И в довершение всего - “куки” из ящика Пандоры
ГлЯдЯ вперед
При обсуждении в наших недавних колонках некоторых частных онлайновых проблем отправной точкой было растущее применение в Web-узлах небольших хранилищ данных, называемых “куки”. После этого ряд читателей связались с нами по электронной почте, и их мнения заставили нас подвергнуть сомнению некоторые утверждения, высказанные в этих колонках. Читатели подняли ряд хороших вопросов, теперь нам следовало бы внести больше ясности в обсуждаемую тему.
Хотя мы и не изменили своих выводов, но должны поблагодарить этих читателей и предоставить им слово.
Нейт Кобб, Web-мастер из Join Together Online, просуммировал основные ограничения “куки”: “У сервера нет способов создать хранилище типа “куки”, содержащее личную информацию пользователя, не запрашивая у него первоначально эту информацию. Подобные данные (адрес электронной почты, пол, возраст и так далее) могут храниться либо локально на сервере, либо дистанционно в “куки”; их местоположение является спорным вопросом. Данные из “куки” недоступны с любого другого Web-узла”.
Нейт прав: у “куки” нет способов получить информацию о пользователе втайне от него. “Куки” просто позволяют узлу хранить информацию, которая может оказаться полезной во время следующего вашего обращения. Например, узел может хранить универсальные указатели ресурса (URL) просмотренных вами страниц. Во время следующего вашего визита узел может использовать эти данные, чтобы показать вам новые страницы. Данные из “куки” содержат признак с именем хранящего их узла, так что никакой другой узел не может получить эти данные.
Узлы могут в ограниченной степени изучать вашу вычислительную систему: главным образом выяснять путем опроса вашей программы просмотра, с какой операционной системой и программой просмотра вы работаете.
Где находятся URL
Одним из наиболее важных разделов данных о ваших начальных установках в вычислительной среде является идентификатор пользователя для электронной почты. Мы написали, что программы просмотра могут предоставлять этот идентификатор любому узлу, который его затребует.
Денни Гудмен, автор “Руководства Денни Гудмена по JavaScript”, написал нам, оспаривая это утверждение: “Ваши комментарии относительно сортировки адресов электронной почты с помощью данных из “куки” могут навести читателей на мысль, что “куки” или серверы тем или иным образом украдкой получают адреса электронной почты. Насколько я знаю, до тех пор, пока вы не зарегистрируетесь на узле и самостоятельно не дадите адрес электронной почты, не существует возможности тайком прочесть этот адрес. Хотя ранние версии программы просмотра Navigator 2.0 (2.0 и 2.01) позволяли средствами JavaScript тайно запустить форму по адресу mailTo: URL, теперь эта возможность ликвидирована (начиная с версии 2.02), и только явное нажатие кнопки Submit (запустить) может инициировать подобную транзакцию”.
Денни прав, заметив, что самые последние версии программы просмотра Navigator корпорации Netscape решают эту проблему (как будто вы нуждались еще в каких-то стимулах для переписывания дополнительного ПО). Мы не знаем, существуют ли какие-либо иные программы просмотра, которые сталкивались бы с такими же или похожими проблемами, но, несмотря на это, ожидаем, что такие проблемы больше не будут возникать в программах просмотра. По словам Нейта, “грубо говоря, просчеты в безопасности не являются реальным способом, который всякий может или будет использовать для сбора информации о пользователях”. Поставщики ПО стремятся быстро заделать такие “дыры”, так что существует тенденция к тому, что ими нельзя будет пользоваться долго.
Все же мы остаемся при своем мнении. Количество онлайновых данных о каждом из нас растет, и нам всем следует решить уже сейчас, сколько же данных мы хотим передавать, и действовать в соответствии с этим. Кроме того, все мы должны осознавать, что информация, которую мы даем где-то в процессе онлайнового общения, может неожиданно появиться в других местах.
Теперь, кажется, все прояснилось. Пожалуйста, свяжитесь с нами по электронной почте, если вы считаете, что мы неправы. Если мы ошибаемся, обязательно скажем вам об этом.
Марк Л. Ван Нейм, Билл Кэтчингс
С Марком Л. Ван Неймом и Биллом Кэтчингсом можно связаться по Internet по адресам: mark_van_name@zd.com и bill_catchings@zd.com.