|
|
|
Qué son las Cookies y para qué sirven |
|
VENTAJAS E INCONVENIENTES DE LAS COOKIES.
Mucho se habla de las cookies, pero ¿Qué son realmente? ¿Entrañan un peligro cierto de seguridad? ¿Son ciertos algunos de los mitos que sobre las cookies circulan? En este tutorial vamos a tratar de algunos de esos temas. En primer lugar vamos a ver qué es una cookie: Una cookie es un pequeño archivo que se genera cuando conectamos a una página web y que se guarda en nuestro ordenador. Este archivo contiene una serie de informaciones sobre la configuración de dicha página. Esta información puede ir desde contraseñas de acceso hasta configuraciones de visualización (en aquellas páginas que permiten configurar ésta), etc. Parte de esta información también se puede guardar en la URL de la página o en su servidor, pero debido a la enorme cantidad de visitantes que puede tener una página esto no sería demasiado práctico, por lo que la inmensa mayoría de los sitios web recurren a guardar estos datos en una cookie en el ordenador del cliente. El navegador debe ser capaz de almacenar unos mínimos de cookies. Normalmente estos mínimos se fijan en unas 300 cookies de 4KB y al menos 20 cookies de un mismo servidor o dominio. Podemos señalar como los usos más frecuentes los siguientes: - Llevar el control de usuarios: Cuando, en una página web, aceptamos la opción de guardar usuario y/o contraseña, esos datos se guardan en una cookie, ya que el protocolo HTTP no tiene la capacidad de almacenar estos datos. Siempre debemos tener en cuenta que lo que se identifica en estos casos es una conexión entre el ordenador y la página web, NO entre una persona determinada y la página web. - Guardar opciones de diseño: Las opciones de diseño (colores de fondo, sonidos, opciones de la web) que personalizamos en las páginas web que permiten este tipo de personalización. - Información de costumbres de navegación: En una cookie también se puede almacenar información sobre las costumbres de navegación de un usuario. Esta información es devuelta al servidor cuando conectamos a dicha página. Con este tema es con el que hay que tener un cierto cuidado, ya que la recopilación de esta información por parte del sitio web al que conectamos sí que debe estar previamente autorizado por nosotros, así como debidamente informado. Ante todo esto se nos puede plantear una duda: ¿Podemos eliminar los cookies? La respuesta es bien sencilla. Sí que se pueden eliminar (claro, que teniendo en cuenta que se van a perder los datos que almacenan). De hecho es bueno eliminar las cookies de vez en cuando, ya que al generarse al menos una por página visitada, si buen éstas son pequeñas, el conjunto de todas puede llegar a ocupar bastante espacio. Lo que sí que podemos hacer es, ya que las cookies están identificadas, guardar una copia de las que más utilizamos y volverlas a copiar una vez que eliminemos el resto. Pero sobre las cookies se han creado con el tiempo una serie de mitos que hacen que muchos sean muy contrarios a su utilización. Muchos de estos mitos son ciertos, pero también hay muchos que son totalmente falsos. Vamos a ver algunos de estos mitos: - Las cookies pueden borrar datos de los discos duros de los usuarios: Esto es totalmente falso, ya que una cookie contiene sólo datos, no código de programación. - Las cookies son un tipo de spyware porque pueden leer información personal almacenada en el ordenador de los usuarios: Totalmente falso, por el mismo motivo que lo anterior. - Las cookies generan popups: Más de lo mismo. Los popups dependen de la página que visitamos, nunca en su cookie, y no guardan ninguna relación con la misma. - Las cookies se utilizan para generar spam: Pues tampoco es cierto. Una cookie no guarda ningún dato sobre el que basarse para poder hacer spam. - Las cookies sólo se utilizan con fines publicitarios: Igual que el caso anterior. Si no guarda este tipo de datos, difícilmente se pueden utilizar para este uso. Para lo que sí que se pueden utilizar es para crear un perfil de conducta en Internet, dentro de una determinada página (aunque este perfil es siempre anónimo). Estos datos, aunque anónimos, se suelen utilizar para mejorar sitios web y hacerlos más acordes con los comportamientos de los usuarios que los visitan. Legislación sobre las cookies en Europa: La Directiva de la Unión Europea de 2002 sobre privacidad en las telecomunicaciones, en su artículo 5, párrafo 3, establece que el almacenamiento de datos de un usuario (y ese es el caso de las cookies) sólo puede hacerse si cumplen con estos requisitos: 1º.- Si el usuario recibe información sobre cómo se utilizan estos datos. 2º.- Si el usuario tiene la posibilidad de rechazar esta operación. Problemas que se pueden presentar con las cookies: Bien, lo que sí que es cierto es que las cookies pueden plantear una serie de problemas. Vamos a ver algunos de estos problemas: - Poner nuestras claves a disposición de otros usuarios: Como ya hemos dicho, las cookies no identifican a personas, sino a cuentas de usuarios. Esto quiere decir que cualquiera que utilice nuestra cuenta de usuario tiene acceso a las diferentes configuraciones, nombre de usuario y contraseña que tengamos almacenados en cookies. - Ocupación de espacio en disco: Como ya hemos dicho, las cookies son archivos pequeños (de 4KB), pero… son muchos. Además debemos tener en cuenta que: - Cada usuario genera sus propias cookies. - Cada navegador que utilicemos genera a su vez sus propias cookies. Esto, traducido a espacio, quiere decir que en un ordenador con dos usuarios, en el que cada uno de ellos utilice dos navegadores, una misma página (google, por ejemplo) está ocupando 16KB. Si multiplicamos esto por la cantidad de páginas que utilizamos normalmente, el espacio ocupado en disco llega a ser bastante alto. - Robo de cookies: Que una cookie no contenga datos que nos puedan identificar personalmente no quiere decir que no contengan datos que puedan ser sensibles, tales como nombres de usuarios utilizados tanto en sesiones de Internet como en diferentes páginas web y sus respectivas contraseñas. Las cookies, en teoría, se envían desde el servidor al ordenador del usuario y viceversa, y dado el tipo de información que contienen, sus datos no deberían ser accesibles desde otros ordenadores, pero si utilizamos sesiones sobre HTTP pueden ser visibles para otros ordenadores que utilicen algún sistema de escucha de tráfico en la red. Este problema se soluciona en buena parte utilizando sesiones HTTPS (sesiones seguras), en cuyo caso el contenido de las cookies es encriptado para su tráfico entre el usuario y el servidor. Mediante el scripting es posible enviar el valor de una cookie a un servidor que no debería recibirlo. Mediante código insertado en una sesión sobre HTML es posible, si en ese momento la cookie está accesible, enviar los datos de ésta a un tercero. Esto hace que ese tercero pueda acceder a la página correspondiente a la cookie a la que se ha tenido acceso utilizando los datos de usuario y contraseña del usuario al que realmente pertenece dicha cookie. Esto es lo que recibe el nombre de Robo de cookies. - Falsificación de cookies: Aunque las cookies se deben almacenar y enviar de vuelta al servidor sin modificar, un atacante podría modificar el valor de las cookies antes de devolverlas. Esto es especialmente grave en aquellas páginas que utilicen las cookies para guardar datos tales como importes de compras, pero ese sistema hace ya bastante tiempo que no se utiliza, ya que dado este problema las web que se dedican a la venta online guardan estos datos directamente en sus servidores. - Cookies entre sites (cross-site cooking): Cada sitio debe tener sus propias cookies, de forma que un sitio alfa.com no tenga posibilidad de modificar o definir cookies de otro sitio como beta.com. Las vulnerabilidades de cross-site cooking de los navegadores permiten a sitios maliciosos romper esta regla. Esto es similar a la falsificación de cookies, pero el atacante se aprovecha de usuarios no malintencionados con navegadores vulnerables, en vez de atacar el sitio web directamente. El objetivo de estos ataques puede ser realizar un robo de sesión en un sitio web, es decir, acceder a una página web aprovechando la identificación de otro usuario de esa página y los privilegios que pudiera tener. Visto todo esto cabe pensarse ¿existen alternativas a las cookies? Bueno, sí que existen alternativas a las cookies, pero todas tienen prácticamente los mismos problemas de seguridad, teniendo en muchos casos el inconveniente añadido de no permitir un seguimiento del usuario tan preciso como el que se puede tener utilizando cookies. Muchos sitios lo que hacen es utilizar técnicas mixtas, es decir, utilizar cookies sólo para almacenar una parte de la información, almacenando el resto en su propia URL, como parte de ésta. Otra técnica utilizada es la de hacer que una cookie tenga un tiempo de caducidad. Evidentemente, cuanto menor sea este tiempo más segura va a ser la conexión. Esto último, unido a hacer que un usuario no pueda iniciar una doble sesión en el sitio web, hace que el robo de cookies no tenga ningún posible uso posterior. Bien, hasta aquí hemos visto qué son las cookies, para qué sirven y los problemas que pueden causar. Vamos a ver ahora unos cuantos consejos sobre el uso de éstas para aumentar la seguridad: - Eliminar las cookies de nuestro ordenador de vez en cuando. - En sitios web que requieran iniciar sesión acostumbrarnos a cerrarla al salir de ellos. - En páginas que puedan contener información sensible no utilizar nunca la opción de recordar nombre de usuario y contraseña. - Guardar sólo las cookies de aquellos sitios que sean de confianza o que entremos muy a menudo. - Las web de bancos suelen ser sitios bastante seguros, no obstante, no se debe guardar ningún dato relacionado con esas páginas. Esperamos que estos consejos les sean de utilidad. |
Tags: Navegadores, Internet |
|
|
|
|