Buzz
Bánh quy (hay còn gọi là HTTP cookie, web cookie, Internet cookie, cookie trình duyệt) là các tập tin mà một trang web gửi đến máy người dùng và được lưu lại thông qua trình duyệt khi người dùng truy cập trang web đó. Cookie được sử dụng chủ yếu để lưu trữ phiên đăng nhập nhằm mục đích xác thực với website, duy trì trạng thái đăng nhập. Ngoài ra, cookie còn có thể lưu trữ thông tin trạng thái (ví dụ như quốc gia, ngôn ngữ), ghi nhớ các hoạt động mà người dùng thực hiện trong quá trình truy cập và duyệt web (như nhấp chuột vào các nút hay liên kết). Cookie cũng có thể lưu trữ các thông tin khác mà người dùng nhập vào trang web như tên, địa chỉ, email, v.v
Thuật ngữ
Các loại bánh quy khác nhau được gọi bằng các thuật ngữ khác nhau tùy vào đặc điểm và mục đích sử dụng của bánh quy. Các thuật ngữ dưới đây được giữ nguyên theo tên gọi tiếng Anh để dễ dàng tra cứu.
Bánh quy phiên (Session cookie)
Cookie phiên (tạm dịch: bánh quy phiên chạy) chỉ tồn tại trong bộ nhớ tạm thời khi người dùng duyệt web. Thông thường, trình duyệt sẽ xóa bỏ cookie phiên khi người dùng ngưng phiên duyệt web. Không như các loại bánh quy khác, cookie phiên không có thời hạn có hiệu lực. Đó cũng là yếu tố để trình duyệt phân biệt cookie phiên và các loại bánh quy khác.
Bánh quy cố định
Không như cookie phiên, bánh quy cố định (tạm dịch: cookie cố định) sẽ hết hiệu lực sau một thời điểm nào đó hoặc sau một khoảng thời gian nhất định được ấn định trước. Trong thời gian có hiệu lực của một bánh quy cố định, thông tin mà bánh quy cố định lưu lại sẽ được gửi đến máy chủ của website mà người dùng truy cập mỗi khi họ duyệt trang đó, hoặc khi họ truy cập một nguồn tài nguyên thuộc website thông qua một website khác (ví dụ, hình ảnh).
Bánh quy an toàn
Bánh quy an toàn (tạm dịch: cookie an toàn) chỉ có thể được gửi và nhận qua một kết nối được mã hoá (HTTPS). Các bánh quy an toàn không được gửi và nhận qua một kết nối không mã hoá (HTTP).
Bánh quy chỉ HTTP
Bánh quy chỉ HTTP (tạm dịch: cookie chỉ HTTP) không thể được truy cập bởi các giao diện lập trình ứng dụng (API) phía người dùng (client-side APIs) như JavaScript.
Bánh quy cùng trang
Bánh quy cùng trang (tạm dịch: cookie cùng trang) là loại bánh quy chỉ được gửi qua các yêu cầu bắt nguồn từ cùng một tên miền mục tiêu. Bánh quy cùng trang được ra đời vào năm 2016 cùng với sự ra mắt của Google Chrome phiên bản 51.
Bánh quy bên thứ ba
Bình thường, thông tin về tên miền của một bánh quy sẽ giống với tên miền được hiển thị trên thanh địa chỉ của trình duyệt. Đây được gọi là bánh quy bên thứ nhất (tạm dịch: cookie bên thứ nhất). Trái lại, một bánh quy bên thứ ba (tạm dịch: cookie bên thứ ba) sẽ thuộc về một tên miền khác với tên miền trên thanh địa chỉ. Các bánh quy loại này thường xuất hiện khi một trang web hiển thị thông tin từ các trang web khác, như các banner quảng cáo từ các trang web khác. Bánh quy bên thứ ba được sử dụng rộng rãi trên web. Theo một khảo sát được thực hiện vào năm 2018, trong 938.093 trang web phổ biến theo Alexa, hơn 70% số trang được tải xuống có chứa bánh quy bên thứ ba với số lượng hơn 11 bánh quy mỗi trang.
Siêu bánh quy
Siêu bánh quy (tạm dịch: cookie chủ) là loại bánh quy xuất phát từ các tên miền cao nhất (ví dụ như .com) hoặc các hậu tố công cộng (public suffix) như .co.uk. Ngược lại, các bánh quy thông thường xuất phát từ một tên miền cụ thể, ví dụ như example.com. Siêu bánh quy có thể là một mối nguy hiểm tiềm tàng vì chúng có thể được sử dụng để giả mạo yêu cầu không hợp pháp nhìn như là yêu cầu hợp pháp từ người dùng.
Bánh quy ma
Bánh quy ma (tạm dịch: cookie ma) là loại bánh quy bị xóa đi.
Ứng dụng của bánh quy
Bánh quy thường được sử dụng để quản lý phiên chạy web, cá nhân hoá và theo dõi hoạt động của người dùng.
Quản lý phiên chạy
Bánh quy được sử dụng để quản lý phiên chạy bằng cách ghi nhớ trạng thái của người dùng. Ví dụ về ứng dụng của bánh quy trong quản lý phiên chạy bao gồm: trạng thái đăng nhập của người dùng, trạng thái giỏ hàng của người dùng, thông tin điểm số game.
Cá nhân hoá
Bánh quy cũng được sử dụng để cá nhân hoá trải nghiệm người dùng. Website sử dụng bánh quy để ghi nhớ các lựa chọn ưa thích mà người dùng thiết lập khi tương tác với website trước đó, ví dụ như màu sắc nền của trang web, ngôn ngữ mặc định.
Theo dõi hoạt động
Theo dõi hoạt động của người dùng là một trong những ứng dụng phổ biến nhất của bánh quy. Các trang web sử dụng bánh quy để ghi lại và phân tích thói quen duyệt web của người dùng, ví dụ như những trang nào thường được người dùng ghé thăm, với tần suất như thế nào, những sản phẩm, nút bấm hay liên kết nào mà người dùng dành nhiều thời gian xem hoặc tương tác nhất...
Bánh quy và quyền riêng tư
Các công ty quảng cáo sử dụng bánh quy third-party để theo dõi hoạt động của người dùng từ nhiều trang web khác nhau. Cụ thể, một công ty quảng cáo có thể đặt hình ảnh quảng cáo trên nhiều trang và thu thập thông tin về hoạt động của người dùng từ đó. Việc biết được người dùng truy cập vào những trang web nào cho phép các công ty quảng cáo thực hiện các chiến dịch quảng cáo đích danh, dựa trên phỏng đoán về nhu cầu và sở thích của người dùng.
Quy định chung về bảo mật thông tin (GDPR) của Liên minh châu Âu
Việc sử dụng bánh quy để theo dõi và thu thập thông tin về hoạt động của người dùng web đe doạ sự riêng tư và bảo mật thông tin của người dùng. Vì thế, các chính sách và quy định về việc sử dụng bánh quy đã được ban hành ở nhiều nước. Được nhắc đến nhiều trong số này là Quy định chung về bảo mật thông tin (GDPR) của Liên minh Châu Âu. Liên quan đến việc sử dụng bánh quy, GDPR yêu cầu các công ty phải có sự chấp thuận của người dùng châu Âu về việc các website này dùng bánh quy để thu thập thông tin về hoạt động người dùng, dù các công ty này có trụ sở hay hoạt động ở bất kỳ nước nào. Trong một nghiên cứu được thực hiện năm 2018 trên 500 website được truy cập nhiều nhất ở mỗi nước trong 28 nước thành viên của Liên minh châu Âu, tỉ lệ các website hiển thị thông báo về việc chấp thuận bánh quy đã tăng từ 46.1% trong tháng 1 năm 2018 lên 62,1% trong tháng 5 năm 2018 (thời điểm GDPR có hiệu lực).
Hiển thị thông tin bánh quy
Để chấp hành các chính sách, quy định về bảo mật thông tin và sử dụng bánh quy, chủ các trang web phải cung cấp cho người dùng thông tin về bánh quy được dùng trên trang web. Tuy nhiên, không có cùng một khuôn mẫu làm chuẩn, các trang web hiển thị thông tin về bánh quy theo những cách rất khác nhau. Thông thường, thông tin về bánh quy trên một website được trình bày thông qua ba công cụ: Thông báo về việc dùng bánh quy, Chính sách bánh quy hoặc Chính sách riêng tư, Chức năng điều chỉnh bánh quy. Các website có thể dùng cả ba công cụ hoặc ít hơn.
Thông báo về việc dùng bánh quy
Khi người dùng truy cập một trang web, một thông báo sẽ xuất hiện để thông báo rằng trang web đó sử dụng cookie để thu thập thông tin về hoạt động duyệt web của người dùng. Thông báo về cookie có thể xuất hiện ở đầu trang, giữa trang hoặc cuối trang dưới dạng một tin nhắn ngắn. Ngoài ra, thông báo về cookie cũng có thể hiển thị dưới dạng cửa sổ pop-up chiếm toàn màn hình; trong trường hợp này, người dùng thường phải đóng cửa sổ hoặc đồng ý/từ chối cookie để tiếp tục duyệt web.
Chính sách cookie hoặc Chính sách riêng tư
Khác với thông báo về cookie, các Chính sách cookie hoặc Chính sách riêng tư thường chứa nhiều thông tin hơn về các loại cookie mà một trang web sử dụng và thường được trình bày dưới dạng văn bản chi tiết, như một trang thông tin. Một trang web có thể có một trang riêng biệt dành riêng cho Chính sách cookie, hoặc có thể kết hợp Chính sách cookie vào Chính sách riêng tư. Thông thường, các Chính sách này cung cấp thông tin chi tiết về cookie như tên gọi cookie, các nhóm và phân loại cookie, mục đích sử dụng cookie, đối tác mà trang web làm việc với hoặc cho phép đặt cookie. Chính sách cookie hoặc Chính sách riêng tư cũng thường cung cấp hướng dẫn để người dùng có thể lựa chọn cho phép hoặc từ chối một hay nhiều loại cookie.
Chức năng điều chỉnh cookie
Các trang web cũng có thể có chức năng điều chỉnh cookie để người dùng có thể lựa chọn cho phép hoặc từ chối các loại cookie mà họ mong muốn. Chức năng này thường được trình bày dưới dạng bảng mẫu trong đó các cookie được phân loại thành từng nhóm khác nhau, dựa trên mục đích sử dụng hoặc đặc tính của từng loại cookie, ví dụ như cookie cần thiết, cookie chức năng, cookie quảng cáo, cookie phân tích... Nếu một trang web không hỗ trợ chức năng điều chỉnh cookie này, thông tin hướng dẫn về cách chấp nhận hoặc từ chối cookie thường được cung cấp trong Chính sách cookie hoặc Chính sách riêng tư của trang web, hoặc thông qua việc điều chỉnh cài đặt trình duyệt. Ngoài ra, một số trang web còn hỗ trợ tính năng điều chỉnh cookie thông qua phần quản lý tài khoản của người dùng.
Liên kết bên ngoài
- RFC 6265, Tài liệu chuẩn hiện hành về HTTP cookie
