Ciasteczka różnych rodzajów są stosowane najczęściej po logowaniu do utrzymywania sesji. Mogą jednak przechowywać inne tymczasowe dane jak stan elementów na stronie, czy historię odwiedzanych poprzednio stron (na danej witrynie). Umożliwia to tworzenie spersonalizowanych serwisów WWW (np. zapamiętanie stanu menu), obsługi logowania, prostych sond i liczników, „koszyków zakupowych” w internetowych sklepach, a także tworzenie statystyk użyteczności witryny oraz badanie preferencji użytkowników.

Zastosowanie cookies do sond i liczników internetowych może wyglądać następująco – serwer ustawia ciasteczko informujące, że z danego komputera oddano już głos lub też odwiedzono daną stronę. Na tej podstawie może wykonać odpowiednie operacje i wygenerować dla użytkownika zindywidualizowaną treść strony. Schematyczny sposób wykorzystywania ciasteczek przy obsłudze licznika internetowego, wykluczającego przeładowania (zwiększanie liczby odwiedzin przy odświeżeniu strony) przedstawiony jest poniżej:

Schemat działania prostego licznika internetowego

Problemy w stosowaniu

Istotne przy stosowaniu ciasteczek jest to, że są to dane tymczasowe – wygasają automatycznie po pewnym czasie i w każdej chwili mogą być usunięte lub zablokowane przez użytkownika. Z tego powodu trwałe dane użytkowników muszą być przechowywane po stronieserwera. Także stosowanie ciasteczka jako „zabezpieczenie” sond i liczników należy traktować jako działanie pomocnicze – wynik takiego licznika może łatwo, nawet nieświadomie, zafałszować użytkownik, który ma trwale zablokowane ciasteczka.

Dodatkowym problemem jest to, że tak naprawdę rozpoznawana jest przeglądarka internetowa, a nie konkretny użytkownik. Z tego z kolei wynikają dwa problemy:

  1. Dane zawarte w ciasteczkach nie są przenoszone między urządzeniami użytkownika.
  2. Istnieje ryzyko przejęcia danych na współdzielonym komputerze (np. w wypadku logowania się w kawiarence internetowej).

Pierwszy problem można rozwiązać zapisując kopię preferencji po stronie serwera – po zalogowaniu na innym urządzeniu dane są wysyłane ponownie i ew. łączone (synchronizacja). Drugi problem częściowo rozwiązuje mechanizm wygasania ciasteczek (domyślnie po zamknięciu przeglądarki). Dodatkowo można wprowadzić wygasanie identyfikatora sesji po stronie serwera. Użytkownik może także wyczyścić wszystkie dane w przeglądarce (w paru przeglądarkach skrótem do tej opcji jest CTRL+SHIFT+DELETE).

Innym ważnym problemem związanym z bezpieczeństwem jest to, że ciasteczka nie są domyślnie szyfrowane i są za każdym razem wysyłane do serwera. Z tego powodu ciasteczka nie nadają się do bezpośredniego przesyłania danych poufnych (np. hasła). Nawet w formie zaszyfrowanej jest to ryzykowne ze względu na wielokrotne przesyłanie tej samej informacji. Stąd też typowym rozwiązaniem jest wysyłanie tymczasowego identyfikatora sesji (ważnego tylko przez określony czas). Sesję można dodatkowo zabezpieczyć przypisując identyfikator np. do konkretnego IP, które użytkownik miał w trakcie logowania lub np. grupy IP, które użytkownik określi jako bezpieczne.

Dyrektywa UE – obowiązek informacyjny

Mechanizmy zarządzania cookies w niektórych przeglądarkach są dosyć ubogie. Część przeglądarek posiada zaawansowane narzędzia, które pozwalają kontrolować, które witryny mogą przechowywać dane w ciasteczkach i pozwalają selektywnie je usuwać lub blokować. Niektóre pozwalają nawet na włączenie opcji ostrzegającej każdorazowo o ich przesyłaniu.

Także z tych powodów w 2012 roku Unia Europejska nałożyła na właścicieli witryn obowiązek informowania o tego typu praktykach (efektywnie regulacje weszły w życie 22 marca 2013 roku)[8][9]. Należy pamiętać, że ciasteczka nie są jedynym możliwym mechanizmem cichego obserwowania użytkowników i nie są to tylko dane przechowywane po stronie użytkownika – w bardzo podobny sposób można wykorzystywać informacje gromadzone po stronie serwera. Wbrew popularnej nazwie (ang. EU cookie law) dyrektywa unijna dotyczy wszystkich mechanizmów używanych do gromadzenia danych o użytkownikach, a nie tylko cookies.

W związku z europejskimi wytycznymi w 2013 roku znowelizowana została ustawa Prawo Telekomunikacyjne, która swoim art. 173 nakłada obowiązek informowania o przechowywaniu i wykorzystywaniu ciasteczek. Za nieprzestrzeganie tych zasad grozi kara finansowa, która może być nałożona przez prezesa Urzędu Komunikacji Elektronicznej[10]. Polska implementacja dyrektywy różni się od niektórych modeli zagranicznych brakiem wymogu wyraźnego wyrażenia zgody i akceptacji polityki cookies przez użytkownika końcowego. Ustawa pozostawia pole do braku takiej zgody poprzez zmianę ustawień przeglądarki. W praktyce więc stosowane na polskich stronach ostrzeżenia o ciasteczkach pełnią charakter wyłącznie informacyjny.

Sposób działania

Mechanizm cookie został wprowadzony po to, by w bezstanowym protokole HTTP umożliwić odróżnienie osób odwiedzających dany serwis. Cookies są informacjami zapisywanymi tymczasowo na żądanie serwera lub skryptu po stronie przeglądarki użytkownika. Sam sposób zapisu danych nie jest sformalizowany i – wbrew popularnej nazwie „plik cookie” – pojedyncze ciasteczko nie jest zapisywane w jednym pliku na dysku. Dla przykładu Internet Explorer przechowuje wszystkie ciasteczka z danej witryny w jednym pliku, ale już Firefox i Chrome przechowują ją w bazie danych SQLite.

Standaryzowany jest jednak sposób przesyłania ciasteczek[11]. Serwer WWW chcąc wysłać żądanie utworzenia ciasteczka na dysku użytkownika dołącza do nagłówka HTTP polecenie „Set-Cookie”, po którym następuje ciąg przekazywanych danych i opcji. Zapamiętane ciasteczko jest wysyłane jedynie do serwera z którego pochodzi, a który jest rozpoznawany przez przeglądarkę według nazwy domeny.

W danych po poleceniu Set-Cookie określone są:

  • nazwa i przypisana jej wartość (jedyne obowiązkowe),
  • czas ważności danego ciasteczka (po jego upłynięciu przeglądarka przestanie je wysyłać i powinna je usunąć z komputera użytkownika),
  • opcje ograniczenia widoczności ciasteczka (domena, ścieżka i poziom zabezpieczeń).

Do zapisania cookie wymagana jest jedynie jego nazwa i wartość. Niepodanie czasu ważności spowoduje wygaśnięcie ciasteczka po zamknięciu „sesji” (czyli zamknięciu przeglądarki). Ciasteczka, które wygasają po zakończonej sesji, zwane są ciasteczkami sesyjnymi. Pozostałe są „trwałe” w tym sensie, że po ponownym uruchomieniu przeglądarki są dalej dostępne. Nie ma jednak możliwości by ciasteczko nie wygasło nigdy – albo wygasają z sesją, albo wraz z przekroczeniem podanego czasu. Czas ważności może być jednak bardzo odległy – nawet paroletni. Ciasteczka nie są też w pełni trwałe dlatego, że użytkownik może je łatwo usunąć.