Trattamento dati e Cookie

I server inviano i cookie nella risposta HTTP al client e ci si aspetta che i web browser salvino e inviino i cookie al server, ogni qual volta si facciano richieste aggiuntive al web server.

Tale riconoscimento permette di realizzare meccanismi di autenticazione usati ad esempio per i login; di memorizzare dati utili alla sessione di navigazione, come le preferenze sull’aspetto grafico o linguistico del sito; di tracciare la navigazione dell’utente, ad esempio per fini statistici o pubblicitari; di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico.

Date le implicazioni per la riservatezza dei naviganti del web, l’uso dei cookie è categorizzato e disciplinato negli ordinamenti giuridici di numerosi paesi, tra cui quelli europei, inclusa l’Italia. La sicurezza di un cookie di autenticazione dipende generalmente dalla sicurezza del sito che lo emette, dal browser web dell’utente, e dipende dal fatto che il cookie sia criptato o meno. Le vulnerabilità di sicurezza possono permettere agli hacker di leggere i dati del cookie, che potrebbe essere usato per ottenere l’accesso ai dati degli utenti, o per ottenere l’accesso (con le credenziali dell’utente) al sito web a cui il cookie appartiene (vedi cross-site scripting e cross-site request forgery per esempio).[3]

I cookie, e in particolare i cookie di terza parte, sono comunemente usati per memorizzare le ricerche di navigazione degli utenti; questi dati sensibili possono essere una potenziale minaccia alla privacy degli utenti; proprio questo ha indotto le autorità europee[4] e degli Stati Uniti a regolamentarne l’uso mediante una legge nel 2011[5]. Infatti la legislazione europea impone a tutti i siti degli stati membri di informare gli utenti che il sito usa certi tipi di cookie.

Caratteristiche

In termini pratici e non specialistici, un cookie è simile ad un piccolo file, memorizzato nel computer da siti web durante la navigazione, utile a salvare le preferenze e a migliorare le prestazioni dei siti web. In questo modo si ottimizza l’esperienza di navigazione da parte dell’utente.

Nel dettaglio, un cookie è una stringa di testo di piccole dimensioni inviata da un web server ad un web client (di solito un browser) e poi rimandata indietro dal client al server (senza subire modifiche) ogni volta che il client accede alla stessa porzione dello stesso dominio web. I cookie sono stati originariamente introdotti per fornire un modo agli utenti di memorizzare gli oggetti che volevano acquistare, mentre navigavano nel sito web (il cosiddetto “carrello della spesa”).

Oggi, tuttavia, il contenuto del carrello di un utente viene immagazzinato in un database sul server, piuttosto che in un cookie sul client. Per tenere traccia a quale utente è assegnato il carrello della spesa, il server Web invia un cookie al client che contiene un identificatore di sessione univoco (tipicamente, una lunga serie di lettere e numeri). Poiché i cookie vengono inviati al server ad ogni richiesta del client, l’identificatore di sessione sarà inviato al server ogni volta che l’utente visita una pagina sul sito web, ciò permette al server di sapere quale carrello deve fornire all’utente.

Poiché i cookie di sessione contengono solo un identificatore di sessione univoco, questo rende la quantità di informazioni personali che un sito web può memorizzare virtualmente illimitata. Il sito non si limita alle restrizioni in materia di quanto possa essere lunga la stringa di testo che compone un cookie. I cookie di sessione possono anche contribuire a migliorare i tempi di caricamento delle pagine, dal momento che la quantità di informazioni in un cookie di sessione è piccolo e richiede poca banda.

Il cookie principale, quello che serve per memorizzare le opzioni per tutti gli altri cookie, si chiama cookie tecnico (di consenso) ovvero quello che presiede all’invio e ricezione del pacchetto di informazioni (marcatori).

Ogni dominio o sua porzione che viene visitata col browser può impostare dei cookie. Poiché una tipica pagina Internet, ad esempio quella di un giornale in rete, contiene oggetti che provengono da molti domini diversi e ognuno di essi può impostare cookie, è normale ospitare nel proprio browser molte centinaia di cookie.

I cookie vengono spesso erroneamente ritenuti veri e propri programmi e ciò genera errate convinzioni. In realtà essi sono semplici blocchi di dati, incapaci, da soli, di compiere qualsiasi azione sul computer. In particolare non possono essere né spyware, né virus. Ciononostante i cookie provenienti da alcuni siti sono catalogati come spyware da molti prodotti anti-spyware perché rendono possibile l’individuazione dell’utente. I moderni browser permettono agli utenti di decidere se accettare o no i cookie, ma l’eventuale rifiuto rende alcuni oggetti inutilizzabili. Ad esempio, gli shopping cart implementati con i cookie non funzionano in caso di rifiuto.

I cookie non sono solo utilizzati sui PC o simili, ma anche sugli smartphone, sui tablet e sugli smart TV.

Funzionamento

Un cookie è un header aggiuntivo presente in una richiesta (Cookie:) o risposta (Set-cookie:) HTTP: nel caso il server voglia assegnare un cookie all’utente, lo aggiungerà tra gli header di risposta. Il client deve notare la presenza del cookie e memorizzarlo in un’area apposita (in genere, si utilizza una directory dove ogni cookie viene memorizzato in un file). Il cookie è composto da una stringa di testo arbitraria, una data di scadenza (oltre la quale non deve essere considerato valido) e un pattern per riconoscere i domini a cui rimandarlo. È possibile impostare più cookie in una sola risposta HTTP.

Il browser web client rimanderà il cookie, senza alcuna modifica, allegandolo a tutte le richieste HTTP che soddisfano il pattern, entro la data di scadenza. Il server può quindi scegliere di assegnare il cookie di nuovo, sovrascrivendo quello vecchio. Il reinvio tramite pattern permette a tutti i sottodomini di un dato dominio di ricevere il cookie, se così si vuole.

I cookie vengono utilizzati per aggiungere uno stato ad un protocollo privo di stato. Senza i cookie non vi sarebbe differenza in una pagina caricata prima di effettuare un login, dalla stessa pagina caricata dopo. Dato che i cookie permangono nel sistema per lunghi periodi, i siti possono assegnare un indice all’utente e tenere traccia della sua navigazione all’interno del sito, solitamente allo scopo di creare statistiche. Possono essere utilizzati anche per tracciare la navigazione su siti terzi, nel caso in cui questi siti terzi utilizzino contenuti provenienti dal sito che ha impostato il cookie. Solitamente la pubblicità sui siti viene gestita da compagnie che hanno inserzioni su svariati siti internet.

Il contenuto della pubblicità stessa viene caricato direttamente dal loro server (tramite una richiesta HTTP) e visualizzato in maniera integrata nel sito che l’utente desidera visitare. In questo modo il server della compagnia pubblicitaria riceverà dal browser dell’utente l’indirizzo della pagina che si sta visualizzando, e potrà inviare un cookie al client. Tramite questo meccanismo le società pubblicitarie possono aggregare informazioni sugli utenti e costruirne profili e mostrare loro pubblicità mirate.

Utilizzo

Poiché possono essere usati per monitorare la navigazione su Internet, i cookie sono oggetto di discussioni concernenti il diritto alla privacy. Molti paesi ed organizzazioni, fra cui gli Stati Uniti e l’Unione europea, hanno legiferato in merito. I cookie sono stati inoltre criticati perché non sempre sono in grado di identificare l’utente in modo accurato ed inoltre perché possono potenzialmente essere oggetto di attacchi informatici. Esistono alcune alternative ai cookie, ma tutte, insieme ad alcuni vantaggi, presentano controindicazioni.

Nella cookie policy i gestori di un sito web devono specificare nel dettaglio la politica dei propri cookie o di quelli di terze parti.

Le attività per le quali sono utilizzate sono di autenticazione, tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server, come ad esempio siti web preferiti o, in caso di acquisti via internet, il contenuto dei loro “carrelli della spesa”.

Anche il motore di ricerca Google spedisce un cookie che immagazzina dati riguardanti le ricerche, le parole chiave delle ricerche e le abitudini dell’utente.

Più in dettaglio i diversi utilizzi dei cookie sono dunque:

  • Per riempire il carrello della spesa virtuale in siti commerciali (i cookie ci permettono di mettere o togliere gli articoli dal carrello in qualsiasi momento).
  • Per permettere ad un utente il login in un sito web.
  • Per personalizzare la pagina web sulla base delle preferenze dell’utente (per esempio il motore di ricerca Google permette all’utente di decidere quanti risultati della ricerca voglia visualizzare per pagina).
  • Per tracciare i percorsi dell’utente (tipicamente usato dalle compagnie pubblicitarie per ottenere informazioni sul navigatore, i suoi gusti le sue preferenze. Questi dati vengono usati per tracciare un profilo del visitatore in modo da presentare solo i banner pubblicitari che gli potrebbero interessare).
  • Per la gestione di un sito: i cookie servono a chi si occupa dell’aggiornamento di un sito per capire in che modo avviene la visita degli utenti, quale percorso compiono all’interno del sito. Se il percorso porta a dei vicoli ciechi il gestore se ne può accorgere e può migliorare la navigazione del sito.
  • Per condividere le informazioni di reti sociali con altri utenti.

Molti dei moderni browser permettono all’utente di decidere quando accettare cookie, ma respingere alcuni cookie non permette l’utilizzo di alcuni siti (prendiamo come esempio l’iscrizione ad un sito web come Wikipedia).

Le impostazioni possono essere personalizzate per abilitarli o bloccarli sempre, entro un determinato periodo di permanenza, per filtrare i siti in base a liste bianche e liste nere, e per filtrare cookie che sono utilizzati dallo stesso server o anche da collegamenti (spesso pubblicitari) a siti ospitati su server differenti.

È da notare che il funzionamento dei cookie è totalmente dipendente dal browser di navigazione che l’utente usa: in teoria, tale programma può dare all’utente il controllo completo dei cookie e permettere o rifiutare la loro creazione e diffusione. Internet Explorer ha solo una gestione rudimentale dei cookie, mentre alternative come Opera o Mozilla Firefox danno un maggiore controllo all’utente e permettono di accettare/rifiutare cookie da siti specifici. Anche altri programmi, da usare come proxy, permettono all’utente un grado maggiore di controllo su cosa succede.

Un Tor o un proxy server hanno l’effetto finale, non di cancellare l’indirizzo IP, ma di farne apparire uno differente da quello del proprio computer. Nel caso di rilevazione dell’indirizzo IP, con questi accorgimenti, non si incontra alcuna limitazione nel numero di siti navigabili.

Struttura

Elementi

Contrariamente a quanto comunemente si crede, un cookie non è un piccolo file di testo: può essere sì memorizzato in un file di testo, ma non necessariamente. Nel cookie solitamente possiamo trovare quattro attributi:

  • Nome/valore è una variabile ed un campo obbligatorio.
  • Scadenza (expiration date) è un attributo opzionale che permette di stabilire la data di scadenza del cookie. Può essere espressa come data, come numero massimo di giorni oppure come Now (adesso) (implica che il cookie viene eliminato subito dal computer dell’utente in quanto scade nel momento in cui viene creato) o Never (mai) (implica che il cookie non è soggetto a scadenza e questi sono denominati persistenti).
  • Modalità d’accesso (HttpOnly) rende il cookie invisibile a JavaScript e altri linguaggi lato client presenti nella pagina.
  • Sicuro (secure) indica se il cookie debba essere trasmesso criptato con HTTPS.

Dominio e percorso

Il dominio (domain) e il percorso (path), definiscono l’ambito di visibilità del cookie, indicano al browser che il cookie può essere inviato al server solo per il dominio e il percorso indicati. Se non specificati, come predefiniti prendono il valore del dominio e del percorso che li ha inizialmente richiesti. Un esempio di direttiva per la creazione dei cookie da parte di un sito web in seguito al logon di un utente è la seguente.

From wikipedia https://it.wikipedia.org/wiki/Cookie