Blog di ContraLegem

Cosa sono i Cookie

I cookies sono fondamentali per i siti Internet ma creano alcuni rischi, in questo articolo vediamo come proteggersi, cosa sono i cookie e il rapporto tra Cookie e Privacy
cosa sono i cookie

Cosa sono i Cookie

I cookies sono dei file di modeste dimensioni non solamente testuali, difficilmente superano i pochi Kbytes, che un sito utilizza per salvare alcune informazioni dell’utente mentre naviga. In questo articolo vedremo in dettaglio cosa sono e il loro rapporto con la nostra privacy. Il rapporto tra gli strumenti informatici e la privacy l’avevamo già trattato parlando dell’app immuni in questo altro articolo.

A cosa servono i Cookie

Internet è sicuramente una risorsa ormai fondamentale e preziosa, ma il protocollo su cui si basa il trasferimento delle informazioni è transazionale. 

Ossia quando navighiamo il nostro browser (Chrome, Internet Explorer o qualsiasi altro) invia delle richieste ad un server Web. Il server Web è il computer che ospita ed esegue un sito Internet.

Quest’ultimo risponde senza aver nessuna traccia di cosa sia successo prima.

Il protocollo HTTP è utilizzato per la comunicazione del browser con un sito Internet. Tale protocollo non ha meccanismi di memoria e ogni richiesta effettuata è indistinguibile dalle precedenti.

L’assenza di memoria del protocollo genera una serie di problemi per sviluppare un software che abbia un’interazione forte con l’utente.

Infatti, ad esempio, muovendoci su un sito di e-commerce possiamo già capire quanto sia importante che nella navigazione qualcuno si ricordi di ciò che abbiamo aggiunto al carrello.

Gli sviluppatori web negli anni hanno sviluppato quindi alcune strategie ed alcuni meccanismi. Tali metodi possono essere implementati sia sul server che sul client, ma prevedono praticamente quasi sempre l’uso dei cookies.

Variabili di sessione del server 

iI server al nostro primo accesso ci assegna un nome (session token) e conserva le informazioni relative a noi legandole a questo nome assegnato.

Il nome comunque dovrà essere conservato e conosciuto anche dal nostro browser che lo salverà con una delle due altre strategie spiegate in seguito. 

Tale nome univoco sarà inviato dal nostro browser al server ad ogni singola richiesta in modo da rendersi riconoscibile.

Ogni volta che un utente cliccherà su di un link questo nome sarà recuperato dal browser. Il nome sarà quindi inviato insieme alla richiesta dei dati della nuova pagina da visualizzare al server.

Sul server le informazioni vengono archiviate di volta in volta ed utilizzate per proporre le corrette informazioni all’utente. 

Vantaggi e svantaggi

Il principale vantaggio di questo approccio sono le pochissime informazioni sono presenti ed archiviate nel browser. Questo ci garantisce una maggior tutela e riservatezza se il nostro computer è condiviso. 

Per questo motivo la maggior parte dei siti che offrono servizi finanziari (home banking, pagamenti online etc.) adottano questo approccio.

Il maggior svantaggio si avrà sul server. Le informazioni possono occupare notevole spazio, obbligando lo sviluppatore in caso di siti molto trafficati a complesse ottimizzazioni e scelte su come salvare temporaneamente le informazioni. 

Influisce anche il periodo durante il quale il server potrà attendersi un nostro ritorno e quindi lo scopo dell’applicativo web.

Infatti mentre una sessione di un sito finanziario sarà volutamente breve per evitare che qualche malintenzionato utilizzi in modo fraudolento il device. 

Un sito di e-commerce vorrà dare un’esperienza duratura eventualmente ripresentando il carrello già pieno qualora l’ultima volta, anche giorni prima,  avessimo abbandonato la sessione prima di ultimare l’acquisto.

Queste scelte possono comportare notevoli differenze nell’architettura dell’infrastruttura. 

Per meglio comprendere il problema si può considerare un sito con 100 visitatori al minuto, un tempo di persistenza delle informazioni di 24 ore e 100Kb mediamente salvati per ogni sessione, questo porterà alla necessità di 24 ore X 60 minuti X 100 visitatori X 100KB =1,44Gb di spazio sul server. 

Ovviamente più a lungo il server dovrà ricordarsi queste informazioni più spazio esse occuperanno e più complicato sarà ritrovarle se l’utente dovesse ritornare sul sito. 

Tutto questo comporta un consumo sempre maggiore di risorse portando chi gestisce il sito al dover scegliere tra il rallentamento del server e il deteriorarsi delle esperienze degli utenti o dei costi che possono divenire insostenibili per avere un’infrastruttura in grado di sopperire.

Cookies il loro uso

Come anticipato nel precedente paragrafo i Cookies hanno lo scopo di permettere il salvataggio ad esempio del nome che il server ci ha assegnato e di alleggerire la sua operatività.

Questi piccoli file generati e salvati nel nostro browser sono una delle strategie più diffuse nel mondo web.

Infatti è una soluzione semplice ed efficace che evita moltissimi problemi allo sviluppatore: primo fra tutti l’archiviazione centrale di dati che possono essere sensibili.

I cookie non contengono alcuna funzione programmatica, ma sono solo archivi di informazioni. 

Essi non possono agire da soli e non creano vulnerabilità dirette alla sicurezza.

D’altro canto potrebbero contenere informazioni preziose dell’utente e queste devono essere conservate e protette.

Anatomia di un cookie 

Generalmente sono costituiti da 

  • l’origine: il sito od il server che ne ha richiesto la generazione al nostro browser, 
  • la loro permanenza: dopo quanto il browser li potrà cancellare autonomamente
  • Il contenuto del file: le informazioni conservate in genere non intelligibili ed a volte cifrate

Per meglio capire cosa sono i cookies e quali informazioni contengano vediamo le tipologie di cookie che esistono.

Innanzi tutto distinguiamo tra:

Cookies primari o principali (Primary Cookies): 

Questo tipo di cookies sono inviati in genere dal sito che stiamo visualizzando.

Spesso sono usati per dare una misura di come l’utente interagisce con il nostro sito, registrando, ad esempio, cosa visitiamo sul sito e permettendo a chi gestisce il sito di avere importanti informazioni statistiche. 

Come possono avere lo scopo di registrare le credenziali permettendomi di accedere più rapidamente nel caso di una visita futura al sito. 

Oppure alcune informazioni ricorrenti per evitare all’utente di reinserirle tutte le volte. 

La cosa fondamentale è che questo tipo di cookie proviene proprio dal dominio che sto visualizzando e per il quale ho espresso il consenso al trattamento eventuale dei miei dati.

Cookies di terze parti (Third Party Cookies):  

sono cookies la cui richiesta di archiviazione è inviata al nostro browser da siti web differenti da quello che stiamo visitando. Di solito provengono o da sistemi di tracciamento per le visite o plugin dei vari social o sistemi pubblicitari che sono visibili sulla pagina.

Quando infatti accediamo ad una pagina web tale pagina è composta da molti oggetti che possono non provenire esclusivamente dal sito che visualizziamo. 

Questi oggetti semplificano il lavoro dello sviluppatore che non dovrà reinventare la ruota, ma potrebbero esporre l’utente al rischio di condividere delle informazioni con entità a lui sgradite.

Per questo motivo la GDPR e la Direttiva ePrivacy sono ferree in particolare su questa tipologia di cookies. Obbligando i siti internet ad offrire all’utente sempre la possibilità di effettuare una selezione a livello di singolo cookie di ciò che è acconsentito e no.

Fatta questa distinzione sulla provenienza dei cookie possiamo avere invece distinzioni sulla funzionalità ed il funzionamento dei cookies, in modo da comprendere appieno cosa sono i cookies:

Cookies di sessione (Session cookies): 

In generale hanno lo scopo di archiviare semplici informazioni per offrire una miglior esperienza all’utente durante la singola sessione di navigazione. 

Ad esempio in un blog si possono salvare gli articoli già visitati dall’utente per proporgliene di nuovi differenti o in un sito di e-commerce gli oggetti messi nel carrello. 

Solitamente questi cookie hanno un periodo di vita piuttosto breve da alcuni minuti fino ad alcuni giorni, il loro scopo infatti è temporaneo e non occorre che essi risiedano sul nostro computer per molto tempo.

La loro funzione è prettamente il tracciamento delle attività nell’ambito della sessione di navigazione.

Cookies persistenti (Persistent Cookies): 

sono informazioni che hanno una scadenza molto lunga, anche ben oltre i 10 anni. Questi cookies hanno scopi simili ai cookie fino ad ora descritti, con l’unica eccezione che rimangono come una traccia indelebile nel nostro browser. Molti browser stanno implementando sistemi automatici che eliminano comunque questi cookies a prescindere dalla scadenza che è stata loro assegnata dallo sviluppatore. 

Questo proprio per garantire la sicurezza e la privacy dell’utente finale. Fanno parte di questa categoria anche i cookie di profilazione. Per intenderci quelli che ci mostrano in tutte le pubblicità i beni da noi recentemente cercati sul web.

L’essere autenticati con FaceBook, Google o altri network agevola la condivisione anche di queste informazioni su device diversi, in quanto oltre al cookies che indica ciò che abbiamo visionato sono presenti ulteriori cookies che identificano esattamente quale profilo del network abbiamo usato.

Spostandoci su un altro device le informazioni vengono incrociate e viene data una continuità all’esperienza di navigazione.

Cookie Sicuri (Secure Cookies): 

utilizzano una cifratura al loro interno per non rendere possibile la lettura delle informazioni ad occhi indiscreti. Sono presenti solo in siti che utilizzano l’HTTPS e quindi una cifratura anche nella comunicazione tra il browser ed il server. Solitamente hanno una durata breve proprio per garantire la massima sicurezza.

Il loro utilizzo è soprattutto quando navighiamo in pagina ad elevati livelli di sicurezza, come quelli di enti finanziari e banche. Oppure qualora non si voglia rendere facilmente accessibile il contenuto dei cookies ad occhi indiscreti che potrebbero essere anche i nostri.

Il problema per la nostra privacy è soprattutto nel fatto che questi piccoli file possono anche essere condivisi con altri soggetti per dargli evidenza degli interessi e attività che abbiamo manifestato sul sito. Proprio per questa ragione occorre un’accettazione esplicita del loro utilizzo da parte nostra come vedremo successivamente nella parte relativa al GDPR e alla Direttiva ePrivacy.

Parametri GET/POST

In realtà un sito potrebbe anche non utilizzare i cookie per tenere traccia delle informazioni, ma semplicemente permettere il passaggio degli identificativi di sessione costruendo la pagina web in modo tale che tacitamente invii le informazioni ogni volta che venga fatta una richiesta.

Il grosso limite di questo approccio è che non si avrà la possibilità di tenere alcuna traccia dell’utente una volta che esso abbia abbandonato il sito.

Questo può risultare limitante in moltissime situazioni ma fondamentale qualora l’utente abbia deciso di non permettere il salvataggio dei cookies.

Data la complessità tecnica che può avere una tale implementazione molto spesso i siti optano per rendere obbligatori al fine di consentire la navigazione almeno una parte dei cookies esposti.

I Cookies: quali pericoli per la privacy

Cookies primari

I cookies vengono salvati sul computer, smartphone o tablet su cui operiamo in modo silente una volta ottenuto il consenso obbligatorio dell’utente.

Questo comporta che rimarrà traccia di tutti i siti che abbiamo visitato con una serie di informazioni per periodi di tempo anche lunghi generando un rischio effettivo che possa venir violata la nostra privacy. Ad esempio nell’immagine seguente abbiamo l’elenco dei cookies che vengono salvati durante una visita al sito del Corriere della Sera.

La scelta in questo caso è quella di mantenere traccia dell’identificativo del singolo utente fino al 2266, palesemente un eccesso.

Come si può osservare è molto semplice tramite i cookies conoscere la nostra cronologia di navigazione sapendo quali pagine siano state visualizzate e quando.

Con semplici strumenti è possibile accedere alle cartelle dove il browser li salva per poterli leggere e capire dove l’utente abbia navigato senza nemmeno avviare il browser stesso.

Cookies di terze parti

Innanzi tutto dobbiamo rispondere ad un quesito tecnico ossia: possono i cookies inviati da un sito A essere letti da un sito web B?

La risposta breve è No, il nostro browser non permette ad un sito differente di leggere i cookies impostati.

D’altro canto vi sono però dei metodi che qualora si abbia il controllo anche parziale di entrambi i domini possono essere adottati per rendere questo possibile.

Riguardando la schermata precedente si possono notare quanti cookies vengano salvati da una semplice visita. Alcuni sono primari e provenienti direttamente dal sito visitato, altri sono invece di terze parti, come tutta la serie che ha come prefisso _ga.

Questi ultimi sono utilizzati in particolare per scopi statistici e sono richiesti da Google.

Infatti Google oltre essere il più importante motore di ricerca gioca un ruolo primario anche nelle analisi che ogni sito fa internamente per comprendere il comportamento e le abitudini dei propri utenti.

Per esempio tramite questi strumenti il proprietario di un sito può capire per quanto un utente rimane a visualizzare una pagina, se questo contenuto lo ha soddisfatto ovvero ha fatto sì che la pagina ed il sito venissero abbandonati e così via.

Potenzialmente Google ha, quindi, un parziale controllo sulle pagine di tutti i siti che ospitano i suoi sistemi di raccolta dati (Analytics) o pubblicità (Adwords).

Quindi in linea teorica Google potrebbe raccogliere un insieme di informazioni che sarebbero del tutto nascoste ai suoi occhi, essendo interne a siti a lui estranei.

In questo caso la nostra navigazione difficilmente resterebbe segreta od ignota ai suoi sistemi di tracciamento.

Un’esempio di come vengono sfruttati i cookie di terze parti

Per meglio chiarire le potenzialità di questi meccanismi ipotizziamo che un utente visiti il sito websiteA.

Questo sito usa per le proprie statistiche di navigazione il servizio offerto da un providerB, per la propria pubblicità un providerC e per dare un miglior servizio ai propri utenti è connesso con un socialD.

Tutte le entità potranno impostare e leggere i cookies scambiandosi le informazioni in merito all’utente che quindi qualora dovesse navigare in un sito websiteE sarà completamente riconosciuto e riconoscibile.

Inoltre se si dovesse autenticare da un altro Device tutte queste informazioni sarebbero rintracciabili e permetterebbe ai vari attori di proporre le migliori risposte in base all’esperienza dell’utente.

Tutto questo con il consenso dell’utente dato sul sito A. 

La soddisfazione di chi gestisce il sito che riesce a fornire il servizio migliore possibile al proprio utente.

La piena soddisfazione nella raccolta dei dati delle varie entità esterne coinvolte.

Cookies e Hackers

Inoltre esistono numerose estensioni del browser che permettono la registrazione in modo silenzioso dei cookie. Consentendo quindi a malintenzionati di venire a conoscenza di informazioni preziose o di emulare autenticazioni a siti in nostra vece.

Infatti l’utilizzo di un nome sessione così come descritto precedentemente, se da una parte protegge le nostre credenziali dall’altro non evita che qualcuno possa fingere di essere noi.

Sarebbe sufficiente che con queste estensioni nascoste del browser si catturi ad esempio il cookie che contiene il nome di sessione generato una volta autenticato del nostro servizio di posta.

A questo punto iniettarlo in un altro browser ed il gioco è fatto. Il malintenzionato accederà alla nostra posta elettronica senza necessità di introdurre le credenziali, in quanto il server riconoscerà il cookie e penserà che sia l’utente tornato sulla pagina.

Questo è solo un esempio di come si possano sfruttare i cookies per ottenere accessi o rubare l’identità di qualcuno.

Come evitare tutto questo

Esistono strategie per evitare questo tipo di phishing delle informazioni come ad esempio inserendo nel cookie alcune informazioni caratteristiche del device utilizzato. Oppure dando tempi di vita di questi cookie estremamente brevi per non dar modo al malintenzionato di raccogliere queste informazioni ed usarle.

La miglior soluzione resta sempre quella del corretto uso da parte dell’utente. Quindi se si utilizza un computer o un qualsiasi Device che è condiviso o di cui non si ha il pieno controllo:

  1. Navigare in modalità incognita dal browser
  2. Se si accede ad un social o ad un provider di servizi con delle proprie credenziali effettuare il log out una volta terminato
  3. In ogni caso cancellare la cronologia di navigazione e tutti i dati salvati localmente

I Cookies e le normative della privacy

I cookies sono normati non solo dalla GDPR, ma anche dalla Direttiva ePrivacy e, soprattutto, dalle norme vigenti in ogni singolo paese e gestite da enti appositi.

In Italia, ad esempio, è il Garante della Privacy che interpreta e rende effettive le raccomandazioni e le imposizioni decise a livello Europeo dall’EDPB.

La concertazione di queste norme ha il diretto scopo di dare delle linee guida a chi gestisce informazioni sensibili, agli utenti e a chi può entrare in ogni caso in contatto con tali informazioni.

Non tutti i cookies hanno degli obblighi nei confronti della privacy dato che non tutti i cookies contengono dati sensibili.

Ciò nonostante la possibilità data da alcuni cookies di profilare e tracciare gli interessi e le informazioni personali di un individuo, fa sì che in nessun sito venga trascurato questo tema.

I Cookies e la GDPR

Dall’introduzione del GDPR numerose nuove norme e regole comportamentali sono state introdotte. Spesso, tali norme sono solo teoricamente applicabili ma non tecnicamente possibili se non che con uno sforzo per chi gestisce i siti notevole.

Ad esempio, in teoria, il gestore di un sito internet non dovrebbe solamente rendere accessibile il proprio sito che utilizza i cookies solo a seguito del consenso attivo dell’utente, ma dovrebbe anche conservare che tale consenso è stato dato dallo specifico individuo.

In linea teorica, quindi, per poter accedere ad un sito internet dovremmo compilare un modulo con le nostre generalità in modo che possa essere conservato il nostro consenso.

Questo comporterebbe ulteriori problematiche nella conservazione di tali dati che sarebbero evidentemente sottoposti alle norme più restrittive della gestione delle informazioni. 

L’armonizzazione delle norme della privacy sui Cookies

Si rende evidente come la concertazione ed armonizzazione delle norme con il buon senso sia estremamente complesso, proprio per questo esistono dei comitati come l’EDPB (Comitato Europeo per la protezione dei dati).

L’EDPB rilascia aggiornamenti e chiarimenti costanti in merito alle buone prassi da utilizzare. 

Non da ultima a maggio 2020, ha, ad esempio, precisato che il consenso da parte dell’utente deve essere attivo. 

Ossia non può considerarsi come consenso valido quello tacito dato dallo scroll della pagina o dalla continuazione nella navigazione del sito.

Già con l’introduzione della GDPR il modo di utilizzo dei cookies è stato profondamente limitato  occorrendo dare la possibilità in caso di cookies di terze parti di avere contezza di quali siano le terze parti, con la possibilità di accettare o negare il consenso ad uno o più di esse.

Tutto questo evidentemente per cercare di salvaguardare l’utente finale dai rischi descritti nel paragrafo precedente.

L’utente finale dovrebbe utilizzare una diligenza che quasi mai viene applicata, dando rapidamente il consenso per poter accedere il più rapidamente possibile alle informazioni ricercate.

I cookies quindi sono fondamentali per darci un’esperienza coerente, semplice e rapida nelle nostre navigazioni sul web. Ma ci espongono a dei rischi nella tutela dei nostri dati ed è estremamente difficile trovare il giusto bilanciamento tra sicurezza e funzionalità.

La scelta spetta al singolo utente che può in qualsiasi momento proteggersi con gli strumenti che gli enti governativi obbligano i gestori dei dati a fornire e che deve diffidare di tutti quei siti che non seguono le indicazioni che vengono date dalle Autorità Garanti.