Qual è la differenza tra cookie di prima parte e cookie di terze parti e quali sono i pro e i contro di disabilitarlo?
Facebook e google (e altre società pubblicitarie) non saranno in grado di rintracciarti quando non si trovano nel loro sito? Che dire se sei su un sito che richiede un accesso a Facebook o Gmail? Questi siti richiedono l'attivazione di cookie di terze parti?
Disabilitare i cookie di terze parti è in gran parte una misura di privacy.
I cookie sono limitati da una stessa politica di origine (SOP), che richiede essenzialmente che un sito sul dominio A non possa impostare un cookie per il dominio B e che il browser non debba inviare cookie per il dominio A quando visita il dominio B. Questo è in gran parte per motivi di sicurezza: non vuoi che i siti siano in grado di leggere i cookie di sessione da altri domini!
Gli inserzionisti e le società di analisi hanno, ovviamente, trovato dei modi per aggirare questo problema. Invece di impostare un cookie per il loro dominio, includono una piccola risorsa (solitamente chiamata tracker "pixel") nella pagina, da un dominio di terze parti. La risposta HTTP dal dominio di terze parti è libera di impostare cookie per il proprio dominio, quindi genera un ID univoco per la propria visita e lo invia come cookie. Poi visita il sito un altro , che utilizza anche quel pixel del tracker stesso . Lo stesso dominio di terze parti può rileggere quel cookie perché fa parte della stessa origine e quindi traccia che provi da un sito all'altro.
Il blocco dei cookie di terze parti blocca questo comportamento. Impedisce alla risorsa di terze parti di impostare un cookie perché è stato recuperato nel contesto di un dominio diverso, ad esempio la pagina che stai visualizzando. L'implementazione modifica essenzialmente il cookie SOP per limitare l'origine del cookie al dominio della pagina che stai visualizzando.
Tieni presente che questo non è infallibile, però. Un work-around che viene comunemente utilizzato è generare una risorsa univoca (ad esempio un file CSS generato dinamicamente con un ID univoco al suo interno) e servirla con le intestazioni di controllo della cache impostate per garantire la memorizzazione nella cache. I browser moderni cancellano il contenuto della risorsa memorizzata nella cache e inviano tale hash come parte di una richiesta HEAD ai siti per vedere se sono stati modificati e devono essere nuovamente scaricati. Il server di tracciamento prende quindi quell'hash e lo cerca nel suo database di ID univoci e risolve il problema. Male, no?
Leggi altre domande sui tag cookies