지속성 쿠키와 세션 쿠키 비교
Internet Explorer 6의 쿠키 처리 방법을 이해하려면 지속성 쿠키와 세션 쿠키의 차이점을 아는 것이 좋습
니다. 지속성 쿠키는 정의된 만료 시간에 도달할 경우 삭제됩니다. 반면, 지정된 만료 시간이 없는 세션
쿠키는 Internet Explorer를 닫을 때 삭제됩니다.
제1 컨텍스트와 제3 컨텍스트
Internet Explorer 6은 제1 컨텐트를 호스트 도메인과 연관된 것으로 정의합니다. 제3 컨텐트는 호스트
도메인 이외의 도메인에서 만들어집니다. 예를 들어, 주소 표시줄에 www.wideworldimporters.com을
입력하여 이동 했더니 이 사이트에 www.wingtiptoys.com의 배너 광고가 떠있다고 가정해 보십시오.
이 두 사이트에 쿠키를 설정할 경우, www.wideworldimporters.com의 쿠키가 제1 컨텍스트 쿠키이고
www.wingtiptoys.com의 쿠키가 제3 컨텍스트 쿠키가 됩니다.
이따금 상업용 웹 페이지에는 제1 컨텐트와 제3 컨텐트가 혼재해 있습니다. Internet Explorer 6 개인
정보 기능은 제1 컨텐트와 제3 컨텐트를 구별합니다. 이 때 근간이 되는 가정은 사용자의 제1 및 제3과의
관계가 서로 다르다는 것입니다. 실제로 사용자는 제3을 알지 못할 수도 있고 제3과 새로운 관계를 설정
할 것인지 선택할 수도 있습니다.
이러한 이유 때문에 제3 컨텐트에 대한 기본 개인 정보 설정은 제1에 대한 설정보다 엄격합니다.
참고) www.wideworldimporters.com 및 toys.wideworldimporters.com은 둘 다 deworldimporters.com
이라는 동일한 최소 도메인을 갖고 있습니다. 동일한 최소 도메인을 호스트 도메인으로 공유하는 컨텐트
를 제1 컨텐트로 간주하며, 마찬가지로 이러한 도메인에서 설정된 쿠키는 제1 쿠키로 간주합니다. 최소
도메인은 동일한 최상위 도메인(TLD)을 가져야 합니다. .com, .net, .org 등을 일반적인 TLD의 예로 들
수 있습니다.
참고) 사용자가 HTTPS(Secure Hypertext Transfer Protocol)을 사용하여 보안 연결을 통해
www .wideworldimporters.com을 방문할 경우, HTTPS를 사용하지 않는 이 페이지의 컨텐트를
제3 컨텐트로 간주합니다.
P3P 및 압축 정책
P3P 규정은 웹 사이트가 개인 정보 관례에 대한 정책 정보를 요약 및 표시하는 방법을 표준화합니다.
P3P 정책은 데이터 범주, 데이터 수집 목적, 수집된 데이터의 수신인 등을 설명하는 XML 문으로 이루어
집니다. 또한 P3P 정책에는 개인 정보 관련 문의처, 개인 정보 정책 수명, 사용자가 수집된 데이터를
액세스하는 방법, 정책 위반 시의 구제 방법 등에 대한 기타 정보가 포함되어 있습니다. 웹 서비스의
서로 다른 측면에 상이한 P3P 정책을 지정할 수 있습니다. 예를 들어, 웹 사이트는 홈 페이지와 검색
페이지에 대해 다른 정책을 가질 수 있습니다.
참고 쿠키에 대한 개인 정보 보호 정책을 만들 때 보호 정책은 쿠키에 저장된 정보나 쿠키에 의해
액세스할 수 있는 정보를 모두 고려해야 합니다. 예를 들어, 쿠키에 저장된 식별자를 통해 데이터베이스
를 액세스할 수 있는 경우 개안 정보 정책은 이러한 식별자를 사용할 때 액세스할 수 있는 데이터의 데이
터 수집 관례를 다루어야 합니다.
쿠키 사용에 관한 P3P 정책은 압축 정책이라 불리는 간략한 형식으로 표현될 수 있습니다. 기본적으로
P3P 정책 요소는 짧은 토큰으로 매핑되고 압축 정책을 만들기 위해 결합됩니다. 간단한 다음 예제에서
이 과정이 설명되어 있으며, 자세한 내용은 P3P 규정 을 참조하십시오.
Blue Yonder Airlines라는 회사가 데이터 수집 관례에 대한 두 개의 명령문이 포함된 P3P 정책을
만든다고 가정해 보겠습니다. 첫 번째 명령문에서 Blue Yonder Airlines는 각 개인과 관계 없이 취미와
관심사를 결정하는 익명 분석을 위해 우편 번호와 같은 인구 통계학적 정보를 수집하고 이 정보를 다른
수신인과 공유할 것을 지정합니다. 두 번째 명령문에서 Blue Yonder Airlines는 사용자가 동의하는 경우
에 전자 메일 주소와 같은 온라인 정보를 수집하여 나중에 연락 용도로만 사용하도록 지정합니다.
또한 사용자가 수집된 연락처 정보를 액세스할 수 있게 지정하는 액세스 요소도 P3P 정책에 포함됩니다.
이렇게 하면 Blue Yonder Airlines의 전체 P3P 정책은 다음과 같이 나타납니다.
<POLICY xmlns="http://www.w3.org/2000/12/P3Pv1"
discuri="http://www.blueyonderairlines.com/ourprivacypolicy.html"
opturi="http://www.blueyonderairlines.com/optin.html">
<ENTITY>
<DATA-GROUP>
<DATA ref="#business.name">Blue Yonder Airlines</DATA>
<DATA ref="#business.contact-info.postal.street">3456 Main St.</DATA>
<DATA ref="#business.contact-info.postal.city">Tampa</DATA>
<DATA ref="#business.contact-info.postal.stateprov">Fl</DATA>
<DATA ref="#business.contact-info.postal.postalcode">77062</DATA>
<DATA ref="#business.contact-info.postal.country">USA</DATA>
<DATA ref="#business.contact-info.online.email">molly@blueyonderairlines.com</DATA>
<DATA ref="#business.contact-info.telecom.telephone.intcode">1</DATA>
<DATA ref="#business.contact-info.telecom.telephone.loccode">800</DATA>
<DATA ref="#business.contact-info.telecom.telephone.number">5550158</DATA>
</DATA-GROUP>
</ENTITY>
<ACCESS><contact-and-other/></ACCESS>
<STATEMENT>
<PURPOSE><pseudo-analysis/></PURPOSE>
<RECIPIENT><other-recipient/></RECIPIENT>
<RETENTION><business-practices/></RETENTION>
<DATA-GROUP>
<DATA ref="#user.home-info.postal">
<CATEGORIES><demographic/></CATEGORIES>
</DATA>
</DATA-GROUP>
</STATEMENT>
<STATEMENT>
<PURPOSE><contact required="opt-in"/></PURPOSE>
<RECIPIENT><ours/></RECIPIENT>
<RETENTION><stated-purpose/></RETENTION>
<DATA-GROUP>
<DATA ref="#user.home-info.online.email">
<CATEGORIES><online/></CATEGORIES>
</DATA>
</DATA-GROUP>
</STATEMENT>
</POLICY>
각 명령문 요소에서 범주, 용도 및 수신인 요소는 각각 연관된 압축 형식을 가지며, 액세스 요소도
압축 형식을 가집니다. 아래 표는 이 예제의 각 요소와 연관된 압축 토큰을 보여 줍니다.
개인 정보 태그 및 해당 압축 토큰
-----------------------------------------------------------------------------------
개인 정보 태그
압축 토큰
-----------------------------------------------------------------------------------
1.
<contact-and-other/>
CAO
2.
<pseudo-analysis/>
PSA
3.
<contact required="opt-in"/>
CONi
4.
<other-recipient/>
OTR
5.
<ours/>
OUR
6.
<demographic/>
DEM
7.
<online/>
ONL
이러한 용도, 수신인, 범부 및 액세스 토큰을 결합하여 예제에 대한 압축 정책을 만들 수 있습니다.
압축 정책은 다음 구문을 사용하는 사용자 지정 HTTP 응답 헤더를 통해 전송합니다.
P3P: CP="CAO PSA CONi OTR OUR DEM ONL"
이 헤더는 ASP(Active Server Pages)를 사용하거나 Microsoft Windows 2000 서버 및 사용이
많은 다른 웹 서버의 컴퓨터 관리 콘솔을 통해 HTTP 응답에 추가할 수 있습니다. 쿠키 압축 정책이
HTTP 응답에 있는 쿠키 데이터와 함께 서버에서 전송되고 쿠키에 대한 결정과 설정은 클라이언트
(Internet Explorer 6)에서 수행된다는 점에 주의합니다.
참고) Internet Explorer 6의 쿠키 필터링은 P3P 정책 전체를 사용하지는 않으며, 쿠키에는 압축 정책이
필요합니다.스크립트 또는 메타 요소를 통해 설정되는 쿠키는 연관된 HTTP 응답에 있는 압축 정책에
의해 제어됩니다. 압축 정책이 없는 쿠키는 Internet Explorer 6에서 정책이 없는 쿠키로 간주됩니다.
P3P 정책의 용도 및 수신인 태그에는 "opt-in", "opt-out" 또는 "always" 값을 가질 수 있는 옵션
속성이 있습니다. "opt-in"을 사용하면 사용자는 사용 목적 또는 데이터 수신인을 승인해야 하며,
"opt-out"을 사용하면 사용자가 거부하지 않는 경우 지정된 용도 또는 수신인에 데이터가 사용됩니다.
"always가 사용되면 용도 또는 수신인이 항상 필요하다는 것을 나타냅니다. 이 속성은 단일 문자로
축약되어 토큰에 연결됩니다. 위 예제에서 CON 토큰에 연결된 "i"는 연락 용도에 사용되는 온라인 정보
를 수집하려면 사용자의 승인을 받아야 한다는 것을 나타냅니다("always"는 "a"로, "opt-out"은 "o"로 축
약됨). 기본값은 "a"이기 때문에 값을 지정하지 않는 토큰은 "a"가 연결된 토큰과 동일한 방식으로 처리
됩니다. 예를 들어, FIN과 FINa는 동일하게 처리됩니다.
참고) P3P 정책의 데이터 범주, 용도 및 수신인의 그룹화는 압축 정책 작성에 사용되는 집계 과정에서
잘못될 수 있습니다. 이 경우 압축 정책은 원치 않은 결과를 가져올 수 있습니다. 위 예제에서 압축 정책
"CAO PSA CONi OTR OUR DEM ONL"이 제대로 작성될 경우 연락처 정보를 다른 수신인과 공유할 수
있다는 것을 나타냅니다. 다른 데이터 수집 시나리오에서 쿠키에 대한 개별 P3P 정책을 만들면 이렇게
모호한 부분을 최소화할 수 있습니다.
위 예제에서 익명 분석에 사용되는 쿠키와 개인 정보 수집에 사용되는 쿠키에 대한 정책을 다른 압축
정책 형식을 갖는 상이한 P3P 정책으로 구분할 수 있습니다. 두 압축 정책은 "CAO PSA OTR DEM" 및
"CAO CONi ONL OUR"이 될 것이며, 이 경우 각 쿠키 유형의 의도가 더 분명하게 나타납니다.
불만족 쿠키
Internet Explorer 6에서 불만족 쿠키는 사용자 동의 없이 다른 용도에 사용되거나 다른 수신인에게 제공
되는 개인 식별 정보에 대한 액세스를 포함하거나 허용합니다. opt-in 및 opt-out이 지정되지 않은 다음
목록에는 불만족 쿠키의 범주, 용도 및 수신인이 포함되어 있습니다. 이러한 범주, 용도 및 수신인은
Internet Explorer 6에서 사용되는 P3P의 범주, 용도 및 수신인의 하위 집합입니다.
참고 다음 목록에는 불만족 쿠키의 데이터 범주, 용도 및 수신인에 대한 간단한 설명과 압축 토큰이
포함되어 있습니다. 자세한 정의는 P3P 규정 를 참조하십시오.
-----------------------------------------------------------------------------------
범주
압축 토큰
설명
-----------------------------------------------------------------------------------
1.
<physical/>
PHY
연락처 또는 위치 정보
2.
<online/>
ONL
인터넷 상의 연락처 또는 위치 정보(예: 전자 메일 주소)
3.
<government/>
GOV
정부에서 발급한 ID(예: 사회 보장 번호)
4.
<financial/>
FIN
개별 재무 정보
-----------------------------------------------------------------------------------
용도
압축 토큰
설명
-----------------------------------------------------------------------------------
1.
<customization/>
CUS
사용자에 의해 명시적으로 요청된 사이트 수정
2.
<individual-analysis/>
IVA
개별 사용자와 관련될 수 있는 분석
3.
<individual-decision/>
IVD
사용자 기록에 기초한 동작 수행
4.
<contact/>
CON
개별 사용자에게 연락하는 데 사용할 수 있는 정보
5.
<telemarketing/>
TEL
전화 판촉에 사용할 수 있는 정보
6.
<other-purposes/>
OTP
다른 P3P 용도 이외의 기타 용도
-----------------------------------------------------------------------------------
수신인
압축 토큰
설명
-----------------------------------------------------------------------------------
1.
<same/>
SAM
일관된 관례에 따라 고유한 목적에 데이터를 사용하는 정식 항목
2.
<delivery/>
DEL
주어진 용도 이외에 목적에 데이터를 사용할 수 있는 배달 서비스를 수행하는 정식 항목
3.
<other-recipient/>
OTR
공급자에게 책임이 있지만 알려지지 않은 방법으로 데이터를 사용할 수 있는 항목
4.
<unrelated/>
UNR
공급자에게 알려지지 않은 방법으로 데이터를 사용하는 항목
5.
<public/>
PUB
공개 포럼
요약하면 불만족 쿠키는 정책이 다음 표의 두 열에 있는 토큰을 포함하고 용도/수신인 토큰이 옵션 속성
인 "i" 또는 "o"를 포함하지 않는 쿠키입니다. 예를 들어, PHY 및 DEL 토큰을 포함하는 압축 정책을 가진
쿠키는 불만족 쿠키입니다. 반면, PHY 및 DELo를 포함하는 압축 정책을 가진 쿠키는 허용할 수 있습니
다.
불만족 쿠키 태그
범주
PHY 실제 위치
ONL 온라인 위치
GOV 정부 ID
FIN 재무 정보
용도/수신인
SAM 동일한 정책
DEL 배달 용도
OTR 기타 수신인
UNR 알려지지 않은 용도
PUB 공개적으로 사용 가능
CUS 사용자 정의
IVA 개별 분석
IVD 개별 결정
CON 연락처 정보
TEL 전화 판촉
OTP 기타 용도
[출처] P3P와 쿠키에 대한 상세 설명|작성자 기둥
