Yeni bir web uygulaması oluşturmaya yeni başladım. Dokümantasyonda kullanıcıların çerezleri devre dışı bıraktığı duruma hazırlanmam gerektiği yazıyor. Bu durumu ilk kez okumuyorum. Birisi bana kullanıcıların tarayıcılarında çerezleri neden devre dışı bırakmak istediklerini açıklayabilir mi?
Kullanıcılar neden çerezleri devre dışı bırakmak istiyor?
- Konbuyu başlatan Mandıra Filozofu
- Başlangıç tarihi
Çözüm
Çerezler tarihsel olarak çok sayıda güvenlik ve gizlilik endişesinin kaynağı olmuştur.
Örneğin, izleme çerezleri hangi web sitelerini ziyaret ettiğinizi ve bu sitelerde hangi etkinlikleri yaptığınızı belirlemek için kullanılabilir:
Diğer bir sorun da, güvenli olmayan (yani HTTPS olmayan) oturumları ele geçirmek için kullanılabilen çerez çalmadır. Bir sayfa, bir istismar (örn. XSS) kullanarak başka bir sitenin çerezlerini kendisine geri göndererek bir saldırganın oturum kimliğinizi çalmasına olanak tanıyabilir. Çerezlerin kapatılması bunu engeller.
Bu sorunlardan dolayı kullanıcılar, gizlilik ve güvenliği artırmak için sıklıkla çerezleri devre dışı bırakır veya belirli sitelerde çerezleri engeller.
Örneğin, izleme çerezleri hangi web sitelerini ziyaret ettiğinizi ve bu sitelerde hangi etkinlikleri yaptığınızı belirlemek için kullanılabilir:
- iframeA Sitesi , bir izleme hizmetine işaret eden gizli bir site içerir .
- Takip hizmeti sizi tanımlayan bir çerez yayınlar ve ziyaretinizi günlüğe kaydeder.
- B Sitesi aynı gizli iframe.
- Takip hizmeti çerezinizi tanır ve bu ziyaretleri de günlüğe kaydeder.
- A Sitesi ve B Sitesi, kullanıcılarının başka hangi siteleri ziyaret ettiği hakkında bilgi almak için izleyiciye ödeme yapar.
Diğer bir sorun da, güvenli olmayan (yani HTTPS olmayan) oturumları ele geçirmek için kullanılabilen çerez çalmadır. Bir sayfa, bir istismar (örn. XSS) kullanarak başka bir sitenin çerezlerini kendisine geri göndererek bir saldırganın oturum kimliğinizi çalmasına olanak tanıyabilir. Çerezlerin kapatılması bunu engeller.
Bu sorunlardan dolayı kullanıcılar, gizlilik ve güvenliği artırmak için sıklıkla çerezleri devre dışı bırakır veya belirli sitelerde çerezleri engeller.
En yaygın neden, bunu kazara yapmış olmaları ve bunu yaptıklarına dair hiçbir fikirleri olmamasıdır (aşağıdaki 4. paragrafa bakınız).
İkinci en yaygın neden mahremiyettir (paranoya?). Bazı insanlar ne pahasına olursa olsun takip karşıtıdır. Bu durumda çerezlerin ne olduğunu gerçekten anlamadıklarını görüyorum. Büyük ihtimalle "izlemenin kötü" olduğunu düşünüp bunları kapatıyorlar - örneğin oturum çerezleri, 1./3. taraf çerezleri vb. arasındaki farkın ne olduğu hakkında hiçbir fikirleri olmadan.
Ancak daha da önemlisi, bir kullanıcının son derece basit web siteleri dışında herhangi bir sitedeki çerezleri devre dışı bıraktığı durumu açıklamanın gerçekçi olduğuna inanmıyorum. Statik içeriğe giden bağlantıları takip etmek dışında kullanıcı etkileşiminin çok az olduğu temel bir web sitesi dışında herhangi bir yerde çerezlerin (veya URL tabanlı eşdeğerinin) kullanılmasından kaçınmak mümkün değildir. Oturum açma bilgilerini ve alışveriş sepetlerini unutabilirsiniz, çünkü bunları oluşturmak için en azından bir oturuma veya bir çereze ihtiyacınız vardır (ve oturum takibi bir çerez veya URL eşdeğeri gerektirir).
12 yıllık bir web sitesi geliştiricisi olarak, şimdiye kadar karşılaştığım ve çerezleri devre dışı bırakan tek kişi bunu yanlışlıkla yaptı. HİÇBİR istisna dışında , bunun nedeni Internet Explorer'ın ayarlar ekranına girmiş olmaları ve güvenlik/gizlilik kaydırıcısını "Yüksek"e çıkarmanın "Orta"dan daha iyi olacağını düşünmeleridir. Her durumda, ne gibi bir etkiye sahip olduğunu ve kaç web sitesini bozduğunu belirttiğimde, onu tekrar orta seviyeye indirdiler. Çoğu zaman kullanıcı, hiçbir web sitesi çalışmadığından orijinal tarayıcısının "bozuk" olduğuna inanarak ikinci bir tarayıcı yükler. Bu nedenle, yüksek trafikli bir siteniz varsa, kullanıcılara çerezleri devre dışı bıraktıklarını (uygun bir tespit yöntemi kullanarak) söylemenin önemli olduğuna inanıyorum.
URL'ye benzersiz bir kimlik depolayarak çerezleri kullanmaktan kaçınırsınız (.NET ve diğer çerçeveler bunu yerel olarak destekler), ancak bunun yalnızca sorunu URL'ye taşıdığına inanıyorum - ve paranoyak kullanıcılar, onları açıkça izleyen bir URL tarafından ertelenebilir. . Aynı şeyi yapmak için bir homebrew yöntemi bulursanız, tüm URL kimliklerinin kullanıcıların IP adresine bağlı olduğundan emin olun. Değilse, oturumu ele geçirmek için son derece kolay bir yöntem yaratacaksınız; çünkü yalnızca bir bağlantı gönderen kullanıcı, gönderen kullanıcının oturum durumunu alacaktır.
Oturum açmayı gerektiren veya alışveriş sepeti işlevine sahip büyük web sitelerinin büyük çoğunluğunun çalışması için çerezler gerekir ve bu sorunu çözmeye çalışmanın mantıklı olduğunu düşünmüyorum. Muhtemelen çerezleri devre dışı bırakan kullanıcıların %1'lik küçük bir kısmından bahsediyorsunuz. WebTrends gibi otomatik sistemlerden üretilen istatistikleri göz ardı edin; çünkü bunlar, çerezleri desteklemeyen (ve desteklemeye ihtiyacı olmayan) web tarayıcıları ve botlar gibi şeyleri içerecektir; çünkü bu, çerezleri devre dışı bırakan kullanıcı sayısına ilişkin yanlış yüksek bir okuma verecektir. kurabiye. Çerezleri devre dışı bırakan ve aslında hala web sitelerinin çalışmasını bekleyen 10 kullanıcıdan 1'i yerine kesinlikle 5000'de 1'den bahsediyorsunuz
İkinci en yaygın neden mahremiyettir (paranoya?). Bazı insanlar ne pahasına olursa olsun takip karşıtıdır. Bu durumda çerezlerin ne olduğunu gerçekten anlamadıklarını görüyorum. Büyük ihtimalle "izlemenin kötü" olduğunu düşünüp bunları kapatıyorlar - örneğin oturum çerezleri, 1./3. taraf çerezleri vb. arasındaki farkın ne olduğu hakkında hiçbir fikirleri olmadan.
Ancak daha da önemlisi, bir kullanıcının son derece basit web siteleri dışında herhangi bir sitedeki çerezleri devre dışı bıraktığı durumu açıklamanın gerçekçi olduğuna inanmıyorum. Statik içeriğe giden bağlantıları takip etmek dışında kullanıcı etkileşiminin çok az olduğu temel bir web sitesi dışında herhangi bir yerde çerezlerin (veya URL tabanlı eşdeğerinin) kullanılmasından kaçınmak mümkün değildir. Oturum açma bilgilerini ve alışveriş sepetlerini unutabilirsiniz, çünkü bunları oluşturmak için en azından bir oturuma veya bir çereze ihtiyacınız vardır (ve oturum takibi bir çerez veya URL eşdeğeri gerektirir).
12 yıllık bir web sitesi geliştiricisi olarak, şimdiye kadar karşılaştığım ve çerezleri devre dışı bırakan tek kişi bunu yanlışlıkla yaptı. HİÇBİR istisna dışında , bunun nedeni Internet Explorer'ın ayarlar ekranına girmiş olmaları ve güvenlik/gizlilik kaydırıcısını "Yüksek"e çıkarmanın "Orta"dan daha iyi olacağını düşünmeleridir. Her durumda, ne gibi bir etkiye sahip olduğunu ve kaç web sitesini bozduğunu belirttiğimde, onu tekrar orta seviyeye indirdiler. Çoğu zaman kullanıcı, hiçbir web sitesi çalışmadığından orijinal tarayıcısının "bozuk" olduğuna inanarak ikinci bir tarayıcı yükler. Bu nedenle, yüksek trafikli bir siteniz varsa, kullanıcılara çerezleri devre dışı bıraktıklarını (uygun bir tespit yöntemi kullanarak) söylemenin önemli olduğuna inanıyorum.
URL'ye benzersiz bir kimlik depolayarak çerezleri kullanmaktan kaçınırsınız (.NET ve diğer çerçeveler bunu yerel olarak destekler), ancak bunun yalnızca sorunu URL'ye taşıdığına inanıyorum - ve paranoyak kullanıcılar, onları açıkça izleyen bir URL tarafından ertelenebilir. . Aynı şeyi yapmak için bir homebrew yöntemi bulursanız, tüm URL kimliklerinin kullanıcıların IP adresine bağlı olduğundan emin olun. Değilse, oturumu ele geçirmek için son derece kolay bir yöntem yaratacaksınız; çünkü yalnızca bir bağlantı gönderen kullanıcı, gönderen kullanıcının oturum durumunu alacaktır.
Oturum açmayı gerektiren veya alışveriş sepeti işlevine sahip büyük web sitelerinin büyük çoğunluğunun çalışması için çerezler gerekir ve bu sorunu çözmeye çalışmanın mantıklı olduğunu düşünmüyorum. Muhtemelen çerezleri devre dışı bırakan kullanıcıların %1'lik küçük bir kısmından bahsediyorsunuz. WebTrends gibi otomatik sistemlerden üretilen istatistikleri göz ardı edin; çünkü bunlar, çerezleri desteklemeyen (ve desteklemeye ihtiyacı olmayan) web tarayıcıları ve botlar gibi şeyleri içerecektir; çünkü bu, çerezleri devre dışı bırakan kullanıcı sayısına ilişkin yanlış yüksek bir okuma verecektir. kurabiye. Çerezleri devre dışı bırakan ve aslında hala web sitelerinin çalışmasını bekleyen 10 kullanıcıdan 1'i yerine kesinlikle 5000'de 1'den bahsediyorsunuz