Ку́ки (англ. cookie, букв. «печенье») — небольшой набор данных, отправляемый веб-сервером и хранимый на компьютере пользователя без изменений и какой-либо обработки. Веб-клиент (обычно веб-браузер) всякий раз при обращении к соответствующему сайту пересылает эти данные веб-серверу в составе HTTP-запроса. Обычно куки применяют для[1]:
Поддержки браузерами куки (приём, сохранение и последующая пересылка серверу сохранённого) требуют многие сайты с ограничениями доступа, большинство интернет-магазинов[2]. Настройка оформления и поведения многих веб-сайтов по индивидуальным предпочтениям пользователя тоже основана на куки[1].
В потоке данных куки легко перехватить, сохранить или подменить (например, для получения доступа к учётной записи), если пользователь использует нешифрованное соединение с сервером. В группе риска — пользователи, выходящие в интернет при помощи публичных точек доступа Wi-Fi и не использующие при этом таких механизмов, как SSL и TLS. Шифрование позволяет также решить и другие проблемы, связанные с безопасностью передаваемых данных.
Большинство современных браузеров позволяет пользователям выбрать — принимать куки или нет, но их отключение делает невозможной работу с некоторыми сайтами. Можно включить автоматическое стирание куки при выключении браузера. Кроме того, по законам некоторых стран (например, согласно постановлению Евросоюза от 2016 года, см. общий регламент по защите данных) сайты должны в обязательном порядке запрашивать согласие пользователя перед установкой куки.
В рамках усиливающихся тенденций защиты приватности данных пользователей технологические компании, такие как Google, Apple и другие предпринимают меры для ограничения использования сторонних куки. В первую очередь это оказывает влияние на рекламный рынок, заставляя его искать альтернативы. Прогнозируемый в будущем полный отказ от куки называют Post-cookie world[3].
К примеру, если вход на сайт осуществляется при помощи cookie, то, после ввода пользователем своих данных на странице входа, cookie позволяют серверу запомнить, что пользователь уже идентифицирован и ему разрешён доступ к соответствующим услугам и операциям[1].