Reading Time: 3 minutes

Cookie

Un HTTP Cookie è caratterizzato dai seguenti attributi:

  • Nome (attributo obbligatorio, stabilisce il nome, come per qualsiasi variabile);
  • Contenuto (attributo obbligatorio, rappresenta il valore della variabile);
  • Dominio (definisce il dominio di appartenenza del Cookie);
  • Percorso (indica il path che deve essere specificato nell’URL per restituire il Cookie al server);
  • Scadenza (attributo opzionale che permette di stabilire la data fino alla quale il Cookie è da ritenersi valido).

La funzione fondamentale di un HTTP Cookie è consentire la memorizzazione sul client di informazioni di stato per migliorare l’accesso ad applicazioni raggiungibili via HTTP.

In un recente passato si è aperto un contrastato dibattito sui Cookie e il diritto alla Privacy, in quanto il meccanismo è stato da molti additato come una aperta violazione di tale principio fondamentale degli utenti.

In realtà la natura delle informazioni scambiate tramite Cookie dipende dall’uso che ne fanno di questo strumento gli sviluppatori delle singole applicazioni.

Esistono numerosi esempi di applicazioni in cui i Cookie risultano utilizzati solo per semplificare e ampliare l’usabilità del Web.

È relativamente frequente incontrare Cookie usati per memorizzare lo stato di avanzamento nel processo di riempimento di un carrello virtuale di un negozio on-line o per personalizzare la pagina Web restituita sulla base delle preferenze dell’utente.

Talvolta il contenuto di un Cookie è invece rilevante ai fini della sicurezza.

Lo è nel caso contenga informazioni sul percorso dell’utente all’interno del Web o quando usato per memorizzare la password di accesso al servizio (magari offuscata tramite uso di una qualche funzione digest).

La memorizzazione della password all’intenro del browser libera l’utente della necessità di doverla digitare nuovamente a ogni logon, ma espone la credenziale al rischio che questa finisca in mano ad un attaccante.

L’area di memoria utilizzata dal browser per conservare i Cookie può risultare infatti accessibile in lettura anche ad altri utenti.

Il problema è amplificato se l’utente finale non viene neppure avvisato del fatto che la propria password è memorizzata in un Cookie locale.

Il rischio diviene particolarmente alto nel caso di uso di un PC condiviso (come quelli di un normale Internet Cafè), utilizzato da utenti diversi in momenti successivi.

In questo caso l’utente che si siede al PC successivamente alla memorizzazione del Cookie può leggere e utilizzare le informazioni memorizzate in esso come se si trattasse dell’utente legittimo.

Per evitare simili inconvenienti gli attuali browser prevedono la possibilità di cancellare (manualmente o automaticamente) tutti i Cookie collezionati durante la navigazione.

Si consiglia di verificare che tale processo di cancellazione abbia luogo prima di lasciare la postazione condivisa.

Un server che desidera avvalersi dei Cookie richiede la memorizzazione nel browser dell’informazione trasferita inserendo nell’intestazione della HTTP Response la direttiva Set-Cookie.

La restituzione del valore memorizzato nel browser è automatica.

L’intestazione della HTTP Response dispone del campo Cookie per allegare eventuali informazioni di stato negli accessi successivi a una URL.

Oltre ai Cookie un altro sistema molto diffuso per tracciare le abitudini di un utente che contatta un server, è memorizzare il contenuto informativo in modalità URL Encoded nel campo Refer.

Se non vuoto, questo campo consente al server di conoscere la pagina precedentemente aperta dal browser prima di contattare il nuovo URL.

Il campo viene automaticamente riempito ogni volta che si accede a un server avendolo prima cercato su un motore di ricerca (per esempio Google).

Il motore di ricerca indica nel campo Refer anche le parole utilizzate nella ricerca, e queste potrebbero contenere informazioni personali e/o che comunque l’utente non desidera che vengano fornite a soggetti diversi dal motore di ricerca in cui sono utilizzate.

Per evitare la perdita di confidenzialità è possibile modificare la configurazione del browser e inibire i Cookie.

Purtroppo questo approccio potrebbe risultare un po’ troppo drastico e in certi casi rendere inutilizzabili alcune applicazioni Web.

Se si desidera impedire che le nostre abitudini di navigazione possano essere tracciate è consigliabile stabilire puntualmente la lista dei server con cui si accetta di scambiare Cookie, evitando di includere nella white list quei siti che sono specializzati in ricerche di mercato e/o pubblicità online.

Lo stesso accorgimento prudente può essere adottato per le informazioni contenute nel campo Refer.

In tal caso, gli utenti più paranoici, possono ripulire il campo Refer semplicemente usando l’accorgimento di aprire sempre nuove finestre e digitare manualmente l’URL invece che premere pigramente gli URL all’interno delle pagine generate in risposta alle nostre ricerche da un motore di ricerca.

error: Content is protected !!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.