Può una pagina web leggere i cookie di un'altra pagina?

Sì, questo è difeso dall'uso della stessa politica di origine , che in genere impedisce a un sito di leggere cookie anothers.

Quando vedi un comportamento in cui gli annunci sembrano sapere dove sei stato è probabilmente dovuto ai cookie di monitoraggio degli annunci di terze parti.

Quindi, come esempio semplificato se vai al sito A che utilizza una rete pubblicitaria, quella rete pubblicitaria può registrare che eri su quel sito posizionando un cookie di tracciamento sul tuo PC.

Quindi quando vai al sito B che utilizza la stessa rete pubblicitaria, la rete pubblicitaria legge il cookie impostato quando eri sul sito A (che può fare perché carica i contenuti dai suoi domini in entrambi i casi in modo che non ha la stessa origine) e può quindi offrirti pubblicità in base alle tue abitudini di navigazione.

Un browser progettato correttamente non consentirà a un sito web di accedere ai cookie di un altro sito web, in quanto ciò violerebbe le norme relative ai domini e costituirà un grave problema di sicurezza.

Siti Web non collegati possono implementare script che inviano informazioni a una singola rete di tracciamento annunci, che può quindi pubblicare annunci pubblicitari personalizzati su questi siti Web partecipanti in base alla tua attività segnalata.

L'attivazione delle opzioni "non tracciare" non è affidabile al 100% poiché "non tenere traccia" può funzionare solo se è rispettato attivamente dal sito Web che riceve la richiesta "non tracciare". I cookie possono essere disabilitati o bloccati, ma ci sono ancora altri semplici modi in cui le reti pubblicitarie possono tracciare la tua attività:

• Le pagine su siti non collegati possono visualizzare un file immagine che risiede sul server della rete pubblicitaria. Quando il browser richiede il file immagine, invierà il tuo indirizzo IP e l'URL di riferimento (la pagina su cui viene visualizzata l'immagine) al server della rete pubblicitaria. L'URL dell'immagine potrebbe essere migliorato con i parametri di informazione (generati dal server di pagine). Fortunatamente, un Ad Blocker potrebbe bloccare tale immagine.
• Quando il browser richiede una pagina Web, il server di pagine può comunicare direttamente con la rete pubblicitaria e condividere informazioni come il tuo indirizzo IP e il contenuto che hai richiesto. Non puoi bloccare questa forma di tracciamento, ma può essere potenzialmente mitigata tramite l'uso di una VPN.

Potrebbe esserci un canale laterale temporizzato qui. Supposto che un utente abbia effettuato l'accesso riceve un enorme mucchio di informazioni, ma se si disconnette riceve un piccolo segno nel modulo. Il throughput del canale internet è finito, quindi i tempi di download della stessa pagina possono differire a seconda del contenuto. JS consente di misurare il tempo necessario al caricamento degli elementi, in modo che sia possibile determinare se un utente ha effettuato l'accesso in qualche sito Web non cooperativo estero. Non ho provato questa idea e non ho nemmeno cercato su google, ma so che l'attacco contro le sfide, lo scorso anno, su alcune conferenze usa il canale temporale.

Hai scritto:

I was wondering whether a webpage could access cookies that it didn't put there (thus getting a rather accurate browsing history as well as information on the user). It seems to me that this should be (and probably is) defended against, but if it is, how? I can read cookies on my computer and at least see where they came from, so it doesn't seem that they are encrypted...

Hai ragione, sì, puoi leggere il contenuto dei cookie, perché è il tuo computer. Ma ciò non significa che il browser permetterà a qualsiasi sito web di leggerli. Quindi, quelle sono due cose diverse. Potresti anche avere alcuni file personali sul tuo computer che puoi leggere ma un sito Web non può.

Hai una domanda interessante. Fino ad ora, ho ipotizzato che ogni pagina web avesse i propri cookie. Ma questo risulta essere falso. La verità è che ogni dominio ha i suoi cookie. Almeno è così che Firefox sembra funzionare. Quindi, se hai tre pagine sul tuo sito web, possono accedere ai rispettivi cookie.

Non puoi visualizzare in modo accurato la cronologia di navigazione di una persona dai cookie. I cookie di solito memorizzano il dominio, la data di scadenza, le impostazioni, i contatori e qualunque cosa l'utente possa aver inserito in un modulo. Quindi, quelle sono le cose che puoi scoprire da un cookie. Il caso peggiore sarebbe dire che inserisci il numero della tua carta di credito su una pagina. Il codice JavaScript salva il numero in un cookie (CARDNO = 1234567890123456) e ti trasferisce su un'altra pagina dello stesso dominio. Quindi quella pagina legge il numero e lo verifica e ti invia alla terza pagina, che quindi invia i dati al server. Sembra pazzesco, ma è POSSIBILE. Guardando i cookie, non saprai che l'utente ha visitato tutte e tre le pagine. Tutto ciò che sai è ciò che viene salvato nel cookie, la data di scadenza e l'origine. In questo caso, se il numero della carta di credito viene salvato in un cookie, questo è ciò che si trova nel cookie. Potrebbe essere crittografato o non criptato, sì. Le pagine Web di altri domini non dovrebbero essere in grado di leggere i cookie, perché, come puoi vedere, sarebbe un grosso problema. Ora, dato che sei il proprietario del tuo computer, puoi accedere a qualsiasi cosa sul tuo computer, così puoi vedere TUTTI i cookie salvati sul tuo computer, se lo desideri. E questo non è un problema di sicurezza finché tu sei l'unica persona che usa il tuo computer. Se il tuo computer viene rubato o se condividi un computer con qualcuno, puoi comunque leggere i documenti e i cookie di un'altra persona e cose se hai un account amministratore.

I cookie forniscono circa 5 KB di spazio per ciascun dominio per il salvataggio dei dati. Potrebbe essere un po 'più o meno. Se un sito web ha bisogno di salvare molti più dati, allora c'è una cosa nuova chiamata localStorage. Funziona allo stesso modo dei cookie, ma consente a un sito Web di salvare megabyte di dati anziché solo un paio di kilobyte. Anche in questo caso, come con i cookie, i valori in localStorage sono condivisi su pagine Web all'interno dello stesso dominio. Pertanto, se una pagina imposta un valore, un'altra pagina può leggere quel valore all'interno del dominio SAME.

Vedi anche: link