Luận văn thạc sĩ Khoa học máy tính: Báo cáo đánh giá của các trình duyệt Web trước cookies của bên thứ ba

* Đánh giá mức độ quan tâm của người dùng đối với quyên riêng tư dữ liệu và mức độ hiểu biết của người dùng về các cấu hình liên quan đến cookies được cungcấp bởi năm trình duyệt web.. Ở

ĐẠI HỌC QUOC GIA THÀNH PHO HO CHÍ MINH TRUONG DAI HOC CONG NGHE THONG TIN

LAM NGỌC CHAU

BAO CAO DANH GIA CUA CAC TRINH DUYET WEB

TRƯỚC COOKIES CUA BEN THU BA

LUẬN VĂN THẠC SĨ NGÀNH KHOA HỌC MÁY TÍNH

MÃ SO: 8.48.01.01

NGƯỜI HƯỚNG DAN KHOA HỌC

PGS TS GARCIA CLAVEL MANUEL

THÀNH PHÓ HÒ CHÍ MINH - NĂM 2023

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi, do chính tôi thực hiện Các

số liệu được thu thập trực tiếp từ khảo sát và kết quả nghiên cứu trong luận văn là hoàn

toàn trung thực, khách quan Trong quá trình viết bài có sự tham khảo và sử dụng một

số tài liệu có nguồn gốc rõ ràng Tôi cũng xin cam đoan rằng mọi sự giúp đỡ cho việc

thực hiện nghiên cứu này đều đã được cảm ơn và trích dẫn đầy đủ trong bài luận văn,nếu có van dé gì tôi xin hoàn toàn chịu trách nhiệm

Tác giả

Lâm Ngọc Châu

LOI CẢM ON

Lời đầu tiên, tôi xin gửi lời tri ân và biết ơn sâu sắc đến thay PGS TS Garcia Clavel

Manuel đã tận tình chỉ bảo, giúp tôi có những định hướng chính xác trong quá trình thực hiện luận văn thạc sĩ Khoa học máy tính Tôi cũng xin chân thành gửi lời cảm ơn

đến các thầy cô trong bộ môn Khoa học máy tính, phòng sau đại học và toàn thể cácthầy cô trong trường Đại học Công nghệ thông tin thành phố Hồ Chí Minh đã nhiệttình giảng dạy, tạo mọi điều kiện giúp đỡ tôi trong quá trình học tập tại trường Cuối

cùng, tôi cũng xin gửi lời cảm ơn tới gia đình và bạn bè, những người luôn chăm sóc,

nuôi dưỡng và động viên tôi, giúp tôi trưởng thành trong cuộc sống Một lần nữa tôi

xin chân thành cảm ơn!

Học viên

Lâm Ngọc Châu

MỤC LỤC

LOI CAM DOAN

LOI CAM ON

DANH MUC HINH VE

DANH MUC BANG

1 TONG QUAN

1.1 Médiu 46 Z7 ư

1.2 Lý dothực hiện đềtài

13 Mục tiêu luậnvăn

14 Một số nghiên cứu liên quan

1.5 Dong góp chính của luận văn:

16 Bố cục của luậnvăn

2_ CƠ SỞ LÝ THUYẾT 2.1 Quyền riêng tưdữ liệu

2.2 Giới thiệu về HTTPcookie

2.2.1 Tổngquan

2.2.2 Nguyên lý hoạt động của cookie

2.2.3 Phanloaicookie

2.2.4 Thuộc tính củacookles

2.2.5 Vấn dé liên quan đến bao mật

2.3 Giới thiệu về trình duyệtweb

2.3.1 Tổngquan

2.3.2 Cấu hình liên quan dén cookies

3 PHƯƠNG PHAP THUC HIỆN 3.1 Tổng quan về phương pháp

3.2 Phương pháp thực hiện đối với các cầu hình liên quan đến cookies

3.3 Phương pháp thực hiện đối với cấu hình chặn cookies

4 THỰC NGHIỆM VÀ KẾT QUA

10 10 10 11 12

13 13 13 13 14 15 16

17

17 17 18

22 22 26 27

29

4.1 Thực nghiệm với các cấu hình liên quan đến cookies

4.1.1 Thiếtlậpthựcnghệm

4.12 Thực nghiệm đánhhgiá

4.2 Thực nghiệm với cấu hình chặn cookies

4.2.1 Thiếlậpthựenghệm

-42.2 Thực nghiệm đánhgiá

5 KHẢO SÁT

5.1 Nội dung khảo sát ee ee

5.2 Kết quả khảo sát

6 KẾT LUẬN

TÀI LIỆU THAM KHẢO

PHỤ LỤC

40 40 40

42

43

46

Nguyên lý hoạt động cua cookie 15

Phân loại cookie dựa trên bối cảnh cụthể 16

Mô hình triển khai Ặ eee 23

Mô hình giao diện web 2 Giao diện trang web thực nghiệm của domainA 23

Mẫu Servlets 24

Mối quan hệ giữa servlets va cookies, với đường dẫn - path =

Mẫu Servletkiémtra 25

Thống kê thị phần trình duyệt web trên toàn thế giới (Tháng 05 2023) 26

Kết quả ở site-data của trình duyệt web Mozilla Firefox 37Kết quả truy vấn cơ sở dữ liệu cookies của trình duyệt Mozilla FireFox 37Kết quả khi thực hiện lại yêu cầu với cookie Servlet! ở trình duyệt web

Mozilla Firefox 2 QVẶ Q 37

Mô hình các thành phần liên quan việc quyết định gửi/nhận cookies 39

DANH MỤC BẢNG

4.1 Kết quả thực nghiệm với trình duyệt web Google Chrome .

4.2 Kết quả thực nghiệm với trình duyệt web Mozilla Firefox

4.3 Kết quả thực nghiệm với trình duyệt web Safiari

4.4 Kết quả thực nghiệm với trình duyệt web MicrosoftEdge

4.5 Kết quả thực nghiệm với trình duyệt web Opera

4.6 _ Tổng hợp kết quả cau hình mặc định của năm trình duyệt web phổ biến 4.7 Kết quả thực nghiệm cấu hình chặn cookies với trình duyệt web Google Chrome Q Q Q ee 4.8 Kết quả thực nghiệm cấu hình chan cookies với trình duyệt web Mozilla 4.9 Kết quả thực nghiệm cấu hình chặn cookies với trình duyệt web Safari 4.10 Kết quả thực nghiệm cấu hình chan cookies với trình duyệt web Mi-crosoft Edgofff' AV »>» /

4.11 Kết quả thực nghiệm cấu hình chặn cookies với trình duyệt web Opera

36 37

DANH MỤC VIẾT TẮT

Kýhiệu Ý nghĩa

HTTP Hypertext Transfer Protocol

Giao thức truyền tải siêu văn bản

NCSA National Center for Supercomputing Applications

Trung tâm Ung dụng siêu máy tính quốc gia

IETF Internet Engineering Task Force

Luc lượng Chuyên trách về Kỹ thuật Liên mạng

CHIPS Cookies Having Independent Partitioned State

Cookies có trang thái phân vùng độc lap CSRF Cross-site Request Forgery

Gia mao yéu cau lién trang

HTML, HyperText Markup Language

Ngôn ngữ Đánh dấu Siêu văn ban

Chương 1

TỔNG QUAN

11 Mở đầu

Cùng với sự phát triển của Internet, dữ liệu đang trở thành một loại "dầu" mới của thế

kỉ 21 Thưc vậy, dựa trên những phân tích từ dữ liệu có thể cung cấp những thông tinquan trọng để hiểu và thậm chí dự đoán được hành vi của con người ở nhiều mức độ:

cá nhân, nhóm, và thậm chí là toàn cầu

Hầu hết dữ liệu được dùng để phân tích, đánh giá và dự đoán hành vi người dùng hiện

nay đều dựa trên dữ liệu cá nhân và dữ liệu sử dụng Các dữ liệu này rất có giá trị vàquan trọng, tuy nhiên các dữ liệu sử dụng thường được thu thập một cách âm thầm,thiếu minh bạch và chưa có sự đồng ý của người dùng cuối

Internet cookies được phát minh ra với mục đích ban đầu nhằm ghi nhớ thiết lập của người dùng trên trang web mà họ đang truy cập nhằm cải thiện trải nghiệm người dùng.

Tuy nhiên, hiện nay cookies đang được dùng như một công cụ chính để thu thập dữ

liệu sử dụng và theo dõi người dùng liên trang [1, 2, 3], điều này vi phạm quyển riêng

tư đữ liệu của người dùng.

Hiện nay, các nghiên cứu [4] [5], tiếp cận vấn đề vi phạm quyên riêng tư dữ liệu của

cookies dựa trên yếu tố thuộc tính của cookies, thuộc tính này được quyết định bởi phía lập trình viên tạo ra cookies Tuy nhiên, chúng tôi nhận thấy rằng thuộc tính của cookie

chỉ là một trong ba yếu tố ! quyết định việc một cookie có được gửi đi hay không Vàtrình duyệt web hoàn toàn có thể tác động lên cookies khi cookies được cài đặt vào

bang cách thay đổi thuộc tính Samesite của cookie hoặc thêm thuộc tính bổ sung cho

cookie Vì thế ở nghiên cứu này chúng tôi tiếp cập một yếu tố khác trong ba yếu tố

quyết định đến việc gửi nhận cookies, đó là yếu tố về cấu hình của trình duyệt web.

1Ba yếu tổ gồm:(1) Cấu hình của trình duyệt, (2) Thuộc tính của cookies và (3) Bối cảnh - thanh điều hướng

1.2 Lý do thực hiện đề tài

Các trình duyệt web được phát triển độc lập, chưa có một tiêu chuẩn chung, nên nhiều

thành phành phần được định nghĩa khác nhau gây khó khăn cho người dùng khi sửdụng, và khó khăn ngay cả cho chúng tôi khi bắt đầu nghiên cứu về cấu hình liên quanđến cookies của các trình duyệt web

Hiện nay chưa có một tiêu chuẩn về mức độ bảo vệ cookies của trình duyệt web, haycác tài liệu mô tả, tài liệu so sánh về mức độ bảo vệ cookies giữa các trình duyệt web

Ngay cả với tài liệu công bố của các nhà cung cấp trình duyệt web cũng chưa cụ thể vàchính xác để người dùng có thể xác định được mức độ bảo vệ cookies của các cầu hìnhliên quan đến cookies mà trình duyệt cung cấp

1.3 Mục tiêu luận van

* So sánh các cấu hình liên quan đến cookies, cung cấp bởi năm trình duyệt webđược sử dụng phổ biến nhất: Google Chrome, Mozilla Firefox, Safari, Opera và

Microsoft Edge.

* Phân tích các cấu hình cài đặt và đánh giá tính hiệu quả của các cầu hình cookies

trên năm trình duyệt web được chọn và đưa ra nhận định.

* Đánh giá mức độ quan tâm của người dùng đối với quyên riêng tư dữ liệu và mức

độ hiểu biết của người dùng về các cấu hình liên quan đến cookies được cungcấp bởi năm trình duyệt web

1.4 Một số nghiên cứu liên quan

Cookies hiện đang là một trong những mắc xích quan trọng khi nói về vấn đề vi phạm

quyên riêng tư dữ liệu của người dùng Một số nghiên cứu liên quan đến quyền riêng

tư dữ liệu của cookies như: [6, 7] cung cấp các định nghĩa và tiêu chuẩn của cookies

Tài liệu này hiện vẫn đang được nghiên cứu và cải thiện bởi tổ chức chuyên trách về kỹ

thuật liên mang (IETF).

Các vấn đề của cookies liên quan đến vi phạm quyên riêng tư cũng được các báo cáo(3, 5] trình bay và nhắn mạnh về việc cookies hiện đang được sử dụng cho việc liên kếtlịch sử tìm kiếm của người dùng giữa các trang web khác với nhau Ngoài ra, một sốhành vi liên quan đến vấn đề bảo mật của cookies cũng đã được báo cáo như: về vấn

dé rò rỉ thông tin [8], về việc chia sẻ thông tin [9], giả mạo yêu cầu liên trang [10],van đề về các siêu cookies (super cookies / ever-cookies) hay flash cookies [2] [11]

Từ góc độ pháp ly, các tổ chức có thẩm quyền hiện cũng đã ban hành các khung pháp

lý về quyên riêng tư dữ liệu như CPPA [12], ePR [13], và GDPR [14] Để tuân theo cáckhung pháp lý mới này, bên cạnh các hành động điều chỉnh chế độ quản lý cookies, cácnhà cung cấp trình duyệt web cũng đang dần cấm cookies của bên thứ ba và bổ sungthêm các cài đặt để bảo về quyên riêng tư của người dùng cuối

Tuy nhiên, nghiên cứu [4] gần đây đã chỉ ra rằng việc cấm các cookies của bên thứ

ba cũng không hoàn toàn loại bỏ khả năng sử dụng cookies để theo dõi người dùng

Nghiên cứu cho thấy 76% trong số 15,000 trang web hàng đầu sử dụng cookie bên thứ

nhất cho mục đích theo dõi, và tỷ lệ sử dụng cookie này đã tăng hơn 50% trong năm

2021 Nghiên cứu cũng tiết lộ hệ sinh thái của các tổ chức như Google, Facebook, vàTikTok sử dụng cookie bên thứ nhất để vượt qua việc chặn cookie bên thứ ba

Mặt khác, [15] nhân mạnh lợi ích của việc cho phép người dùng kiểm soát việc khi nào

gửi cookies và gửi chúng đi đâu thay vì chỉ đơn giản là ngăn chặn việc cài đặt cookies.

Cuối cùng, [5, 4] báo cáo về thực nghiệm liên quan đến cookies và quyền riêng tư dữ

liệu bằng phương pháp xử lý dữ liệu và khoanh vùng phạm vi.

Ở nghiên cứu này, chúng tôi sẽ tiếp cận một hướng khác là từ yếu tố trình duyệt web,bằng cách thiết kế các thực nghiệm kiểm tra hành vi của các cấu hình liên quan đến

cookies của năm trình duyệt web phổ biến đối với những cookies có thuộc tính khác

nhau và phương thức yêu cầu khác nhau Nghiên cứu sẽ tập trung vào việc so sánhhành vi và đánh giá mức độ bảo vệ cookies của các cấu hình được cung cấp bởi năm

trình duyệt web được sử dụng phổ biến nhất.

1.5 Đóng góp chính của luận van:

Với mong muốn nâng cao nhận thức của người dùng về quyên riêng tư dữ liệu, nghiêncứu chúng tôi cung cấp một trang web có thể kiểm tra chính xác: Với một cấu hìnhcookies cụ thể của một trong năm trình duyệt web phổ biến được chọn, cookies có

thuộc tính nào được gửi đi với phương thức gì trong bối cảnh nào (của thanh điều

hướng).

Từ bảng so sánh kết quả kiểm tra của các cầu hình cookies của năm trình duyệt webtrong nghiên cứu này, người dùng có thể tham chiều và lựa chọn chính xác mức độ bảo

vệ cookies mong muôn.

Ngoài ra, với bảng so sánh kết quả của các cấu hình cookies mặc định, người dùng

cũng có thể lựa chọn chính xác và nhất quán mức độ bảo vệ cookies mong muốn khi

sử dụng nhiều trình duyệt web khác nhau

Nêu ra được ba yếu tố quan trọng gồm (1) Cấu hình của trình duyệt, (2) Thuộc tính củacookies và (3) Bồi cảnh - thanh điều hướng; và vai trò của các yếu tố nay trong việc

quyết định gửi và nhận cookies

1.6 Bồ cục của luận văn

* Chương 1: Giới thiệu tổng quan về dé tao bao gồm: Mở đầu, lý do thực hiện détài, mục tiêu luận văn, một số nghiên cứu liên quan, đóng góp chính của luận văn

và bố cục của luận văn.

* Chương 2: Trinh bày về cơ sở lý thuyết thuộc phạm vi dé tài Giới thiệu về HTTPcookie; trình duyệt web và các cấu hình liên quan cookies; Quyên riêng tư dữ

liệu.

* Chương 3: Trinh bày về phương pháp thực hiện

* Chương 4: Trình bày về thiết lập thực nghiệm, kết quả thực nghiệm và nhận định

* Chương 5: Trình bày kết luận

Chương 2

CƠ SỞ LÝ THUYET

2.1 Quyền riêng tư dữ liệu

Theo NIST ! Quyên riêng tư dữ liệu là khả năng của một cá nhân có thể quan lý (duy trì

kiểm soát và bảo mật thông tin) về dữ liệu cá nhân của mình Đây được xem là quyềncủa cá nhân; mặc dù phạm vi của quyền này, đặc biệt là ý nghĩa chính xác của nhữngthành phần thuộc thông tin cá nhân vẫn đang là một chủ đề được thảo luận Trong lĩnhvực công nghệ thông tin, quyền riêng tư thường liên quan đến hai yếu tố sau:

* Tinh bảo mật: Đặc tính mà dữ liệu hoặc thông tin không thể bị truy cập hoặc

được tiết lộ cho những người hoặc quy trình không có quyền thực hiện hành

động.

* Tinh ẩn danh: Điều kiện trong việc định danh mà theo đó một thực thể có thểđược nhận diện là khác biệt, không bao gồm thông tin định danh để liên kết đếnmột danh tính đã biết

Dữ liệu sử dung (Usage data) Trong phạm vi Internet, khái niệm dữ liệu sử dụng

mang ý nghĩa là những dữ liệu được sinh ra khi người dùng sử dụng các trình duyệt

web như: những trang web họ đã truy cập, những chủ đề người dùng đã tìm kiếm, haythời gian mà người dùng dã xem một chủ dé, Bên cạnh dữ liệu cá nhân, dữ liệu sửdụng của người dùng cũng rất có giá trị và quan trọng, tuy nhiên dữ liệu này thườngđược thu thập khi chưa được sự đồng ý của người dùng

2.2 Giới thiệu về HTTP cookie

2.2.1 Tổng quan

HTTP là giao thức tiêu chuẩn cho web - được phát minh với ý tưởng ban đầu khá đơngiản: khi kết nối được mở ra, client sẽ gửi một yêu cầu cho một tập tin đến máy chủ, vàmáy chủ sẽ gửi lại một tập tin cho client, sau đó đóng kết nối

INIS ional Institute of Standards and Technology (NIST), US Department of Commerce Viện Tiêu chuẩn va Công nghệ Quốc gia, thuộc Sở Thương mại Hoa Kỳ

-14 Cookie là một loại dit liệu nhỏ được lưu trữ trên trình duyệt của người dùng khi họ truy

cập các trang web Cookie có thể được sử dụng để theo dõi và cá nhân hóa trải nghiệm

trực tuyến của người dùng

HTTP cookie được phát minh vào năm 1994, bởi Louis J "Lou" Montulli với mục

đích giúp các trang web ghi nhớ tuỳ chọn và lịch sử truy cập và mua sắm của khách

hàng[16] Tuy nhiên, theo thời gian cookies đã được sử dụng với nhiều mục đích khác

so với ban đầu Năm 1996, một số mối quan ngại được đưa ra về việc cookies lưu trữ

thông tin cá nhân trên máy tính của người dùng mà không có sự đồng ý của người dùnghoặc người dùng không hề hay biết Cho đến nay, cookies vẫn liên quan đến những van

dé về xâm phạm quyền riêng tư dữ liệu như theo doi người dùng liên trang, quảng cáo,

thống kê, Trong đó, cookie của bên thứ ba được xem là mối quan tâm chính gây ranhững vi phạm này Tuy nhiên, nghiên cứu [2] gần đây chỉ ra rằng cookie của bên thứ

ba không phải là loại cookie duy nhất vi phạm quyén riêng tư dữ liệu

Ngày nay, với sự phát triển của thương mại điện tử và tiếp thị số, HTTP cookie càng

đóng một vai trò quan trọng trong việc phân tích hành vi khách hàng dựa trên dữ liệu

thu thập Từ năm 2002 đến nay, các luật về Quy định bảo vệ dữ liệu chung (GDPR)của EU, ePrivacy, Đạo luật về quyên riêng tư của người tiêu dùng ở California (CCPA,California, 2018), Đạo luật thực thi kỹ thuật số (DCIA, Canada, 2020), Luật bảo vệ

dữ liệu cá nhân (PIPL, Trung Quốc, 2021), Đạo luật liên ban mới về bảo vệ dữ liệu

(nFAPD, Switzerland, 2023), Nghị định 3/2023/ND-CP bảo vệ dữ liệu cá nhân (2023,

Việt Nam) hay một số luật cụ thể Quy tắc bảo vệ dữ liệu sức khoẻ chuẩn Hoa Kỳ

(HIPAA, lĩnh vực sức khoẻ, Mỹ), Đạo luật Gramm-Leach-Bliley (lĩnh vực ngân hàng,

Mỹ) đã được ban hành và áp dụng cho thấy sự quan tâm của các cơ quan có thẩm quyền

về vấn dé bảo mật thông tin cá nhân và quyên riêng tư dữ liệu

2.2.2 Nguyên lý hoạt động của cookie

Hình 2.1 thể hiện nguyên lý hoạt động của cookie, cụ thể gồm các bước như sau:

1 Khi người dùng lần đầu tiên truy cập một trang web, máy người dùng sẽ gửi mộtyêu cầu đến máy chủ

2 Máy chủ nhận yêu cau và sẽ gửi một phản hôi đính kèm cookie đến trình duyệt

của người dùng Trình duyệt nhận và lưu cookie này trên máy tính của người dùng.

3 Khi người dùng truy cập trang web ở những lần tiếp theo, trình duyệt sẽ gửi lạicookie từ máy người dùng cho máy chủ Máy chủ sẽ đọc cookie để nhận dạngngười dùng và tải các tùy chọn người dùng đã chọn trước đó Theo cơ chế, trìnhduyệt web sẽ gửi toàn bộ cookies đã được tạo ra bởi một trang web cùng với mỗi

Trình duyệt web " Máy chủ

Hình 2.1: Nguyên lý hoạt động của cookie

yêu cầu được gửi đến máy chủ của trang web đó.

2.2.3 Phân loại cookie

Dựa trên bồi cảnh cụ thể, web cookie được chia thành hai loại: cookie của bên thứ nhất

(first-party cookie) và cookie bên thứ ba (third-party cookie)

Cookie của bên thứ nhất là những cookies được cài đặt vào trình duyệt của người dùng

bởi chính trang web mà người dùng đang truy cập Trái ngược với cookie của bên thứ

nhất, cookies của bên thứ ba là những cookies được cài đặt vào trình duyệt của người

dùng bởi các trang web không phải là trang web mà người dùng đang truy cập.

Ví dụ ở hình 2.2, người dùng đang truy cập vào domain A (bối cảnh bên thứ nhất), vậycookie của domain A được gọi là cookie của bên thứ nhất Trong khi đó, một trang web

B và trang web C (bên thứ ba) cũng muốn cài đặt vào trình duyệt web của người dùng

cookies domain B và domain C có chứa dữ liệu sử dụng trình duyệt được tạo ra bởi

người dùng khi truy cập vào trang web A (bối cảnh bên thứ nhất - first-party context),

những cookies này được gọi là cookies của bên thứ ba

Tir khía cạnh về quyền riêng tư dữ liệu của người dùng cuối có thể thấy rằng cookies

của bên thứ nhất ít rủi ro hơn so với cookies của bên thứ ba, bởi vì với cookies của bên

thứ nhất, người dùng ít nhất biết được trang web mà họ đang truy cập còn với cookiescủa bên thứ ba thì người dùng không biết được do không được hiển thị trên thanh điều

hướng Vì thế, người dùng hoàn toàn không biết rằng domain B và domain C đang thu

thập dữ liệu về họ, và hiển nhiên người dùng cuối cũng không biết được dữ liệu sử

dụng nào của họ đang được thu thập và thu thập với mục đích gì.

Hình 2.2: Phân loại cookie dựa trên bối cảnh cụ thể

2.2.4 Thuộc tính của cookies

Tiêu đề phản hồi HTTP Set-cookie được dùng để gửi một HTTP cookie từ máy chủđến trình duyệt web, sau đó trình duyệt web có thể gửi ngược lại cookie này cho server

Cookies có thể có những thuộc tính sau dây:?

* <cookie-name>=<cookie-value> - Định nghĩa tên cookie và giá trị của nó Day

là thuộc tính bắt buộc duy nhất của cookie.

* Domain = <domain-value> - Định nghĩa nơi mà cookie sẽ được gửi đến Nếugiá trị thuộc tính này để trống, mặc định của thuộc tính sẽ là máy chủ của URL

đang truy cập, không bao gồm tên miền phụ (sub-domain) Nhưng nếu chỉ định

một tên miễn thi sẽ bao gồm luôn các tên miễn phụ

+ HTTPOnly - Thuộc tính giúp bảo vệ cookies, ngăn chặn truy cập cookies bằng

các ngôn ngữ kịch bản từ phía người dùng Khi cookie có thuộc tính HTTPOnly

thì cookie này chỉ có thể truy cập bằng giao thức HTTP hoặc HTTPS.

* Max-Age=<number> - chỉ số thời gian hết hạn được tính bằng giây của cookies.

Nếu giá trị này bằng 0 hay là số âm thì cookies sẽ hết hạn ngay lập tức

* Path=<path-value> - chỉ đường dẫn cần có trong URL yêu cầu để trình duyệtweb gửi tiêu đề cookie

+ Samesite=<samesite-value> quản lý việc cookies có được gửi đi cùng với yêu

cầu liên trang hay không, nhằm tăng cường bảo vệ người dùng khỏi tắn công liên

trang (CSRF) Những giá trị có thể sử dụng cho thuộc tính này gồm:

2Trong tài liệu này chúng tôi chỉ dé cập đến một số thuộc tính tiêu biểu của cookies sẽ được ding trong thực nghiệm ở Chương 3 Tham khảo [17, 18] để biết thêm về các thuộc tính khác của HTTP

cookies

— None: trình duyệt sẽ gửi cookie với cả yêu cầu liên trang và cùng trang.

“Thuộc tinh Secure cần được khai báo cùng với thuộc tính Samesite= None.

Khi dùng thuộc tính Samesite= None, nếu thiếu giá trị ở thuộc tính Secure

thì trình duyệt sẽ báo lỗi

* Secure: Cookies sẽ được gửi đến server chỉ khi yêu cầu được gửi bằng giao thức

https: scheme (ngoại trừ localhost).

2.2.5 Vấn đề liên quan đến bao mật

Những vấn đề về quyền riêng tư và đặc biệt là theo dõi liên trang không phải là vấn

đề đáng do ngại duy nhất gây ra bởi cookies Ngoài những vấn đề về vi phạm quyền

riêng tư của người dùng, cookies của bên thứ ba còn tăng rủi ro về vấn đề bảo mật

cho người dùng Ví dụ như Giả mạo yêu cầu liên trang ( Crosssite request forgery CSRF) là một kỹ thuật tan công bảo mật khá nổi tiếng dựa trên những yêu cầu liêntrang của cookies Khi nạn nhân truy cập trang web của kẻ tấn công (website B), mộtyêu cầu http sẽ được kích hoạt đến trang web bị tấn công (website A) Nếu không đượcphòng ngừa hay có các cơ chế bảo mật, trình duyệt web của nạn nhân sẽ tự động đínhkèm các cookies của trang web bị tấn công (website A) theo yêu cầu của kẻ tấn côngđến trang web của kẻ tấn công (website B) Nếu trong các cookies bị gửi kèm có chứanhững thông tin liên quan đến bảo mật hay xác thực của nạn nhân, trang web bị tấncông (website A) sẽ xử lý mọi yêu cầu như thể là những yêu cầu này được thực hiện từ

và hiển thị trên thiết bị của người dùng cuối như điện thoại, máy tính, máy tính bang,

Thông tin được truyền tải qua trình duyệt web bằng cách sử dụng giao thức truyền tải

siêu văn bản (Hypertext Transfer Protocol - HTTP), giao thức này sẽ quyết định cácvăn bản, hình ảnh và video sẽ được truyền tải như thé nào trên web

Phiên bản đầu tiên của trình duyệt web dành cho tài liệu HTML được phát triển bởi

Tim Berners-Lee trên NEXT computer vào năm 1990 [19] Vào tháng 05 năm 1991,

Nicola Pellow đã phát triển trình duyệt chế độ đòng [20] Vào năm 1993, Mossac được

phát triển bởi Trung tâm Ứng dụng siêu máy tính quốc gia (NCSA) trở thành trình duyệt web đầu tiên hỗ trợ IMG-tag[21] Ý tưởng ban đầu của thé này là giúp hiển thị

các ảnh cùng với chữ, thay vì chữ và hình ảnh được hiển thị trên các cửa sổ khác nhau,

và người dùng cũng không cần phải bam vào các đường dẫn để hiển thị các hình ảnh

Thẻ IMG này cũng là tài nguyên phụ đầu tiên trong ngôn ngữ HTML Một tài nguyênphụ là một tài nguyên (ví dụ như hình ảnh) được yêu cầu nhúng hoặc thực thi trong

ngữ cảnh của một tài nguyên khác (ví dụ như một tài liệu HTML) Một tài nguyên phụ

có thé là nguồn nội bộ (néu được lưu trữ trên cùng một máy chủ mà tài nguyên đó yêucầu) hoặc là nguồn tài nguyên bên ngoài (nếu được lưu trữ ở một server khác với servercủa tài nguyên yêu cầu) Từ yếu tố nay cho thấy tài nguyên phụ có thể gây ra vấn dé

về bảo mật khi trình duyệt web nạp về một nguồn phụ từ URL không giống với URL

ở thanh điều hướng của trình duyệt web, van dé nay được gọi là những yêu cau liên tài

nguyên Và chính những yêu cầu liên tài nguyên này là sự bắt đầu cho những vi phạm

về quyền riêng tư dữ liệu ngày nay như: cookie của bên thứ ba, cookie theo dõi liên

trang,

2.3.2 Cấu hình liên quan đến cookies

Google Chrome và Opera Do phát triển trên cùng nền tang Chromium nên haitrình duyệt này cung cấp các cầu hình liên quan đến cookies giống nhau, bao gồm:

5 Cho phép tat cả cookies - Allow all cookies° Các trang web có thể dùng cookie

để cải thiện trải nghiệm duyệt web của người dùng, chẳng hạn như để duy trì

trạng thái đăng nhập hoặc ghi nhớ các mặt hàng trong giỏ hàng của người dùng.

Ngoài ra, các trang web có thể sử dụng cookie để xem hoạt động duyệt web của

người dùng trên các trang web khác nhau, chẳng hạn như để cá nhân hóa quảng

cáo.

* Chan cookies của bên thứ ba ở chế độ ẩn danh - Block third-party cookies

in Incognito (hay còn được gọi là Chế độ riêng tư trong trình duyệt Opera)

— Nếu người dùng sử dụng cửa sổ trình duyệt ở chế độ “Bình thường” các

trang web có thể sử dụng cookie để cải thiện trải nghiệm duyệt web của

người dùng, chẳng hạn như để duy trì trạng thái đăng nhập hoặc ghi nhớ

các mặt hàng trong giỏ hàng của người dùng.

3Kể từ phiên bản 115, Chrome đã thay thé tuỳ chọn Cho phép tắt cả cookies bang Cho phép cookies

của bên thứ ba - Allow third-party cookies.

— Khi cửa sổ trình duyệt ở chế độ “An danh”, các trang web không thể dùng

cookie để xem hoạt động duyệt web của người dùng trên các trang web,

ngay cả với những trang web có sự liên quan Và lịch sử hoạt động duyệt web của người dùng cũng không được sử dụng cho những việc như cá nhân

hóa quảng cáo Một số tính năng trên trang web có thể sẽ không hoạt động.

¢ Chan cookies của bên thứ ba - Block third-party cookies.

— Các trang web có thé sử dung cookie để cải thiện trai nghiệm duyệt web

của người dùng, chẳng hạn như để duy trì trạng thái đăng nhập hoặc ghi

nhớ các mặt hàng trong giỏ hàng của người dùng.

— Các trang web không thể sử dung cookie của ban để xem hoạt động duyệt

web của bạn trên các trang web khác nhau, chẳng hạn như để cá nhân hóa quảng cáo Một số tính năng trên trang web có thể không hoạt động.

* Chan tất cả cookies - Block all cookies* Chan tất cả các cookie có nguồn khác

với thanh điều hướng.“*Có nguồn gốc khác nhaư” nghĩa là các yêu cầu đến từ một URL khác với URL lúc đó của thanh điều hướng Một số tính năng trên trang web có thể không hoạt động.

Mozilla Firefox Trinh duyệt Firefox hiện đang cung cấp các cấu hình liên quan đến

cookies như sau:

¢ Tiêu chuẩn - Standard Chan các công cụ theo dõi mang xã hội, cookie theo doi

liên trang, cookie liên trang trong cửa số “ Riêng tư ”, theo dõi nội dung trong cửa sổ “ Riêng tư ”, công cụ khai thác tiền mã hoá và lấy dấu vân tay trình duyệt.

¢ Nghiêm ngặt - Strict Chan các công cụ theo dõi mang xã hội, cookie theo dõi

liên trang trong tất cả các cửa sổ (bao gồm cả cookie theo dõi), theo dõi nội dung trong tất cả các cửa sổ, công cụ khai thác tiền mã hóa, trình lấy dấu vân tay.

¢ Tuy chỉnh - Custom Người dùng có thể chọn các tuỳ chỉnh sau:

— Chan cookies theo dõi liên trang;

— Chan cookies theo dõi liên trang và cô lập các cookies liên trang khác;

— Chan cookies từ những trang web mà người dùng chưa từng truy cập;

— Chan tất cả cookies liên trang;

— Chan tất cả cookies;

*Kể từ phiên bản 115, Chrome đã bỏ tuỳ chọn này

Trình chống theo dõi nâng cao - Enhanced Tracking Protection Để tăng

cường bảo vệ quyền riêng tư nhưng hạn chế ảnh hưởng đến trải nghiệm của

người dùng, Firefox còn cung cấp một tính năng là Trinh chống theo doi nâng

cao Với tính năng này, tất cả các trang "theo dõi" đều bị chặn khi người dùng truy cập một trang web, ví dụ như: theo dõi nội dung, dấu vân tay, trình theo dõi mạng xã hội, cookie theo dõi liên trang và công cụ khai thác tiền mã hoá Tính năng này đã có trong chế độ Tiêu chuẩn (chỉ có ở cửa sổ Riêng tư), Nghiêm ngặt

(trong tất cả các cửa sổ) và Tuỳ chọn (trong tất cả các cửa sổ hoặc trong cửa sổ

Riêng tư), tuy nhiên nếu trang web không hoạt động được thì người dùng có thể tắt tính năng với trang web mà người dùng cần truy cập.

Safari Trinh duyệt Safari hiện cung cấp các cấu hình liên quan đến cookies như sau:

° Ngăn ngừa theo dõi liên trang - Prevent cross-site tracking Nếu người dùng

không truy cập và tương tác với nhà cung cấp nội dung bên thứ ba với tư cách

là trang web của bên thứ nhất, thì các cookies và dữ liệu về bên thứ ba này sẽ bị

xoá.

« Chăn tat cả các cookies - Block all cookies (cũng sẽ đồng thời kích hoạt Chan

cookies liên trang) Chọn chặn tất cả cookies để vô hiệu hoá toàn bộ cookies Câu hình này có thể làm cho trang web không hoạt động.

* Bỏ chọn Chan cookies liên trang và chặn tat cả cookies đồng nghĩa với Cho

phép tit cả cookies Các dif liệu trang web, cookies của bên thứ ba, cookies theo

dõi đều có thé được lưu trong máy người dùng.

Microsoft Edge Trinh duyệt Microsoft Edge hiện cung cấp các cấu hình liên quan đến cookies như sau:

* Cho phép các trang lưu va đọc dữ liệu cookies - Allow sites to save and read

cookie data Khi bật cấu hình này, các trang web có thể đọc và ghi cookies vào

máy tính người dùng.

» Cho phép các trang lưu và đọc dữ liệu cookies + Chan cookies của bên thứ

ba - Allow sites to save and read cookie data + Block third-party cookies.

Khi bật cấu hình này, các trang không thể dùng cookies để theo dõi người dùng

liên trang Cấu hình này có thể ảnh hưởng đến khả năng sử dụng của một vài

trang.

» Bên cạnh các cấu hình cơ bản, người dùng có thể chọn một trong các tuỳ chọn

liên quan đến "Ngăn ngừa theo đối" sau:

— Co ban - Basic: Cho phép hầu hết các trình theo dõi liên trang va chặn

những trình theo dõi nguy hiểm đã biết

- Cân bằng - Balanced: Chặn các trình theo dõi từ các trang mà người dùng

chưa từng truy cập Chặn những trình theo dõi nguy hiểm đã biết.

— Nghiêm ngặt - Strict: Chan hầu hết các trình theo dõi từ tất cả các trang.

Chan các trình theo dõi nguy hiểm đã biết.

» Thiết kế hai thực nghiệm: (1) Thực nghiệm trên các cấu hình liên quan đến

cook-ies và (2) Thực nghiệm trên các cấu hình chặn cookcook-ies đuợc cung cấp bởi năm

trình duyệt web: Google Chrome, Mozilla Firefox, Safari , Opera va Microsoft

Edge.

» Thực hiện kiểm tra việc gửi/nhận cookie ở mỗi cấu hình của mỗi trình duyệt web

để đưa ra nhận định về các mức độ bảo vệ cookies khác nhau của các cấu hình liên quan đến cookies được cung cấp của năm trình duyệt web.

» Kiểm tra việc nhận và lưu trữ cookie ở các cầu hình chặn của năm trình duyệt

web được chọn Lập bảng so sánh kết quả từ thực nghiệm các cầu hình của năm

trình duyệt web và đưa ra các nhận định.

Các thành phần chính trong thực nghiệm gồm:

Máy chủ web Thực nghiệm của chúng tôi chạy trên hai máy chủ web với tên miền

khác nhau (domainA và domainB) như được mô tả ở Hình 3.1 Người dùng sẽ truy cập

vào trình duyệt web (browser), thao tác trên giao diện web (domain A) Các thao tác

này sẽ lần lượt các yêu cầu đến domainB theo nhiều phương thức và loại cookie khác

nhau.

Ứng dụng web Thực nghiệm của chúng tôi phát triển một ứng dụng web (domain

A) đơn giản như mô tả ở Hình 3.2 với cơ chế như sau:

Seen eee ee ene ~~ - ae ee esead | <a href="https://domainB/cookietester/check">check</a>

Hinh 3.2: M6 hinh giao dién web

* Bang cách chon các yêu tố HTML ở phần (1) và (2) của trang web - "Serviet!",

"Servletlb", "Servlet2", "Servlet3", "servlef2”, "servlet3" như hình 3.3, người

dùng sẽ kích hoạt các yêu cầu khác nhau gửi đến domainB Mỗi yêu cầu sẽ được phản hồi lại bởi domainB bằng một loại cookie khác nhau về thuộc tính.

* Bang cách chọn hai yêu tô HTML ở phần (3) và (4) của trang web - "Check" như

hình 3.3, người dùng sẽ kích hoạt các yêu cầu gửi đến domainB Mỗi yêu cầu sẽ được phản hdi bởi domainA bằng cách đính kèm với yêu cầu này một danh sách các cookies đã được gửi đến domainB.

QWebServlet( , urlPatterns = {"/seruiet"}, )

public class CookieServlet extends HttpServlet {

public void doGet (HttpServletRequest request, HttpServletResponse response)

wf

response addHeader ("Access-Control-Allow-Credentials", "true");

response addHeader ("Access-Control-Allow-Origin", domainA) ; response setHeader("Set-Cookie", "cookie= value; Domain=domainB; Path=path;

SameSite= same-_site; [secure]; [http_only]; Max-Age=maz-_age;");

Hinh 3.4: Mau Servlets

Servlets Trong thí nghiệm của chúng tôi, các yêu cầu khác nhau được gửi đến domain B được xử lý bởi các servlets khác nhau Mỗi servlet là một phiên ban

khác nhau của mau servlet như trong hình 3.4 Về cơ bản, các servlets khác nhau

về thuộc tính của cookies mà nó đính kèm trong mỗi phản hồi Cụ thể các yêu cầu sẽ gửi đến:

Secure đi kèm với gia tri SameSite=None Chúng tôi chon giá tri thuộc tính Max-Age=

600 tương đương với thời gian tồn tại của cookie là 600s Đây là giá trị vừa đủ để chúng tôi có thể thực hiện các thao tác kiểm tra sự tồn tại của cookies sau khi cookies được cài đặt, và đảm bao cookies sẽ mat đi khi chúng tôi bắt đầu kiểm tra với một cấu hình

khác.

Ngoài ra, còn có yêu cầu gửi đến /cookiester/check sẽ được xử lý bởi mẫu servlet kiểm tra như thể hiện ở hình 3.6 Về cơ ban, servlet kiểm tra này sẽ phản hồi lai bằng danh sách các cookies đã được gửi kèm với yêu cầu.

Servlet | Cookie |Domain|Path|Max-Age|HttpOnly |Secure SameSite]

servleti |cookiel |domainB|path 600|false false |None |

servletib |cookielb |domainB|path 600|false true None

servlet2 |cookie2 Lax

servlet3 |cookie3 Strict

servlet21k|cookie21k Lax

servlet31k|cookie31k Strict

Hình 3.5: Mối quan hệ giữa servlets va cookies, với đường dẫn - path= cookiester.

@WebServlet (name = "Check", urlPatterns = { "/check" }, )

public class ServletCheck extends HttpServlet {

public void doGet (HttpServletRequest request, HttpServletResponse response)

`

response.addHeader ("Access-Control-Allow-Credentials", "true");

response addHeader ("Access-Control-Allow-Origin", domainA) ;

StringBuilder reqCookies = new StringBuilder () ;

reqCookies.append (ck[i] getName() + "; ");

{

reqCookies.append("No cookies") ; }

PrintWriter writer = response.getWriter() ; writer println(reqCookies.toString()) ;

Hinh 3.6: Mau Servlet kiém tra

Hình 3.7: Thống kê thị phan trình duyệt web trên toàn thé giới (Tháng 05 2023)

Trình duyệt web Vào tháng 05 năm 2023, [22] công bố kết quả thống kê các trình duyệt web được sử dụng phổ biến, bao gồm máy tính bàn, máy tính bản và thiết bị di động Dưa trên bảng thống kê này, chúng tôi chọn ra năm trình duyệt web được sử dụng phổ biến nhất để làm thực nghiệm, bao gồm các trình duyệt: Google Chrome, Mozilla

Firefox, Safari, Opera và Microsoft Edge như hình 3.7.

3.2 Phương pháp thực hiện đối với các cau hình liên quan đến

cookies

Các phương thức: Với mỗi cấu hình của trình duyệt web, chúng tôi lần lượt kiểm

tra với ba phương thức sau:

* Phương thức "xhr:get" Bằng cách bam vào nút Check, chúng tôi kích hoạt

một JavaScript XMLHttpRequest đến domainB/cookiestester/check.

* Phương thức "<a>:href"" Tạo liên kết bằng thẻ <a>:href trong html Bằng cách bam vào đường dẫn Check, chúng tôi triggered một request đến domainB/cooki-

estester/check.

* Phương thức "url:top" Nhập địa chỉ vào thanh điều hướng Bằng cách nhập

vào thanh điều hướng địa chỉ của domainB/cookiestester/check, người dùng sẽ kích hoạt một yêu cầu đến domainB/cookiestester/check.

Các bước thực hiện Với mỗi trình duyệt web và với mỗi cấu hình được cung cấp bởi

trình duyệt web, chúng tôi thực hiện những bước sau:

» Bước 1 Xoá hết toàn bộ cookies đã được cài đặt ở trình duyệt web

» Bước 2 Bấm lần lượt vào các nút servletl, servletlIb, servlet2 và servlet3

» Bước 3 Bấm lần lượt vào các đường dẫn servlet21k và servlet31k

* Bước 4 Bam vào nút Check và ghi nhận lại danh sách những cookies được hiển

thi.

* Bước 5 Bấm vào đường dẫn Check và ghi nhận lại danh sách những cookies

được hiển thị.

» Bước 6 Nhập vào đường dẫn (URL) domainB/cookiestester/check vào thanh

điều hướng và ghi nhận lại danh sách các cookies được hiển thị.

3.3 Phương pháp thực hiện đối với câu hình chan cookies

Bên cạnh việc thực nghiệm với toàn bộ các các cấu hình liên quan đến cookies của trình duyệt web, chúng tôi còn đặc biệt quan tâm đến các cấu hình liên quan đến việc chặn cookies Để hiểu rõ hơn về ý nghĩa của từ chdn được các trình duyệt web sử dụng trong mô tả các cấu hình liên quan đến cookies, chúng tôi đã thiết kế một thực nghiệm riêng về các cấu hình liên quan đến chdn cookies trên năm trình duyệt web Trong thực

nghiệm về cau hình chặn cookies này chúng tôi thực hiện:

* (1) Kiểm tra xem các cookies có được lưu trữ trong cơ sở dữ liệu của các trình

duyệt web khi người dùng sử dung câu hình liên quan đến Chăn cookies không

* (2) Kiểm tra khái niệm chdn đang được sử dụng trong các cấu hình là chặn gửi

các cookies đi hay chặn việc nhận cookies.

Để từ đó đưa ra những kết luận về thuật ngữ chdn dang được sử dung trong các cài đặt

cấu hình cookies, và việc sử dụng các cấu hình liên quan đến chặn cookies này có ảnh hưởng đến các quyết định gửi hay nhận cookies của trình duyệt web không.

Các cấu hình Chúng tôi thực hiện trên các cấu hình liên quan đến việc chặn toàn

bộ cookies, chan cookies của bên thứ ba, chan cookies theo dõi hoặc chan cookies liên

trang của các trình duyệt web được chọn như sau:

* Google Chrome va Opera: Chan các cookies của bên thứ ba, Chan toàn bộ

cook-ies.

¢ Mozilla FireFox: Chan các cookie không được truy cap, chan tất cả các cookie; Tiêu chuẩn - Chặn cookies liên trang trong tất cả cửa sổ !

¢ Microsoft Edge: Cho phép các trang web lưu và đọc dữ liệu cookie + Chan cookie

của bên thứ ba.

* Safari: Chan tat cả cookie

!Theo Firefox, Cookie của bên thứ ba còn được gọi là Cookie liên trang, là cookies được cài đặt bởi

một trang web khác không phải là trang web mà bạn đang truy cập.

Khái niệm Ngoài ra, chúng tôi định nghĩa một số khái niệm được sử dụng trong

thực nghiệm này như sau ”:

¢ Dữ liệu trang - Site-data: chỉ các dữ liệu được lưu trữ trên trình duyệt của người

dùng khi họ truy cập các trang web Dữ liệu trang bao gồm các cookies, bộ nhớ

đệm, bộ nhớ cục bộ, bộ nhớ phiên, Người dùng có thể xem và quản ly dif liệu

trang ở phần cài đặt của các trình duyệt web.

¢ Luu trữ - Storage: Là một tính năng của trình duyệt web cho phép xem va quản

lý các dif liệu sử dụng được lưu trữ trên trình duyệt của mình Phần lưu trữ này

có thể được truy cập bằng cách vào Công cụ dành cho lập trình viên.

* Cơ sở dit liệu: có nghĩa là cơ sở đữ liệu cookies của trình duyệt web, thường được

lưu trong máy tính người dùng ở định dang sqlite hoặc tập tin *.binarycookies.

Cơ sở dữ liệu này có chứa thông tin chỉ tiết về cookies theo mỗi hồ sơ người dùng

của trình duyệt web.

Máy chủ web và ứng dụng web ˆ Ở thực nghiệm này chúng tôi sử dụng máy chủ web

và ứng dụng web giống với thực nghiệm 3.1 Ứng dụng web ở thực nghiệm này cũng

gồm các yêu tố HTML với các servlets tương ứng "Serviet!", "Servletlb", "Servlet2",

"Serviet3", "servlet2", "servlet3" và các phương thức lần lượt là "vhr:gef", "<a>:hreƒ”,

"url:top"

Các bước thực hiện Với mỗi trình duyệt web, và với mỗi cấu hình có từ "block"

-chặn được cung cấp bởi các trình duyệt web, chúng tôi thực hiện các thực nghiệm sau:

s Bước 1: Xoá toàn bộ cookies đã được cài đặt trong trình duyệt web và lịch sử

trình duyệt web.

* Bước 2: Kiểm tra sự tồn tại của các servlet (domainB) cookies trong Dữ liệu

trang, lưu trữ và cơ sở dữ liệu

* Bước 3: Lần lượt bấm vào các nút servlet!, servletlb, servlet2, servelet3 sau đó

bam lần lượt vào các đường dẫn servle2lk và servlet3lk

* Bước 4: Kiểm tra sự tồn tại của các servlet cookies trong dữ liệu trang, lưu trữ,

cơ sở dữ liệu và ghi lại danh sách các cookies hiển thị.”

Chi tiết về các truy cập của mỗi trình duyệt xem ở phục luc A

3Đối với trình duyệt web Firefox, người dùng sẽ cần phải đóng tat cả cửa sổ trình duyệt web trước khi truy cập vào cơ sở dif liệu Cơ sở dif liệu cookies sẽ bị khoá và không truy cập được nếu trình duyệt

đang hoạt động.

Chương 4

THUC NGHIỆM VA KET QUA

4.1 Thực nghiệm với các cấu hình liên quan đến cookies

4.1.1 Thiết lập thực nghiệm

Chúng tôi tiền hành thực nghiệm như các bước mô tả ở phan 3.2 với năm trình duyệt web đã chọn Lần lượt truy cập và kiểm tra việc gửi nhận cookies ở giao diện domain

A Các bảng 4.1 - bảng 4.5 thể hiện kết quả thu được trong thực nghiệm của chúng

tôi Với mỗi bảng là kết quả gửi nhận cookies của các cầu hình của mỗi trình duyệt web

tương ứng với các phương thức và loại cookies khác nhau Sau khi hoàn thành bước 01

đến bước 04, chúng tôi ghi nhận kết quả và đánh dấu (/) hoặc (X) vào phương thức xhr:get Tiếp tục thực hiện bước 05 và ghi nhận kết quả vào phương thức <a>:hzeƒ, và cuối cùng là thực hiện bước 06 và ghi nhận kết quả vào phương thức url:top Với (⁄)

là có ghi nhận được cookies và (X) là không ghi nhận được cookies.

Ngoài ra, từ kết quả thực nghiệm của năm trình duyệt web, chúng tôi tổng hơp thành bảng 4.6, nhằm so sánh mức độ bảo vệ cookie ở cầu hình mặc định của các trình duyệt

web này.

4.1.2 Thực nghiệm đánh gia

Từ kết quả thực nghiệm, chúng tôi tiến hành phân tích sơ bộ và đưa ra được một số

nhận định về thực trạng quản lý cookies của các trình duyệt web hiện nay như sau:

Google Chrome - Phiên bản 114.0.5735.133 (Bản dựng chính thức) (64-bit)

hein] Cookies xhr:get M v x x x x

theo di tiên trang (a):href x x x x x x

url:top v v x v x v

[Chan] Cookies theo | xhr:get v v x x x x

dõi liên trang, và cô | (a):href x x x v x x

lập các cookies liên url:top x x x v x v

trang khác

han] Tất cả xhr:get x x x x x x

Mr liên trang (a):href x x x x x x

url:top x x x v x lá

[Chan] Tat cả xhr:get x x x x x x

cookies (a) :href x x x x x x

url:top x x x x x x

Bảng 4.2: Kết quả thực nghiệm với trình duyệt web Mozilla Firefox

Safari - Phiên bản 16.4 (18615.1.26.110.1)

CookiesCâu hình Phương thức | cookiel | cookielb | cookie2 | cookie21k | cookie3 | cookie31k

ay, xhr:get ⁄ v x x x x

Cho pháp ‘ar (a) href ⁄ v x v x x

cả cookies url:top v vo x v x v

Ngăn ngừa xhr:get x x x x x x

theo dõi liên (a):href x x x v x x

trang url:top x x x M x v

eke xhr:get x x x x x x

cnn a C4 | (a) :href x x x x x x

url:top x x x x x xBang 4.3: Kêt qua thực nghiệm với trình duyệt web Safari

Microsoft Edge - Phiên bản 114.0.1823.58 (Ban dựng chính thức) (x86_64)

Cookies

Cau hình Phương thức | cookiel | cookielb | cookie2 | cookie21k | cookie3 | cookie31k

Cho pháp lưu và xhr:get x x x x x x

doc dữ liệu cookies | (a):href x x x v x x

+ Chan cookies url:top x x x M x v

cua bén thit ba

; ` xhr:get x v x x x x

đạc đã lên cookies (a)-href x x x x x x

url:top x v x v x v

Khong cho phép xhr:get x x x x x x

lưu và doc dữ liệu | (a):href x x x x x x

cookies va khéng url:top x x x x x x

ngăn ngừa theo dõi

Bảng 4.4: Kết quả thực nghiệm với trình duyệt web Microsoft Edge

chan tat ca (a) :href x x x x x x

url:top x x x x x x

Bang 4.5: Kết quả thực nghiệm với trình duyệt web Opera

Cookies

Câu hình Phương thức | cookiel | cookielb | cookie2 | cookie21k | cookie3 | cookie31k

Google Chrome - xhr:get x v x x x x

các trang lưu và (a):href x v x v x x

doc dit liệu cookies | url:top x ⁄ x ov x v

* Các trình duyệt web khác nhau cung cấp các câu hình quản lý cookies khác

nhau Ngoại trừ trình duyệt Chrome và Opera - với đặc điểm chung đều là trình duyệt được phát triển dựa trên Chromium - có cấu hình giống nhau về quản lý cookies, thì tất cả trình duyệt web còn lại trong số các trình duyệt web được lựa chon cho thực nghiệm, đều cung cấp một tập các cấu hình khác nhau về quan lý cookies Các cấu hình này không chỉ khác nhau về danh bộ mà còn khác nhau về mức độ bảo vệ cookies mà trình duyệt web cung cấp Một số ví dụ khác nhau về

danh bộ như:

— Chrome & Opera: Cho phép tắt cả cookies, Chăn cookies của bên thứ ba

- Firefox: Tiêu chuẩn, Nghiêm ngặt, Chan cookies theo dõi liên trang

— Edge: Cho phép các trang lưu và doc dit liệu cookies

— Safari: Ngăn ngừa theo dõi liên trang

Từ những cấu hình khác danh bộ này, khi so lên bảng kết quả thực nghiệm sẽ thấy được các cấu hình này khác nhau về mức độ bảo vệ cookies.

* Các câu hình liên quan đến cookies khác nhau, được cung cấp bỏi các trình

duyệt khác nhau, hướng đến những mục tiêu về van dé bảo mật khác nhau Ví dụ

như từ trình duyệt web Firefox với cấu hình "Chăn cookies theo dõi liên trang", trình duyệt web Safari với cấu hình "Ngăn ngừa theo dõi liên trang" và trình

duyệt web Edge với tuỳ chọn về mức độ bảo vệ theo déi đi kèm vơi cấu hình cookies, có thể thay Firefox, Safari, và Edge quan tam đến van dé theo dõi người

dùng, trong khi Chrome và Opera thì quan tâm đến cookies của bên thứ ba khi

có cầu hình quản lý cookies là "Chan cookies của bên thứ ba"

Như đã để cập ở phần lý thuyết, cookies của bên thứ ba là cookies được tạo bởi các trang web khác với trang web người dùng đang truy cập, và có thể được sử

dụng để theo dõi người dùng Một cookie theo dõi liên trang thường là cookies

của bên thứ ba, tuy nhiên một cookie của bên thứ ba có được xem là là một

cookie theo liên trang hay không còn phụ thuộc vào cách định nghĩa hoặc danh sách cookies theo dõi liên trang được sử dụng bởi mỗi trình duyệt web, trong trường hợp này là các trình duyệt web Mozilla Firefox, Safari va Microsoft Edge.

Mỗi trình duyệt sẽ có cách định nghĩa hoặc danh sách cookies theo dõi liên trang

khác nhau, dẫn đến kết quả thực nghiệm của các cấu hình cookies này cũng khác

nhau.

Firefox, Safari và Edge xem các cookies được tao ra bởi các trang quảng cáo va

phân tích của bên thứ ba là các cookies theo dõi liên trang Vì vậy, trong thực nghiệm của chúng tôi, domainB được đánh giá không phải là cookies của trang

quảng cáo hay phân tích thuộc về bên thứ ba, do đây chỉ là domain riêng và

được lập ra để sử dụng cho thực nghiệm này nên Firefox đã không "chặn" các

cookies của bên thứ ba là "servlet?" và "servletlb" khi chọn cấu hình "Chdn các cookies theo dõi chéo", mà chỉ chặn khi chọn cấu hình "Chăn tắt cả các

cross-site cookies".

* Cầu hình mặc định của các trình duyét web khác nhau sẽ cung cấp các mức độ

bảo vệ cookies khác nhau Các câu hình mặc định của trình duyệt web Chrome, Firefox, Safari, Edge va Opera lần lượt là "Chan cookies của bên thứ ba", "Chế

độ tiêu chuẩn", "Ngăn chặn theo dõi chéo", "Ngăn chặn theo dõi ở mức cân bằng

và cho phép tất cả các cookies" Kết quả thực nghiệm của chúng tôi ở bảng 4.6 cho thấy chế độ cầu hình mặc định của các trình duyệt web khác nhau cung cấp

các mức độ bảo vệ cookies khác nhau.

* Không có một bản đối chiếu hay bản dịch rõ ràng về mức độ bảo vệ các cookies

được cung cắp bởi những cầu hình khác nhau của các trình duyệt web khác nhau.

Đây là một hệ quả hiển nhiên khi các trình duyệt web có các cách tiếp cận khác

nhau về các vấn dé bảo mật Ngoại trừ cấu hình "Chăn tắt cả các cookies" hoặc khi áp dụng "Cho phép tắt cả các cookies" ,thì không có mức độ bảo vệ cookies

nào là giống nhau giữa các trình duyệt web Google Chrome, Mozilla Firefox,

Safari , Opera và Microsoft Edge.

Mặc dù cấu hình “Chăn tát cả cookies" sẽ có thé bảo vệ cookies một cách toàn

vẹn nhất, nhưng đây không phải là một lựa chọn tối ưu và cấu hình này cũng không được khuyên dùng bởi các nhà cung cấp trình duyệt web, bởi vì cau hình này sẽ ảnh hưởng rất lớn đến khả năng mà người dùng có thể truy cập vào các trang web Bên cạnh đó, cấu hình "Cho phép tắt cả các cookies" cũng không phải là lựa chọn tốt đối với người dùng, do cấu hình này cung cấp mức độ bảo vệ cookies kém nhất và sẽ gây rủi ro về an toàn thông tin cho người dùng.

4.2 Thực nghiệm với câu hình chặn cookies

4.2.1 Thiết lập thực nghiệm

Chúng tôi tiến hành thiết lập thực nghiệm như các bước đã mô tả ở phần 3.3 với năm

trình duyệt web đã chọn Chúng tôi lần lượt truy cập và kiểm tra việc gửi nhận cookies

ở giao diện domain A của các cấu hình chặn cookies Bảng 4.8 - 4.10 thể hiện kết quả

ghi nhận được khi kiểm tra với các cấu hình chặn cookies của năm trình duyệt web Với mỗi bảng là kết quả gửi nhận cookies của các cấu hình chặn của mỗi trình duyệt

web tương ứng với các phương thức và loại cookies khác nhau.

Ở thực nghiệm này chúng tôi chỉ thực hiện trên các cấu hình có từ Block - chặn, được

đánh dấu bằng (X) và (⁄⁄) Với (⁄) là có ghi nhận lưu trữ cookies và (X) là không có

lưu trữ cookies.

Ngoài ra, chúng tôi còn thực hiện thay đối cấu hình tại thời điểm sau khi cookies được

cài đặt và trước khi cookies được gửi đi ở các cấu hình chặn cookies của năm trình duyệt web, để có thể so sánh chi tiết hơn về các cầu hình chặn của các trình duyệt web.

Trình duyệt Google Chrome Khi thay đổi cấu hình từ Cho phép cookies của bên

thứ ba sang Chặn cookies của bên thứ ba, các cookies đã được cài đặt trước đó vẫn

được giữ nguyên vẹn Cấu hình "Chăn cookies của bên thứ ba" sẽ ngăn chặn việc gửi các cookies của bên thứ ba đi kèm theo các yêu cầu Vì vậy, đối với trình duyệt

Chrome, bên cạnh thuộc tinh của chính cookies đó, cấu hình của trình duyệt web cũng

ảnh hưởng đến việc cookies có được gửi đi hay không.

Trình duyệt Safari Ngược lại với trình duyệt Google Chrome, khi người dùng thay

đổi cầu hình từ Cho phép tắt cả cookies sang Chăn cookies theo doi liên trang và chặn tắt cả cookies, các cookies đã được cài đặt trước đó sẽ bị xoá toàn bộ Mặc dù việc xoá toàn bộ cookies sẽ tránh được tuyệt đối nguy cơ cookies bị gửi đi, nhưng hành vi này có thể gây ảnh hưởng nghiêm trọng đến trải nghiệm người dùng, do nếu người dùng tình

cờ đổi sang chế độ Chăn cookies theo dõi liên trang và chặn tắt cả cookies và chuyển

lại chế độ Cho phép tắt cả cookies thì các dữ liệu cookies cũng sẽ không thể khôi phục

như ban đầu.

Trình duyệt Firefox Không tách biệt chế độ cài đặt cookies và cài đặt Ngăn chặn theo dõi như Edge và cũng không dùng từ "theo dõi" như Chrome, Firefox kết hợp các chế độ cài đặt cookies và chế độ ngăn chặn theo dõi thành một chế độ chung gọi là Bảo

vệ theo dõi nâng cao (Enhanced Tracking Protection)

Vì vậy, đối với Firefox, ngoài các thuộc tính vốn có của cookies, chế độ Bảo vệ theo dõi nâng cao (bao gồm cả chế độ cài đặt cookies) cũng sẽ ảnh hưởng đến kết quả của

việc gửi/ nhận cookies.

Với chế độ Nghiêm ngặt và Tiêu chuẩn, Firefox bảo vệ người dùng bằng cách hỗ trợ

CHIPS - cho phép lưu trữ các cookies của bên thứ ba với thuộc tính samesite = "None"

vào từng "phân vùng" cookies riêng, gắn liền với domain truy cập ở thanh điều hướng Những cookies thuộc phân vùng tương ứng chỉ có thể được truy cập từ trang web đã

cài đặt cookies này lúc ban đầu Cụ thể như sau:

* Một người dùng đang sử dụng chế độ "Chdn cookies theo dõi liên trang "truy

cập vào domainB và thực hiện bước 3 và bam nút Kiểm tra Kết quả kiểm tra ghi

nhận được 04 cookies: Servlefl, Servletlb, Servlet2Ik và Servlet3Ik.

Chan cookies cua

bên that ba (⁄) (a):href x x x v x x

di 02 cookies 1a cookies 2Ik và 3Ik.

* Chúng tôi tiến hành kiểm tra cơ sở dữ liệu để tim sự khác biệt Từ đó nhận thấy,

ở thực nghiệm đầu tiên với chế độ Tiêu chuẩn, cookies Servlet 1 va Servlet 1b

được ghi nhận với một thuộc tính bổ sung là originAttributes = localhost như hình 4.2 Và 04 cookies này được chia thành 02 phân vùng thuộc về 02 domain

khác nhau Khi kiểm tra ở site-data, chúng tôi cũng có kết quả tương tự, với 02

cookies Servlet] và ServletIb thuộc tính originAttributes = localhost sẽ thuộc domainA và cookies Servlet2Ik và Servlet3Ik thuộc domainB như hình 4.1.

* Ngoài ra, nếu đổi từ cấu hình “Chăn cookies theo doi liên trang" sang câu hình

Tiêu chuẩn, khi chúng tôi thực hiện yêu cầu cookie Servlet! lại một lần nữa,

một cookie Servlet! khác sẽ được ghi nhận vào cơ sở dữ liệu với thuộc tính

originAttributes = localhost như thể hiện ở hình 4.3.

Vì vậy, với trình duyệt FireFox, chế độ cài đặt không phải là điều kiện duy nhất quyết

định việc cookies có được gửi đi hay không, mà còn phải phụ thuộc vào thuộc tính của

cookies (thuộc tính nguyên bản và thuộc tính được bổ sung khi cài đặt) và chế độ cài đặt hiện tại Ngoài ra, Firefox cũng cung cấp cho người dùng nhiều tự do hơn so với trình duyệt Chrome, Edge hay Safari, khi người dùng chỉ muốn ngăn chặn cookies của bên thứ ba (kể cả không phải là cookies theo dõi) họ có thể sử dụng cấu hình chặn

cookies của bên thứ ba, hoặc ngược lại vơi cookies theo dõi.

4.2.2 Thực nghiệm đánh gia

Từ kết quả thực nghiệm, chúng tôi tiến hành phân tích sơ bộ và đưa ra được một số nhận định liên quan đến các cấu hình chặn cookies của các trình duyệt web hiện nay

như sau:

Mozilla Firefox - Phiên ban 114.0.2

Cookies

Cau hinh Phương thức | cookiel | cookielb | cookie2 | cookie21k | cookie3 | cookie31k

Tiéu chudn - xhr:get ⁄ v x x x x

Chan cookies liên | (a):href x x x v x x

trang trong cdc url:top x x x ⁄ x v

cửa sổ (V) database v v x v x v

Nghiêm ngặt - xhr:get v v x x x x

Chan cookies liên | (a):href x x x v x x

trang trong cdc url:top x x x v x v

cửa sổ (V) database v v x v x v

[Chan] Cookies xhr:get v ov x x x x

theo dõi liên (a):href v v x v x x

trang (V) url:top v v x v x v

database v v x v x v

[Block] Cookies theo | xhr:get ⁄ ⁄ x x x x

dõi liên trang, và cô | (a):href x x x v x x

lập các cookies liên | url:top x x x ⁄ x ⁄

ca xhr:get v ⁄ x x x x

Cho Phe tat Calta 7 7 X ⁄ X x

url:top ⁄ v x v x v

Ngăn ngừa xhr:get x x x x x x

theo dõi liên (a):href x x x v x x

trang url:top x x x ⁄ x ⁄

"+ xhr:get x x x x x x

cnn mí) |) Mei x x x x x x

url:top x x x x x x

Bảng 4.9: Kết quả thực nghiệm cấu hình chặn cookies với trình duyệt web Safari

Edge - Phiên ban 114.0.1823.58 (Ban dựng chính thức) (x86_64)

Cookies

Câu hình Phương thức | cookiel | cookielb | cookie2 | cookie21k | cookie3 | cookie31lk

Cho phép các xhr:get x x x x x x

trang lưu và đọc | (a):href x x x v x x

dit liệu cookies + | url:top x x x v x v

Chan cookies của | database x x x v x ⁄

bên thứ ba (X)

Cho phép các xhr:get x v x x x x

trang lưu và (a):href x v x v x x

doc dữ liệu url:top x v x v x ⁄

Chan cookies | xhr:get x x x x x x

của bên thứ ba | (a):href x x x v x x

Bang 4.11: Kết quả thực nghiệm cấu hình chặn cookies với trình duyệt web Opera

Manage Cookies and Site Data x

The following websites store cookies and site data on your computer Firefox keeps data from websites with persistent storage until you delete it, and deletes data from websites with non- persistent storage as space is needed.

Search websites

Site | Cookies Storage vy | Last Used

tanbinhtech.com 2 64.0 KB 4 minutes ago

localhost Lˆ 64.0 KB 5 minutes ago

Hình 4.1: Kết quả ở site-data của trình duyệt web Mozilla Firefox

sqlite> select * from moz_cookies;

id originAttributes name value host path

2 *partitionKey=*28http%2Clocalhost%2C8080%29 cookiel cookie1 -www.tanbinhtech.com /cookietester

3 ^partitionKey=X28http2ClocalhostX⁄2C8089%29 cookielb cookielb www.tanbinhtech.com /cookietester

4 cookie2lk cookie2lk wwv.tanbinhtech.com /cookietester

5 cookie3lk cookie3lk wwv.tanbinhtech.com /cookietester

sqlite> Jj

Hình 4.2: Kết quả truy van co sở dữ liệu cookies của trình duyệt Mozilla FireFox

sqlite> select * from moz_cookies;

id originAttributes name value host path expiry lastAccessed

te rawSameSite schemeMap

1 cookie1 cookie1 „www.tanbinhtech.com /cookietester 1692682839 1692677110645042

2 ° ; cookielb cookielb www.tanbinhtech.com /cookietester 1692682840 1692677110645042

3 ° ? cookie2lk cookie2lk www.tanbinhtech.com /cookietester 1692682842 1692677110645042

4 : > cookie3lk cookie3lk www.tanbinhtech.com /cookietester 1692682845 1692677110704369

5 ‘parti tionKey-2O8httpðÖ1oea1host2208080%29 cookie1 cookie1 „www.tanbinhtech.com /cookietester 1692683250 1692677259814428

—

Hình 4.3: Kết quả khi thực hiện lại yêu cầu với cookie Servletl ở trình duyệt web

Mozilla Firefox

* Các trình duyệt không hoàn toàn hỗ trợ CHIPS: Mặc dù các trình duyệt

Chrome và Firefox thông báo đã có hỗ trợ CHIPS để hạn chế rủi ro từ cookies của bên thứ ba, nhưng kỹ thuật này cũng không được áp dụng cho tất cả mọi cấu hình của trình duyệt web, mà chỉ áp dụng ở các cấu hình có mức độ bảo

vệ cookies thấp Cụ thể hơn, theo kết quả thực nghiệm ở trình duyệt Firefox, kỹ thuật này chỉ áp dụng ở hai cấu hình liên quan đến cookies là Tiêu chuẩn và Nghiêm ngặt Nếu người dùng có thay đổi về cấu hình ở khoảng thời gian sau khi cookies được cài đặt và trước khi cookies được gửi di, thì sẽ dẫn đến đến sự thiếu nhất quán trong quyết định cookies có được gửi đi hay không.

° Quyết định gửi cookies: Như thể hiện ở hình 4.4 Việc quyết định một cookies

có được gửi đi hay không phụ thuộc vào: (1) Các thuộc tính của chính cookies

đó và (2) Yếu tố thuộc về bối cảnh tại thời điểm cần đưa ra quyết định, bao gồm:

cấu hình liên quan đến cookies của trình duyệt web, phương thức yêu cầu, và

thuộc tính bổ sung ! - được thêm vào khi cookies được cài đặt và lưu trữ.

— Thuộc tính của chính cookies: liên quan đến các thuộc tính về samesite =

Non/Lax/Strict của cookies được chỉ định bởi lập trình viên.

— Yếu tố thuộc về bồi cảnh cần đưa ra quyết định gửi hoặc cài đặt một cookie:

+ Cầu hình của trình duyệt web: Cookies cũng sẽ được quyết định có

hoặc không cài đặt/gửi dựa trên cấu hình của trình duyệt web Ví dụ: Với cấu hình "Chan toàn bộ cookies" sẽ không không cài đặt bất kỳ

cookies nao gui đến và cũng không sửi di bat ky cookies nào kể cả khi cookies này có tổn tại trong CSDL.

+ Thuộc tính bổ sung: thuộc tính này là hệ quả của cấu hình trình duyệt

web Ví dụ: Với cấu hình có hỗ trợ CHIPS, cookies tên Servlet] khi

được lưu trữ sẽ bổ sung thêm thuộc tính originAttributes =

<dia-chi-6-thanh-diéu-huéng> Với thuộc tính này, cookie sẽ không gửi đi đến domain khác với giá trị ở thuộc tính originAttributes bằng phương thức đường dẫn <a>href Tuy nhiên, nếu ở cấu hình không hỗ trợ CHIPS,

cookie Servlet] này sẽ không được bổ sung thuộc tính originAttributes

= <địa-chỉ-ủ-thanh-điểu-hướng>.

«Sự thiếu nhất quán về mục tiêu liên quan bao mật khác nhau giữa các trình duyệt

web dẫn đến những hành vi khác nhau của các cấu hình liên quan đến cookies,

ngay cả với cau hình chặn cookies Khác với Firefox, trình duyệt Chrome và

Edge quan tâm đến việc chặn cookies của bên thứ ba mà không phải là cookies theo dõi liên trang Vì thế 02 trình duyệt này có kết quả giống nhau khi cấu hình

!Đối với trình duyệt web có hỗ trợ CHIPS

* SAMESITE = <STRICT /LAX/NONE>

Hình 4.4: Mô hình các thành phan liên quan việc quyết định gửi/nhận cookies

"Chặn cookies của bên thứ ba"; trình duyệt web Chrome và Edge chỉ đơn giản

từ chối cài đặt cookies Samesite = None, với các cookies có thuộc tính Samesite

= Lax hay Strict thì vẫn được lưu vào cơ sở dit liệu Các cookies này sẽ chỉ được

gửi đi khi người dùng truy cập vào domain B thông qua đường dẫn hoặc bằng thanh điều hướng Còn với Firefox ở chế độ Tiêu chuẩn, vẫn sẽ cài đặt cookies

với thuộc tính SameSite = None, và các cookies nay sẽ được thêm một thuộc tính

originAttributes = domain của bên thứ nhất - thể hiện nguồn gốc cookies này được cài đặt, tức là tên domain được hiển thị trên thanh điều hướng.

Khoảnh khắc của cookies Tv thực nghiệm, chúng tôi nhận thấy rằng có hai khoảng

khắc quan trọng khi nói về cookies đó là khi cookies được cài đặt và khi cookies được gửi đi Có một số tác động có thể xảy ra giữa hai khoảnh khắc này, ví dụ như người dùng thay đổi cấu hình của trình duyệt web, cookies bi xoá đi, và nó có thể thay đổi kết quả của quyết định: Liệu một cookies có được cài đặt hay gửi di hay khong?

» Khoảng khắc khi cookies được cài đặt: phụ thuộc vào cấu hình của trình duyệt

web

* Khoảnh khắc khi cookies được gửi đi: phụ thuộc vào bối cảnh và phụ thuộc vào

thuộc tính của chính cookies đó.

Việc bảo vệ cookies cần được chú trọng vào việc làm rõ và giới hạn cookies được cài đặt Bởi nếu cookies không được cài đặt, chúng sẽ không bị gửi đi Một khi cookies đã được cài đặt và lưu vào cơ sở dữ liệu, cookies sẽ được gửi đi bằng cách này hoặc cách khác Lúc này việc quyết định một cookie có được gửi đi hay không sẽ không còn phụ thuộc vào cấu hình của trình duyệt web nữa, mà sẽ phụ thuộc vào bối cảnh lúc đó bao gồm cả thuộc tính của cookies và phương thức sử dụng.

Chương 5

KHẢO SÁT

5.1 Nội dung khảo sát

Từ kết quả thực nghiệm, chúng tôi nhận thấy kiến thức về công nghệ cần có để có thể

hiểu được các mức độ bảo vệ cookies của cookies trong từng cấu hình được cung cấp bởi các trình duyệt web khác nhau vượt quá sự hiểu biết trung bình của người dùng cuối Vì vậy, chúng tôi đã thực hiện một cuộc khảo sát với mục tiêu tìm hiểu nhận thức của người dùng Internet về dữ liệu riêng tư và mức độ hiều biết của người dùng Internet đối với các chế độ Cài đặt về quyền riêng tư liên quan đến cookies được cung cấp bởi

các trình duyệt web.

Danh sách các câu hỏi được sử dụng để khảo sát được cung cấp ở Phụ lục B Các câu hỏi được trình bày với hai lựa chọn tiếng Anh và tiếng Việt Nội dung câu hỏi không yêu cầu thông tin định danh cá nhân từ người dùng và đảm bảo không thể nhận diện hay định danh người dùng từ câu trả lời cung cấp cho khảo sát.

Khảo sát được thực hiện online bằng Google Form, kéo dài từ ngày 10/05/2023 đến ngày 31/05/2023 Tổng cộng nhận được 158 phản hồi ! hợp lệ với đa phần là người dùng từ 18-35 tuổi (90,4%) và thông thạo trong việc sử dụng Internet với 61,5% người

tham gia khảo sát luôn luôn sử dụng Internet cho công việc, tác vụ hằng ngày và giải

trí.

5.2 Kêt quả khảo sát

Theo thống kê từ kết quả khảo sát, chúng tôi rút ra được một số kết luận như sau:

¢ Người dùng tham gia khảo sát thường xuyên sử dụng Internet với hơn 54% người

tham gia khảo sát sử dụng Internet mỗi ngày để tìm kiếm thông tin và hơn 48%

sử dụng Internet để mua sắm ít nhất mỗi tuần một lần.

! Chúng tôi cam kết thông tin thu thập chỉ được sử dụng cho nghiên cứu này Email của người dùng

không bị thu thập trong quá trình làm khảo sát, và chúng tôi cũng không cung cấp câu trả lời của người

dùng cho bắt kỳ bên thứ ba nào.