Smag på ordet: Cookie.
Det var oprindelig en lækker chokoladefyldt kage, men har siden 1994 været en ligeså kendt betegnelse for en special-fil, der bliver gemt på din computer, når du går ind på et bestemt website. Og hvad er det lige, filer fra nettet laver på din computer?
Nu giver de fleste browsere dig muligheden for at fjerne dine cookies, inden de overhovedet har bidt sig fast i din computer, så du kan browse anonymt rundt på nettet.
Firefox- og Safari-browserne har haft det længe - og Internet Explorer 8 og Google Chrome følger nu trop.
Det lyder jo dejligt smart, for de fleste internetbrugere har vel en lille mistanke om, at der på den anden side af firewall'en sidder fyrretyve internet-røvere, der bare venter på at liste skadelig kode ind ad en eller anden bagdør på din computer.
Men myten om skadelige cookies er lige så forkerte, som de er sejlivede.
"Cookies er per definition ikke farlige eller skadelige. De kan derimod anvendes af en webmaster til at se, hvordan folk bevæger sig på et site," forklarer direktør Peter Kruse fra sikkerhedsfirmaet CSIS Group til Computerworld.
Han påpeger, at cookies samtidigt er med til at hjælpe med til at gøre internet-oplevelsen bedre, fordi cookies i mange tilfælde sørger for, at formularer og passwords på diverse hjemmesider bliver husket ved hjælp af en cookie.
Kagetyve kan være på spil
Cookie-filer kan indeles i to typer af almindelige tekstfiler, som ikke kan indeholde virus.
Den ene er den permanente cookie, der opbevares på harddisken, og som kan anvendes i forbindelse med auto-login på hjemmesider som eksempelvis facebook.dk og google.dk.
Den anden er session-cookien, som virksomheder skal være opmærksomme på, fordi de i sjældne tilfælde kan benyttes til at skaffe ondsindede personer adgang til content management systemer (CMS) og andre interne log-on systemer.
Myter skaber dårlige brugeroplevelser
Afvikling af kode på tværs af eksempelvis websider via dårligt udarbejdet og sikrede web applikationer kaldes cross site scripting og går ikke direkte til angreb på web-servere, men kan derimod omdirigere trafik - og cookies - til et andet website.
Cross site scripting kan blandt andet benyttes til cookie-tyveri, hvor cookies kan hentes af en modtager uden for hjemmesidens fire vægge via et dårligt konstrueret CGI script.
"Traditionelle cross site scripts-angreb kan lede til injektion af scripts, herunder JavaScript, VBScript, ActiveX, HTML eller Flash. Den slags cross site scripting kan misbruges af andre personer, hvis de stjæler din cookie og dermed din login-session til et givent site," forklarer Peter Kruse.
Han siger dog samtidigt, at det er færreste site, der efterhånden er sårbare over for cross site scripting. Blandt andre har de danske banker for længst sikret sig mod den slags sårbarheder.
Dårlig brugeroplevelser
Cookies kan altså kun misbruges til at få adgang til private og hemmelige oplysninger på skrøbelige sites.
Derfor forstår brugervenlighedsekspert Rolf Molich ikke, hvorfor cookies har sådan et dårligt ry.
"Når der er problemer, så bliver vi advaret og får tudet ørerne fulde af faresignaler. Men når der er findes en myte om skadelige cookies, så hører vi ingenting. På den måde er man faktisk med til at give brugerne en dårlig oplevelse af cookies som værende farlige," forklarer Rolf Molich.
Han benytter selv cookies med største fornøjelse, fordi de hjælper den erfarne usability-ekspert med at navigere rundt på hjemmesider uden at skulle indtaste de samme formularer og passwords utallige gange.
"Så længe jeg kan se fordelen i at benytte cookies, så er jeg med på vognen," siger Rolf Molich.
Han rydder dog med jævne mellemrum op i sine egne cookies for at undgå såkaldte tracking-cookies, der baseret på tidligere søgninger viser målrettede reklamer, som han ikke selv har bedt om.
