[컴] 제 3자 쿠키란?

제 3자 쿠키가 뭐지? / 제 3자 쿠키 / the 3rd party cookie / 구글 크롬 제3자 쿠키 막는법
/크롬 제 3자쿠키 저장 위치 / 제 3자 쿠키 막는 법




ref. 1 과 ref. 2 에 대한 내용을 정리한다.

ref.1 에 보면, 제 3자 쿠키(the 3rd party cookie)의 의미를 잘 알 수 있다. 제 3자 쿠키는 browser 가 사용하는 cookie 의 의미상 구분일 뿐이다. 그러니까 지금 browser 가 방문한 사이트가 http://a.com 이라고 할 때 a.com 의 쿠키는 현재 내가 방문한 site 의 cookie 이기 때문에 제 3자 쿠키가 아니다. 하지만 이 때, 이 사이트 이외의 cookie 는 제 3자 쿠키가 된다. 이런 식의 의미상 구분이다. 실제로 따로 구분되어져서 있는 파일은 아니다.


제3자 쿠키 차단 옵션

요즘 browser 에 "제3자 쿠키 차단" 이라는 옵션이 있는 browser 들이 있다. 이 옵션은 아래와 같은 일들을 한다.
  1. cookie 가 만들어진 사이트이외의 사이트에서 오는 cookie 에 대한 http response 와 script 들을 막는다.
  2. cookie 를 저장하는 명령은 무시된다.
  3. 문서의 출처(origin)가 아닌 domain 에 대한 request 로 부터 cookie 를 제거한다. 다시말하면, 쿠키들이 현재 자신이 보고 있는 사이트로만 보내진다.
왜 이런 행동을 하는지는 쿠키가 어떻게 동작하는 지 알면 이해가 쉽다. ref. 2 를 보면 잘 설명이 되어 있다.



쿠키 동작 방식

cookie 들은 http header 를 통해 set, retrieve 된다.

만약에 http://a.com 으로 request 를 보내면, response header 에 Set-cookie:foo=bar 로 cookie 가 날라온다. 그러면 browser 가 이 녀석을 보고 foo=bar 를 cookie 로 저장해 놓는다.

그리고 http://a.com 으로 보내는 request 의 header 에 cookie 부분에 foo=bar 를 넣고 보내게 된다.

이것은 browser 가 보내는 다른 request 에서도 해당된다.

만약 http://b.com 에 접속을 했는데 그곳의 문서에 <img src="http://a.com/apic.jpg"/> 이 있다면  브라우저는 apic.jpg 에 대한 request 를 보낼 때 foo=bar cookie 를 header 에 넣어서 보내게 된다.

이게 예전에 많이 보았던 그림의 링크만 가져왔을 때 다른 컴퓨터에서 그림이 안보이는 현상의 원인이다.

만약에 http://a.com 의 페이지에 <iframe src="http://ad.com/ad.html> 이 있다면 browser는 ad.com 에서 보내는 set-cookie 에 의해 ad.com 에 대한 cookie 를 가지고 있게 된다.

이 때 ad.com 에서는 unique 한 string 을 cookie 로 보내게 된다. 이 녀석이 누군지를 구분하는 ID 같은 용도로 이용된다.  이 string 은 user 가 다른 website 에 방문을 했는데 그 website 에서도 똑같이 ad.com 의 광고를 싣고 있다면, 이전에 받은 ad.com 의 cookie 를 request 에 실어나르게 될 것이고, ad.com 은 이 cookie 를 보고 같은 user 임을 판별할 수 있다.

이제 user 를 구분했으니 이번에는 방문한 site 와 연관있는 ad 를 보내줘야 한다. 어디서 request 를 했는지를 알려주기 위한 방법은 여러가지가 있을 수 있는데, request header 의 referer 를 이용해서 어느 사이트에서 온 요청인지 분류할 수 있고, 또는 <iframe src="http://ad.com/ad.html?referer=c.com"> 의 방법을 이용할 수도 있다.

그럼 이제, 브라우저에서 제 3자 쿠키를 어떻게 막을 수 있는지 보자.

브라우저에서 제 3자 쿠키를 막는법

firefox 파이어폭스


IE, Internet Explorer 인터넷 익스플로어

Safari 사파리

사파리를 사용하지 않아서 모르겠지만, ref. 3 을 보니 기본적으로 제3자 쿠키를 차단한 채로 배포된다고 한다.

Chrome 크롬

  • 설정 > 개인정보 > 콘텐츠 설정
으로 가면 된다. 그런데 이러면 정상적인 쿠키도 잘 안되는 경우가 있다. 이것이 확실히 "제 3자 쿠키 차단" 이라고 보기는 어려울 듯 하다.


Reference

  1. Third-Party Cookies Explained
  2. How do Third-Party “tracking cookies” work?
  3. [정보보호법바로알기 16] 애플·구글의 프라이버시 침해 공방과 트랙킹 쿠키 입력날짜 , 2012-11-27, 보안뉴스

댓글 없음:

댓글 쓰기