Hoy voy a hablar de cookies y de como no borrarlas adecuadamente puede ser un problema. Al igual que algunas otras entradas, esta tiene un nivel bastante técnico por lo que a menos que te interese el tema, será mejor que no la leas, aunque quien sabe, igual te de ideas para hacer cosas “divertidas”.
En primer lugar hay que explicar que es una cookie. Una cookie es un pequeño fichero que se almacena en tu ordenador y donde se almacena información de estado que permiten mantener la información entre peticiones web.
Dicho así suena un poco mareante, así que será mejor explicarlo de forma más sencilla aunque imprecisa. Una cookie es un fichero creado por una página web que es enviado a la misma al acceder a ella.
Las cookies, son necesarias porque el servicio http (en el que se basa la web) no almacena ningún dato acerca de las peticiones anteriores. Para que os hagais una idea: si yo accedo a una página web (cómo Mundo FIV) y me identifico como usuario, al acceder al menú principal no hay forma de saber que antes me he identificado, en mi caso, como klondike, y por tanto no podría saberse a que foros puedo a acceder a menos que enviase esa información de identificación cada vez. Para resolver problemas como este se utilizan las cookies, que el navegador se encarga de enviar automáticamente al ir a acceder a la página web.
Como podéis ver, un uso inmediato de las cookies es mantener la identificación del usuario entre peticiones, pero tiene más usos, por ejemplo guardar preferencias (en el caso del foro el tema o el idioma deseado) o incluso seguir la actividad de un usuario a través de una web (o varias, pero con algunas restricciones).
También existen alternativas, como mandar la información como uno de los parámetros de la petición, pero presenta el problema de que la información se vuelve volátil y es imposible mantenerla entre sesiones, por ejemplo, si cierro la pestaña del navegador y la vuelvo a abrir o directamente cierro el navegador.
Evidentemente, esa información tiene una caducidad, puede ser hasta que se cierre el navegador, hasta una fecha determinada o no caducar nunca. Y sólo puede ser accedida dentro del mismo subdominio (por eso lo de las restricciones que comentaba unos párrafos antes).
Las cookies, sin embargo, pueden representar un peligro en ocasiones.
En primer lugar, al enviarse sin cifrar pueden capturarse usando un analizador para suplantar la identidad de un usuario, sin embargo esto tampoco es un problema mucho más grave que el de enviar los datos identificativos sin cifrar (y sin usar algún sistema de autentificación del tipo desafío), y en cierta manera puede resolverse comprobando que la máquina desde la que se envían los datos sea la misma usando por ejemplo la dirección IP, sin embargo en muchas redes, por ejemplo las domésticas, varias máquinas acceden a Internet con la misma IP por lo que sigue siendo posible reutilizar cookies.
Además, su uso como herramientas de seguimiento de usuarios puede ser particularmente peligroso para nuestra intimidad, ya que por ejemplo podrían usarse añadiendo un pequeño trozo de código perteneciente a un dominio concreto, en un iframe o en un tag object, donde se siguiera el movimiento del usuario (también se podrían modificar las páginas web antes de abrirlas, pero generalmente, es decir, si no se usa un medio de transmisión seguro, y, a menos que tengas instalado un malware, la posibilidad de modificar las respuestas suele implicar que es posible leer las misma por lo que no tendría mucho sentido). Este problema puede resolverse configurando el navegador para que rechace aquellas cookies que queramos, aunque a veces eso pueda causar una pérdida de usabilidad del servicio web. Al fin y al cabo, si te identificas como usuario en una página web sigue siendo posible asociar la navegación realizada con el usuario, y los datos que de este se dispongan.
Finalmente existe otro problema que es potencialmente más peligroso, y que no puede resolverse tan fácilmente, y es la posibilidad de reutilizar las cookies dentro de la misma máquina. Evidentemente, en máquinas que sean utilizadas por un sólo usuario esto no es un problema, sin embargo, en máquinas públicas si que lo es. Cómo os he indicado antes estas cookies tienen un periodo de vida, y aunque cambie el usuario, si las cookies no han caducado y el usuario del sistema tiene acceso a las mismas cookies que el anterior, estas seguiran enviándose. Esto es un problema particularmente grave cuando se trata de identificar usuarios, pues implica que es fácil realizar una suplantación de identidad. Evidentemente, esto se resuelve haciendo que las cookies dejen de ser válidas, y se eliminen, al finalizar la sesión, aunque sigue estando el problema de poder capturar la cookie desde otro equipo y reutilizarla luego en el mismo si la conexión no está cifrada. Sin embargo existen máquinas públicas donde el navegador no se cierra necesariamente entre sesiones, kioskos o equipos de biblioteca por ejemplo. Por lo que el problema no se resuelve del todo.
De todas formas, es posible resolver tanto el primer problema como el último cerrando la sesión en la página web, y por tanto haciendo que esta invalide las cookies de identificación. Sin embargo, existen servicios web, por ejemplo el PoliformaT de que hablé anterioremente, que por una razón u otra, por ejemplo en el caso del PoliformaT el uso de la tecnología “SINGLE SIGN ON”, o bien no se elimina toda la información de identificación, o bien no se elimina en absoluto. Aunque la gravedad de este problema es variable dado que depende de la información que se deje, y de su posibilidad de ser reutilizada, por norma general suele ser bastante peligrosa pues aunque el usuario cree haber cerrado su sesión puede no ser así.
Para comprobar la gravedad de un problema de este tipo analizaremos el caso del PoliformaT. En el caso del PoliformaT, al cerrar sesión se elimina la información de Sakai, por lo que el usuario cree que se han eliminado las cookies, pero no se borra la información de identificación de la intranet, ni se dirije al usuario a un lugar donde poder eliminarla, por ejemplo la propia Intranet, con lo que es posible volver a identificarse con los mismos datos. En este caso, dado la facilidad de explotar el problema, la situación es bastante grave.
También existen otros problemas relacionados con los dominios asignados a las cookies, pero de estos hablaremos otro día. Así que recordad, cerrad la sesión y el propio navegador y si os encontráis alguna sesión abierta no seáis malos.
los mejor
¿puedes explicarme como eliminar las cookies? es que no se cierra bien mi sesion de correo electronico y me sugiere cerrar las cookies pero no se como hacerlo.
gracias de antemano
si usas firefox editar->preferencias->privacidad->eliminar cookies de forma individual.
hola… no me presento mas pero igual me da gusto platicar contigo, soy mexicano por cierto…
No tengo una duda exacta pero escribes de forma en que demuestras el tema de la web, fijate no tengo mucho conociendo el internet -es mas no tengo mucho usando el internet- y no creas que lo se usar.
¡Me podrias recomendar un manual electronico o fisico, o si en la mayor disposicion fuera posible, un tutorial tipo praxis visual para aprender cosas como Formatear, programar el funcionamiento de la maquina etecera?
Gracias por la ayuuda o la atencion prestada -buen dia y provechosa web jajaja-