Kể từ khi EU ban hành luật cảnh báo cookies bắt buộc từ năm 2012, có lẽ đã không ít lần ta nhận được những thông báo kiểu như trên khi truy cập đến các trang web nước ngoài. Nhưng cookies thực sự là gì?

Không phải tất cả mọi loại cookies đều giống nhau.  Và thực ra có rất nhiều loại cookies tồn tại. Một số có lợi, một số có hại. Ta cùng tìm hiểu thêm nhé.

I. Cookies phiên (Session cookies)

Thử tưởng tượng đi mua sắm online, nhưng không có tính năng xe đẩy để bỏ những món đồ bạn muốn mua vào. Bạn sẽ phải nhớ tất cả những gì bạn muốn mua cho đến khi tính tiền.

Nếu không có cookies phiên, thì viễn cảnh trên sẽ là hiện thực đấy.

Để dễ hiểu nhất thì hãy nghĩ cookies phiên như là bộ nhớ ngắn hạn của trang web. Chúng cho phép các trang web nhận ra bạn khi bạn di chuyển từ trang web này qua trang web khác trong tên miền của họ. Nếu không có cookies phiên, bạn sẽ bị coi như là một người dùng mới mỗi khi bạn nhấn vào một link web.

Chúng không thu thập bất cứ thông tin nào về máy tính của bạn, và cũng không chứa các thông tin cá nhân cụ thể nào để có thể tìm ra liên kết giữa một phiên hoạt động và một người dùng cụ thể.

Cookies phiên có tính tạm thời, khi bạn tắt trình duyệt web đi, máy bạn sẽ tự động xóa chúng.

II. Cookies bên thứ nhất (First-party cookies)

Hay còn được biết đến là cookies bền, cookies vĩnh viễn, và cookies được lưu trữ, cookies bên thứ nhất tương tự như bộ nhớ dài hạn của website. Chúng giúp các trang web nhớ được thông tin và cài đặt của bạn để sử dụng lần kế tiếp bạn truy cập trang web của họ.

Không có những cookies này, các trang web sẽ không thể nhớ được những lựa chọn ưa thích của bạn cài đặt menu, chủ đề, ngôn ngữ, các dấu trang nội bộ giữa các phiên. Với cookies bên thứ nhất, bạn có thể đưa ra những lựa chọn của mình ở lần đầu tiên truy cập trang web và chúng sẽ tồn tại đến khi cookies hết hạn.

Hầu hết cookies bền hết hạn sau 1 đến 2 năm. Nếu bạn không truy cập lại trang web trong khoảng thời gian đó, trình duyệt của bạn sẽ xóa chúng. Bạn cũng có thể tự tay xóa chúng.

Cookies bên thứ nhất cũng đóng vai trò quan trọng trong việc xác thực người dùng. Nếu bạn không sử dụng chúng, bạn sẽ cần phải nhập lại các thông tin đăng nhập mỗi lần bạn truy cập trang web.

Tuy nhiên, các công ty có thể sử dụng cookies bền để theo dõi bạn. Không như cookies phiên, chúng thu thập thông tin về thói quen lướt web trong toàn bộ thời gian hoạt động.

III. Cookies bên thứ ba (Third-party cookies)

Cookies bên thứ ba chính là những cookies có hại. Chúng là lý do mà cookies mang tiếng xấu trong cộng động những người sử dụng internet.

Quay lại cookies bên thứ nhất, tên miền của cookies sẽ khớp với tên miền của trang web bạn đang truy cập. Còn cookies bên thứ ba đến từ tên miền khác.

Chính vì nó không thuộc trang web bạn đang truy cập nên cookies bên thứ ba không đem lại bất kì lợi ích nào mà 2 loại cookies trên đem đến.

Thay vào đó, nó chỉ có 1 mục đích duy nhất – theo dõi bạn. Việc theo dõi có thể dưới nhiều dạng: cookies có thể biết được lịch sử duyệt web của bạn, hành vi online, lí lịch, thói quen chi tiêu,…

Nhờ khả năng theo dõi này, cookies bên thứ ba đã trở thành con cưng của các mạng lưới quảng cáo trong nỗ lực gia tăng doanh số và lượt xem.

Ngày nay, hầu hết trình duyệt web đều cung cấp một cách dễ dàng để chặn cookies bên thứ ba.

Nếu bạn xài Chrome hay Cốc Cốc, hãy vào More>Settings>Advanced>Privacy and Security>Content Settings>Cookies>Block third-party cookies.

IV. Cookies an toàn

3 loại cookies nói ở trên là 3 loại phổ biến nhất. Nhưng còn một số khác bạn nên lưu ý.

Đầu tiên đó là cookies an toàn. Nó chỉ có thể được truyền tải qua kết nối được mã hóa. Tức là kết nối HTTPS.

Chừng nào thuộc tính “an toàn” của cookies còn hoạt động, thì người dùng sẽ không truyền cookies qua một kênh không được mã hóa. Không có tính “an toàn” này, cookies sẽ được truyền đi dưới dạng văn bản bình thường và có thể dễ dàng xem được bởi các bên thứ ba.

Tuy nhiên thậm chí với tính an toàn này, những nhà phát triển cũng không nên dùng cookies để chứa các thông tin nhạy cảm. Trong thực tế, tính an toàn chỉ bảo vệ tính bảo mật của cookies. Một kẻ tấn công vào mạng có thể ghi đè các cookies an toàn từ một kết nối không mã hóa. Điều này đặc biệt đúng với các trang web sử dụng cả HTTP lẫn HTTPS.

V. Cookies HTTP-only

Cookies an toàn  thường cũng là cookies HTTP-only. 2 thuộc tính này hoạt động cùng nhau để giảm thiểu khả năng cookies bị tấn công bởi kĩ thuật cross-site scripting(XSS).

Trong 1 cuộc tấn công XSS, hacker sẽ bơm các đoạn mã độc vào các website đã được tin tưởng. Trình duyệt web không thể biết được các đoạn script không an toàn. Do đó, các đoạn script này dễ dàng truy cập vào dữ liệu trình duyệt của trang web bị nhiễm độc, bao gồm cả cookies.

Một cookie an toàn không thể bị truy cập bởi các ngôn ngữ script (như JavaScript), nên bảo vệ chính nó khỏi các cuộc tấn công như vậy.

VI. Flash cookie

Flash cookie là dạng phổ biến nhất của siêu cookie. Nếu bạn chưa biết thì, siêu cookie thực hiện các chức năng tương tự như một cookie thường nhưng khó tìm và xóa hơn.

Như trong trường hợp của Flash cookies, các nhà phát triển sử dụng sử dụng Flash plugin để giấu các cookies này khỏi các công cụ quản lý cookies của trình duyệt.

Flash cookies có ở trong mọi trình duyệt (cho nên dùng một trình duyệt để cho các hoạt động với thẻ tín dụng và một trình duyệt khác để tải các ứng dụng sẽ gần như không có lợi ích an toàn nào). Chúng có thể chứa tới 100KB dữ liệu so với 4KB của cookies HTTP thường.

VII. Zombie cookies

Zombie cookies cũng rất tương tự với Flash cookies. Zombie cookies có thể ngay lập tức tái tạo bản thân nếu ai đó xóa chúng. Việc tái tạo này làm được là nhờ có các dữ liệu sao lưu ở bên ngoài thư mục chưa cookies bình thường của trình duyệt – thường là dưới dạng Flash Object hay dữ liệu lưu trữ của các trang web  HTML5.

Việc tái tạo này phụ thuộc vào công nghệ Quantcast. Vì Flash cookies lưu ID người dùng trong bộ nhớ của Adobe Flash player, Quantcast có thể tái sử dụng chúng để tạo ra một cookie HTTP mới nếu cái cũ bị xóa bỏ.

Nguồn: makeuseof.com

Bài viết liên quan