1. ספרייה
  2. HTTP והרשת
  3. ארכיטקטורת ווב

מה הן עוגיות?

עודכן לפני חודש

כשאתה מתחבר לאתר, סוגר את הדפדפן ומחזיר למחרת עדיין מחובר — זה בזכות עוגיות. כשעגלת הקניות זוכרת מה הוספת שבוע שעבר — עוגיות. כשפרסומות עוקבות אחריך ברחבי האינטרנט ויודעות מה גלשת אתמול — גם כן עוגיות.

עוגיות הן פיסות מידע קטנות שאתרים שומרים על המחשב שלך. הדפדפן שולח אותן בחזרה אוטומטית עם כל בקשה. המנגנון הפשוט הזה הוא שגורם לאינטרנט המודרני להרגיש רציף — לא כזה שאין לו זיכרון.

הבעיה שעוגיות פותרות

HTTP תוכנן לשכוח. כל בקשה מגיעה כאילו הגיעה מאדם זר לחלוטין. זה אלגנטי לשרות דפים סטטיים — אין מצב לנהל, אין זיכרון שיכול להשתבש. אבל זה יוצר בעיה: איך נשארים מחוברים? איך עגלת קניות ממשיכה להתקיים? איך אתר יודע שאתה אותו אדם שהיה כאן לפני חמש שניות?

עוגיות הן התשובה. הן מאפשרות לשרתים להשאיר פתק על המחשב שלך שהדפדפן יציג להם בפעם הבאה. השרת אומר "זכור את זה", הדפדפן שומר, וכל בקשה עוקבת כוללת את אותו פתק.

כיצד עוגיות עובדות

כשאתה מבקר באתר, השרת יכול לכלול כותרת Set-Cookie בתשובתו:

Set-Cookie: session_id=abc123; Path=/; HttpOnly; Secure

הדפדפן שלך שומר את זה וכולל אותו אוטומטית בבקשות הבאות:

Cookie: session_id=abc123

כל זה קורה מאחורי הקלעים. אתה לא רואה דבר. הדפדפן מטפל באחסון ובשידור לפי הכללים שהשרת הגדיר.

מרכיבי העוגייה

דומיין ונתיב קובעים לאן העוגייה נשלחת. עוגייה שהוגדרה עבור example.com נשלחת ל-example.com ולתת-הדומיינים שלה. הנתיב מגביל אותה לכתובות URL ספציפיות.

Expires ו-Max-Age קובעים את תוחלת החיים. בלעדיהם, העוגייה נמחקת כשסוגרים את הדפדפן — זוהי עוגיית סשן. עמם, העוגייה נשמרת — שורדת הפעלות מחדש של הדפדפן עד שתפוג או שתמחק אותה.

Secure מאפשר HTTPS בלבד. העוגייה לעולם לא עוברת על חיבורים לא מוצפנים שבהם ניתן ליירט אותה.

HttpOnly מונע מ-JavaScript לגשת לעוגייה. היא קיימת רק לצורכי תקשורת HTTP, בלתי נגישה לסקריפטים הרצים בדף.

SameSite שולט בהתנהגות בין-אתרית:

  • Strict: לעולם לא נשלחת עם בקשות בין-אתריות
  • Lax: נשלחת עם ניווט אך לא עם בקשות משובצות
  • None: נשלחת בכל מקום (דורש Secure)

צד ראשון מול צד שלישי

כשאתה ב-example.com והאתר מגדיר עוגייה — זהו צד ראשון. האתר שאתה מבקר זוכר משהו עליך.

כשאתה ב-example.com אך עוגייה מ-analytics.com מוגדרת דרך עוקב משובץ — זהו צד שלישי. אתר שלא ביקרת בו זוכר משהו עליך.

ההבחנה הזו היא קריטית. עוגיות צד ראשון הן שמאפשרות את ההתחברות ואת עגלת הקניות שלך. עוגיות צד שלישי מאפשרות מעקב בין-אתרי — לעקוב אחריך ברחבי הרשת, לבנות פרופיל של כל מקום שביקרת.

מה שהתחיל כתכונה לנוחות הפך לתשתית למעקב. דפדפנים כיום מגבילים באופן פעיל עוגיות צד שלישי, בניסיון לשמר את הזיכרון השימושי ולחסל את הסוג הפולשני.

מה עוגיות מאפשרות

סשנים: מתחברים פעם אחת, השרת יוצר סשן ומוסר לך עוגיית מזהה-סשן. כל בקשה עוקבת מוכיחה שאתה עדיין אתה. בלי זה, היית צריך להתחבר מחדש בכל טעינת דף.

העדפות: בחירת שפה, מצב כהה, פריסת לוח מחוונים. עוגיות זוכרות כדי שלא תצטרך להגדיר מחדש בכל ביקור.

עגלות קניות: הוסף פריטים, סגור את הדפדפן, חזור מחר. העגלה עדיין שם כי עוגייה אמרה לשרת מה להחזיק.

אנליטיקס: אילו דפים אתה מבקר, כמה זמן אתה שוהה, מאיפה הגעת. זה עוזר לאתרים להשתפר — ומזין גם את מערכת המעקב.

אבטחה: מדוע אותן תכונות חשובות

כל תכונת אבטחה בעוגייה קיימת מכיוון שמישהו מצא דרך לנצל את היעדרה.

ללא Secure: עוגיית הסשן שלך עוברת על HTTP לא מוצפן. כל אחד באותה רשת WiFi יכול לקרוא אותה, לגנוב את הסשן שלך ולהתחזות לך.

ללא HttpOnly: מתקפת cross-site scripting מזריקה JavaScript שקוראת את document.cookie ושולחת את הסשן שלך לתוקף. אתה מנותק; הם מחוברים בתור אתה.

ללא SameSite: אתר זדוני משבץ בקשה לבנק שלך. הדפדפן שלך מצרף בהלך רוח מסייע את עוגיות הבנקאות שלך. התוקף זה עתה העביר כסף באמצעות הסשן המאומת שלך.

התכונות האלה אינן סימון תיבות בירוקרטי. כל אחת סוגרת וקטור תקיפה ספציפי.

פרטיות והסכמה

עוגיות מעקב של צד שלישי הפעילו גל של תקנות. ה-GDPR של האיחוד האירופי וה-CCPA של קליפורניה מחייבים אתרים לבקש אישור לפני הגדרת עוגיות שאינן חיוניות.

לכן כל אתר מציג כעת באנר הסכמה. עוגיות חיוניות — אלה שגורמות לאתר לתפקד — אינן דורשות הסכמה. אנליטיקס, פרסום, מעקב — אלה זקוקים לרשותך.

החוק הדביק את הטכנולוגיה. האם האכיפה משמעותית — זו כבר שאלה אחרת.

מגבלות

עוגיות קטנות בכוונת מכוון:

  • מקסימום כ-4KB לעוגייה
  • לפחות 50 עוגיות לדומיין
  • לפחות 3,000 עוגיות בסך הכל

המגבלות האלה קיימות כי עוגיות נשלחות עם כל בקשה. עוגיות גדולות מאטות את הגלישה. אם צריך לאחסן כמות משמעותית של נתונים בצד הלקוח, עדיף להשתמש ב-Local Storage או ב-IndexedDB.

האינטרנט זוכר ושוכח

עוגיות פתרו את האמנזיה המובנית ב-HTTP. הן העניקו לרשת חסרת-המצב זיכרון. זה אפשר אימות, התאמה אישית, מסחר — האינטרנט האינטראקטיבי שאנחנו מתייחסים אליו כדבר מובן מאליו.

אבל זיכרון יכול להיות פולשני. עוגיות צד שלישי הפכו זכירה למעקב. כעת דפדפנים מלמדים את הרשת לשכוח שוב — באופן סלקטיבי. לשמר את זיכרון הצד הראשון שגורם לאתרים לעבוד, ולחסום את מעקב הצד השלישי שלא עוזב אותך לנפשך.

הטכנולוגיה פשוטה: קבצי טקסט קטנים, הנשלחים אוטומטית. ההשלכות — לשימושיות, לאבטחה ולפרטיות — רחוקות מלהיות כאלה.

שאלות נפוצות על עוגיות

האם אפשר לראות אילו עוגיות אתר שמר?

כן. ברוב הדפדפנים, פתח את כלי המפתחים (F12), עבור לכרטיסיית Application או Storage, וחפש Cookies בסרגל הצד. תראה כל עוגייה עבור האתר הנוכחי — שמה, ערכה, דומיין, תאריך תפוגה ותכונות אבטחה.

למה חלק מהעוגיות נעלמות כשסוגרים את הדפדפן?

אלה עוגיות סשן — אין להן תכונת Expires או Max-Age. הדפדפן מתייחס אליהן כזמניות ומוחק אותן בסיום הסשן. עוגיות עמידות מציינות תאריך תפוגה ושורדות הפעלות מחדש של הדפדפן.

אם אחסום את כל העוגיות, האם אתרים עדיין יעבדו?

ברוב המקרים — לא. פונקציונליות בסיסית כמו להישאר מחובר דורשת עוגיות. בלעדיהן, כל טעינת דף תהיה התחלה מחדש — ללא עגלה, ללא סשן, ללא העדפות. רוב האנשים חוסמים עוגיות צד שלישי ומאפשרים עוגיות צד ראשון.

מה מחליף עוגיות צד שלישי לצורכי פרסום?

כמה גישות מתפתחות: Topics API של Google מסיק תחומי עניין מהיסטוריית הגלישה מבלי לעקוב בין אתרים, פרסום הקשרי מכוון לפי תוכן הדף ולא לפי היסטוריית המשתמש, ואסטרטגיות של נתוני צד ראשון מעודדות אתרים לבנות קשר ישיר עם המשתמשים שלהם. מודל פרסום המעקב מפורק — אם כי לאט.

הבא

מה זה CDN?

האם דף זה היה מועיל?

😔
🤨
😃