Hoy voy a hablar de cookies y de como no borrarlas adecuadamente puede ser un problema. Al igual que algunas otras entradas, esta tiene un nivel bastante t\u00e9cnico por lo que a menos que te interese el tema, ser\u00e1 mejor que no la leas, aunque quien sabe, igual te de ideas para hacer cosas “divertidas”.<\/p>\n
En primer lugar hay que explicar que es una cookie. Una cookie es un peque\u00f1o fichero que se almacena en tu ordenador y donde se almacena informaci\u00f3n de estado que permiten mantener la informaci\u00f3n entre peticiones web.<\/p>\n
Dicho as\u00ed suena un poco mareante, as\u00ed que ser\u00e1 mejor explicarlo de forma m\u00e1s sencilla aunque imprecisa. Una cookie es un fichero creado por una p\u00e1gina web que es enviado a la misma al acceder a ella.<\/p>\n
Las cookies, son necesarias porque el servicio http (en el que se basa la web) no almacena ning\u00fan dato acerca de las peticiones anteriores. Para que os hagais una idea: si yo accedo a una p\u00e1gina web (c\u00f3mo Mundo FIV<\/a>) y me identifico como usuario, al acceder al men\u00fa principal no hay forma de saber que antes me he identificado, en mi caso, como klondike, y por tanto no podr\u00eda saberse a que foros puedo a acceder a menos que enviase esa informaci\u00f3n de identificaci\u00f3n cada vez. Para resolver problemas como este se utilizan las cookies, que el navegador se encarga de enviar autom\u00e1ticamente al ir a acceder a la p\u00e1gina web.<\/p>\n Como pod\u00e9is ver, un uso inmediato de las cookies es mantener la identificaci\u00f3n del usuario entre peticiones, pero tiene m\u00e1s usos, por ejemplo guardar preferencias (en el caso del foro el tema o el idioma deseado) o incluso seguir la actividad de un usuario a trav\u00e9s de una web (o varias, pero con algunas restricciones).<\/p>\n Tambi\u00e9n existen alternativas, como mandar la informaci\u00f3n como uno de los par\u00e1metros de la petici\u00f3n, pero presenta el problema de que la informaci\u00f3n se vuelve vol\u00e1til y es imposible mantenerla entre sesiones, por ejemplo, si cierro la pesta\u00f1a del navegador y la vuelvo a abrir o directamente cierro el navegador.<\/p>\n Evidentemente, esa informaci\u00f3n tiene una caducidad, puede ser hasta que se cierre el navegador, hasta una fecha determinada o no caducar nunca. Y s\u00f3lo puede ser accedida dentro del mismo subdominio (por eso lo de las restricciones que comentaba unos p\u00e1rrafos antes).<\/p>\n Las cookies, sin embargo, pueden representar un peligro en ocasiones. Adem\u00e1s, su uso como herramientas de seguimiento de usuarios puede ser particularmente peligroso para nuestra intimidad, ya que por ejemplo podr\u00edan usarse a\u00f1adiendo un peque\u00f1o trozo de c\u00f3digo perteneciente a un dominio concreto, en un iframe o en un tag object,\u00a0 donde se siguiera el movimiento del usuario (tambi\u00e9n se podr\u00edan modificar las p\u00e1ginas web antes de abrirlas, pero generalmente, es decir, si no se usa un medio de transmisi\u00f3n seguro, y, a menos que tengas instalado un malware, la posibilidad de modificar las respuestas suele implicar que es posible leer las misma por lo que no tendr\u00eda mucho sentido). Este problema puede resolverse configurando el navegador para que rechace aquellas cookies que queramos, aunque a veces eso pueda causar una p\u00e9rdida de usabilidad del servicio web. Al fin y al cabo, si te identificas como usuario en una p\u00e1gina web sigue siendo posible asociar la navegaci\u00f3n realizada con el usuario, y los datos que de este se dispongan. Tambi\u00e9n existen otros problemas relacionados con los dominios asignados a las cookies, pero de estos hablaremos otro d\u00eda. As\u00ed que recordad, cerrad la sesi\u00f3n y el propio navegador y si\u00a0 os encontr\u00e1is alguna sesi\u00f3n abierta no se\u00e1is malos.<\/p>\n","protected":false},"excerpt":{"rendered":" Hoy voy a hablar de cookies y de como no borrarlas adecuadamente puede ser un problema. Al igual que algunas otras entradas, esta tiene un nivel bastante t\u00e9cnico por lo que a menos que te interese el tema, ser\u00e1 mejor que no la leas, aunque quien sabe, igual te de ideas para hacer cosas “divertidas”.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,1],"tags":[],"class_list":["post-67","post","type-post","status-publish","format-standard","hentry","category-buenos-eventos","category-otras-cosas"],"_links":{"self":[{"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/posts\/67","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/comments?post=67"}],"version-history":[{"count":2,"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/posts\/67\/revisions"}],"predecessor-version":[{"id":69,"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/posts\/67\/revisions\/69"}],"wp:attachment":[{"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/media?parent=67"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/categories?post=67"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/klondike.es\/klog\/wp-json\/wp\/v2\/tags?post=67"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nEn primer lugar, al enviarse sin cifrar pueden capturarse usando un analizador para suplantar la identidad de un usuario, sin embargo esto tampoco es un problema mucho m\u00e1s grave que el de enviar los datos identificativos sin cifrar (y sin usar alg\u00fan sistema de autentificaci\u00f3n del tipo desaf\u00edo), y en cierta manera puede resolverse comprobando que la m\u00e1quina desde la que se env\u00edan los datos sea la misma usando por ejemplo la direcci\u00f3n IP, sin embargo en muchas redes, por ejemplo las dom\u00e9sticas, varias m\u00e1quinas acceden a Internet con la misma IP por lo que sigue siendo posible reutilizar cookies.<\/p>\n
\nFinalmente existe otro problema que es potencialmente m\u00e1s peligroso, y que no puede resolverse tan f\u00e1cilmente, y es la posibilidad de reutilizar las cookies dentro de la misma m\u00e1quina. Evidentemente, en m\u00e1quinas que sean utilizadas por un s\u00f3lo usuario esto no es un problema, sin embargo, en m\u00e1quinas p\u00fablicas si que lo es. C\u00f3mo os he indicado antes estas cookies tienen un periodo de vida, y aunque cambie el usuario, si las cookies no han caducado y el usuario del sistema tiene acceso a las mismas cookies que el anterior, estas seguiran envi\u00e1ndose. Esto es un problema particularmente grave cuando se trata de identificar usuarios, pues implica que es f\u00e1cil realizar una suplantaci\u00f3n de identidad. Evidentemente, esto se resuelve haciendo que las cookies dejen de ser v\u00e1lidas, y se eliminen, al finalizar la sesi\u00f3n, aunque sigue estando el problema de poder capturar la cookie desde otro equipo y reutilizarla luego en el mismo si la conexi\u00f3n no est\u00e1 cifrada. Sin embargo existen m\u00e1quinas p\u00fablicas donde el navegador no se cierra necesariamente entre sesiones, kioskos o equipos de biblioteca por ejemplo. Por lo que el problema no se resuelve del todo.
\nDe todas formas, es posible resolver tanto el primer problema como el \u00faltimo cerrando la sesi\u00f3n en la p\u00e1gina web, y por tanto haciendo que esta invalide las cookies de identificaci\u00f3n. Sin embargo, existen servicios web, por ejemplo el PoliformaT de que habl\u00e9 anterioremente<\/a>, que por una raz\u00f3n u otra, por ejemplo en el caso del PoliformaT<\/a> el uso de la tecnolog\u00eda “SINGLE SIGN ON”, o bien no se elimina toda la informaci\u00f3n de identificaci\u00f3n, o bien no se elimina en absoluto. Aunque la gravedad de este problema es variable dado que depende de la informaci\u00f3n que se deje, y de su posibilidad de ser reutilizada, por norma general suele ser bastante peligrosa pues aunque el usuario cree haber cerrado su sesi\u00f3n puede no ser as\u00ed.
\nPara comprobar la gravedad de un problema de este tipo analizaremos el caso del PoliformaT. En el caso del PoliformaT, al cerrar sesi\u00f3n se elimina la informaci\u00f3n de Sakai, por lo que el usuario cree que se han eliminado las cookies, pero no se borra la informaci\u00f3n de identificaci\u00f3n de la intranet, ni se dirije al usuario a un lugar donde poder eliminarla, por ejemplo la propia Intranet, con lo que es posible volver a identificarse con los mismos datos. En este caso, dado la facilidad de explotar el problema, la situaci\u00f3n es bastante grave.<\/p>\n