Pokud si chceme prohlédnout stránku uloženou na některém serveru, může server v odpovědi na náš požadavek zaslat i informaci, kterou má klient uložit pro další použití. Pokud je pak někdy v budoucnosti navazováno spojení se stejným serverem, jsou mu tyto informace zaslány zpět. Informace jsou ukládány v textovém souboru, který se nejčastěji jmenuje cookies.txt a bývá uložen ve stejném adresáři jako prohlížeč. Jde o obyčejný textový soubor a proto si jej můžeme prohlédnout téměř libovolným textovým editorem.
Cookies nejsou vázány na naše jméno ani e-mailovou adresu. Jsou společné pro jednu instalaci prohlížeče. Server se naše jméno ani další soukromé údaje z cookies nemůže dozvědět. Jedinou možností by bylo vyplnění těchto údajů do nějakého formuláře na serveru. Cookies tedy neumožňují přenos uživatelského jména a dalších osobních údajů bez vědomí uživatele.
Server si může například uchovávat informace o tom, jaké stránky jsme navštíli a kolik času jsme strávili jejich prohlížením. Tyto informace mohou být využity při statistickém vyhodnocování návštěvnosti jednotlivých stránek serveru. Mohly by být využity i nějakou marketingovou společností, pokud by stránky obsahovaly např. nabídky zboží a služeb či inzerci. V tomto případě bychom již mohli diskutovat o tom, zda je využívaní těchto informací legitimní. Vzhledem k tomu, že bez našeho vědomí však nelze získat naši adresu, nemůže se nám stát, že by naši poštovní schránku zavalily nabídky sekaček na trávu.
Mnohem užitečnější se jeví využití cookies při ukládání konfiguračních informací. Server si tak může zjistit naše posledně použité nastavení WWW-stránek (ty bývají stále častěji generovány dynamicky, aby se mohly přizpůsobit různým požadavkům).
Co se týče zneužití informací o uživateli nebezpečí nehrozí, pokud si uživatel uvědomí, jaké možnosti cookies poskytují. Nicméně jako reakce na tlak uživatelů bude v dalších verzích prohlížečů možno podporu cookies vypnout a to jak napořád tak i jen na jednu session.
Poněkud problematičtější je zajištění informací uložených pomocí cookies před servery, které k nim nemají mít přístup (tj. nevytvořily je). I když prohlížeč vrátí cookies pouze tomu serveru, který je uložil, existují metody, jejichž použitím se server může prokazovat jako nějaký jiný server. V tom vidím zatím asi největší nedostatek celé implementace cookies -- proč by měl mít např. Microsoft možnost zjistit, jak dlouho jsem si na serveru IBM prohlížel stránku věnovanou operačnímu systému OS/2.
Cookies mohou být vázány i na konkrétní podadresáře serveru, nemusí tedy být společné pro jeden server (doménu). Cookies se přenáší pomocí aplikačního protokolu HTTP. Specifikace vyžaduje, aby byl klient schopen uložit alespoň 300 cookies po 4 KB a alespoň 20 cookies pro jeden server případně doménu. Velikost souboru cookies.txt tedy obvykle nebude větší než 1,2 MB.
Pokud v současné době nechceme umožnit serveru využívání dříve uložených cookies, musíme mezi jednotlivými relacemi se serverem smazat soubor cookies.txt.
Podobně jako se nedá zavirovat počítač pouhým kopírováním zavirovaných disket, nedají sa ani příliš zneužít cookies. Musíme si však dát pozor, na kterých stránkách jsme do formulářů vyplnili svoje jméno a adresu (objednávkové služby, elektronické e-mailové adresáře apod.).
Specifikaci cookies je možno získat na URL: http://home.netscape.com/newsref/std/cookie_spec.html.
(jkj)