Autor Tema: Cookies, inocentes galletitas???  (Leído 35715 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
Cookies, inocentes galletitas???
« en: 12 de Noviembre de 2005, 01:25:55 pm »
Qué es una cookie?
(Galleta en inglés) Pequeño archivo de texto plano creado por Netscape, (para su creación se utilizan diferentes lenguajes, ASP, JSP etc.) que permite almacenar valores de variables entre diferentes peticiones de páginas Web, que recibimos al visitar cualquier dirección Web y que queda almacenado en nuestro disco duro, siendo un navegador el encargado de leerlas y posteriormente, a petición,  pasarlos a un servidor remoto. Este archivo es usado posteriormente para recordar al usuario cuando visite de nuevo dicha página.

Un ejemplo de todo lo dicho: Visitamos un buscador, por ejemplo Google, buscamos alguna palabra, Google nos envía una cookie con ID de visitante (por ejemplo:321d098fdy345) y ALMACENA en su servidor la palabra que hemos buscado. Cada vez que nos conectamos al servidor mandamos nuestro ID automáticamente y con cada nueva búsqueda será almacenada de nuevo con lo que al cabo de un tiempo podrán saber muy fiablemente que nos interesa.

Aclaremos que la cookie almacenada en nuestro pc, sólo contiene los códigos de identificación, y tan sólo en el servidor son capaces de interpretarlos, por tanto no os extrañéis si al abrir una cookie en nuestro pc (con el mismo block de notas) sólo vemos lo que antes os dije, un ID seguido de un número y distintos códigos a interpretar en el dominio que nos dejó la cookie, pero en ningún caso veremos nada legible acerca de nuestros datos.


Tipos de cookies:
Existen dos tipos:

Cookies de sesión:
Únicamente tienen validez mientras dura la sesión activa,  es decir, durante nuestra visita al sitio Web, cuando se programan sólo con el “buen fin” suelen llevar una especie de contador para que cuando abandonamos el sitio se borren, o bien si se cierra el navegador o lleva X tiempo inactivo, el tiempo lo puede fijar a su conveniencia el programador, normalmente son 20 minutos.
Estas no graban de forma permanente ninguna información en el disco duro.
Por tanto, la conclusión es que expiran al final de la sesión.

Cookies permanentes:
Estas son almacenadas en el disco duro del nuestro PC y el sitio Web que las ha grabado las lee cada vez que visitemos su pág. La cookie permanente posee fecha de expiración determinada por el sitio Web que la ha creado. La cookie dejará de funcionar después de esa fecha.


Diseño de una cookie
Las cookies poseen las siguientes limitaciones:

Trescientas cookies en total en el archivo de cookies. Si llega la número 301, se borra la más antigua.

4 Kbytes por cookie, para la suma del nombre y valor de la cookie.

Veinte cookies por servidor o dominio (los hosts y dominios completamente especificados se tratan como entidades separadas y tienen una limitación de 20 cookies cada uno, no juntos).

Ninguna máquina que no pertenezca al dominio que nos dejó la cookie puede leerla. Es decir, la información almacenada en una cookie no puede ser leída por una máquina distinta de la que la envió. (esto no es del todo cierto, veamos después el apartado Maneja Internet Explorer las cookies de forma fiable?)


Como actúa y que datos puede guardar una cookie?
Una cookie puede guardar cualquier tipo de información que hayamos escrito o proporcionado en un sitio Web, desde datos personales como clave y contraseña para registrarnos, compras  que hayamos realizado, catálogos que hemos visualizado, noticias escogidas, y cualquier otra información que le hayamos dado al sitio Web con nuestros movimientos por su página. Pero también pueden almacenar otros datos como nuestra dirección de Internet (IP), el sistema operativo que usa nuestro equipo, el navegador que utilizamos y las otras páginas que hemos visualizado en esa sesión del navegador, con tanta información como son capaces de recolectar no es extraño que cuando posteriormente visitemos de nuevo ese sitio, se nos ofrezcan en forma de anuncios, productos sobre los gustos que en la visita anterior hayamos demostrado.


Qué peligro entraña una cookie?
En principio, y con reservas no demasiadas, pero….
Fueron creadas con el propósito de hacer que nuestra navegación por Internet fuera personalizada, y ágil al no tener que escribir nuestros  datos una y otra vez, ni tener que rellenar formularios con los mismos datos. Las cookies, en sus inicios comenzaron como una herramienta de diseño Web para aprender más sobre los visitantes y ofrecerles contenidos adaptados a sus preferencias, pues con el uso  de las cookies, los programadores Web pueden saber cuáles son las páginas más visitadas y por cuánto tiempo, cuáles visitas son repetidas y cuál fue el último sitio que el usuario visitó.

Todo esto es la teoría, y en muchos casos la práctica, pero… si bien pueden utilizarse para esos fines, beneficiosos para nosotros al fin y al cabo, no olvidemos que en realidad lo que están haciendo es conseguir información sobre nuestros hábitos de navegación y nuestros datos personales, por tanto atenta contra nuestra intimidad y privacidad, de ahí que sea casi una obligación al terminar nuestra sesión de Internet, borrarlas todas, ya que evitarlas es casi misión imposible, puesto que en la mayoría de las páginas para la visualización de todos sus contenidos, es preciso tenerlas activadas.

El verdadero peligro estriba cuando en el código de la cookie, en la propiedad Pacht, se especifica que páginas van a tener acceso a esa cookie, siendo frecuente que se utilice el parámetro: Response.Cookies ("nom-usuario").Path = "/", con lo que todas las páginas del dominio y los subdominios tienen permitido el acceso, es decir, no sólo aquella que fue quien nos “dejó” la cookie en nuestro PC, y que se supone es la única que debería poder leerla.

Otro peligro, muy usado hoy en día, consiste en implementar un sistema para compartir cookies, (el caso que hemos expuesto más arriba).
Un servidor nos deja cookies, que van tomando notas de nuestro comportamiento al navegar de las páginas que visitamos, del tipo de productos que compramos, etc. Luego, esas cookies se hacen accesibles a otro u otros servidores Web, casi siempre dedicados a la publicidad, mediante un sistema de cookies compartidas.

Como ejemplo; una página del servidor primario accede a la información almacenada en las cookies, redirige los datos a una página del servidor secundario, que los lee y almacena en una base de datos, y que luego vuelve a redirigir al usuario a la página que en realidad quería ver en el servidor primario.

No es éste el único método de compartir cookies, existen muchos más (escritura simultánea de cookies, anillos de cookies, etc.), pero todos pretenden lo mismo, obtener información confidencial del usuario, información que puede llegar a tener un gran valor para ciertas empresas.


Maneja Internet Explorer las cookies de forma fiable?
No, y la prueba de ello lo tenemos en la múltiples vulnerabilidades que siguen apareciendo día a día, para ilustrarnos baste leer estos artículos, que aunque sean de hace algunos años, siguen estando vigentes, por cuanto Microsoft no ha resuelto el problema, (aunque cierto es que con la salida del Servipack 2 algo consiguieron arreglar) como podemos leer en ellos, y en los miles que por la red se pueden encontrar,  la solución pasa por desactivar el javaScript.
En el caso de Internet Explorer, podemos encontrar cookies en su formato más simple, en las que aparece un valor único almacenado en el fichero de texto.
Ya hemos dicho antes que las cookies son programadas para que sólo pueda leerlas el dominio que las creo, pero haciendo la salvedad de Internet Explorer, que permite que esa “protección” pueda ser evitada de forma que cualquier sitio Web puede leer el contenido de las cookies aunque no pertenezcan a su dominio, y todo ello sustituyendo unos simples caracteres en la barra de dirección.

Artículos:
http://www.hispasec.com/unaaldia/564
http://www.vsantivirus.com/vul-ie-document-open.htm
http://www.vsantivirus.com/vul-mozilla-170405.htm


No obstante, y para ser justos, casi ningún navegador es 100% seguro, en este aspecto, no hace tanto pudimos leer de varias vulnerabilidades referentes a Firefox (cierto es que corregidas prontamente) y el resto de navegadores tampoco se libran, para comprobar estos fallos baste mirar estos otros artículos:

http://www.vsantivirus.com/vul-cookies-path.htm
http://www.vsantivirus.com/vul-cookies-041105.htm

Direcciones interesantes:
http://www.microsoft.com/info/es/cookies.mspx

Que peligro entraña el robo de una cookie?
Ya hemos visto que son y que información puede guardar una cookie, por tanto que cada uno saque sus consecuencias al respecto, baste decir que una cookie robada y manipulada convenientemente, puede dar el acceso a quien la posea, a nuestro número de DNI y nuestras cuentas bancarias, si en algún momento hemos consultado estas on-line, a nuestras cuentas de correo, etc., de ahí a suplantar nuestra identidad en Internet … por no hablar de páginas Web que se han hackeado mediante el robo de la cookie de algún usuario.


Resumiendo:
Para que no cunda el pánico, la única información que las cookies pueden manejar, es la que nosotros hayamos ido dejando al navegar, usuarios, contraseñas, números de cuentas bancarias, etc., pero en ningún momento tienen acceso a la información contenida en el disco duro de nuestro PC.

La mejor opción es siempre mantener actualizado nuestro sistema con los parches que puntualmente vayan saliendo, y configurar el navegador para que no acepte cookies, y sólo en el caso de que nos sean precisas, decirle que nos pregunte cada vez que recibamos una cookie, si queremos almacenarla en nuestro ordenador o no.

Aunque lo recomendable, es aceptar solamente cookies de servidores en los que confiemos.

Como esto, puede ser realmente pesado cuando estamos navegando horas por la red, la solución pasa por LIMPIARLAS TODAS CUANDO TERMINEMOS SESIÓN

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License