[Vai al menu di navigazione del blog]

[Leggi il post]

Sull’uso dei cookie

Mercoledì 30 Luglio 2008 - 09:00

di Riccardo Degni

Scripting

Come sappiamo, i cookie sono file di pochi kb che vengono utilizzati in ambiente web per archiviare informazioni sugli utenti e sui visitatori, oltre che per salvare account (formati dall’accoppiata username e password crittografata). Quest’ultimo è un compito molto importante, dato che permette l’identificazione e l’autenticazione degli utenti, con tutte le questioni di sicurezza che ne derivano.

Nell’era del Web2.0, una parte che non è stata colpita dalla rivoluzione è rappresentata proprio dai cookie: essi sono ancora tra noi, più numerosi che mai (provate a vedere la vostra lista tramite, ad esempio, le opzioni di Firefox e vedrete cookie provenienti da quasi ogni anfratto che avete visitato).

La mia domanda è questa: i cookie sono strumenti cosi validi per assolvere a questi compiti tanto da non essere considerati “deprecati” o “anziani” anche in questa nuova generazione? Se li avete utilizzati o li utilizzate spesso, come giudicate la loro efficacia?

Tags:

Categoria: Scripting | Permalink

Commenti

1

beh inanzitutto io non memorizzo alcun username e password crittografata nei cookie.
tu lo presenti come una pratica comune, io spero proprio di no, altrimenti basta uno script xss iniettato in una pagina per poter rubare le credenziali di accesso a tutti quelli che la visitano.

io non memorizzo alcun dato personale nei cookie, nemmeno e-mail, solo token di sessione, token di più lunga durata e preferenze di visualizzazione.
una volta che ho il token memorizzo tutto lato server.

# - postato da Mik - 30 Luglio 2008 - 09:33

2

Concordo con Mik, utilizzo i cookies solamente per settare dati di sessione e mai passwords o dati utente.

# - postato da Antonio - 30 Luglio 2008 - 10:04

3

concordo anch’io con Mik. utilizzo i cookie solo per sessioni o preferenze personali di qualche tipo, tipo dimensioni font, colore sito, ecc..

# - postato da Paul - 30 Luglio 2008 - 10:09

4

Certo che li uso ancora… soprattutto perchè non c’è alcuna alternativa con la stessa versatilità al momento.

# - postato da TixXio - 30 Luglio 2008 - 11:08

5

Solo il token di sessione poi tutto su BD, preferenze di visualizzazione comprese.
Es i cookies sul mio pc vengono cancellati ogni giorno in automatico. E spero anche in tutti gli altri.

# - postato da LordMax - 30 Luglio 2008 - 11:39

6

@Mik: sono perfettamente d’accordo con il tuo parere, la pratica di memorizzazione di account nei cookie è alquanto antiquata (e da me fortemente sconsigliata), ma ancora largamente utilizzata da una quantità di risorse e servizi che nemmeno ti immagini.

Il punto del mio articolo è proprio questo: i cookie sono ancora molto utilizzati per adempire a svariati compiti, nonostante l’era del Web 2.0 sia arrivata già da tempo.

@LordMax: certo, i cookies potrebbero/dovrebbero essere cancellati automaticamente, ma alcuni utenti preferiscono non eseguire questa operazione per non effettuare il login ogni volta che visitano un sito che utilizza la pratica di autenticazione discussa in precedenza.

# - postato da Riccardo Degni - 30 Luglio 2008 - 12:25

7

Riguardo al fatto di non memorizzare token ma direttamente tutte le informazioni sui cookie segnalo che recentemente è diventato il comportamento di default delle sessioni su Rails.
Il sistema è molto intelligente nonchè più semplice e maggiormente scalabile. Logicamente a causa della impossibilità di garantire al 1000% la sicurezza delle informazioni crittografate è indicato per siti con necessità di protezione medio/bassa (niente sistemi di home banking su cookie)
Per info trovate moltissimo materiale sui siti su rails approposito del sistema di protezione anche temporale di questi cookie

# - postato da Diego - 30 Luglio 2008 - 12:29

8

Riccardo, io per il login automatico
uso questa tecnica

insieme al token di sesssione che scade dopo xx minuti, gli assegno un token della durata di una settimana (il cookie dura di piu per evitare problemi con chi ha la data del pc indietro, ma è sul db che è impostata la scadenza), token mai usato prima e che non sarà più utilizzato poi

al primo login automatico gli sostutuisco il token con uno nuovo, sempre della durata di una settimana

è vero che il token può essere rubato come la password, ma per essere valido, deve essere stato assegnato non più di una settimana prima, e nel frattempo non deve essere stato utilizzato dall’utente

tralaltro oltre al token memorizzo anche altre informazioni rilasciate dal browser (user agent ecc) e controllo che siano le stesse

insomma cosi facendo riduco molto l’esposizione al rischio di un furto di credenziali lasciando una comodità all’utente

per i token di sessione faccio anche una restrizione sugli ip (chi usa proxy anonimizzatori con ip che cambiano in continuazione peggio per lui, non sto qui a spiegare i motivi) non l’ho estesa al token del login automatico in considerazione degli utenti mobili

# - postato da Mik - 30 Luglio 2008 - 14:01

9

bè il loro utilizzo è di varia natura, personalmente gli utilizzo per autenticazione o per statistiche, perchè hanno il vantaggio di essere conservati nel tempo (salvo cancellazione) il problema più grosso credo rimanga il fatto che diversi utenti hanno l’archiviazione dei cookie disabilitata il che rende per alcuni versi inutile il loro utilizzo.

# - postato da Francesco - 30 Luglio 2008 - 14:38

10

Come sopra, utilizzo i cookie per storare i dati di login degli utenti. I Cookie non sono stati colpiti dalla rivoluzione del web2.0, ma quale sarebbe l’alternativa?

# - postato da marco - 30 Luglio 2008 - 15:48

11

Beh…sarò banale ma finchè non passano di moda browser non passeranno di moda neanche i cookie :)

Comunque il problema cookie/privacy è sempre stato un falso problema secondo me.
Concordo invece con chi ha indicato come deprecato e deprecabile l’inserimento di dati sensibili (anche crittografati) nei cookie, non per una ragione di privacy quanto di sicurezza delle applicazioni

# - postato da Fabio Sutto - 31 Luglio 2008 - 13:36

12

Scusate, ma quale sarebbe l’alternativa ad usare le session/cookie per mantenere loggato un utente?

# - postato da John - 31 Luglio 2008 - 19:44

13

Quoto tutti coloro che utilizzano una soluzione mista cookie/db per lo storage delle credenziali di autenticazione.A proposito di quello che diceva Riccardo, sulla quantità di servizi anche autorevoli che salvano password su cookie, desidero aggiungere una onformazione. Criticatela pure, tra l’altro non credo sia una novità per qualcuno di voi: un noto provider, che utilizza phpMyAdmin come RDBMS, ne salva la password in chiaro su un cookie…una manna per chi ama “divertirsi” in maniera illecita.
Concludo con una domanda (anche se un pò off topic): qualcuno ha mai avuto problemi con cookie salvati su un proxy locale? Ogni scambio di informazione è ben accetto.

# - postato da WebFusion - 31 Luglio 2008 - 23:24

14

Ciao a tutti :)

Mi sono sempre chiesto se i Cookie fossero pienamente legali. Dopotutto è come se mi venisse appiccicato un bollino in fronte. Ogni mese io li cancello per fare perdere le tracce. Perchè se io effettuo un login presso un sito sono cosciente di essere “tracciato” mentre invece con i cookie il discorso cambia.

Da una mio sondaggio l’80% delle persone non ha coscienza del sistema di identificazione tramite i cookie.

A voi risulta?

# - postato da koss - 01 Agosto 2008 - 08:12

15

@koss: non ho dati dettagliati come i tuoi ma credo che il risultato del tuo sondaggio sia verosimile, anzi oserei qualche punto percentuale in più.

# - postato da WebFusion - 01 Agosto 2008 - 13:13

16

sono d’accordo con koss, il piu degli utenti non sanno affatto cosa sono i cookie, ne tantomeno se li hanno sul disco, dove e perchè.

E’ inoltre vero che viene fatto un uso massiccio di cookie, da siti molto famosi e non, insomma, quasi da tutti.

WebFusion: addirittura viene salvata la password in chiaro? Deve essere ottimo come servizio!

# - postato da razr - 01 Agosto 2008 - 19:09

17

@razr: ti assicuro che è molto più famoso di quanto tu possa immaginare. Ovviamente non un servizio ottimo ma molto popolare tra gli utenti/sviluppatori.

# - postato da WebFusion - 01 Agosto 2008 - 19:56

18

benchè i cookies possano essere utili per alcuni programmi, io preferisco eliminarli in partenza, meno clandestini a bordo e meglio è!!

# - postato da giulio - 05 Agosto 2008 - 06:43

19

Io sinceramente non ho mai capito, anzi odio proprio tutta la critica che sta intorno ai cookie. I strauso i cookie. Non sono ne sbagliati, ne vecchi, ne maligni. Svolgono un ruolo essenziale nella programmazione web, a cui non esiste alternativa teorica. Casomai il problema non sta nei cookie di per sè ma nei programmatori che li usano, che spesso combinano delle vere frittate non afferrando il senso dei cookie.

# - postato da Jarno Rossi - 05 Agosto 2008 - 19:42

20

Chi dice che basta uno script XSS per rubare le credenziali degli utenti crittate in un cookie ha mai letto questo? Secure Cookie Protocol (PDF)

A me non sembra poi così semplice da bucare.

Rispondendo alla domanda dell’autore del post secondo me i cookie sono troppo “stretti” e potenzialmente insicuri.

Il problema di fondo è che le webapp sono stateful e per funzionare avrebbero bisogno di un protocollo stateful ma dato che HTTP è stateless tutti usano la pezza che ha inventato Netscape.

Quindi sì, servirebbe qualcos’altro, ma dato che ormai i cookie sono largamente utilizzati dubito che vedremo qualcosa di nuovo a breve.

# - postato da neon - 08 Agosto 2008 - 02:46

Inserisci il tuo commento:





(puoi usare i seguenti tag HTML per formattare il testo -
a href, b, i, br/, p, strong, em, ul, ol, li, blockquote, pre):

 

Anteprima del commento