ملفات تعريف الارتباط HTTP
ملفات تعريف الارتباط هي القيم النصية الصغيرة التي تخزنها المتصفحات وترسلها مرة أخرى مع كل طلب إلى الموقع. إنهم يدعمون جلسات تسجيل الدخول، وعربات التسوق، وتفضيلات اللغة - وعلى مدار ثلاثين عامًا، كانوا يدعمون النظام البيئي للإعلان على الويب بالكامل. الميكانيكا التقنية بسيطة. وتملأ العواقب السياسية جداول البيانات التنظيمية في ثلاث قارات.
يتم توفير نص المقالة الكامل باللغة الإنجليزية أدناه.
An HTTP cookie هو زوج اسم وقيمة يرسله الخادم إلى المتصفح برأس Set-Cookie. يقوم المتصفح بتخزينه وإرساله مرة أخرى إلى نفس الأصل عند كل طلب لاحق عبر رأس Cookie. يحتوي كل ملف تعريف ارتباط على مجال ومسار وانتهاء الصلاحية ومجموعة من العلامات. تحدد المتصفحات مساحة التخزين حسب الأصل والإجمالي - الحدود النموذجية هي 50 ملف تعريف ارتباط لكل نطاق، 4 كيلوبايت لكل منهما.
ما تفعله ملفات تعريف الارتباط
ثلاث حالات استخدام رئيسية:
- تعريف الجلسة. عند تسجيل الدخول، يمنحك الخادم معرف جلسة عشوائي مخزن في ملف تعريف الارتباط. يتضمن كل طلب لاحق ملف تعريف الارتباط، مما يسمح للخادم بالتعرف عليك دون إعادة المصادقة.
- Preferences. اختيار السمة، واختيار اللغة، ولافتات آخر ظهور. يتم تخزينها في نص عادي، ولا حاجة إلى خادم ذهابًا وإيابًا.
- Tracking. معرف فريد ثابت يتم تعيينه مبكرًا وقراءته بواسطة شبكات الإعلانات والتحليلات عبر الطلبات - وهو ما حاولت كل لوائح الخصوصية منذ عام 2018 تقييده.
ملفات تعريف الارتباط الخاصة بالطرف الأول مقابل الطرف الثالث
A ملف تعريف الارتباط للطرف الأول يتم تعيين بواسطة الموقع الذي تزوره - يقوم example.com بتعيين ملف تعريف ارتباط لـ example.com. تعمل هذه على تشغيل حالة الاستخدام الشرعية "احتفظ بتسجيل الدخول".
A ملف تعريف ارتباط الطرف الثالث يتم تعيين بواسطة نطاق مختلف يتم تضمين محتواه في الصفحة - إطار iframe للإعلان، وبكسل التتبع، وزر "أعجبني" على Facebook. عندما يزور المستخدم لاحقًا موقعًا آخر يقوم أيضًا بتضمين أداة التتبع هذه، يرسل المتصفح ملف تعريف ارتباط الطرف الثالث نفسه، مما يسمح للمتتبع بالتعرف على المستخدم عبر كلا الموقعين. هذا هو التتبع عبر المواقع الذي بنيت عليه رأسمالية المراقبة.
موت ملفات تعريف الارتباط الخاصة بالطرف الثالث
Safari هو أول متصفح رئيسي يحظر ملفات تعريف الارتباط الخاصة بالطرف الثالث افتراضيًا (ITP, 2017). تبعه Firefox في عام 2019 بحماية التتبع المحسنة. قام Chrome، وهو الرافض لأن الأعمال الإعلانية لشركة Google تعتمد عليها، بطرح قيود جزئية حتى 2024-2026، مع التخطيط لحظر كامل لملفات تعريف الارتباط للجهات الخارجية ولكن تم تأجيله بشكل متكرر. اعتبارًا من أواخر عام 2025، تحظر غالبية جلسات المتصفح في جميع أنحاء العالم ملفات تعريف الارتباط الخاصة بالجهات الخارجية بشكل افتراضي.
استجابت صناعة الإعلان بالحلول البديلة (إخفاء الهوية CNAME، ووضع العلامات من جانب الخادم، وFLoC وواجهة برمجة التطبيقات Topics، وبصمات المتصفح)، ولكن ملف تعريف ارتباط الطرف الثالث البسيط كآلية تتبع قد انتهى في الغالب.
حقول الإشارة التي Matter
- Secure - يتم إرسال ملف تعريف الارتباط فقط عبر HTTPS. إلزامي لأي ملف تعريف ارتباط للجلسة. يتم إرسال ملف تعريف الارتباط غير الآمن للجلسة في نص عادي على شبكة معادية ويمكن سرقته بشكل تافه.
- HttpOnly - ملف تعريف الارتباط غير قابل للقراءة بواسطة JavaScript عبر
document.cookie. يدافع ضد سرقة الجلسة المستندة إلى XSS. - SameSite - يتحكم في وقت إرسال ملف تعريف الارتباط عند طلبات المواقع المشتركة:
Strict: يتم إرساله فقط عند التنقل والطلبات في نفس الموقع. الأكثر أمانًا، يمكن أن يقطع بعض تدفقات الارتباط عبر المواقع.Lax: يتم إرساله عند التنقل عبر المواقع ذات المستوى الأعلى (نقرات الارتباط) ولكن ليس على XHRs عبر المواقع أو الموارد الفرعية. الافتراضي الحديث.None: يتم إرساله عند كل طلب عبر المواقع؛ يتطلب تأمين. يستخدم للتضمين الشرعي عبر المواقع (على سبيل المثال، أداة تسجيل الدخول المستضافة على CDN).
- Domain - يتحكم في النطاقات الفرعية التي تتلقى ملف تعريف الارتباط. يتم إرسال ملف تعريف الارتباط المعين بـ
Domain=example.comإلىwww.example.comوapi.example.comوما إلى ذلك. - Path - يحد ملف تعريف الارتباط من عناوين URL ضمن مسار محدد prefix.
- Max-Age / Expires — عند انتهاء صلاحية ملف تعريف الارتباط. يتم مسح ملفات تعريف الارتباط الخاصة بالجلسة (بدون انتهاء الصلاحية) عند إغلاق المتصفح. يتم إرسال ملفات تعريف الارتباط
Cookies vs localStorage vs sessionStorage
Cookies مع كل طلب HTTP إلى الأصل، وهو أمر مفيد لتحديد الهوية من جانب الخادم ولكنه يضيف الحمل لكل طلب. localStorage وsessionStorage هما JavaScript فقط - لا ينتقلان مع طلبات HTTP، كما أن حجمهما أكبر (من 5 إلى 10 ميجا بايت نموذجيًا)، ويستمران (localStorage) أو يستمران فقط لجلسة علامة التبويب (sessionStorage). بالنسبة للبيانات التي لا يحتاجها الخادم، يكون التخزين المحلي أكثر كفاءة.
تطلب طبقة الموافقة على ملفات تعريف الارتباط
GDPR (أوروبا)، وCCPA (كاليفورنيا)، وLGPD (البرازيل)، والعديد من المواقع الأخرى من المواقع الكشف عن ملفات تعريف الارتباط للتتبع والحصول على الموافقة. والنتيجة هي شعار ملفات تعريف الارتباط الذي تراه في كل صفحة في عام 2026 - عادةً ما يشير إلى "قبول الكل"، ويقدم أحيانًا عناصر تحكم دقيقة. تتيح إشارة GPC (التحكم في الخصوصية العالمية) القياسية للمستخدمين إلغاء الاشتراك برمجيًا، والمعترف بها بموجب قانون كاليفورنيا والمعتمدة من قبل Firefox/DuckDuckGo/Brave. أصبح تكريم GPC الآن قابلاً للتنفيذ قانونيًا في كاليفورنيا؛ وتتبع الولايات القضائية الأخرى ملفات تعريف الارتباط
Beyond: التتبع البديل
عندما أصبحت ملفات تعريف الارتباط منظمة، وتنوعت أجهزة التتبع: يقوم Evercookie بحشو المعرفات في أكثر من 20 موقع تخزين، بما في ذلك IndexedDB وService Workers وETags وHSTS. تقوم بصمات الأصابع ببناء معرف من مائة إشارة سلبية. تعمل العلامات من جانب الخادم على نقل المتتبع خلف CNAME للطرف الأول بحيث يبدو مثل الموقع نفسه. قد يكون ملف تعريف الارتباط في طريقه إلى الانقراض كأداة أساسية، ولكن الهدف - إعادة التعريف عبر الجلسات - قد أنتج ستة بدائل.
الأسئلة المتداولة
- هل يجب أن أحظر جميع ملفات تعريف الارتباط؟
- يؤدي حظر كافة ملفات تعريف الارتباط إلى تعطيل كل موقع يتطلب تسجيل الدخول. قم بحظر ملفات تعريف الارتباط الخاصة بالطرف الثالث (الافتراضي في المتصفحات الحديثة) واستخدم "مسح عند إغلاق المتصفح" للطرف الأول إذا كنت تريد الحد الأدنى من الاستمرارية. عادة ما يكون نهج الكتلة الشاملة مؤلمًا للغاية.
- هل تؤثر VPN على ملفات تعريف الارتباط؟
- تعمل شبكة VPN على تغيير هوية شبكتك، وليس حالة متصفحك. تظل ملفات تعريف الارتباط التي تم تخزينها في متصفحك قبل تشغيل VPN - وتستمر في تعريفك بتلك المواقع بعد اتصال VPN. للحصول على جلسة نظيفة، قم بدمج VPN مع ملف تعريف متصفح جديد أو نافذة تصفح خاصة.
- ما هو ملف تعريف الارتباط للجلسة مقابل ملف تعريف الارتباط الدائم؟
- لا يحتوي ملف تعريف ارتباط الجلسة على مجموعة لانتهاء الصلاحية/الحد الأقصى للعمر ويتم مسحه عند إغلاق المتصفح. يحتوي ملف تعريف الارتباط الدائم على تاريخ انتهاء صلاحية واضح ويظل صالحًا حتى ذلك الحين. تستخدم معظم أنظمة تسجيل الدخول ملفات تعريف الارتباط الدائمة ذات فترات انتهاء صلاحية طويلة، لذا لا يتعين عليك تسجيل الدخول في كل زيارة.
- هل يمكن أن يحتوي ملف تعريف الارتباط على فيروس؟
- لا، ملفات تعريف الارتباط هي مجرد سلاسل نصية؛ لا يمكنهم التنفيذ. ويكمن الخطر في أن ملف تعريف الارتباط قد يحتوي على معرف جلسة، والذي يمكن للمهاجم الذي يسرقه استخدامه لانتحال شخصيتك. ولهذا السبب توجد علامتا Secure وHttpOnly.
- هل ستختفي لافتة ملفات تعريف الارتباط يومًا ما؟
- في نهاية المطاف، تحل إشارات إلغاء الاشتراك الموحدة (GPC) محل الشعارات لكل موقع. يعد الحمل الحالي للشعار جزئيًا أحد الآثار الجانبية للتنظيم الذي يتطلب موافقة صريحة ولكنه لا يحدد آلية فنية واحدة للتعبير عنها. تعمل الإشارات على مستوى المتصفح على إصلاح ذلك. التبني قيد التقدم؛ سوف تتلاشى اللافتات على مدى سنوات، وليس أشهر.