I cookie HTTP (più comunemente denominati cookie web, o per antonomasia cookie)[1] sono un tipo particolare di magic cookie, una sorta di gettone identificativo, usato dai server web per poter riconoscere i browserdurante comunicazioni con il protocollo HTTP usato per la navigazione web.

Tale riconoscimento permette di realizzare meccanismi di autenticazione, usati ad esempio per i login; di memorizzare dati utili alla sessione di navigazione, come le preferenze sull'aspetto grafico o linguistico del sito; di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico; di tracciare la navigazione dell'utente, ad esempio per fini statistici o pubblicitari.

Date le implicazioni per la riservatezza dei naviganti del web, l'uso dei cookie è categorizzato e disciplinato negli ordinamenti giuridici di numerosi paesi, tra cui quelli europei, inclusa l'Italia. La sicurezza di un cookie di autenticazione dipende generalmente dalla sicurezza del sito che lo emette, dal browser web dell'utente, e dipende dal fatto che il cookie sia criptato o meno. Le vulnerabilità di sicurezza possono permettere agli hacker di leggere i dati del cookie, che potrebbe essere usato per ottenere l'accesso ai dati degli utenti, o per ottenere l'accesso (con le credenziali dell'utente) al sito web a cui il cookie appartiene (vedi cross-site scripting ecross-site request forgery per esempio).[2]

I cookie, e in particolare i cookie di terza parte, sono comunemente usati per memorizzare le ricerche di navigazione degli utenti; questi dati sensibili, possono essere una potenziale minaccia alla privacy degli utenti; proprio questo ha indotto le autorità europee[3] e degli stati uniti a regolamentarne l'uso mediante una legge nel 2011[4]. Infatti la legislazione europea impone a tutti i siti degli stati membri, di informare gli utenti che il sito utilizza certe tipologie di cookie.