Ta blbost pramení zejména s tvé neznalosti těch prostředků a jejich využití. Největším problémem z hlediska ochrany osobních údajů je IP adresa requestu. Třeba při použití v cílování reklamy mě jako provozovatele portálu je srdečně jedno, jestli IP adresa je proxy s tisícovkou účastníků, nebo jeden účastník. Pořád se reklama cílí lépe na tu tisícovku, než na celou zeměkouli. Stačí jen vědět, které stránky ta IP adesa navštěvuje (a to v systému výměnných reklam není problém zjistit bez nutnosti spolupráce s prohlížečem). Naopak koláčky jako takové jsou mnohem méně nebezpečné (ve stínu právě IP adresy), pokud jde o session cookies, tak tam to nebezpečí je minimální, protože se kontext udržuje pouze krátce po dobu sezení. Koláčky s expirací delší než třeba den mohou napovědět provozovateli, že se na jeho stránky vracíš a už je takřka nemožné sledovat, na které další stránky chodíš, pakliže jsou na jiné doméně. Poslední verze prohlížečů prostě koláček jiné doméně nevydají a to ani pokud ta stránka se načte v rámci (to je třeba důvod, proč login na seznam běží na login.szn.cz. Doména ukládá logovací koláčky a zároveň slouží k vydávání ticketů pro přihlášení ke službě. Kdyby to šlo jinak, tak se to tak udělá, ale jediný způsob, jak ten koláček dostat a autorizovat tak uživatele je přes redirect). Třeba mnohem nebezpečnější jsou vlastní URL requesty, které se logují a to jak na cílové službě, tak na všech proxy v cestě. Pokud se tedy session ID přenáší přes URL a jeho platnost je trochu delší (než pár minut), není problém na proxy získat tato url a tvůj účet kompromitovat, a dokonce získat informace o tom, kdo jsi, a kde bydlíš (v závislosti na typu služby). Mezi poslední nebezpečí patří jistá nepozornost uživatele při publikování odkazů. Tohle se mi stalo na Mageu, kde bylo session id v URL (ale nebylo označené jako session id, prostě nějaký hash). Při publikování odkazu na diskuzní klub se dotyčný dostal nejen do toho klubu, ale i do mého účtu a mohl tam vesele měnit nastavení.
Opravdu si myslím, že bojkot koláčků není na místě. A vůbec bych se nedivil, kdyby stránek fungující bez koláčků ubívalo. Třeba já už vůbec nevytvářím weby, které by dobře fungovaly bez koláčků. Prostě pro mne ty jako paraniok nejsi cílový zákazník.
A ostatním tvůrcům bych radil totéž. Na frikulíny s vypnutými cookies se vykašlete. Má smysl tohle řešit snad jedině v případě, že plánujete své aplikace provozovat třeba na mobilních zařízení, i když i tam je situace s koláčky velice dobrá. Pokud Vaše aplikace vyžaduje koláčky, dejte to uživateli najevo. Nekomplikujte si celý systém předáváním session id v URL. |
Registrace nového uživatele 
