Cookie: che cosa sono? Quali sono i rischi informatici?

Vi siete mai chiesti a che cosa serve accettare l’informativa cookie di un sito web quando lo visitate per la prima volta?
Ebbene, i cookie o anche chiamati cookie web sono delle brevissime stringhe di testo introdotte nei siti web o nelle applicazioni web e che consentono di tenere traccia dell’identità dell’utente visitatore e ad archiviare informazioni.

L’utilità dei cookie deriva proprio dalla possibilità di immagazzinare informazioni e lato utente, di generare un’esperienza di navigazione assolutamente personalizzata e unica.

I cookie fanno parte dei servizi web sin dagli albori del world wide web, ma ancora oggi la maggior parte degli utenti non sa che cosa siano. A tal proposito, l’Unione Europea nel 2011 approva la celebre Cookie Law che stabilisce che ogni sito web ha l’obbligo di richiedere il permesso agli utenti di utilizzarli.

Ma ai fini della sicurezza delle informazioni quanto sono importanti?
Parlando del temacybersecurity esistono alcuni rischi legati a questa tecnologia.
Li conoscete? Ci interroghiamo su questa tematica giusto oggi, in un articolo interamente dedicato ai cookie, alle loro funzioni e ai rischi implicati nel loro utilizzo.

Ma prima, ecco un esempio di schermata cookie così come la conoscete tutti.

Cookie: di che cosa si tratta?
A che cosa servono i cookie
Tipi di cookie
Rischi cybersecurity legati ai cookie
Rimozione dei cookie
Consigli pratici

Cookie: di che cosa si tratta?

cookie example

Storicamente, i cookie vengono utilizzati per la primissima volta nel 1994 per verificare il numero di volte in cui alcuni utenti di un particolare sito web ritornavano a farvi visita nel tempo. Solo dopo un paio di anni questa tecnologia è stata resa nota anche al resto del pubblico. Inoltre, verso fine 1996 quando i cookie vengono esaminati dalla Commissione degli Stati Uniti si iniziò a regolarizzarne finalmente l’attività. Ecco come nacquero i cookie informatici.

Oggi, l’utilizzo di questi strumenti permette ai proprietari di siti web (soprattutto se si tratta di e-commerce) e di applicazioni web-based di fornire esperienze di navigazione uniche ai propri utenti. Questo è il motivo per cui ogni volta che accediamo ad una pagina web, ci vengono mostrati annunci online personalizzati con una regolarità al limite dell’allarmante.

Basti pensare che i cookie permettono di ricordare le preferenze del visitatore (lingua del sito, prodotti preferiti, la valuta utilizzata), consentono di memorizzare password, semplificare l’accesso ai servizi web ma non solo. Questa tecnologia consente anche di analizzare il comportamento degli utenti in base a interessi e preferenze.

Insomma, qualsiasi sia l’utilizzo che farete di Internet, indubbiamente vi sarete imbattuti nei cookie.

D’altro canto, esistono dei limiti legati a queste tecnologie che vale la pena conoscere: sia nel caso in cui siate utenti privati, sia che siate sviluppatori o proprietari di servizi web.

I cookie al fine di memorizzare alcune informazioni, seguono ogni utente che entra sulla piattaforma (purché ne accetti le condizioni) durante tutto il percorso di navigazione: passo dopo passo immagazzinano tutte le informazioni. Ma prima, specifichiamo che l’utilità dei cookie in alcune circostanze è fondamentale poiché permette di:

identificare l’utente,
mantenere la sua identità in memoria.

Ma non è tutto, i cookie servono anche per ottimizzare gli acquisti online, generare statistiche e profilare gli utenti. Tutta questa mole di dati chiaramente costituisce una vera e propria fortuna per coloro che generano pubblicità e ogni genere di comunicazione web a pagamento mirata.

A che cosa servono i cookie

Possiamo dire che a seconda della tipologia di cookie implementata su un sito web, questi strumenti svolgono attività leggermente diverse tra loro. Sostanzialmente la presenza di questi strumenti semplifica l’esperienza di navigazione su un sito web e quindi:

memorizzano i dati di login,
il carrello della spesa,
lingua,
valuta, ecc.

Se l’utente decide spontaneamente di non accettare le condizioni di utilizzo di un sito web, tutte le volte che dovrà accedere nuovamente alla risorsa dovrà reimpostare le proprie preferenze.

In conclusione, bloccare l’azione dei cookie in sé per sé non costituisce un problema insormontabile: il computer non subisce alcun danno.
Se invece decidete di accettare qualsiasi tipologia di cookie, ebbene sappiate che lato cybersecurity qualche rischio c’è.
Ad esempio, pensate che un gruppo di hacker intraprendenti potrebbe accedere alle informazioni contenute nei cookie e sottrarle.

cookie privacy

Tipi di cookie

Esistono diverse tipologie di cookie e a tal proposito, diventa complesso classificarli in categorie assolute.
Eppure, noi ci abbiamo provato.

È fondamentale la suddivisione in:

Cookie di prime parti
Cookie di terze parti

Naturalmente parlando di cookie di prima parte ci riferiamo a strumenti generati dal web server del sito che viene visitato dall’utente, e il cookie viene creato nel suo dominio quelli che salvano informazioni direttamente sul sito web che l’utente visita. L’obiettivo di questi elementi è personalizzare l’esperienza di navigazione: infatti riconoscono un utente che è già stato su sito. Nel caso dei cookie di terze parti, questi vengono creati da domini diversi da quelli del sito che l’utente sta visitando. Inoltre, hanno la possibilità di trasmettere le informazioni raccolte anche a portali diversi da quelli visitati dall’utente. Infatti, il loro utilizzo è legato al tracciamento degli utenti al fine di servire annunci pubblicitari. In questo caso, si rilevano i primi problemi a livello di privacy.

Ma non è finita qui.

Ad esempio, sappiamo che proprio in funzione della capacità di archiviazione dei dati, i cookie si possono dividere in:

Cookie di sessione
Cookie persistenti

Se legati alla sessione, i cookie mantengono in memoria tutti i dati relativi all’utente solo fino alla chiusura del browser, mentre i cookie persistenti, dal termine, mantengono in memoria tutte le informazioni fino ad una data specifica e mantengono in memoria le preferenze degli utenti. Questo è il caso in cui ad esempio vengono utilizzati per ricordare i dati di autenticazione al sito web, memorizzano i prodotti visionati dall’utente, ecc…

I più utilizzati da applicazioni e siti web sono:

Cookie HTTP
Magic cookie

Cookie HTTP

Sono i cookie più utilizzati su applicazioni web-based e website poiché servono nel tracciamento delle informazioni di navigazione degli utenti. I cookie HTTP generalmente vengono creati per memorizzare i comportamenti degli utenti durante la sessione di navigazione all’interno di un sito. Non solo, se l’utente torna una seconda volta i cookie http ne permettono il riconoscimento. Tutti i dati immagazzinati dai cookie HTTP vengono salvati localmente nel browser.

Magic Cookie

Riprendono un concetto arcaico di cookie e sono impiegati dalle applicazioni web-based lato server per archiviare e recuperare informazioni a lungo termine sul lato client.

Insomma, come potete constatare voi stessi, il mondo di questi elementi è davvero sconfinato. Ma quali rischi comportano per l’utente?

Rischi cybersecurity legati ai cookie

Di per sé i cookie non costituiscono una minaccia malware: in altre parole, non rischiate che un cookie vi attacchi o infetti il computer.
Tuttavia, alcune tipologie di questi elementi danno la possibilità ad un criminale informatico di accedere alle sessioni di navigazione memorizzate e di visionare la cronologia completa delle attività degli utenti.

Di fatto, esiste una discreta quantità di attacchi informatici indirizzati alle sessioni web tra cui proprio il furto di un cookie di sessione. Grazie a questa tecnica, l’attaccante riesce ad accedere al contenuto dei cookie ed è in grado di impossessarsi delle credenziali di autenticarsi al servizio.

Tra gli attacchi più conosciuti che sfrutta proprio questa tecnica c’è il cookie poisoning o avvelenamento dei cookie.

L’obiettivo dell’attacco è quello di aggirare le misure di sicurezza di un server. Così facendo, il criminale informatico riesce ad ottenere l’accesso non autorizzato all’account di un utente sul sito per il quale è stato creato il cookie. Se lo sviluppatore dell’applicazione web che ha creato il cookie ha scelto di memorizzare parametri importanti all’interno, l’avvelenamento da cookie è abbastanza facile da eseguire.

Rimozione dei cookie

Rimuovere alcune categorie di cookie può rivelarsi una scelta vincente.

Oltre a migliorare le prestazioni del dispositivo (liberate memoria e alleggerite il carico sul browser web) esistono alcune categorie di cookie che vi inseguono dovunque (cookie di tracciamento). Purtroppo, sono proprio loro a fornire una cospicua mole di dati agli inserzionisti e di qui, la necessità di rimuoverli il prima possibile.

Rimuovere i cookie è facile, ma d’altro canto la loro assenza potrebbe rendere più difficile la navigazione di alcuni siti web. Senza i cookie, gli utenti potrebbero dover reinserire i propri dati ad ogni visita.

Consigli pratici

Possiamo tutelarsi, almeno in parte, dai rischi legati all’utilizzo del cookie solo in alcuni casi:

Lato utente, leggete attentamente il banner cookie prima di cliccare su accetta: soprattutto se si tratta di siti web che ci richiedono molte informazioni personali.
Diffidare dei siti web non sicuri: nella barra dell’indirizzo web, se il sito inizia con HTTPS significa che possiamo considerarlo un sito sicuro. Mente nel caso in cui l’indirizzo inizi con HTTP evitiamo di rilasciare nostri dati;
Gestiamo i cookie: in piccole dosi sono utili ma più si accumulano sul computer più cresce una vera e propria potenziale “miniera” di dati personali accessibile anche agli attaccanti. Inoltre, la massiccia presenza di questi elementi determina anche un rallentamento del sistema.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.