ฉันควรบล็อคคุกกี้ทั้งหมดหรือไม่?

การบล็อกคุกกี้ทั้งหมดจะทำให้ทุกไซต์ที่ต้องเข้าสู่ระบบเสียหาย บล็อกคุกกี้ของบุคคลที่สาม (ค่าเริ่มต้นในเบราว์เซอร์สมัยใหม่) และใช้ "ล้างเมื่อปิดเบราว์เซอร์" สำหรับบุคคลที่หนึ่งหากคุณต้องการความคงอยู่น้อยที่สุด วิธีการบล็อกแบบครอบคลุมมักจะเจ็บปวดเกินไป

VPN ส่งผลต่อคุกกี้หรือไม่?

VPN จะเปลี่ยนข้อมูลประจำตัวเครือข่ายของคุณ ไม่ใช่สถานะเบราว์เซอร์ของคุณ คุกกี้ที่เบราว์เซอร์ของคุณเก็บไว้ก่อนเปิดใช้งาน VPN ยังคงอยู่ — และระบุตัวตนของคุณต่อไซต์เหล่านั้นต่อไปหลังจากที่ VPN เชื่อมต่อแล้ว หากต้องการเซสชันที่สะอาด ให้รวม VPN เข้ากับโปรไฟล์เบราว์เซอร์ใหม่หรือหน้าต่างการเรียกดูแบบส่วนตัว

คุกกี้เซสชันกับคุกกี้ถาวรคืออะไร

คุกกี้เซสชันไม่มีการตั้งค่า Expires/Max-Age และจะถูกล้างเมื่อเบราว์เซอร์ปิด คุกกี้ถาวรมีวันหมดอายุที่ชัดเจนและยังคงอยู่จนถึงวันนั้น ระบบเข้าสู่ระบบส่วนใหญ่ใช้คุกกี้ถาวรซึ่งมีวันหมดอายุนาน ดังนั้นคุณจึงไม่จำเป็นต้องเข้าสู่ระบบทุกครั้ง

คุกกี้สามารถมีไวรัสได้หรือไม่?

ไม่ คุกกี้เป็นเพียงสตริงข้อความ พวกเขาไม่สามารถดำเนินการได้ ความเสี่ยงก็คือคุกกี้อาจมีรหัสเซสชัน ซึ่งผู้โจมตีที่ขโมยรหัสนั้นสามารถใช้เพื่อปลอมตัวเป็นคุณได้ นั่นเป็นเหตุผลว่าทำไมจึงมีแฟล็ก Secure และ HttpOnly

แบนเนอร์คุกกี้จะหายไปไหม?

ในที่สุด เนื่องจากสัญญาณการเลือกไม่รับมาตรฐาน (GPC) จะเข้ามาแทนที่แบนเนอร์ตามไซต์ ค่าใช้จ่ายของแบนเนอร์ในปัจจุบันส่วนหนึ่งเป็นผลข้างเคียงของกฎระเบียบที่ต้องได้รับความยินยอมอย่างชัดแจ้ง แต่ไม่ได้กำหนดกลไกทางเทคนิคเพียงกลไกเดียวในการแสดง สัญญาณระดับเบราว์เซอร์แก้ไขได้ อยู่ระหว่างดำเนินการ แบนเนอร์จะจางหายไปตามหลายปี ไม่ใช่เป็นเดือน

คำอธิบายคุกกี้ HTTP: บุคคลที่หนึ่ง, บุคคลที่สาม, SameSite และการติดตามที่ช้า

คุกกี้คือค่าข้อความขนาดเล็กที่เบราว์เซอร์จัดเก็บและส่งกลับพร้อมกับทุกคำขอไปยังไซต์ พวกเขาขับเคลื่อนเซสชันการเข้าสู่ระบบ รถเข็นช็อปปิ้ง และการตั้งค่าภาษา — และเป็นเวลาสามสิบปีที่พวกเขาขับเคลื่อนระบบนิเวศการโฆษณาบนเว็บทั้งหมด กลไกทางเทคนิคนั้นเรียบง่าย ผลที่ตามมาทางการเมืองเติมเต็มใบปะหน้าด้านกฎระเบียบในสามทวีป

เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง

An HTTP cookie คือคู่ชื่อ-ค่าที่เซิร์ฟเวอร์ส่งไปยังเบราว์เซอร์ด้วยส่วนหัว Set-Cookie เบราว์เซอร์จะจัดเก็บและส่งกลับไปยังต้นทางเดียวกันทุกครั้งที่ร้องขอในภายหลังผ่านส่วนหัว Cookie คุกกี้แต่ละตัวมีโดเมน เส้นทาง การหมดอายุ และชุดแฟล็ก เบราว์เซอร์จำกัดพื้นที่เก็บข้อมูลต่อต้นทางและทั้งหมด — ขีดจำกัดโดยทั่วไปคือ 50 คุกกี้ต่อโดเมน แต่ละโดเมนขนาด 4 KB

คุกกี้อะไรทำ

กรณีการใช้งานหลักสามกรณี:

การระบุเซสชัน เมื่อคุณเข้าสู่ระบบ เซิร์ฟเวอร์จะให้ ID เซสชันแบบสุ่มที่จัดเก็บไว้ในคุกกี้ ทุกคำขอที่ตามมาจะรวมถึงคุกกี้ ทำให้เซิร์ฟเวอร์ระบุตัวคุณได้โดยไม่ต้องตรวจสอบสิทธิ์อีกครั้ง
Preferences. ตัวเลือกธีม การเลือกภาษา แบนเนอร์ที่เห็นครั้งล่าสุด จัดเก็บเป็นข้อความธรรมดา ไม่จำเป็นต้องใช้เซิร์ฟเวอร์ไปกลับ
Tracking. ตัวระบุที่ไม่ซ้ำแบบถาวรที่ตั้งค่าไว้ตั้งแต่เนิ่นๆ และอ่านโดยเครือข่ายโฆษณาและการวิเคราะห์ข้ามคำขอ ซึ่งเป็นสิ่งที่กฎระเบียบด้านความเป็นส่วนตัวทั้งหมดตั้งแต่ปี 2018 พยายามจำกัด

คุกกี้ของบุคคลที่หนึ่งเทียบกับบุคคลที่สาม

A คุกกี้บุคคลที่หนึ่ง ถูกกำหนดโดยไซต์ที่คุณเยี่ยมชม — example.com ตั้งค่าคุกกี้สำหรับ example.com สิ่งเหล่านี้ขับเคลื่อนกรณีการใช้งาน "ให้ฉันอยู่ในระบบ" อย่างถูกต้องตามกฎหมาย

A XPLZ37คุกกี้บุคคลที่สาม ถูกตั้งค่าโดยโดเมนอื่นที่มีเนื้อหาฝังอยู่ในเพจ — iframe โฆษณา, พิกเซลการติดตาม, ปุ่ม "ถูกใจ" ของ Facebook เมื่อผู้ใช้เยี่ยมชมไซต์อื่นที่ฝังตัวติดตามนั้นไว้ในภายหลัง เบราว์เซอร์จะส่งคุกกี้บุคคลที่สามชุดเดียวกันกลับมา เพื่อให้ตัวติดตามสามารถจดจำผู้ใช้ในทั้งสองไซต์ได้ นี่คือการติดตามข้ามไซต์ที่ระบบทุนนิยมการเฝ้าระวังถูกสร้างขึ้น

การที่คุกกี้ของบุคคลที่สามหายไป

Safari เป็นเบราว์เซอร์หลักตัวแรกที่บล็อกคุกกี้ของบุคคลที่สามตามค่าเริ่มต้น (ITP, 2017) Firefox ตามมาในปี 2019 ด้วยการป้องกันการติดตามที่ได้รับการปรับปรุง Chrome ซึ่งเป็นการระงับเนื่องจากธุรกิจโฆษณาของ Google ขึ้นอยู่กับพวกเขา ได้เปิดตัวข้อจำกัดบางส่วนจนถึงปี 2024-2026 โดยมีการวางแผนการบล็อกคุกกี้ของบุคคลที่สามโดยสมบูรณ์แต่กลับล่าช้าซ้ำแล้วซ้ำอีก ในช่วงปลายปี 2025 เซสชันเบราว์เซอร์ส่วนใหญ่ทั่วโลกจะบล็อกคุกกี้ของบุคคลที่สามตามค่าเริ่มต้น

อุตสาหกรรมการโฆษณาได้ตอบสนองด้วยวิธีแก้ปัญหา (การปิดบัง CNAME, การติดแท็กฝั่งเซิร์ฟเวอร์, FLoC และ Topics API, การพิมพ์ลายนิ้วมือของเบราว์เซอร์) แต่คุกกี้ของบุคคลที่สามแบบธรรมดาในฐานะกลไกการติดตามส่วนใหญ่จบลงแล้ว

ช่องทำเครื่องหมายที่ Matter

Secure — คุกกี้ถูกส่งผ่าน HTTPS เท่านั้น บังคับสำหรับคุกกี้เซสชั่นใดๆ คุกกี้เซสชันที่ไม่ปลอดภัยจะถูกส่งในรูปแบบข้อความธรรมดาบนเครือข่ายที่ไม่เป็นมิตรและสามารถขโมยได้เล็กน้อย
HttpOnly — JavaScript ไม่สามารถอ่านคุกกี้ผ่าน document.cookie ได้ ป้องกันการโจรกรรมเซสชันที่ใช้ XSS
SameSite — ควบคุมเมื่อคุกกี้ถูกส่งตามคำขอข้ามไซต์:
- Strict: ส่งเฉพาะการนำทางและคำขอไซต์เดียวกันเท่านั้น ปลอดภัยที่สุด สามารถทำลายกระแสลิงก์ข้ามไซต์บางส่วนได้
- Lax: ส่งไปยังการนำทางข้ามไซต์ระดับบนสุด (การคลิกลิงก์) แต่ไม่ใช่บน XHR หรือทรัพยากรย่อยข้ามไซต์ ค่าเริ่มต้นสมัยใหม่
- None: ส่งในทุกคำขอข้ามไซต์ ต้องมีความปลอดภัย ใช้สำหรับการฝังข้ามไซต์ที่ถูกต้องตามกฎหมาย (เช่น วิดเจ็ตการเข้าสู่ระบบที่โฮสต์โดย CDN)
Domain — ควบคุมว่าโดเมนย่อยใดจะได้รับคุกกี้ คุกกี้ที่ตั้งค่าด้วย Domain=example.com จะถูกส่งไปยัง www.example.com, api.example.com, ฯลฯ
Path — จำกัดคุกกี้ไว้ที่ URL ภายใต้เส้นทางเฉพาะ คำนำหน้า
Max-Age / Expires — เมื่อคุกกี้หมดอายุ คุกกี้เซสชัน (ไม่มีวันหมดอายุ) จะถูกล้างเมื่อเบราว์เซอร์ปิด

Cookies vs localStorage vs sessionStorage

Cookies จะถูกส่งไปพร้อมกับทุกคำขอ HTTP ไปยังต้นทาง ซึ่งมีประโยชน์สำหรับการระบุฝั่งเซิร์ฟเวอร์ แต่จะเพิ่มโอเวอร์เฮดให้กับทุกคำขอ localStorage และ sessionStorage เป็นแบบ JavaScript เท่านั้น — ไม่ได้เดินทางด้วยคำขอ HTTP, มีขนาดใหญ่กว่า (ปกติ 5–10 MB) และคงอยู่ (localStorage) หรือสุดท้ายสำหรับเซสชันแท็บเท่านั้น (sessionStorage) สำหรับข้อมูลที่เซิร์ฟเวอร์ไม่ต้องการ localStorage จะมีประสิทธิภาพมากกว่า

ชั้นยินยอมคุกกี้

GDPR (ยุโรป), CCPA (แคลิฟอร์เนีย), LGPD (บราซิล) และอื่นๆ อีกหลายแห่งกำหนดให้ไซต์เปิดเผยคุกกี้การติดตามและรับความยินยอม ผลลัพธ์ที่ได้คือแบนเนอร์คุกกี้ที่คุณเห็นในทุกหน้าในปี 2026 ซึ่งโดยปกติจะกดปุ่ม "ยอมรับทั้งหมด" ซึ่งบางครั้งก็เสนอการควบคุมแบบละเอียด สัญญาณ GPC (การควบคุมความเป็นส่วนตัวทั่วโลก) ที่เป็นมาตรฐานช่วยให้ผู้ใช้เลือกไม่ใช้โดยทางโปรแกรม ซึ่งเป็นที่ยอมรับโดยกฎหมายแคลิฟอร์เนียและนำมาใช้โดย Firefox/DuckDuckGo/Brave ขณะนี้การให้เกียรติ GPC สามารถบังคับใช้ได้ตามกฎหมายในแคลิฟอร์เนีย เขตอำนาจศาลอื่นๆ มีดังต่อไปนี้

นอกเหนือจากคุกกี้: การติดตามทางเลือก

เมื่อคุกกี้ได้รับการควบคุม ตัวติดตามก็มีความหลากหลาย: Evercookie บรรจุ ID ไว้ในที่เก็บข้อมูลมากกว่า 20 แห่ง รวมถึง IndexedDB, Service Workers, ETags และ HSTS การพิมพ์ลายนิ้วมือจะสร้างตัวระบุจากสัญญาณแฝงนับร้อยสัญญาณ การติดแท็กฝั่งเซิร์ฟเวอร์จะย้ายตัวติดตามไปด้านหลัง CNAME บุคคลที่หนึ่ง เพื่อให้ดูเหมือนกับตัวไซต์เอง คุกกี้อาจจะตายในฐานะเครื่องมือหลัก แต่เป้าหมาย — การระบุตัวตนซ้ำตลอดเซสชัน — ได้ทำให้เกิดการแทนที่ครึ่งโหล

คำถามที่พบบ่อย

ฉันควรบล็อคคุกกี้ทั้งหมดหรือไม่?: การบล็อกคุกกี้ทั้งหมดจะทำให้ทุกไซต์ที่ต้องเข้าสู่ระบบเสียหาย บล็อกคุกกี้ของบุคคลที่สาม (ค่าเริ่มต้นในเบราว์เซอร์สมัยใหม่) และใช้ "ล้างเมื่อปิดเบราว์เซอร์" สำหรับบุคคลที่หนึ่งหากคุณต้องการความคงอยู่น้อยที่สุด วิธีการบล็อกแบบครอบคลุมมักจะเจ็บปวดเกินไป
VPN ส่งผลต่อคุกกี้หรือไม่?: VPN จะเปลี่ยนข้อมูลประจำตัวเครือข่ายของคุณ ไม่ใช่สถานะเบราว์เซอร์ของคุณ คุกกี้ที่เบราว์เซอร์ของคุณเก็บไว้ก่อนเปิดใช้งาน VPN ยังคงอยู่ — และระบุตัวตนของคุณต่อไซต์เหล่านั้นต่อไปหลังจากที่ VPN เชื่อมต่อแล้ว หากต้องการเซสชันที่สะอาด ให้รวม VPN เข้ากับโปรไฟล์เบราว์เซอร์ใหม่หรือหน้าต่างการเรียกดูแบบส่วนตัว
คุกกี้เซสชันกับคุกกี้ถาวรคืออะไร: คุกกี้เซสชันไม่มีการตั้งค่า Expires/Max-Age และจะถูกล้างเมื่อเบราว์เซอร์ปิด คุกกี้ถาวรมีวันหมดอายุที่ชัดเจนและยังคงอยู่จนถึงวันนั้น ระบบเข้าสู่ระบบส่วนใหญ่ใช้คุกกี้ถาวรซึ่งมีวันหมดอายุนาน ดังนั้นคุณจึงไม่จำเป็นต้องเข้าสู่ระบบทุกครั้ง
คุกกี้สามารถมีไวรัสได้หรือไม่?: ไม่ คุกกี้เป็นเพียงสตริงข้อความ พวกเขาไม่สามารถดำเนินการได้ ความเสี่ยงก็คือคุกกี้อาจมีรหัสเซสชัน ซึ่งผู้โจมตีที่ขโมยรหัสนั้นสามารถใช้เพื่อปลอมตัวเป็นคุณได้ นั่นเป็นเหตุผลว่าทำไมจึงมีแฟล็ก Secure และ HttpOnly
แบนเนอร์คุกกี้จะหายไปไหม?: ในที่สุด เนื่องจากสัญญาณการเลือกไม่รับมาตรฐาน (GPC) จะเข้ามาแทนที่แบนเนอร์ตามไซต์ ค่าใช้จ่ายของแบนเนอร์ในปัจจุบันส่วนหนึ่งเป็นผลข้างเคียงของกฎระเบียบที่ต้องได้รับความยินยอมอย่างชัดแจ้ง แต่ไม่ได้กำหนดกลไกทางเทคนิคเพียงกลไกเดียวในการแสดง สัญญาณระดับเบราว์เซอร์แก้ไขได้ อยู่ระหว่างดำเนินการ แบนเนอร์จะจางหายไปตามหลายปี ไม่ใช่เป็นเดือน