Web de Jordi Salvador Duch

Cookies

CONCEPTE DE COOKIES

Que són les Cookies o Galetes Informàtiques?

Una cookie (o galeta informàtica) és una petita informació enviada per un lloc web i emmagatzemada dins el nostre navegador (dins el navegador de l´usuari), de manera que el lloc web pot consultar l´activitat prèvia de l´usuari.

Les seves funcions principals són:

Finalitat

Les galetes s'utilitzen generalment els Servidors Web per diferenciar els usuaris i d'actuar de diferents maneres segons ells. Un ús de cookies és ser identificat en un lloc Web. Els usuaris s'identifiquen normalment introduint les seves credencials en una pàgina de validació; El servidor de saber que l'usuari és ja validat i per tant es pot permetre de accedir a serveis o realitzar les operacions que estan restringides a usuaris no identificats les galetes. Altres llocs Web utilitza cookies per personalitzar la seva aparença segons les preferències d'usuari. Llocs que requereixen la identificació sovint ofereixen aquest tret, encara que també és present en altres que no ho requereixin. Personalització inclou funcionalitat i presentació. Les galetes s'utilitzen per localitzar els usuaris al llarg d'un lloc Web. Seguiment en un lloc normalment es fa amb la intenció de mantenir les estadístiques d'ús, mentre que Inter-lloc seguiment és generalment orientada cap a la creació de perfils d'usuari anònim per empreses de publicitat, que després S'utilitzarà per guiar (decidir quin tipus de publicitat per utilitzar) de campanyes publicitàries basades en perfils d'usuari.

Mites

Des de la presentació a Internet han circulat conceptes erronis sobre les galetes. El 2005 Jupiter Research publica els resultats d'un estudi, segons el qual un important percentatge dels enquestats creu que algunes de les afirmacions següents:

  • Les galetes són similars als cucs i virus que pot esborrar dades de discs durs dels usuaris.
  • Les galetes són un tipus de spyware, perquè es pot llegir informació personal emmagatzemada en l'ordinador dels usuaris.
  • Galetes generar finestres emergents.
  • Les galetes s'utilitzen per generar correu brossa.
  • S'utilitzen per només amb finalitats publicitàries.

De fet, les cookies són només dades, no el codi, llavors no poden esborrar o llegir la informació del ' ordinador dels usuaris. No obstant això, les galetes permeten detectar pàgines visitades per un usuari en un determinat lloc o conjunt de llocs. Aquesta informació es pot compilar en un perfil d'usuari. Aquests perfils són generalment anònims, és a dir, que no contenen informació personal de l'usuari (nom, adreça, etc.). De fet, ells no poden contenir-lo llevat que l'usuari ha de comunicar-lo a un dels llocs visitats. Però encara que anònim, aquests perfils han estat objecte d'algunes preocupacions sobre la privacitat.

Segons el mateix informe, un gran percentatge d'internautes no sap com esborrar les galetes.

Configuració

Navegadors més moderns soporta cookies. No obstant això, un usuari pot triar normalment si les galetes ha de ser utilitzat o no.

El navegador també pot incloure l'habilitat per especificar millor què galetes han de ser acceptat i que no ho són. En concret, l'usuari pot normalment acceptar una de les següents opcions: rebutjar les cookies de determinats dominis; Rebutjar les cookies de tercers; Acceptar cookies com no persistents (elimina el navegador es tanca); Permetin crear galetes per a un domini diferent. A més, navegadors també pot permetre als usuaris veure i esborrar les galetes individualment.

Privacitat

Galetes tenen importants implicacions per a la intimitat i anonimat dels usuaris del web. Encara que les galetes només s'envien al servidor que definir-los o a un altre en el mateix domini, una pàgina Web pot contenir imatges i altres components s'emmagatzema en servidors a altres dominis. Les galetes creades durant les peticions d'aquests components s'anomenen les galetes de tercers.

Empreses de publicitat utilitza les galetes de tercers per localitzar els usuaris a través de diversos llocs. En particular, una empresa de publicitat es pot seguir un usuari a través de totes les pàgines on ha posat publicitat imatges o errors de la web. El coneixement de les pàgines visitades per un usuari permet a aquestes empreses dirigir la seva publicitat segons les preferències suposades de l'usuari.

La capacitat de crear un perfil d'usuari ha estat considerada una potencial amenaça d'intimitat fins i tot quan seguiment es limita a un únic domini, però especialment quan és a través de diversos dominis amb les galetes de tercers. Per aquest mot iu, alguns països tenen legislació de galeta.

La Directiva de la Unió Europea de 2002 de privacitat en telecomunicacions conté regles sobre l'ús de cookies. En particular, en l'article 5, apartat 3 estableix que emmagatzematge de dades (com ara galetes) en ordinador d'un usuari només ho podeu fer si:

  1. L'usuari rep informació sobre com s'utilitzen aquestes dades;
  2. L'usuari té la possibilitat de rebutjar aquesta operació.

No obstant això, aquest article també afirma que emmagatzemar dades que és necessaris per raons tècniques està permès com una excepció

Inconvenients

A més de la intimitat que ja hem esmentat, hi ha altres raons per què l'ús de cookies ha rebut alguna oposició: que no sempre correctament identificar els usuaris i pot ser utilitzat per a atacs de seguretat. Identificació errònia

Si utilitzeu més d'un navegador en un ordinador, cada un té el seu propi emmagatzematge de galeta. Per tant, les galetes no identificar una persona, sinó una combinació de compte d'usuari, ordinador i navegador. D'aquesta manera, qualsevol que utilitza múltiples comptes, diversos equips o navegadors múltiples també té múltiples conjunts de galeta.

De la mateixa manera, les galetes no diferencien entre diverses persones utilitzant el mateix ordinador o navegador, si no volen utilitzar comptes d'usuari diferent. Robatori de galeta

Durant operació normal, s'envien galetes en ambdues direccions entre el servidor (o grup de servidors en el mateix domini) i l'ordinador de l'usuari que està navegant. Perquè les galetes pot contenir informació sensible (nom d'usuari, testimoni utilitzat com autenticació, etc.), els seus valors no ha de ser accessibles des d'altres ordinadors. No obstant això, les cookies enviades durant sessions HTTP normals són visibles a tots els usuaris que poden escoltar a la xarxa usant un sniffer de paquet. Aquestes galetes per tant no hauria de contenir informació sensible. Aquest problema es pot resoldre mitjançant HTTPS, que invoca la seguretat per encriptar la connexió de la capa de transport.

Scripting de lloc de creu permet que el valor de galetes per ser enviats a servidors que normalment no vols rebre aquesta informació. Navegadors moderns permeten l'execució de codi segments rebuts des del servidor. Si les galetes són accessibles durant l'execució, el seu valor es poden comunicar d'alguna manera als servidors que no cal accedir-hi. És el procés que permet una festa desautoritzada rebre una galeta S'anomena robatori de galeta, i encriptació no funciona contra aquest tipus d'atac.

Aquesta possibilitat és normalment explotat pels atacants de llocs que permeten als usuaris enviar contingut HTML. Introduint un segment de codi adequat en un enviament HTML, un atacant pot rebre cookies d'altres usuaris. El coneixement d'aquestes galetes poden ser explotats mitjançant la connexió als llocs on s'utilitzen les galetes robats, s'identifiquen com l'usuari a qui robaven les galetes.

Galetes falses

Encara que les galetes ha de ser emmagatzemat i tornar a enviar al servidor inmodificat, un atacant podria modificar el valor de galetes abans que s'han retornat. Si, per exemple, una galeta conté el valor total de la compra d'un usuari en un lloc Web, canvi que servidor de valor podria permetre l'atacant de pagar menys de deu per la seva compra. El procés de modificar el valor de les galetes s'anomena falsificació de galeta i sovint es fa després d'un robatori de galeta per fer un atac persistent.

No obstant això, la majoria dels llocs Web només emmagatzemar a la galeta un identificador de sessió — un número únic utilitzada per identificar la sessió dels usuaris — i la resta de la informació s'emmagatzema en el propi servidor. En aquest cas, el problema de la falsificació de la galeta és pràcticament eliminat.

Galetes de llocs web de cuina

Cada lloc ha de tenir les pròpies galetes, per tal que un lloc de malo.net no té la possibilitat de modificar o definir les galetes d'un altre lloc com Bueno.net. Vulnerabilitats (Inter-lloc galeta) cuina de navegadors llocs web permeten llocs delictius trencar aquesta regla. Això és similar a la falsificació de galeta, però l'atacant s'aprofita d'usuaris no delictius amb navegadors vulnerables, en lloc d'atacar directament del lloc Web. El propòsit d'aquests atacs poden dur a terme una fixació de sessió (robatori de sessió dins una pàgina web.)