de son fonctionnement peut être trouvée (spécifiée dans la RFC 2965 )
"Discard"(optionnel): Suppression inconditionnelle du cookie à la fermeture du navigateur web (précisé dans RFC 2965 , complément Expires=0, Max-Age=0).
"Domain" "=" value(optionnel): comme dans la RFC 2109
"Max-Age" "=" value(optionnel): comme dans la RFC 2109
"Path" "=" value(optionnel): selon les spécifications de Netscape
"Port" [ "=" <"> portlist <"> ](optionnel): Restreindre le port à celui actuellement utilisé ou à une liste de ports
"Secure"(optionnel): selon les spécifications de Netscape
"Version" "=" 1*DIGIT(nécessaire): Spécifie la spécification de gestion des cookies dans un nombre décimal (toujours 1 dans cette spécification)

L' exemple suivant montre une réponse de serveur RFC 2965 . Le serveur répond avec le résultat de la recherche et demande au navigateur de se souvenir du dernier terme de recherche en utilisant le champ "Set-Cookie2":

HTTP/1.0 200 OK
 Set-Cookie2 : lastSearch="structure des cookies" ;
              Âge maximum=2592000 ;
              Chemin=/cgi/search.py ;
              version="1" ;
              port=101 ;
              CommentURL="http://example.org/docs/cookies/lastsearch"

intimité

Un cookie peut être "défini" par des programmes d'application ou des parties ou extensions du système d'exploitation d'un ordinateur qui fournissent un service, par exemple lorsque le programme est démarré. Cela ne nécessite normalement pas le consentement direct de l'utilisateur. Les cookies définis peuvent ensuite être trouvés et supprimés par l'utilisateur via le navigateur ou le système d'exploitation. Les experts en sécurité vous recommandent d'utiliser consciemment les cookies. Cela inclut la possibilité de surfer sur le Websait quels cookies une page visitée souhaite installer. Très peu de sites Web rendent les cookies obligatoires (comme la page de connexion de Wikipedia). La plupart du temps, les cookies sont définis arbitrairement pour enregistrer le comportement de navigation. Empêcher cela est ennuyeux, mais garantit l'autodétermination informationnelle et la protection des données . Il n'est pas rare qu'un seul site Web commercial tente d'installer une douzaine de cookies ou plus. Pour éviter cela, vous devez désactiver l'acceptation automatique des cookies dans les paramètres du navigateur.

La valeur du cookie contient généralement une adresse mémoire via laquelle les fonctions du service sont accessibles. Les bases de données de ce type sont également appelées boîtes à cookies . Les navigateurs Web fournissent généralement une base de données de cookies , également appelée cache de cookies . Dans cette base de données, le serveur Web d'un site Web visité peut stocker des informations sous la forme de cookies HTTP et les lire lorsque vous visitez à nouveau le site.

Les cookies de Google et leur "PREFID" permettent d'identifier de manière unique le navigateur. Au cours des révélations d' Edward Snowden , on a appris que la NSA les utilisait à mauvais escient pour placer des logiciels d'espionnage ciblés sur des ordinateurs individuels et pour les surveiller automatiquement et « les exploiter à distance ». ^[17]

Depuis le 19 décembre 2009, la directive 2009/136/CE ^[18] dite « Directive Cookies » est en vigueur . Cela nécessite le consentement de l'utilisateur du site Web à l'utilisation de ses données personnelles par l'exploitant du site Web. Cependant, les pays de l'UE ont réagi différemment à cette directive. ^[19]

Le Bundestag s'est occupé du sujet. ^[20] Le projet de loi du SPD modifiant la loi sur les télémédias (17/8814), soutenu par l'opposition, a été rejeté le 18 octobre 2012. ^[21]

Des recommandations détaillées du groupe dit article 29 ^[22] ont également suivi en 2012. En 2014, il y avait encore « une incertitude en Allemagne » quant à la mise en œuvre, tandis qu'« en Espagne, les autorités de contrôle envoient déjà des avis d'amendes ». ^[23] Malgré la situation juridique confuse en 2014, des avocats spécialisés recommandent déjà un consentement exprès ( opt-in ) sous forme de pop-up pour chaque utilisateur d'un site internet. ^[24]^[25]^[26]

En Autriche, la directive a été mise en œuvre dans l'article 96 (3) de la loi sur les télécommunications (TKG). ^[27]

Avec le règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, le règlement dit e-Privacy, dont le projet a été présenté officiellement par l'UE le 10 janvier 2017, devait initialement devenir juridiquement contraignant. Il représente un complément détaillé au GDPR, notamment dans le domaine de l'application des cookies.Le projet de règlement e-Privacy est actuellement en cours d'examen au Parlement européen (à partir de septembre 2018) et devrait devenir loi applicable en mai 2019 à le plus tôt. Ce faisant, il remplacerait la directive européenne sur les cookies et créerait de nouvelles réglementations en matière d'utilisation. ^[28]

Le 1er octobre 2019, la Cour de justice européenne a statué que l'installation et la récupération de cookies par les sites Web nécessitent le consentement actif du visiteur du site Web. ^[29]

Voir également

liens web

cookiecentral.com – site complet sur les cookies
Spécification actuelle : RFC 6265 HTTP State Management Mechanism
Spécification d'origine : Cookies HTTP d'état du client persistant. Netscape Communications Archivé de l' original le 27 octobre 1996 ; récupéré le 6 avril 2014 .
Les cookies comme sujet principal sur Deutschlandfunk :
- Maximilian Schönherr : Autoriser les cookies, oui ou non ? 12 avril 2012, récupéré le 10 février 2014 .
- Maximilian Schönherr : Les fabricants de cookies : ruse des fournisseurs d'accès Internet avec les fichiers de profil de navigateur Web. 14 avril 2012, récupéré le 10 février 2014 .
- Daniel Blum : Un clic et c'est déjà clair : les données clients aident l'industrie publicitaire. 20 septembre 2012, récupéré le 10 février 2014 .
Fritz Jörn: Cookies - qu'est-ce qu'ils peuvent, qu'est-ce qu'ils ne peuvent pas ... Dans: blog a bissl. 23 septembre 2012, récupéré le 10 février 2014 .

les détails

↑ ^a ^b Cookies , Karsten Neß, Privacy Handbook, récupéré le 24 décembre 2018
↑ RFC 6265 Section 4.1.1 fait référence à la spécification du jeton dans RFC 2616 Section 2.2.
↑ Carsten Bormann : Mode panique : une bibliothèque AJAX tolérante à la déconnexion . ( souvenir du 28 septembre 2007 sur Internet Archive ) O'Reilly Emerging Technology, mars 2006
↑ Les sites Web renversent les mesures anti-cookies , Herbert Braun, heise online , 31 juillet 2011, récupéré le 24 décembre 2018
↑ The Web Never Forgets: Persistent Tracking Mechanisms in the Wild , Gunes Acar, Christian Eubank, Steven Englehardt, Marc Juarez, Arvind Narayanan, Claudia Diaz, Université de Louvain , 2014. PDF 950 Ko, récupéré le 24 décembre 2018
↑ Comment : supprimer les cookies , test.de du 17 juillet 2012, récupéré le 24 octobre 2018
↑ Effacer les cookies pour supprimer les données que les sites Web ont placées sur votre ordinateur , support.mozilla.org, consulté le 24 octobre 2018
↑ Mirjam Hauck, Max Muth : Le truc avec le crochet. Süddeutsche Zeitung du 28 mai 2020 (consulté le 29 mai 2020)
↑ Firefox ADD-ONS Bouton Cookie. Consulté le 19 janvier 2022 .
↑ Biscuit Monstre
↑ ADD-ON Cookie Quick Manager. Consulté le 19 janvier 2022 .
↑ Gestionnaire de cookies
↑ David M. Kristol, « HTTP Cookies : Standards, Privacy, and Politics », 9 mai 2001. arxiv : cs.SE/0105018 .
↑ bugzilla.mozilla.org
↑ Présentation de HttpOnly, historique et référence OWASP
↑ La section 10.1 de la RFC 2109 y fait référence.
↑ Scandale des services secrets : la NSA espionne les internautes avec les cookies de Google. Dans : Miroir en ligne . 11 décembre 2013, récupéré le 10 février 2014 .
↑ Directive 2009/136/CE (PDF)
↑ Politique relative aux cookies en Europe. Dans : Computerwoche 11 janvier 2013. Récupéré le 15 octobre 2014 .
↑ Imprimé Bundestag allemand 17/5705. (PDF) Récupéré le 12 octobre 2014 .
↑ Les résolutions du 18 octobre. Dans : Web et archives textuelles du Bundestag allemand. Consulté le 14 octobre 2014 .
↑ http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf
↑ Commission européenne sur la directive relative aux cookies. Dans : Heise Verlag Newsticker. Consulté le 14 octobre 2014 .
↑ Consentement aux cookies et protection des données. Dans : Site Web du cabinet d'avocats IT. Archivé de l' original le 23 octobre 2014 ; récupéré le 14 octobre 2014 .
↑ Michael Feike : Décision de justice : l'opt-in pour les cookies est obligatoire ! Dans : Onlinemarketing.berlin. Consulté le 3 août 2020 .
↑ Le ministère fédéral de l'Économie déclare que la directive sur les cookies a été mise en œuvre. Dans : Webportal Haufe.de. Consulté le 14 octobre 2014 .
↑ Pour les cookies, l'utilisateur doit d'abord être interrogé. La norme du 5 mars 2014 .
↑ La mise en œuvre de la directive européenne sur les cookies en Allemagne . 1und1.de/digitalguide. 20 avril 2018. Consulté le 12 septembre 2018.
↑ Cookies ? – mais seulement avec consentement ! . Rechtslupe.de. 2 octobre 2019. Consulté le 2 octobre 2019.

[PrivacyH-1] Cookies , Karsten Neß, Privacy Handbook, récupéré le 24 décembre 2018

[2] RFC 6265 Section 4.1.1 fait référence à la spécification du jeton dans RFC 2616 Section 2.2.

[3] Carsten Bormann : Mode panique : une bibliothèque AJAX tolérante à la déconnexion . ( souvenir du 28 septembre 2007 sur Internet Archive ) O'Reilly Emerging Technology, mars 2006

[4] Les sites Web renversent les mesures anti-cookies , Herbert Braun, heise online , 31 juillet 2011, récupéré le 24 décembre 2018

[5] The Web Never Forgets: Persistent Tracking Mechanisms in the Wild , Gunes Acar, Christian Eubank, Steven Englehardt, Marc Juarez, Arvind Narayanan, Claudia Diaz, Université de Louvain , 2014. PDF 950 Ko, récupéré le 24 décembre 2018

[6] Comment : supprimer les cookies , test.de du 17 juillet 2012, récupéré le 24 octobre 2018

[7] Effacer les cookies pour supprimer les données que les sites Web ont placées sur votre ordinateur , support.mozilla.org, consulté le 24 octobre 2018

[8] Mirjam Hauck, Max Muth : Le truc avec le crochet. Süddeutsche Zeitung du 28 mai 2020 (consulté le 29 mai 2020)

[9] Firefox ADD-ONS Bouton Cookie. Consulté le 19 janvier 2022 .

[10] Biscuit Monstre

[11] ADD-ON Cookie Quick Manager. Consulté le 19 janvier 2022 .

[12] Gestionnaire de cookies

[13] David M. Kristol, « HTTP Cookies : Standards, Privacy, and Politics », 9 mai 2001. arxiv : cs.SE/0105018 .

[14] ugzilla.mozilla.org

[15] Présentation de HttpOnly, historique et référence OWASP

[16] La section 10.1 de la RFC 2109 y fait référence.

[17] Scandale des services secrets : la NSA espionne les internautes avec les cookies de Google. Dans : Miroir en ligne . 11 décembre 2013, récupéré le 10 février 2014 .

[18] Directive 2009/136/CE (PDF)

[19] Politique relative aux cookies en Europe. Dans : Computerwoche 11 janvier 2013. Récupéré le 15 octobre 2014 .

[20] Imprimé Bundestag allemand 17/5705. (PDF) Récupéré le 12 octobre 2014 .

[21] Les résolutions du 18 octobre. Dans : Web et archives textuelles du Bundestag allemand. Consulté le 14 octobre 2014 .

[22] ttp://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf

[23] Commission européenne sur la directive relative aux cookies. Dans : Heise Verlag Newsticker. Consulté le 14 octobre 2014 .

[24] Consentement aux cookies et protection des données. Dans : Site Web du cabinet d'avocats IT. Archivé de l' original le 23 octobre 2014 ; récupéré le 14 octobre 2014 .

[25] Michael Feike : Décision de justice : l'opt-in pour les cookies est obligatoire ! Dans : Onlinemarketing.berlin. Consulté le 3 août 2020 .

[26] Le ministère fédéral de l'Économie déclare que la directive sur les cookies a été mise en œuvre. Dans : Webportal Haufe.de. Consulté le 14 octobre 2014 .

[27] Pour les cookies, l'utilisateur doit d'abord être interrogé. La norme du 5 mars 2014 .

[28] La mise en œuvre de la directive européenne sur les cookies en Allemagne . 1und1.de/digitalguide. 20 avril 2018. Consulté le 12 septembre 2018.

[29] Cookies ? – mais seulement avec consentement ! . Rechtslupe.de. 2 octobre 2019. Consulté le 2 octobre 2019.

[1]