Cookie is not Cookie

Let's get to know Cookies
Cookie ที่เราจะมาพูดถึงในวันนี้ มิใช่ขนมหวานที่หลายๆ คนชื่นชอบ แต่ที่เรากำลังพูดถึงนั้น มันเป็นเทคโนโลยีเก่าแก่ที่เกิดขึ้นมาตั้งแต่ปี ค.ศ. 1994 ซึ่งมันคือชื่อของข้อมูลขนาดเล็ก ที่ได้มาจากการเชื่อมต่อระหว่างเว็บไซต์กับเครื่องคอมพิวเตอร์ โดยมันมีชื่อเรียกอีกหลายชื่อ เช่น HTTP Cookie บ้างก็เรียกว่า เว็บคุกกี้ (Web Cookie), อินเทอร์เน็ตคุกกี้ (Internet Cookie), เบราว์เซอร์คุกกี้ (Browser Cookie) แต่ส่วนใหญ่เราจะเรียกสั้นๆ กันว่า "คุกกี้ (Cookie)"

Cookie คืออะไร ?
    Cookie เป็นไฟล์ข้อความขนาดเล็ก ที่ถูกเก็บบันทึกจากบราวเซอร์เอาไว้ในคอมพิวเตอร์ Table หรือแม้กระทั้งมือถือของเรา ไฟล์ Cookie จะถูกสร้างขึ้นโดยอัตโนมัติเมื่อเราใช้เว็บเบราว์เซอร์เข้าชมเว็บไซต์ต่างๆ

    โดย Cookie จะช่วยทำให้เว็บไซท์ต่างๆ สามารถเก็บประวัติการใช้งานในเว็บไซท์นั้นๆ ของเราไว้ ทำให้เราสามารถใช้งานเว็บไซท์นั้นๆ ได้อย่างต่อเนื่อง ยกตัวอย่างเช่น เว็บไซท์ซอปปิ้งออนไลน์ คงจะไม่ใช่เรื่องดีนัก ถ้าการที่เราเลือกสินค้าไว้ในตะกร้าเตรียมสั่งซื้อแล้ว แต่เกิด internet หลุด หรือเผลอไปปิดเว็บไซท์เข้าด้วยความบังเอิน หรืออะไรก็แล้วแต่ แต่เรากลับมาเว็บไซท์เดิมแล้ว เราต้องมาเลือกสินค้าที่ต้องการซื้อใหม่อีกครั้ง พวกเราคงจะเซ็งน่าดูจริงไหมละ

    แต่ด้วยความสามารถของ Cookie เว็บจะสามารถจดจำได้ว่ามีสินค้าอะไรอยู่ในตะกร้าบ้าง หรือจะเป็นพวกข้อมูลการเข้าระบบของ Facebook หากเราต้องการให้ตัวเว็บจดจำการเข้าระบบของเราไว้ตลอด ไม่ต้องมาใส่รหัสผ่านเข้าระบบใหม่ทุกครั้งที่เข้าใช้งาน ก็ต้องอาศัยเจ้า Cookie นี่แหละ

    ตามปกติแล้ว เมื่อ Cookie ถูกสร้างขึ้น มันจะไม่มีการบันทึกข้อมูลส่วนตัวของผู้ใช้ แต่ถ้ามีความจำเป็น ข้อมูลก็จะถูกเข้ารหัสเอาไว้ เพื่อป้องกันไม่ให้มี บุคคลที่สาม (3rd Party) แอบเข้ามาขโมยข้อมูลส่วนตัวของคุณไปใช้งานได้ ผู้ที่อ่านได้จะมีแต่เซิร์ฟเวอร์ที่เป็นเจ้าของ Cookie เท่านั้น

    บางเว็บไซต์ได้เพิ่มความปลอดภัยไปอีกขั้น ด้วยการสร้าง Cookie แบบไม่ระบุตัวตน (Anonymous) แต่มีเอกลักษณ์เฉพาะขึ้นมา และเก็บข้อมูลส่วนบุคคลไว้บนเซิร์ฟเวอร์ของตนเอง เมื่อจำเป็นต้องใช้งาน Cookie เว็บไซต์ก็จะใช้ Cookie แบบไม่ระบุตัวตนนั้นเสมือนกุญแจสำหรับเปิดข้อมูลในเซิร์ฟเวอร์อีกชั้นนึง



ประเภทของ Cookie
การแบ่งประเภทของ Cookie นั้น จะเป็นการแบ่งประเภทตามลักษณะการใช้งาน ซึ่งจะมีหลักๆ ดังนี้

1. Session Cookie
เป็น Cookie ที่ทำหน้าที่เหมือนเป็นหน่วยความจำชั่วคราวของเว็บไซท์ ซึ่งจะเป็นการส่งข้อมูลไปยังหน้าเพจอื่นๆ ของเว็บไซท์เดียวกัน Cookie ประเภทนี้ จะไม่มีการเก็บข้อมูลของผู้ใช้งานใดๆ และเมื่อเราทำการปิดเว็บไซท์นั้นไป Cookie ประเภทนี้จะถูกลบทิ้งทันที

2. First-Party Cookie
Cookie ประเภทนี้ จะมีอีกหลายๆ ชื่อที่นิยมเรียกกัน เช่น First-Party Cookie, Persistent Cookie, Permanent Cookie หรือ Stored Cookie มันเป็นคุกกี้ที่ทำหน้าที่เสมือนเป็นหน่วยความจำถาวรของเว็บไซต์ ช่วยให้เว็บไซต์ข้อมูลของเรา เพื่อให้ในอนาคตที่เราเข้ามาเยี่ยมชมเว็บไซต์อีกครั้ง การตั้งค่าทุกอย่างจะยังเหมือนที่เราเคยตั้งเอาไว้ หากไม่มี Persistent Cookie แล้ว เว็บไซต์จะไม่สามารถจดจำข้อมูลการตั้งค่าเมนูบนเว็บ, ธีม, ภาษาที่เลือก, หรือ Boorkmark ในเว็บได้เลย และมันยังมีบทบาทสำคัญอีกอย่างในส่วนของระบบ User authentication หากเราทำการปิดคุกกี้ตัวนี้ไป เราจะต้องทำการรับรองเพื่อยืนยันเข้าระบบใหม่ทุกครั้งที่เข้าเว็บ ส่วนใหญ่แล้ว Persistent Cookie จะมีอายุการใช้งาน 1- 2 ปี หากเราไม่มีการเข้าใช้งานเว็บไซต์ภายในระยะเวลาที่คุกกี้ยังไม่หมดอายุ ตัวเว็บเบราว์เซอร์ก็จะทำการลบคุกกี้ดังกล่าวให้อัตโนมัติ
อย่างไรก็ตาม Persistent Cookie มีข้อเสียอยู่เช่นกัน คือ เจ้าของเว็บไซต์ดังกล่าวจะสามารถติดตามพฤติกรรมการใช้งานของเราผ่านคุกกี้ตัวนี้ได้ด้วย

3. Secure Cookie
เป็น Cookie ที่สามารถส่งผ่านการเชื่อมต่อที่ถูกเข้ารหัส (Encrypted connection) เอาไว้แล้วเท่านั้น เช่น HTTPS ทำให้เป็น Cookie ที่มีความปลอดภัยสูงมาก ยากต่อการถูกดักอ่านข้อมูลตราบใดก็ตามที่ Secure Cookie ทำงานอยู่ ข้อมูลของผู้ใช้จะไม่ถูกส่งผ่านชาแนลเชื่อมต่อที่ไม่ได้เข้ารหัส ซึ่งมันจะช่วยปกป้องข้อมูลสำคัญของเราไม่ให้ "ถูกดัก" ระหว่างที่มีการรับส่งข้อมูลได้
อย่างไรก็ตาม แม้ว่าจะมีการเข้ารหัสเอาไว้แล้ว นักพัฒนาก็ไม่ควรใช้คุกกี้ชนิดนี้ในการรับส่งข้อมูลที่มีความสำคัญ เพราะด้วยหลักการทำงานของมัน มันแค่ปกป้องความลับภายในคุกกี้เท่านั้น แต่แฮกเกอร์สามารถใช้การโจมตีด้วยการเข้าควบคุม Secure Cookie ผ่านช่องทางเชื่อมต่อที่ไม่ปลอดภัยได้ โดยเฉพาะอย่างยิ่งในบางเว็บไซต์ที่มีทั้งระบบ HTTP และ HTTPS ในเว็บเดียวกัน

4. Same-Site Cookie
เป็น Cookie แบบใหม่ที่ถูกคาดหวังให้เป็นมาตรฐานใหม่ที่มีความปลอดภัยกว่าคุกกี้แบบเดิม พัฒนาขึ้นมาโดย Google ในปี ค.ศ. 2016 (พ.ศ. 2559) โดยหลักการทำงานของมัน คือ ตัวเว็บเบราว์เซอร์จะสามารถควบคุมการรับส่งคุกกี้ระหว่างเว็บไซต์ต่างๆ ได้ ด้วยการใช้ SameSite Cookie attribute ซึ่งในปัจจุบันนี้ เว็บเบราว์เซอร์ (Web Browser) ยอดนิยมอย่าง โปรแกรม Google Chrome, โปรแกรม Mozilla Firefox, โปรแกรม Microsoft Edge, โปรแกรม Opera และ โปรแกรม Safari ก็รองรับการทำงานของ Same-site Cookie แล้ว

5. Third-Party Cookie (3rd Party Cookie)
จากข้อเสียของ First-Party Cookie ที่เป็นการเก็บข้อมูลเฉพาะเว็บไซท์นั้นๆ ทำให้ข้อมูลการใช้งานไม่สามารถส่งไปยังเว็บไซท์อื่นๆได้ Third-Party Cookie เลยถูกสร้างขึ้นมา เพื่อที่จะทำให้มันสามารถส่งข้อมูลต่อไปยังเว็บไซท์อื่นๆ ได้นั้นเอง และแน่นอนว่า เมื่อมันไม่ใช่คุกกี้ที่มาจากเว็บที่เราใช้งาน มันจึงไม่ได้สร้างประโยชน์อะไรให้กับเราเลยสักนิด หน้าที่เพียงอย่างเดียวที่ Third-Party Cookie ทำก็คือแอบติดตามความเคลื่อนไหวของเรา มันสามารถดูประวัติการเล่นเว็บ, พฤติกรรมการออนไลน์, ลักษณะการใช้จ่าย และอื่นๆ อีกมากมาย จากความสามารถดังกล่าว จึงไม่น่าแปลกใจที่มันจะเป็นสิ่งที่นักการตลาดออนไลน์นิยมนำมาใช้ในการเพิ่มยอดขาย และยอดเพจวิว หรือการแสดงโฆษณา ตามหัวข้อที่คุณสนใจ ณ. ขณะนั้นได้นั้นเอง (ทีนี้ก็ไม่ต้องแปลกใจว่าทำไม เราดูเว็บรีวิวอาหาร โฆษณาเกี่ยวกับอาหารแสดงให้เห็นเยอะเหลือเกิน เพราะเจ้า 3rd Party Cookie นี่เอง)
แต่ในปัจจุบันนี้ เพื่อความเป็นส่วนตัวของผู้ใช้งาน เว็บเบราว์เซอร์ส่วนใหญ่จะมีตัวเลือกในการปิดกั้นการทำงานของ Third-party Cookie ให้ใช้งานได้ อย่างใน โปรแกรม Google Chrome เราสามารถตั้งได้ด้วยการไปที่ chrome://settings/content/Cookie แล้วเปิดใช้งาน "Block third-party Cookie"



Cookies Consent ?
    แม้ Cookie จะมีมานานแล้ว และมันก็มีกฏในการใช้งานของมันอยู่แล้ว ที่เรียกว่า Cookie Law แต่เรื่องที่มันมีส่วน ในการละเมิดข้อมูลส่วนบุคคล เป็นประเด็นที่เพิ่งจะเป็นกระแสสังคมในช่วงไม่กี่ปีที่ผ่านมานี้เอง หลังจากที่สหภาพยุโรป (EU) ได้ประกาศใช้กฏหมายคุ้มครองข้อมูลส่วนบุคคล GDPR (General Data Protection Regulation) ตั้งแต่วันที่ 25 พฤษภาคม ค.ศ. 2018 (พ.ศ. 2561) รวมทั้งกฏหมาย PDPA ที่เพิ่งมีผลบังคับใช้เมื่อวันที่ 1 มิ.ย. ค.ศ. 2021 (พ.ศ.2564) ของประเทศไทยเราด้วยเช่นกัน

    วัตถุประสงค์ของ GDPR และ PDPA คือ การกำหนดหลักเกณฑ์ที่เกี่ยวข้องกับการคุ้มครองประชาชน ในด้านการประมวลผลข้อมูลส่วนบุคคล และการเคลื่อนย้ายของข้อมูลส่วนบุคคล ซึ่งเป็นอำนาจที่ประชาชนควรมีอิสรภาพในการที่จะปกป้องข้อมูลส่วนตัวของตน ซึ่งกฏหมายไม่ได้ยกเลิก Cookie Law แต่มันมีการปรับปรุงให้เหมาะสม เพื่อให้ได้ผลลัพธ์ไปในทิศทางเดียวกัน ซึ่งมีหลักการสำคัญดังต่อไปนี้

  • Cookie Law บังคับให้ผู้ใช้งานได้รับแจ้งความยินยอมก่อนที่จะติดตั้ง Cookie บนอุปกรณ์ของผู้ใช้ หรือมีการติดตาม Cookie 
  • การยินยอมให้ใช้งาน Cookie จะต้องได้รับการยืนยันยอมรับจากผู้ใช้ การยืนยันอาจจะใช้วิธีคลิกเพื่อดำเนินการต่อ, คลิกปุ่มยอมรับ, เลื่อนหน้าจอ หรือวิธีบางอย่างที่ผู้ใช้ต้อง "กระทำ" เพื่อยืนยัน
  • ทาง Cookie Law ไม่บังคับว่าคุณต้องแสดงรายการ 3rd Party Cookie ที่ใช้ แต่ต้องบอกประเภท และวัตถุประสงค์ในการใช้งาน และไม่บังคับให้ผู้สร้าง Cookie ต้องจัดการกับ Cookie Consent ของ 3rd Party Cookie แต่ต้องแจ้งให้ผู้ใช้ทราบด้วยว่ามีการนำไปใช้ และแสดงลิงก์ไปยังข้อตกลงในการใช้งานของ 3rd Party Cookie ด้วย

สรุปง่าย ๆ ได้ว่า Cookie Consent ก็คือ สิ่งที่จะแจ้งเตือนให้ผู้ใช้ทราบว่าเว็บจะมีการใช้ Cookie อย่างไรบ้าง และเราจะยินยอมให้มีการนำไปใช้หรือเปล่านั่นเอง ซึ่งหลังจากที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) บังคับใช้แล้ว ทุกเว็บไซต์ที่ใช้ Cookie ก็จะมีการแจ้งเตือนให้ยอมรับการใช้งาน Cookie Consent อย่างที่เราพบเจออยู่ในทุกวันนี้ นั้นเอง

Cookie is not Cookie
Annop Chaisomboun June 25, 2022
Share this post
Tag
#bUSINESS CONSULT
Our blogs
Archive
Sign in to leave a comment

Odoo Community VS Odoo Enterprise
Odoo Community VS Odoo Enterprise