"คุกกี้" (Cookie) นอกจากจะเป็นชื่อของขนมที่หลายคนชอบทานแล้ว มันยังเป็นชื่อของข้อมูลขนาดเล็กที่ได้มาจากการเชื่อมต่อระหว่างเว็บไซต์ กับเครื่องคอมพิวเตอร์ด้วย มันมีชื่อเต็มยศว่า HTTP cookie บ้างก็เรียกว่า Web cookie, Internet cookie, Browser cookie หรือจะเรียกสั้นๆ ว่า Cookie ก็ไม่ผิดอะไร เป็นเทคโนโลยีที่เกิดขึ้นมาตั้งแต่ปี ค.ศ. 1994 โน่นเลย
Cookie นั้นถูกออกแบบมาให้เป็นกลไกการทำงานที่เชื่อถือได้สำหรับเว็บไซต์ มันทำหน้าที่จดจำข้อมูลที่เป็นประโยชน์ต่อตัวเว็บไซต์ อย่างเช่น หากเราเข้าเว็บขายสินค้าออนไลน์ แล้วเรามีสินค้าใส่เอาไว้ในตะกร้า หากไม่มี Cookie เมื่อเราปิดหน้าเว็บไป สินค้าในตะกร้าก็จะหายไปด้วย แต่ด้วยความสามารถของ Cookie เว็บจะสามารถจดจำได้ว่ามีสินค้าอะไรอยู่ในตะกร้าบ้าง หรือจะเป็นพวกข้อมูลบัญชีสมาชิก หากเราต้องการให้ตัวเว็บจดจำการเข้าระบบของเราไว้ตลอด ก็ต้องอาศัยการทำงานของ Cookie นี่แหละ
ตัว Cookie ยังถูกแยกย่อยออกเป็นหลายประเภท ซึ่งในบทความนี้ เราจะมาแนะนำสาระให้ได้เสพย์กัน ว่าไฟล์ Cookie มีกี่ประเภท ประกอบด้วยอะไรบ้าง
1. Session Cookies
ที่เราเกริ่นตัวอย่างการใช้งาน Cookie กับเว็บซื้อขายออนไลน์เอาไว้ข้างต้น สิ่งนั้นจะเกิดขึ้นไม่ได้เลย หากว่าไม่มี Session Cookies
จะมองว่า Session Cookies เป็นหน่วยความจำชั่วคราวของเว็บไซต์ก็ได้ มันจะคอยบันทึกความเคลื่อนไหวที่เกิดขึ้นบนหน้าเว็บเอาไว้ หากไม่มีมัน เราจะถูกตอบสนองเหมือนเพิ่งเข้าเว็บไซต์ดังกล่าวเป็นครั้งแรก
Session Cookies จะไม่มีการเก็บข้อมูลที่เกี่ยวข้องกับคอมพิวเตอร์ของคุณเลย และข้อมูลส่วนตัวของคุณ ซึ่งอย่างที่เราบอกเอาไว้ข้างต้นว่าคุกกี้ตัวนี้ทำหน้าที่เหมือนหน่วยความจำชั่วคราว ดังนั้น เมื่อเราปิดตัวเว็บเบราว์เซอร์ ข้อมูลทั้งหมดจะถูกลบไปทันที
ภาพประกอบที่ไม่เกี่ยวข้องกับเนื้อหาแต่อย่างใด
2. First-Party Cookies
หรือที่รู้จักกันอีกชื่อว่า Persistent cookie, Permanent cookies และ Stored cookies มันเป็นคุกกี้ที่ทำหน้าที่เสมือนเป็นหน่วยความจำระยะยาวของเว็บไซต์ มันช่วยให้เว็บไซต์ข้อมูลของเราได้ เพื่อให้ในอนาคตที่เราเข้ามาเยี่ยมชมเว็บไซต์อีกครั้ง การตั้งค่าทุกอย่างจะยังเหมือนที่เราเคยตั้งเอาไว้
หากไม่มี First-Party Cookies แล้ว เว็บไซต์จะไม่สามารถจดจำข้อมูลการตั้งค่าเมนูบนเว็บ, ธีม, ภาษาที่เลือก, หรือ Boorkmark ในเว็บได้เลย และมันยังมีบทบาทสำคัญอีกอย่างในส่วนของระบบ User authentication หากเราทำการปิดคุกกี้ตัวนี้ไป เราจะต้องทำการรับรองเพื่อยืนยันเข้าระบบใหม่ทุกครั้งที่เข้าเว็บ
โดยส่วนใหญ่แล้ว First-Party Cookies จะมีอายุการใช้งาน 1- 2 ปี หากเราไม่มีการเข้าใช้งานเว็บไซต์ภายในระยะเวลาที่คุกกี้ยังไม่หมดอายุ ตัวเว็บเบราว์เซอร์ก็จะทำการลบคุกกี้ดังกล่าวให้อัตโนมัติ
อย่างไรก็ตาม First-Party Cookies ก็มีข้อเสียอยู่เช่นกัน คือ เจ้าของเว็บไซต์ดังกล่าวจะสามารถติดตามพฤติกรรมการใช้งานของเราผ่านคุกกี้ตัวนี้ได้ด้วย
ภาพประกอบที่ไม่เกี่ยวข้องกับเนื้อหาแต่อย่างใด
3. Third-Party Cookies
ถ้าคุุณเคยได้ยิน "ชื่อเสีย" ของคุกกี้มาก่อน เจ้านี่แหละคือสาเหตุของสิ่งนั้น ในขณะที่ First-Party Cookies กันก่อน มันจะจับคู่ตามชื่อของโดเมนเว็บที่เรากำลังจะเข้า แต่ Third-Party Cookies จะไม่เป็นแบบนั้น มันจะทำการจับคู่ไปยังโดเมนเว็บอื่นๆ แทน
แน่นอนว่า เมื่อมันไม่ใช่คุกกี้ที่มาจากเว็บที่เราต้องการจะใช้งาน มันจึงไม่ได้สร้างประโยชน์อะไรให้กับเราเลยสักนิด หน้าที่เพียงอย่างเดียวที่ Third-Party Cookies ทำก็คือแอบติดตามความเคลื่อนไหวของเรา มันสามารถดูประวัติการเล่นเว็บ, พฤติกรรมการออนไลน์, ลักษณะการใช้จ่าย ฯลฯ
จากความสามารถดังกล่าว จึงไม่น่าแปลกใจที่มันจะเป็นสิ่งที่นักการตลาดออนไลน์นิยมนำมาใช้ในการเพิ่มยอดขาย และยอดเพจวิว
ข่าวดี คือ ในปัจจุบันนี้เว็บเบราว์เซอร์ส่วนใหญ่จะมีตัวเลือกในการปิดกั้นการทำงานของ Third-party cookies ให้ใช้งานได้ อย่างใน Chrome เราสามารถตั้งได้ด้วยการไปที่ chrome://settings/content/cookies แล้วเปิดใช้งาน "Block third-party cookies"
4. Secure Cookies
คุกกี้ที่เรากล่าวไป 3 ชนิดข้างต้น เป็นคุกกี้พื้นฐานที่น่าจะรู้จักกันดี แต่มันยังมีคุกกี้อีกหลายชนิดที่เราอยากจะแนะนำให้คุณรู้จักเพิ่ม อย่างแรกก็คือ Secure cookies มันสามารถรับส่งผ่านการเชื่อมต่อที่ถูกเข้ารหัสเอาไว้เท่านั้น หรือจะพูดง่ายๆ ว่าส่งผ่าน HTTPS ก็ได้
ตราบใดก็ตามที่ Secure Cookies ทำงานอยู่ ข้อมูลของผู้ใช้จะไม่ถูกส่งผ่านชาแนลเชื่อมต่อที่ไม่ได้เข้ารหัส ซึ่งมันจะช่วยปกป้องข้อมูลสำคัญของเราไม่ให้ "ถูกดัก" ระหว่างที่มีการรับส่งข้อมูลได้
อย่างไรก็ตาม แม้ว่าจะมีการเข้ารหัสเอาไว้แล้ว นักพัฒนาก็ไม่ควรใช้คุกกี้ชนิดนี้ในการรับส่งข้อมูลที่มีความสำคัญ เพราะด้วยหลักการทำงานของมัน มันแค่ปกป้องความลับภายในคุกกี้เท่านั้น แต่แฮกเกอร์สามารถใช้การโจมตีด้วยการเข้าควบคุม Secure cookies ผ่านช่องทางเชื่อมต่อที่ไม่ปลอดภัยได้ โดยเฉพาะอย่างยิ่งในบางเว็บไซต์ที่มีทั้งระบบ HTTP และ HTTPS ในเว็บเดียวกัน
5. HTTP-Only Cookies
Secure Cookies ส่วนใหญ่ก็มักจะเป็น HTTP-Only Cookies ด้วย มันจะทำงานร่วมกันเพื่อช่วยปกป้องคุกกี้จากการถูกโจมตีด้วยวิธี Cross-site scripting หรือที่เรียกกว่า XSS (เทคนิคนี้จะเป็นการฝังโค้ดอันตรายเข้าไปบนหน้าเว็บโดยตรง ทำงานเมื่อหน้าเว็บถูกแสดงผล)
ตัว Secure Cookies จะไม่สามารถเข้าถึงได้ผ่านภาษาสคริปต์ (อย่างเช่น JavaScript) ได้ ทำให้ตัวคุกกี้ถูกปกป้องจากการโดนโจมตีด้วยวิธีการดังกล่าวได้
6. Flash Cookies
Flash cookies เป็นคุกกี้ที่พบได้มากที่สุดใน Supercookie ตัว Supercookie มันทำหน้าที่หลายอย่างที่คล้ายกับ Cookie ธรรมดา แต่มันจะยากต่อการค้นหา และลบทิ้งมากกว่าปกติ
Supercookie เป็นคุกกี้ที่จะมีชื่อเป็นโดเมนระดับสูงสุด เช่น .com หรือ .co.uk ส่วนคุกกี้แบบธรรมดาก็อย่างเช่น example.com เนื่องจากว่า Supercookies สามารถใช้ในการโจมตีได้ มันจึงถูกให้ความสำคัญเป็นพิเศษ และเว็บเบราว์เซอร์ส่วนใหญ่ก็จะปิดกั้นไม่ให้คุกกี้ชนิดนี้ทำงานได้ ตัวอย่างเช่น เมื่อเราเข้าระบบของเว็บ example.com เจ้า Supercookie ที่ชื่อว่า .com สามารถใช้ในการเข้าระบบแบบปลอมๆ หรือเปลี่ยนแปลงข้อมูลของผู้ใช้ได้ ทั้งๆ ตัวมันเองไม่ใช่คุกกี้ที่มาจาก example.com ด้วยความสามารถดังกล่าว จึงไม่น่าแปลกใจ ที่มันจะถูกใช้ในทางที่ผิดโดยเหล่าแฮกเกอร์
7. Zombie Cookies
Zombie Cookies ถือว่าเป็นญาติสนิทของ Flash cookies ที่มันมีชื่อนี้เพราะว่ามันเป็นคุกกี้ที่สามารถสร้างตัวเองขึ้นมาใหม่ได้เมื่อถูกลบ มีความอมตะเหมือนกับซอมบี้นั่นเอง โดยมันอาศัยประโยชน์จากไฟล์ Backups นอกตัวเบราว์เวอร์ ซึ่งส่วนใหญ่ก็จะเป็น Flash Local Share Object หรือไม่ก็ HTML5 Web Storage
8. Same-Site Cookies
เป็น Cookies แบบใหม่ที่ถูกคาดหวังให้เป็นมาตรฐานใหม่ที่มีความปลอดภัยกว่าคุกกี้แบบเก่าๆ โดยหลักการทำงานของมัน คือ ตัวเว็บเบราว์เซอร์จะสามารถควบคุมการรับส่งคุกกี้ระหว่างเว็บไซต์ต่างๆ ได้ ด้วยการใช้ SameSite cookie attribute ซึ่งการเปิดใช้งานก็ง่ายมาก ด้วยการเพิ่มชุดคำสั่งเข้าไปใน Cookie ในลักษณะนี้
Set-Cookie: CookieName=CookieValue; SameSite=Lax;
Set-Cookie: CookieName=CookieValue; SameSite=Strict;
ทั้งนี้เว็บบเราว์เซอร์ที่รองรับการใช้งานคุกกี้แบบนีัแล้วมี Chrome, Firefox, และ Opera. รวมถึง Safari ตั้งแต่เวอร์ชั่น 12.1 ก็รองรับด้วยเช่นกัน
