HTTP çerezleri (cookies), kullanıcıların web sayfalarına bağlandıklarında, web sayfası sunucusunun istemci bilgisayarın sabit diskine yerleştirdiği ufak bir düz yazı (text) dosyasıdır. Bu dosya içerisinde kullanıcıya özel tanımlamalar yer alır. Bu dosyadaki veriler isim-değer (name-value) çiftleri olarak saklanır. Bu tanımlamalar şifrelenmiş bir şekilde tutulur ve sadece kodu tanımlayan web sunucusu tarafından okunabilir.
HTTP Çerezlerinin Faydaları
Kullanıcının kişiselleştirdiği bir web sayfası varsa ya da kullanıcı bir web servisine kayıt olmuşsa, bu veriler http çerezleri tarafından saklanır ve kullanıcının internet sitesini bir sonraki ziyaretinde, web sunucusu tarafından tanınmasını sağlar. Örneğin, kullanıcı üyelik isteyen sitelere girerken kullanıcı adı ve şifresinin otomatik olarak hatırlanmasını isterse bunu sağlayacak olan HTTP çerezleridir. Kullanıcının internet sitesi üzerinde kayıt bilgilerini ya da özel dosyalarını değiştirmesi durumunda ise en son halindeki veriler saklı tutulacaktır. Bu kullanıcıya kullanım kolaylığı sağlar ve kullanıcıyı zaman kaybından korur.
HTTP çerezleri kullanıcılara kullanım kolaylığı sağladığı gibi web sunucuları için de kolaylıklar sağlamaktadır. Web sunucuları HTTP çerezleri sayasinde, bir kullanıcının web sitesine kaç kere giriş yaptığını, sunucuya kaç kullanıcının bağlandığını ve yeni kullanıcı sayısını tespit edebilirler. Web sunucuları bunu yaparken veritabanından faydalanırlar. Bir kullanıcı ilk kez internet sitesine bağlanmaya çalıştığında, sunucunun veritabanında bu kullanıcı için yeni bir ID (kullanıcıya has bir tanımlama numarası) oluşturulur ve istemci bilgisayara bir düz yazı dosyası (cookie) yollanır. Böylelikle sunucu üzerinde kullanıcı sayıları ve yeni kullanıcı istatistikleri kolaylıkla tutulabilir. HTTP çerezleri internet üzerinden alışveriş imkanı sağlayan sitelere de büyük kolaylıklar sağlar. Bu sitelerde kullanıcıların oluşturabildikleri sanal alışveriş kartları ve kullanıcı bilgileri, istemci bilgisayarlara yollanan HTTP çerezleri içerisinde yer alan kullanıcı ID numaraları yardımıyla sunucu veritabanındaki verilerle eşleştirilir. Bu ID'ler sayesinde kullanıcının siteye her bağlanışında bilgilerinin veritabanında güncellenmesi sağlanır. Ayrıca web sunucuları istemci bilgisayarlara yolladıkları düz yazı dosyalarına, isim-değer çiftlerinin yanında hesabı son kullanma tarihi gibi bilgileri de ekleyebilirler.
HTTP Çerezleri Ayarları
Kullanıcılar internette gezindikleri sürece her bağlandıkları web sunucusundan HTTP çerezi gönderme isteği alırlar. Bilgisayar üzerinde oluşabilecek güvenlik açıklarını en aza indirmek amacıyla sunucuların gönderdiği HTTP çerezlerine bir sınırlama getirilebilir. Bu sınırlama internet tarayıcısının ayarlarından yapılabilir. Bu ayarlama Internet Explorer için şu şekilde yapılmaktadır:
- Denetim Masası (Control Panel) -> Ağ ve İnternet Bağlantıları (Network and Internet Connections) -> İnternet Seçenekleri (Internet Options) -> Gizlilik (Privacy) yolu izlenir. Burada yer alan Ayarlar (settings) kısmında HTTP çerezleri için istenen ayar yapılır. 6 kademeli olarak sunulan HTTP çerezi güvenlik ayarlarında en yüksek seviye hiç bir HTTP çerezine izin vermez. En alt seviyede ise bütün HTTP çerezleri kabul edilir. Geçerli olan ayar orta (medium) seviyedir.
- Gizlilik (Privacy) altında yer alan Gelişmiş (Advanced) seçeneği ile de otomatik HTTP çerezi (cookie) ayarları devre dışı bırakılıp, HTTP çerezi bazında yeni erişim tanımlamaları yapılabilir.
Kabul Edilen HTTP Çerezlerinin Görüntülenmesi
Kabul edilen HTTP çerezleri C:\Documents and Settings\Local Settings\Temporary Internet Files altında tutulmaktadır. Ayrıca Denetim Masası (Control Panel) ->Ağ ve İnternet Bağlantıları (Network and Internet Connections) -> İnternet Seçenekleri (Internet Options) -> Genel (General) -> Gözatma Geçmişi (Browsing History) -> Ayarlar (Settings) -> Dosyaları Görüntüle (View Files) yolu izlenerek de bu text belgeleri görüntülenebilir. Bu text belgeleri okunabilen belgelerdir. Fakat içerisindeki kodlar sadece text dosyasını gönderen web sunucusu için anlamlıdır.
HTTP Çerezlerinin Zararları ve Silinmesi
Kullanıcılara ve web sunucularına kullanım kolaylıkları sağlayan ve zaman kazandıran HTTP çerezleri, aynı zamanda bilgisayarlar için bir güvenlik açığı yaratmaktadırlar. Bu text dosyaları kullanıcı farkında olmadan, kullanıcının birçok bilgisini saklar. Bu güvenlik açığından internet tarayıcısı sorumludur ve güvenlik ayarları tarayıcı üzerinden yapılmalıdır.
Bazı zararlı yazılımlarla kullanıcıların bilgisayarlarında tutulan HTTP çerezleri ele geçirilebilir. Bir kullanıcının HTTP çerezlerinin ele geçirilmesi demek, kullanıcının mail şifresi, banka hesap şifresi, alışveriş sitelerinde kullandığı hesap şifreleri gibi önemli verilerinin ele geçirilmesi anlamına gelebilir. Ayrıca internette girilen sitelerde yer alan reklam şirketlerinin yolladığı HTTP çerezlerinin içerisinde, kullanıcının girdiği siteleri takip edebilen HTTP çerezleri de yer almaktadır. Reklam siteleri bu yolla kullanıcının bilgisayarlarına açılır pencere (pop-up) ile kendi reklamlarını gönderebilirler.
Bu gibi tehlikelerden korunmak için HTTP çerezleri sık sık temizlenmelidir. Bunun için C:\Documents and Settings\Local Settings\Temporary Internet Filesklasörünün içerisindeki dosyalar silinmelidir. Fakat bu dosyaların silinmesi kullanıcılar için performans kaybına sebep olacaktır.