Home
Política de cookies

Política de cookies

Què són les “cookies” i com funcionen?

T’ho expliquem a Escoles Minguella

Les cookies són utilitzades habitualment pels servidors web per diferenciar usuaris i per actuar de diferent manera depenent d’aquests.

Un ús de les cookies és identificar-se en un lloc web. Els usuaris normalment s’identifiquen introduint les seves credencials en una pàgina de validació; les galetes permeten al servidor saber que l’usuari ja està validat, i per tant se li pot permetre accedir a serveis o realitzar operacions que estan restringides a usuaris no identificats.

Altres llocs web utilitzen les cookies per personalitzar el seu aspecte segons les preferències de l’usuari. Els llocs que requereixen identificació sovint ofereixen aquesta característica, encara que també està present en altres que no la requereixen. La personalització inclou tant presentació com a funcionalitat.

Les galetes s’utilitzen també per realitzar seguiments d’usuaris al llarg d’un lloc web. El seguiment en un mateix lloc normalment es fa amb la intenció de mantenir estadístiques d’ús, mentre que el seguiment entre llocs normalment s’orienta a la creació de perfils d’usuaris anònims per part de les companyies de publicitat, que després s’usaran per orientar campanyes publicitàries (decidir quin tipus de publicitat utilitzar) basades en perfils d’usuaris.

Des de la seva introducció a Internet han circulat idees equivocades sobre les cookies. En 2005 Jupiter Research va publicar els resultats d’un estudi, segons el qual un important percentatge d’entrevistats creien certa alguna de les següents afirmacions:

  • Les cookies són similars a cucs i virus en què poden esborrar dades dels discos durs dels usuaris.
  • Les cookies són un tipus de spyware perquè poden llegir informació personal emmagatzemada a l’ordinador dels usuaris.
  • Les galetes generen popups.
  • Les cookies s’utilitzen per generar spam.
  • Les cookies només s’utilitzen amb finalitats publicitàries.En realitat, les cookies són només dades, no codi, després no poden esborrar ni llegir informació de l’ordinador dels usuaris. No obstant això, les galetes permeten detectar les pàgines visitades per un usuari en un lloc determinat o conjunt de llocs. Aquesta informació pot ser recopilada en un perfil d’usuari. Aquests perfils són habitualment anònims, és a dir, no contenen informació personal de l’usuari (nom, adreça, etc.). De fet, no poden contenir llevat que el propi usuari l’hagi comunicat a algun dels llocs visitats. Però encara que anònims, aquests perfils han estat objecte d’algunes preocupacions relatives a la privacitat.Segons el mateix informe, un gran percentatge dels usuaris d’Internet no saben com esborrar les cookies.

La major part dels navegadors moderns suporten les cookies. No obstant això, un usuari pot normalment triar si les cookies haurien de ser utilitzades o no.

El navegador també pot incloure la possibilitat d’especificar millor què cookies han de ser acceptades i quines no. En concret, l’usuari pot normalment acceptar alguna de les següents opcions: rebutjar les cookies de determinats dominis; rebutjar les galetes de tercers; acceptar cookies com no persistents (s’eliminen quan el navegador es tanca); permetre al servidor crear cookies per a un domini diferent. A més, els navegadors poden també permetre als usuaris veure i esborrar cookies individualment.

Les cookies tenen implicacions importants en la privacitat i l’anonimat dels usuaris del web. Encara que les galetes només s’envien al servidor que les va definir oa un altre en el mateix domini, una pàgina web pot contenir imatges i altres components emmagatzemats en servidors d’altres dominis. Les cookies que es creen durant les peticions d’aquests components es diuen cookies de tercers.

Les companyies publicitàries utilitzen cookies de tercers per realitzar un seguiment dels usuaris a través de múltiples llocs. En concret, una companyia publicitària pot seguir a un usuari a través de totes les pàgines on ha col·locat imatges publicitàries o web bugs. El coneixement de les pàgines visitades per un usuari permet a aquestes companyies dirigir la seva publicitat segons les suposades preferències de l’usuari.

La possibilitat de crear un perfil dels usuaris s’ha considerat com una potencial amenaça a la privacitat, fins i tot quan el seguiment es limita a un sol domini, però especialment quan és a través de múltiples dominis mitjançant l’ús de cookies de tercers. Per aquesta raó, alguns països tenen legislació sobre cookies.

La directiva de la Unió Europea de 2002 sobre privacitat en les telecomunicacions conté regles sobre l’ús de cookies. En concret, en l’article 5, paràgraf 3 estableix que l’emmagatzematge de dades (com galetes) a l’ordinador d’un usuari només pot fer-se si:

  1. l’usuari rep informació sobre com s’utilitzen aquestes dades;
  2. l’usuari té la possibilitat de rebutjar aquesta operació.No obstant això, aquest article també estableix que emmagatzemar dades que són necessaris per motius tècnics està permès com a excepció.

A més del relatiu a la privacitat que ja s’ha esmentat, hi ha altres raons per les que l’ús de cookies ha rebut certa oposició: no sempre identifiquen correctament als usuaris, i es poden utilitzar per a atacs de seguretat.

Identificació inexacta

Si s’utilitza més d’un navegador en un ordinador, cada un té el seu propi emmagatzematge de cookies. Per tant, les galetes no identifiquen a una persona, sinó a una combinació de compte d’usuari, ordinador i navegador. D’aquesta manera, qualsevol que utilitzi diversos comptes, diversos ordinadors, o diversos navegadors, té també múltiples conjunts de cookies.
De la mateixa manera, les galetes no diferencien entre diverses persones que utilitzin el mateix ordinador o navegador, si aquests no utilitzen diferents comptes d’usuari.

Robatori de cookies

Durant el funcionament normal, les galetes s’envien en els dos sentits entre el servidor (o grup de servidors en el mateix domini) i l’ordinador de l’usuari que està navegant. Atès que les galetes poden contenir informació sensible (nom d’usuari, un testimoni utilitzat com autenticació, etc.), els seus valors no haurien de ser accessibles des d’altres ordinadors. No obstant això, les galetes enviades sobre sessions HTTP normals són visibles a tots els usuaris que poden escoltar a la xarxa utilitzant un sniffer de paquets. Aquestes galetes no han de contenir per tant informació sensible. Aquest problema es pot solucionar mitjançant l’ús de https, que invoca seguretat de la capa de transport per xifrar la connexió.
El scripting entre llocs permet que el valor de les cookies s’enviï a servidors que normalment no rebrien aquesta informació. Els navegadors moderns permeten l’execució de segments de codi rebuts del servidor. Si les galetes estan accessibles durant l’execució, el seu valor pot ser comunicat d’alguna manera a servidors que no haurien d’accedir-hi. El procés que permet a una part no autoritzada rebre una cookie es diu robatori de cookies, i el xifrat no serveix contra aquest tipus d’atac.

Aquesta possibilitat és explotada normalment per atacants de llocs que permeten als usuaris l’enviament de contingut HTML. Introduint un segment de codi adequat en un enviament HTML, un atacant pot rebre les cookies d’altres usuaris. El coneixement d’aquestes cookies pot després ser explotat mitjançant la connexió als llocs en els quals s’utilitzen les cookies robades, sent així identificat com l’usuari a qui se li van robar les galetes.

Falsificació de galetes

Encara que les galetes han de ser emmagatzemades i retornades al servidor sense modificar, un atacant podria modificar el valor de les galetes per a poder tornar-les. Si, per exemple, una galeta conté el valor total de la compra d’un usuari en un lloc web, canviant aquest valor el servidor podria permetre a l’atacant pagar menys del que caldria per la seva compra. El procés de modificar el valor de les cookies es denomina falsificació de cookies i sovint es realitza després d’un robatori de cookies per fer un atac persistent.
No obstant això, la majoria dels llocs web només s’emmagatzemen a la galeta un identificador de sessió -un nombre únic utilitzat per a identificar la sessió de l’usuari-i la resta de la informació s’emmagatzema en el propi servidor. En aquest cas, el problema de la falsificació de cookies queda pràcticament eliminat.

Galetes entre llocs (cross-site cooking)

Cada lloc ha de tenir les seves pròpies galetes, de manera que un lloc malo.net no tingui possibilitat de modificar o definir galetes d’un altre lloc com bueno.net. Les vulnerabilitats de cross-site cooking (cookies entre llocs) dels navegadors permeten a llocs maliciosos trencar aquesta regla. Això és similar a la falsificació de cookies, però l’atacant s’aprofita d’usuaris no malintencionats amb navegadors vulnerables, en comptes d’atacar el lloc web directament. L’objectiu d’aquests atacs pot ser realitzar una fixació de sessió (robatori de sessió en un lloc web).