Cookie jest porcją informacji wysyłaną przez serwer do przeglądarki, która informację tą zachowuje i na żądanie serwera udostępnia w razie potrzeby (chyba, że użytkownik zablokował przyjmowanie cookie w ustawieniach przeglądarki). Po wysłaniu przez przeglądarkę żądania pobrania strony WWW, serwer przekazuje odpowiedni dokument wraz z towarzyszącym mu cookie (jako element nagłówka HTTP). Przeglądarka zachowuje te informacje na dysku użytkownika, zaś serwer "zapomina" wszystko, czego się o dowiedział podczas połączenia. Jeżeli użytkownik ponownie odwiedzi tą samą witrynę, serwer otrzyma od przeglądarki wcześniej zapisany cookie i będzie mógł odtworzyć poprzedni stan klienta. Jeśli jednak nie ma cookies dla danej witryny, wówczas żadne cookies nie zostaną wysłane. Dla serwera jest to informacja to tym, że odwiedzamy daną stronę po raz pierwszy. W takim przypadku serwer może utworzyć unikalny identyfikator nowego użytkownika, zapisać go w swojej bazie danych i wysłać cookie do lokalnego komputera, gdzie zostanie on zapisany na dysku, w katalogu przeznaczonym na cookies. Za każdym razem gdy użytkownik odwiedza daną stronę, serwer WWW może modyfikować atrybuty zapisane w tym cookie lub dopisywać nowe. Cookies w praktyce działają w sposób niezauważalny dla użytkownika, tzn. nie jest on informowany o otrzymywanych i wysyłanych porcjach danych. Chcąc zobaczyć kiedy pojawiają się cookies, jak wyglądają oraz uzyskać nad nimi kontrolę, należy zmienić ustawienia opcji w preferencjach przeglądarki.

CO ZAWIERA COOKIE ?

Pliki cookie mogą zawierać takie informacje jak login, preferencje użytkownika, zawartość koszyka zakupów czy dane rejestracyjne użytkownika programu. Dane te mogą następnie posłużyć do tworzenia statystyk odwiedzin witryny WWW, personalizacji stron czy systemów e-commerce. W przypadku sklepów internetowych technologia cookie używana jest do zapisywania informacji o produktach włożonych do wirtualnego koszyka. Dzięki temu, że cookie przechowywane są na dysku użytkownika, po przerwaniu zakupów i wznowieniu ich np. za kilka dni, nie jest konieczne rozpoczynanie wszystkiego od początku - serwer sklepowy na początku odwiedzin odczytuje dane zawarte w cookie i na ich podstawie odtwarza zawartość koszyka. Cookie zapisywany jest na dysku w zwykłym pliku tekstowym, zaś podczas transmisji w Sieci przybiera formę kilku linijek tekstu dołączanych do nagłówka HTTP - zazwyczaj zajmuje się tym skrypt CGI. Pole nagłówka nosi nazwę Set-Cookie i może składać się z następujących atrybutów (pierwszy z nich jest wymagany, reszta zaś opcjonalna):


*Set-Cookie: Name=Value; Expires=DateTime; Path=DirPath; Domain=DomainName; Secure


* Name=Value - nazwa i wartość cookie

* Expires=DateTime - data i czas określające ważność cookie. Po tym terminie informacje związane z cookie nie będą wysyłane do serwera. Jeżeli atrybut Expires nie został podany, ważność cookie ogranicza się tylko do bieżącej sesji z przeglądarką.

* Path=DirPath - określenie ścieżki dostępu do pliku na serwerze. Jeśli adres pobieranego dokumentu zawiera się w podanej ścieżce, zostanie do niego dołączony cookie. Domyślną ścieżką jest ta prowadząca do dokumentu, z którego został wysłany cookie.

* Domain=DomainName - określenie domeny mającej prawo korzystać z cookie. Tylko serwery legitymujące się taką samą końcówką nazwy domenowej mogą pobierać dany cookie z dysku użytkownika. Istniejące ograniczenia nie pozwalają jednak podać w atrybucie Domain domeny różnej od tej, w jakiej znajduje się serwer ustanawiający cookie (np. serwer www.hackers.org nie może podać Domain=www.netscape.com). Podawana domena nie może być również zbyt ogólna i powinna zawierać przynajmniej dwa końcowe człony - np. .com.pl lub .provider.net. Jeżeli atrybut został pominięty, przeglądarka przyjmuje za wartość domyślną nazwę serwera wysyłającego cookie.

* Secure - opcjonalny atrybut uzależniający wysłanie cookie od istnienia bezpiecznego połączenia z serwerem, który wysłał żądanie. Bezpieczne połączenie (opierające się na protokole HTTPS) uniemożliwia przejęcie przez trzecią stronę informacji zawartych w cookie.

COOKIE - BEZPIECZEŃSTWO

Technologia cookies uchodzi za bezpieczną. Oznacza to, iż nie jest możliwe posłużenie się nią w celu zdobycia takich informacji o użytkowniku, jakich on sam nie zdecyduje się podać. Przesądza o tym sposób, w jaki pobierane są pliki zawierające cookie: wysyłane są one w momencie, gdy użytkownik odwiedza witrynę, która wcześniej zapisała na jego dysku porcję "ciastka". Jest to bardzo istotny szczegół: serwer NIE MOŻE zażądać dowolnego cookie; może jedynie przyjąć taki, który przedstawi mu przeglądarka. Ze względu na fakt, iż cookie nie jest programem, ale zwykłym plikiem tekstowym przechowującym informacje, NIE JEST MOŻLIWE przedsięwzięcie przez niego żadnych działań - zarażenie systemu wirusem, odczytanie adresu e-mail użytkownika, etc. Możliwe jest jednak (i często stosowane w praktyce) śledzenie poczynań użytkownika podczas jego podróży po witrynie. Dane, jakie można w ten sposób zdobyć ograniczają się do rozpoznania miejsca, z którego internauta wszedł na daną stronę oraz jakie informacje najbardziej go interesowały. Każdy, kto odwiedza przygotowane pod takim kątem strony, otrzymuje cookie o unikalnej treści, które później pozwala jednoznacznie go identyfikować i - co stanowi główny motyw takich działań - wyświetlić na jego monitorze reklamy pokrywające się z jego zainteresowaniami. Przykładami witryn w podobny sposób wykorzystujących technologię cookie są niemal wszystkie serwisy wyszukiwawcze. Użytkownicy nowszych wersji przeglądarek mogą chronić swoją prywatność zmieniając domyślne ustawienia programów. Obie ważne przeglądarki dają możliwość ustawienia ostrzeżeń przed każdym cookie lub całkowite wyłączenie tego mechanizmu.
Jak się okazuje niedoskonałość współczesnych przeglądarek może poważnie zmniejszyć bezpieczeństwo gwarantowane przez technikę cookie. Organizacja Peacefire.org odkryła i zaprezentowała sposób wykorzystania błędu w Internet Explorerze pozwalającego odczytać dowolny plik cookie z nieupoważnionej strony WWW. W celu odczytania naszego cookie pochodzącego z dowolnego serwera wystarczy wpisać w przeglądarce odpowiednio skonstruowany URL. Błąd ten ma jednak ograniczone zastosowanie w praktyce - nieuczciwy autor stron WWW aby poznać nasze cookie musiałby zgadywać, z jakich serwisów korzystamy.