I COOKIES
Corso di Sicurezza
A.A. 2004/2005
Daniele Tavella
1
L’ORIGINE DEL NOME

COOKIES = “BISCOTTO”
Il nome deriva da un vecchio programma
UNIX Cookie Monster
 Prima versione in Navigator 1.0

Daniele Tavella
2
CHE COSA SONO

La definizione che da Netscape (inventore):
“Cookies are a general mechanism which server side
connections (such as CGI scripts) can use to both
store and retrieve information on the client side of the
connection. The addition of a simple, persistent,
client-side state significantly extends the capabilities
of Web-based client/server applications.”

o meglio… “un meccanismo utilizzato dal server per
raccogliere informazioni sul client”
Daniele Tavella
3
CHE COSA SONO (2)
Fisicamente sono stringhe di testo inviate
dal server Web al browser
 In Netscape  cookies.txt
 In Internet Explorer  dipende
- cartella Cookies
- cartella Temporary Internet Files

Daniele Tavella
4
CHE COSA SONO (3)
Richiesta pagina Web
Pagina Web + Cookies

Un browser richiede pagina Web

Il server spedisce un pacchetto HTTP con la
pagina e la richiesta per il cookie

Il browser può accettare/rifiutare la richiesta

Il browser può in seguito inviare i cookies
Daniele Tavella
5
CHE COSA SONO (4)
Cookies
Pagina Web + Cookies
CONTENT-TYPE: TEXT/HTML
SET-COOKIE: FOO=BAR; PATH=/;
EXPIRES MON, 09-DEC-2002 13:46:00 GMT
CONTENT-TYPE: TEXT/HTML
COOKIE: FOO=BAR
Daniele Tavella
6
CHE COSA SONO (5)
COOKIES
SESSION COOKIES
PERSISTENT COOKIES
• Vengono cancellati alla
chiusura del browser
• Vengono cancellati in
base alla data di scadenza
• SID
• Informazioni
Daniele Tavella
7
COME SONO COSTRUITI
Ci sono 6 parametri, 2 obbligatori e 4
facoltativi
 NAME
FOO = BAR;
 VALUE
MON, 01-JAN-2001 00:00:00 GMT
 EXPIRE


PATH
PATH = /PROMO;

DOMAIN
DOMAIN = WWW.MYSERVER.COM;

SECURE
SECURE = TRUE/FALSE;
Daniele Tavella
8
COME SI PRESENTANO

Domain
Flag
Path
Secure
Time
Name
Value
Daniele Tavella
9
COME SI PRESENTANO (2)

Daniele Tavella
10
COME SI PRESENTANO (3)

Daniele Tavella
11
COME SI PRESENTANO (4)

Daniele Tavella
12
COME RIFIUTARLI
Sia Netscape che Explorer permettono
diversi livelli di verifica dei cookies
 Possibilità di avere degli avvisi


Edit/Preferences/Advanced

(v 6.0) Tools/Internet Option/Privacy
Daniele Tavella
13
A COSA SERVONO ?

Creati da Web Design o Web Merchants

Hanno diverse utilità e scopi
Daniele Tavella
14
SITI DI ACQUISTO ON-LINE
www.amazon.com
Funzione di “carrello della spesa”
 Viene tenuta traccia dell’intera sessione
(pagine visitate, eventuali prodotti scelti…)
per poi fornire ordine già compilato

Daniele Tavella
15
SITI A PAGAMENTO O ACCESSO LIMITATO
Siti che richiedono solo username e password
 Una volta che ci si è “loggati” viene creato u
cookie contenente un codice che indica quali
pagine l’utente può visitare

Daniele Tavella
16
FORMS INTELLIGENTI
Siti dove si richiede di compilare un
modulo ad ogni ingresso
 Il cookie memorizza alcune delle
informazioni che dovranno essere
scritte nel modulo

Daniele Tavella
17
PAGINE WEB PERSONALIZZATE
My!Yahoo
Excite

Servono a personalizzare una o più
pagine web visitate da un utente
Daniele Tavella
18
RACCOLTA INFORMAZIONI
DEMOGRAFICHE
www.doubleclick.com
Raccolta di dati su chi a visitato il sito a
scopi anche pubblicitari
 Non viene tenuta traccia del come e del
quanto tempo
 Ne riparleremo in seguito

Daniele Tavella
19
GESTIONE DI UN SITO
Permettono di capire come avviene la
visita in un sito
 Percorso fatto, quanto viene visitato…
 Serve a rendere più attraente il sito

Daniele Tavella
20
COOKIES E SICUREZZA
È normale pensare che attraverso un cookies
sia possibile attaccare una macchina
 NON è così

I cookies non possono essere né programmi,
né plug-in
 I cookies non possono contenere virus


I cookies sono solamente FILE DI TESTO che
contengono informazioni su un utente  è
questo il vero pericolo
Daniele Tavella
21
COOKIES E SICUREZZA (2)
I cookies hanno alcune limitazioni (RFC 2109)
che gli impediscono di nuocere al sistema:

Dimensione massima = 4 KB
Numero massimo di cookies in memoria =
300 (300 x 4 KB = 1200 KB)
 Di cui al massimo 20 provenienti dallo stesso
dominio


Non dimentichiamo che è possibile
disabilitare la ricezione dei cookies!!!
Daniele Tavella
22
COOKIES E PRIVACY
ALCUNE PRECISAZIONI
Cosa NON fanno i cookies:
Sottrarre password e numero carta di credito
 Far leggere al Web server l’hard disk
 Far distruggere al Web server file del nostro
hard disk
I cookies forniscono solo le informazioni che
diamo volontariamente (password, numero carta
di credito, pagine visitate, ecc..)

Daniele Tavella
23
COOKIES E PRIVACY (2)
Usando queste informazioni, webmasters ed
inserzionisti possono creare dei profili
personali
 Questi profili vengono usati per pubblicità
mirata, modifiche all’aspetto del sito, ecc…
 Può capitare che ditte diverse si vendano
queste informazioni

Daniele Tavella
24
COOKIES E PRIVACY (3)
Da molti anni è in atto un acceso dibattito tra
i difensori della privacy e webmasters ed
inserzionisti
 Purtroppo non esistono leggi internazionali
che regolamenti l’uso dei cookies
 Però ne esistono di regionali alle quali si può
far riferimento
 Facendo riferimento a queste leggi i difensori
della privacy sostengono che i cookie violano
molti dei principi espressi dalle suddette
(lealtà, liceità, finalità…)

Daniele Tavella
25
COOKIES E PRIVACY (4)
Il tema principale è la memorizzazione dei
cookies ad insaputa dell’utente
 Molto spesso l’utente NON conosce i cookies
 Questi vengono memorizzati SENZA il
permesso dell’utente e ad insaputa dello
stesso
 Possono essere però mostrati degli avvisi

Daniele Tavella
26
COOKIES E PRIVACY (5)
LA QUESTIONE DEGLI AVVISI
DIFENSORI PRIVACY
WEBMASTERS/INSERZIONISTI


L’utente SA
dell’esistenza del
cookies grazie all’avviso
L’utente vedendo
l’avviso può scegliere se
accettarlo o no



L’avviso NON viene
sempre mostrato (di
default non mostrato)
L’utente può essere
bombardato da troppi
avvisi  esasperato
decide di accettarli
Alcuni avvisi “minacciano”
l’utente di non caricare tutta
la pagina
Daniele Tavella
27
COOKIES E PRIVACY (6)

Le argomentazioni sono molte

Il dibattito è tuttora insoluto
Daniele Tavella
28
WWW.DOUBLECLICK.COM
Molti navigatori hanno ricevuto un cookie
da DoubleClick
 Ma molti di loro NON hanno MAI visitato
DoubleClick
 Come è possibile ciò?
 DoubleClick è un sito che si occupa di
pubblicare su tutto il web le pubblicità di
ditte che non vogliono occuparsi
direttamente di pubblicizzarsi

Daniele Tavella
29
WWW.DOUBLECLICK.COM (2)
Quando un utente richiede un pagina Web,
il server spedisce tanti pacchetti contenenti
i vari “pezzi” della pagina (codice HTML,
immagini, suoni, ecc…
 Tra i vari “pezzi” della pagina, ci sono
anche le inserzioni pubblicitarie
 DoubleClick ha fatto in modo che quando
viene inviata in un pacchetto HTTP una
“sua” pubblicità, lui invii anche un cookie ad
insaputa dell’utente per avere informazioni
sullo stesso
Daniele Tavella
30

WWW.DOUBLECLICK.COM (3)
Così DoubleClick possiede informazioni su
un gran numero di utenti a loro insaputa
 Sono scattate di conseguenza numerose
cause contro DoubleClick
 Tra queste quella di EPIC (Elettronic Privacy
Information Center)

Daniele Tavella
31
BIBLIOGRAFIA

http://www.cookiecentral.com

http://www.webopedia.com

http://www.epic.org/privacy/internet/cookies/

http://wp.netscape.com/newsref/std/cookie_spec.html

http://www.jus.unitn.it/users/pascuzzi/privcomp98-99/papers/barana/cookies.htm
Daniele Tavella
32
Scarica
  1. No category

I COOKIES - ITIS E. Divini