Cookiesowa dyrektywa UE
Art. 173.
1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w tele- komunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w tele- komunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalo- wanym w tym urządzeniu.
2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
3. Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do infor- macji, o której mowa w ust. 1, jest konieczne do:
1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
Jak wyłączyć pliki cookie?
Drogi użytkowniku Internetu,
Wiele stron internetowych zapisuje na Twoim komputerze, a dokładniej w schowku konkretnej przeglądarki (Firefox, Internet Explorer, Chrome i inne) na Twoim koncie użytkownika komputera lub telefonu, na którym łączysz się z Siecią, tzw. pliki cookie.
Zazwyczaj pliki cookie są bardzo pożyteczne. Dzięki nim zapamiętywane są Twoje indywidualne ustawienia i dzięki nim możesz się zalogować do swojej poczty.
Autorzy stron internetowych wiedzą dzięki nim, jak wielu użytkowników do nich zagląda i co konkretnie czytają, a co obchodzą z daleka.
Informacje zbierane przy użyciu plików cookie mogą też służyć do zbierania informacji o Tobie w celach handlowych.
Np. jeżeli często wchodzisz na strony o książkach, będziesz widział więcej reklam księgarni.
Na szczęście, jeżeli uważasz, że obecność plików cookie narusza Twoją prywatność, możesz w każdej chwili je wyłączyć albo dla konkretnej witryny albo w ogóle dla wszystkich połączeń z Twojej przeglądarki.
W przeglądarce Mozilla Firefox:
W menu "Narzędzia" wybierz "Opcje" i w nich zakładkę "Prywatność".
Przeglądarka daje Ci możliwość zaznaczenia, że nie chcesz być śledzony w ogóle albo usunięcia pojedynczych ciasteczek poszczególnych witryn.
W przeglądarce Microsoft Internet Explorer:
W menu "Narzędzia" wybierz "Opcje internetowe" i w nich zakładkę "Prywatność". Specjalnym suwakiem możesz regulować ogólny poziom prywatności albo przyciskiem "Witryny" zarządzać ustawieniami poszczególnych serwisów internetowych.
W przeglądarce Google Chrome:
W menu ukrytym pod trzema poziomymi kreseczkami w prawym górnym rogu przeglądarki wybierz "Narzędzia" a potem "Wyczyść dane przeglądania...". Oprócz możliwości czyszczenia plików cookie, znajduje się tam link "Więcej informacji", który prowadzi do szczegółowego opisu funkcji prywatności przeglądarki.
W przeglądarce Opera:
Przyciskiem "Opera" w lewym górnym rogu otwórz menu i wybierz w nim "Ustawienia" i dalej "Wyczyść historię przeglądania...". Oprócz możliwości skasowania już ustawionych plików cookie, jest tam też przycisk "Zarządzaj ciasteczkami..." prowadzący do bardziej zaawansowanych opcji dla poszczególnych witryn.
W przeglądarce Apple Safari:
W menu "Safari" wybierz "Preferencje" i w nich zakładkę "Prywatność". Znajdziesz w niej liczne opcje dotyczące plików cookie.
W telefonach komórkowych, tabletach i innych urządzeniach mobilnych:
Każdy model telefonu może tę funkcję obsługiwać w inny sposób. Dlatego zachęcamy do zapoznania się z opcjami prywatności w dokumentacji na stronie internetowej producenta Twojego urządzenia mobilnego. Dziękuję za uwagę,

Ciasteczko (formalnie HTTP Cookie, w skrócie ang. cookie, tłumaczone czasem jako plik cookie) – mały fragment tekstu, który serwis internetowy wysyła do przeglądarki i który przeglądarka wysyła z powrotem przy następnych wejściach na witrynę. Używane jest głównie do utrzymywania sesji np. poprzez wygenerowanie i odesłanie tymczasowego identyfikatora po logowaniu. Może być jednak wykorzystywane szerzej poprzez zapamiętanie dowolnych danych, które można zakodować jako ciąg znaków. Dzięki temu użytkownik nie musi wpisywać tych samych informacji za każdym razem, gdy powróci na tę stronę lub przejdzie z jednej strony na inną.

Zabezpieczenia przeglądarek pozwalają na odczyt ciasteczek jedynie z domeny, na której zostały utworzone, lub domen niższego poziomu. Czyli ciasteczko ustawione na witrynie w domenie „wikipedia.org” nie zostanie wysłane do „przykład.org”, ale może zostać wysłane do „pl.wikipedia.org”. Witryna ustawiająca ciasteczko może dodatkowo określić opcje ciasteczka m.in. kiedy ono wygaśnie (np. po zamknięciu przeglądarki lub o określonej godzinie, określonego dnia), czy jest dostępne tylko poprzez zabezpieczony protokół (HTTPS) oraz czy ma być dostępne dla skryptów uruchamianych w przeglądarce (typowo JavaScript).

Mechanizm ciasteczek został wymyślony przez byłego pracownika Netscape Communications – Lou Montulliego, a ustandaryzowany w ramach RFC2109 we współpracy z Davidem M. Kristolem w 1997 roku[6]. Bieżący standard opisuje dokument RFC6265 z 2011 roku[7].



Zastosowanie

Ciasteczka różnych rodzajów są stosowane najczęściej po logowaniu do utrzymywania sesji. Mogą jednak przechowywać inne tymczasowe dane jak stan elementów na stronie, czy historię odwiedzanych poprzednio stron (na danej witrynie). Umożliwia to tworzenie spersonalizowanych serwisów WWW (np. zapamiętanie stanu menu), obsługi logowania, prostych sond i liczników, „koszyków zakupowych” w internetowych sklepach, a także tworzenie statystyk użyteczności witryny oraz badanie preferencji użytkowników.

Zastosowanie cookies do sond i liczników internetowych może wyglądać następująco – serwer ustawia ciasteczko informujące, że z danego komputera oddano już głos lub też odwiedzono daną stronę. Na tej podstawie może wykonać odpowiednie operacje i wygenerować dla użytkownika zindywidualizowaną treść strony. Schematyczny sposób wykorzystywania ciasteczek przy obsłudze licznika internetowego, wykluczającego przeładowania (zwiększanie liczby odwiedzin przy odświeżeniu strony).


Problemy w stosowaniu
Istotne przy stosowaniu ciasteczek jest to, że są to dane tymczasowe – wygasają automatycznie po pewnym czasie i w każdej chwili mogą być usunięte lub zablokowane przez użytkownika. Z tego powodu trwałe dane użytkowników muszą być przechowywane po stronie serwera. Także stosowanie ciasteczka jako „zabezpieczenie” sond i liczników należy traktować jako działanie pomocnicze – wynik takiego licznika może łatwo, nawet nieświadomie, zafałszować użytkownik, który ma trwale zablokowane ciasteczka.

Dodatkowym problemem jest to, że tak naprawdę rozpoznawana jest przeglądarka internetowa, a nie konkretny użytkownik. Z tego z kolei wynikają dwa problemy:
Dane zawarte w ciasteczkach nie są przenoszone między urządzeniami użytkownika.
Istnieje ryzyko przejęcia danych na współdzielonym komputerze (np. w wypadku logowania się w kawiarence internetowej).

Pierwszy problem można rozwiązać zapisując kopię preferencji po stronie serwera – po zalogowaniu na innym urządzeniu dane są wysyłane ponownie i ew. łączone (synchronizacja). Drugi problem częściowo rozwiązuje mechanizm wygasania ciasteczek (domyślnie po zamknięciu przeglądarki). Dodatkowo można wprowadzić wygasanie identyfikatora sesji po stronie serwera. Użytkownik może także wyczyścić wszystkie dane w przeglądarce (w paru przeglądarkach skrótem do tej opcji jest CTRL+SHIFT+DELETE).

Innym ważnym problemem związanym z bezpieczeństwem jest to, że ciasteczka nie są domyślnie szyfrowane i są za każdym razem wysyłane do serwera. Z tego powodu ciasteczka nie nadają się do bezpośredniego przesyłania danych poufnych (np. hasła). Nawet w formie zaszyfrowanej jest to ryzykowane ze względu na wielokrotne przesyłanie tej samej informacji. Stąd też typowym rozwiązaniem jest wysyłanie tymczasowego identyfikatora sesji (ważnego tylko przez określony czas). Sesję można dodatkowo zabezpieczyć przypisując identyfikator np. do konkretnego IP, które użytkownik miał w trakcie logowania lub np. grupy IP, które użytkownik określi jako bezpieczne.


Sposób działania

Mechanizm cookie został wprowadzony po to, by w bezstanowym protokole HTTP umożliwić odróżnienie osób odwiedzających dany serwis. Cookies są informacjami zapisywanymi tymczasowo na żądanie serwera lub skryptu po stronie przeglądarki użytkownika. Sam sposób zapisu danych nie jest sformalizowany i - wbrew popularnej nazwie „plik cookie” – pojedyncze ciasteczko nie jest zapisywane w jednym pliku na dysku. Dla przykładu Internet Explorer przechowuje wszystkie ciasteczka z danej witryny w jednym pliku, ale już Firefox i Chrome przechowują ją w bazie danych SQLite.

Standaryzowany jest jednak sposób przesyłania ciasteczek. Serwer WWW chcąc wysłać żądanie utworzenia ciasteczka na dysku użytkownika dołącza do nagłówka HTTP polecenie „Set-Cookie”, po którym następuje ciąg przekazywanych danych i opcji. Zapamiętane ciasteczko jest wysyłane jedynie do serwera z którego pochodzi, a który jest rozpoznawany przez przeglądarkę według nazwy domeny.

W danych po poleceniu Set-Cookie określone są:

  • nazwa i przypisana jej wartość (jedyne obowiązkowe),

  • czas ważności danego ciasteczka (po jego upłynięciu przeglądarka przestanie je wysyłać i powinna je usunąć z komputera użytkownika),

  • opcje ograniczenia widoczności ciasteczka (domena, ścieżka i poziom zabezpieczeń).


Do zapisania cookie wymagana jest jedynie jego nazwa i wartość. Niepodanie czasu ważności spowoduje wygaśnięcie ciasteczka po zamknięciu „sesji” (czyli zamknięciu przeglądarki). Ciasteczka, które wygasają po zakończonej sesji, zwane są ciasteczkami sesyjnymi. Pozostałe są „trwałe” w tym sensie, że po ponownym uruchomieniu przeglądarki są dalej dostępne. Nie ma jednak możliwości by ciasteczko nie wygasło nigdy – albo wygasają z sesją, albo wraz z przekroczeniem podanego czasu. Czas ważności może być jednak bardzo odległy – nawet paroletni. Ciasteczka nie są też w pełni trwałe dlatego, że użytkownik może je łatwo usunąć.
Składnia nagłówka HTTP

Nagłówek wysłany przez serwer ma następującą postać:
Set-Cookie: nazwa=wartość; expires=DATA; path=ŚCIEŻKA; domain=DOMENA; secure


nazwa=wartość
Wartość ta jest jedynym wymaganym atrybutem przy wysyłaniu ciasteczka. Składa się z dowolnych znaków z wyjątkiem średników, przecinków, białych spacji i slashów (/). Jeśli zajdzie potrzeba ich użycia, najczęściej koduje się je w formacie odpowiednim dla URL (%XX), gdzie XX to kod ASCII znaku (np. %2F to zakodowana postać slasha, a %20 – spacji).
expires=data
Atrybut expires informuje przeglądarkę o dacie wygaśnięcia danego ciasteczka. Gdy data ważności zostanie przekroczona, to przeglądarka nie może wysłać ciasteczka do serwera i powinna je usunąć.
Jeśli nie podano daty wygaśnięcia, to ciasteczko traci ważność z końcem sesji, czyli po zamknięciu wszystkich okien przeglądarki.
Jeśli data jest określona, to musi być podana w następującym formacie (przykład): „Tuesday, 05-Nov-2004 08:30:09 GMT”. Format ten oparty jest na RFC 822, RFC 850, RFC 1036, i RFC 1123 z drobną zmianą odnośnie separatora daty – tu występuje kreska, podana jest również strefa czasowa GMT.
domain=domena
Ten parametr określa widoczność ciasteczka, to znaczy dokąd może być ono wysłane, przy czym serwer może określić tylko swoją domenę lub domeny niższego stopnia. W momencie wywołania przez użytkownika adresu URL, przeglądarka sprawdza czy ma ważne ciasteczka dla tej domeny (i pozostałe opcje ograniczenia widoczności).
W specyfikacji Netscape’a wprowadzone jest w tym zakresie dodatkowe ograniczenie. To znaczy domena zostanie dopasowana, jeśli zawiera minimum dwie kropki, albo minimum trzy – jeśli domena główna serwera nie jest jedną z domen specjalnych, czyli: „COM”, „EDU”, „NET”, „ORG”, „GOV”, „MIL”, „INT”. Ma to zapobiegać ustawianiu ciasteczek dla domen typu „.com”, „.edu”, czy „va.us”. Może to jednak powodować nieoczekiwane rezultaty, ponieważ ustawienie dla ciasteczka domeny w formacie „domena.org” spowoduje, że ciasteczka będę widoczne tylko dla danej domeny, ale nie będą wysyłane do domen niższego rzędu, czyli np. „forum.domena.org”. Problem ten omija się ustawiając domenę „.domena.org”.
Domyślnie domain przyjmuje wartość domeny strony, z której wysłano żądanie zapisu ciasteczka.
path=ścieżka
Atrybut path jest podawany w celu ograniczenia widoczności ciasteczka do danej ścieżki dostępu do katalogu (liczy się ścieżka widoczna w URL-u pliku, a nie rzeczywiste położenie na dysku serwera). Wszystkie strony umieszczone w tym katalogu i jego podkatalogach będą mogły je wykorzystać. Należy zauważyć, że podanie parametru path w postaci „/wiki” pozwoli na odczytanie danych z ciasteczek plikom w katalogach „/wikipedia”, „/wiki/Cookie” itp.
Widoczność ciasteczka będzie niezależna od położenia pliku, jeśli podana została ścieżka „/”. Natomiast domyślnie path przyjmuje wartość ścieżki do strony, z której wysłano żądanie zapisu ciasteczka.
secure
Ten parametr nie posiada wartości. Jeśli zostanie podany, to ciasteczko będzie widoczne (wysłane) tylko wtedy gdy połączenie będzie szyfrowane (obecnie możliwe przy użyciu protokołu HTTPS).

Przed każdym wywołanie żądania HTTP do serwera, przeglądarka szuka ciasteczek, które jeszcze nie wygasły. Z tych ciasteczek wybierane są te, dla których domena, ścieżka i poziom zabezpieczenia zgadzają się z adresem URL strony. Jeśli coś zostanie znalezione, to nazwa i wartość (bez opcji) dołączane są do nagłówka żądania HTTP w postaci:
Cookie: nazwa_ciasteczka_1=wartosc_ciasteczka_1; nazwa_ciasteczka_2=wartosc_ciasteczka_2;...
Właściwości
Ciasteczka o tej samej nazwie, ale o innych ścieżkach będą nadpisywane (zarówno w sensie wartości jak i opcji).
W celu skasowania należy wysłać ciasteczko o takiej samej nazwie i czasie wygaśnięcia z minioną datą.
Możliwe jest wysyłanie kilku ciasteczek w jednym nagłówku (poprzez kilka poleceń Set-Cookie).
Istnieją limity przy zapisywaniu ciasteczek na dysku (po ich przekroczeniu przeglądarka usuwa starsze ciasteczka).
maksymalna liczba ciasteczek: 300.
maksymalna wielkość ciasteczka: 4 kilobajty.
maksymalna liczba ciasteczek z jednego serwera lub z jednej ścieżki: 20.
Gdy jest zainstalowany serwer Proxy nagłówki Set-Cookie nie powinny być przechowywane w pamięci proxy.
Jeżeli serwer Proxy dostanie odpowiedź z nagłówkiem zawierającym Set-Cookie powinien go przekazać do klienta bez względu na rodzaj odpowiedzi np. 304 (nagłówek niezmieniony) czy 200 (nagłówek inny niż zapisany w cache’u).

Szczegóły działania tego mechanizmu zależą też od konfiguracji przeglądarki. Niektóre z nich umożliwiają odmowę zapisu, inne pozwalają na ustawienie daty wygaśnięcia innej od tej deklarowanej w nagłówku HTTP. Zaawansowaną kontrolę nad zachowaniem ciasteczek posiadają m.in. Firefox i Opera.


źrudło:
http://pl.wikipedia.org/wiki/HTTP_cookie