Ho appena iniziato a creare una nuova applicazione web. Nella documentazione, è scritto che devo prepararmi per la situazione in cui gli utenti hanno disabilitato i cookie. Questa non è la prima volta che ho letto questa condizione. Qualcuno può spiegarmi perché gli utenti vogliono disabilitare i cookie nei loro browser?
I cookie sono storicamente stati fonte di numerosi problemi di sicurezza e privacy.
Ad esempio, i cookie tracker possono essere utilizzati per identificare quali siti web hai visitato e quali attività hai svolto su di loro:
iframe nascosto che punta a un servizio tracker. Questa è solo un'applicazione. Esistono altri modi per utilizzare i cookie tracker, alcuni dei quali consentono tutti i tipi di attacchi brutti come il furto di identità.
Un altro problema è il cookie-stealing, che può essere utilizzato per dirottare le sessioni non sicure (cioè non-HTTPS). Utilizzando un exploit (ad esempio XSS), una pagina potrebbe riuscire a pubblicare nuovamente i cookie di un altro sito, consentendo a un utente malintenzionato di rubare l'ID della sessione. Disattivare i cookie impedisce questo.
A causa di questi problemi, gli utenti spesso disabilitano i cookie o li bloccano su determinati siti per aumentare la privacy e la sicurezza.
Con i cookie di tracciamento, gli inserzionisti possono tracciare gli utenti su siti Web diversi e persino attraverso indirizzi IP (ad esempio per utenti di computer portatili). Questo è andato avanti da sempre (letteralmente dall'inizio delle reti pubblicitarie, come Google Adwords), ma recentemente i media hanno incitato il pubblico contro quei cookie, accusandoli come la causa principale della violazione della privacy. È passato così tanto che l'UE ha approvato qualcosa che dovrebbe proibire i cookie inutili senza opt-in. Ironicamente, il sito web del governo olandese (qui la legge è entrata in vigore qualche mese fa) non segue nemmeno la legge.
Questi cookie sono in realtà, parzialmente, una causa dell'intrusione della privacy. Ti consente di tenere traccia facilmente, ma ci sono altri modi per distinguere un utente da un altro. Inoltre, non vi è praticamente alcun motivo per bloccare questo tipo di pubblicità mirata, ma in entrambi i modi, ma questo è un altro argomento e un acceso dibattito.
Senza i cookie, è difficile mantenere un utente connesso. Dare l'errore appropriato quando i cookie risultano disabilitati ("Potresti non essere in grado di accedere, i cookie sono disabilitati nel tuo browser, clicca qui per maggiori informazioni."), E penso che sia il caso chiuso. La maggior parte degli altri siti Web come Facebook e Twitter non funzioneranno comunque senza cookie.
Il motivo più comune è che lo hanno fatto per errore e non hanno idea di averlo fatto (vedi paragrafo 4 sotto).
La seconda ragione più comune è la privacy (paranoia?). Alcune persone sono anti-tracking a qualsiasi costo. Tendo a scoprire che in realtà non capiscono cosa sono i cookie in questo caso. Più probabilmente pensano semplicemente che il "tracking è cattivo" e li disattivano - senza avere alcuna idea, ad esempio, qual è la differenza tra i cookie di sessione, i cookie di 1a / 3a parte, ecc.
Tuttavia, ancora più importante, non credo che sia realistico tenere conto della situazione in cui un utente ha disabilitato i cookie su qualsiasi sito web tranne quelli di base. Non è possibile evitare l'uso di cookie (o di un equivalente basato sull'URL) in qualcosa di diverso da un sito Web di base con pochissima interazione da parte dell'utente diverso dai seguenti collegamenti a contenuto statico. Puoi dimenticarti degli accessi e dei cestini della spesa, perché per crearli devi avere almeno una sessione o un cookie (e il monitoraggio della sessione richiede un cookie o un equivalente URL).
In 12 anni come sviluppatore di siti web, le uniche persone che abbia mai incontrato che hanno disattivato i cookie, l'hanno fatto accidentalmente. Senza eccezioni , questo è dovuto al fatto che sono stati nella schermata delle impostazioni di Internet Explorer e pensavano che spingere il cursore di sicurezza / privacy fino a "Alto" doveva essere migliore di "Medio". In tutti i casi, lo hanno ridimensionato al livello medio, una volta che ho indicato quale effetto ha e quanti siti Web si interrompe. Spesso l'utente ha installato un secondo browser, ritenendo che il suo browser originale sia "danneggiato" dal momento che nessun sito web lavora con esso. In quanto tale, credo sia importante comunicare agli utenti che hanno disabilitato i cookie (utilizzando un metodo di rilevamento appropriato) se si dispone di un sito ad alto traffico.
Si evita di utilizzare i cookie memorizzando un ID univoco nell'URL (.NET e altri framework supporteranno questo in modo nativo) ma credo che questo semplicemente sposti il problema all'URL - e gli utenti paranoici potrebbero essere messi fuori da un URL che è rintracciandoli chiaramente. Assicurati di assicurarti che se trovi un metodo homebrew per fare la stessa cosa, che tutti gli ID URL siano legati all'indirizzo IP dell'utente. In caso contrario, creerai un metodo estremamente semplice per il dirottamento di sessione: quando un utente invia semplicemente un link, acquisirà lo stato di sessione dell'utente mittente.
La stragrande maggioranza dei principali siti Web che richiedono un accesso o una funzione del carrello degli acquisti richiedono i cookie per funzionare e non penso sia sensato cercare di aggirare questo problema. Probabilmente stai parlando di una piccola percentuale dell'1% degli utenti che hanno disabilitato i cookie. Ignora le statistiche prodotte da sistemi automatici come WebTrends in quanto includeranno cose come i web crawler e i bot che non hanno (e non hanno bisogno di) cookie di supporto, in quanto ciò ti darà una lettura falsamente alta del numero di utenti che hanno disabilitato biscotti. Parli sicuramente di più di 1 su 5000 anziché di 1 su 10 utenti che hanno disabilitato i cookie e in realtà si aspettano ancora che i siti web funzionino:)
In the documentation, it is written that I have to prepare for the situation where users have disabled cookies.
Essere "preparati" non è la stessa cosa che creare un sistema di login completamente funzionale che funzioni senza cookie HTTP.
Gli utenti possono disattivare i cookie HTTP per evitare "essere rintracciati"; in questo caso, potresti pensare di utilizzare un altro approccio per la gestione delle sessioni, ad esempio l'utilizzo di un URL segreto. Mantenere l'ID di sessione nell'URL ha alcuni vantaggi in termini di sicurezza e usabilità, ma anche gravi problemi di sicurezza e usabilità e questo messaggio non raccomanda questo approccio . Poiché la questione non riguardava la sicurezza di mantenere l'ID di sessione nell'URL , non voglio discutere questo problema (interessante) qui.
Il problema non è solo tecnico, è un problema di accettabilità: se l'utente disattiva volontariamente i cookie, puoi scommettere che non vuole essere rintracciato. Cercare di aggirare il blocco dei cookie (anche "per il suo bene") è molto probabilmente per farlo arrabbiare.
Invece, puoi spiegare agli utenti che solo i cookie di sessione sono necessari per la gestione delle sessioni all'interno della tua applicazione Web e che è possibile cancellare automaticamente tutti i cookie quando il browser è chiuso.
Leggi altre domande sui tag privacy cookies web-browser web-application session-management