Cookie
Définition
«En informatique, un cookie (aussi appelé témoin) est défini par le protocole de communication HTTP comme étant une suite d'informations envoyée par un serveur HTTP à un client HTTP, que ce dernier retourne lors de chaque interrogation du même serveur HTTP. [...] Les cookies sont de petits fichiers textes stockés par le navigateur web sur le disque dur du visiteur d'un site web et qui servent (entre autres) à enregistrer des informations sur le visiteur ou encore sur son parcours dans le site.» (wikipedia)
La nécessité des cookies
HTTP (le protocol web) est à la base un protocol "sans mémoire", c.a.d. chaque accès vers une page d'un site est considéré un act indépendant. Le serveur web classique perd donc toute information entre deux accès.
Les cookies permettent dd (re)identifier un utilisateur. La plupart des portails et des services en ligne en font donc usage. L'utilisateur n'a pas besoin de se re-identifier jusqu'à expiration du cookie (définie par le fournisseur).
Il existe des alternatives aux cookies pour rendre une session permanente comme (l) l'utilisation de formulaires cachés qui se propagent d'une page d'un site vers la suivante (2) l'encodage de l'URL qui contiendra un identificateur et (3) les protocols d'authentification HTTP. Mais ces techniques sont plus lourdes à implémenter et présentent d'autres inconvéniants. Par exemple, le "Digest Access authentification protocol" exige qu'on s'identifie à chaque fois qu'on se connecte.
Confidentialité
Les cookies peuvent présenter un problème de la protection de la sphère privée. Notamment lorsque les sites consultés déposent dans votre navigateurs des cookies fournis par des tiers:
- Vous consultez une page du site A
- Cette page inclut une image qui vient du site C spécialisée dans le suivi
- Cette image envoye au visiteur un cookie
- Lorsque vous allez sur un autre site B qui inclut la même image du même fournisseur C, votre navigateur va envoyer le cookie. Ainsi C sait que vous avez consulté A, puis B, etc.
Etant donné que certains navigateurs n'enregistrent plus des cookies qui viennent d'un site tiers, votre site A peut aussi remplacer l'image par un code javascript qui lui fait la même chose en fin de compte...
Les cookies peuvent aussi être volés grâce à une technique de "cross-site scripting". Si un site permet aux utilisateurs d'insérer du code html (par exemple dans un commenaire ou encore dans une boite à "widget"), ce code peut intercepter un cookie et l'envoyer à un site D (frauduleux).
Vos options
La plupart des navigateurs permettent quelques configurations, par exemple:
- Ne pas accepter les cookies, mais cela diminue la fonctionalité du web
- Seulement accepter des cookies de la part de la page demandé (donc pas des bannières publicitaires)
- Demander à confirmer l'acceptation de chaque cookie (assez pénible)
- Autoriser sélectivement les cookies pour certains domaines
En plus:
- Vous pouvez effacer les cookies après chaque séance.
- Vous pouvez regarder et effacer les cookies enregistrés.
Liens
- HTTP cookie, May 2009 (la version française est très incomplète)