C'è qualche vantaggio per la sicurezza di non usare i cookie?

5

Stavo leggendo come il famigerato TorMail aveva una modalità legacy che permetteva di usare il proprio servizio di posta elettronica senza cookie. L'articolo implicava che lo facessero per problemi di privacy per gli utenti finali. Da quello che ho capito, non è possibile memorizzare sessioni senza cookie. Quindi devo chiedere:

  1. In che modo le persone non usano i cookie, usano le sessioni PHP o qualcosa di simile?

  2. Se non abbiamo bisogno di cookie, perché usarli?

  3. Qual è il vantaggio in termini di sicurezza / privacy di evitarli?

posta Dylan 04.04.2017 - 02:51
fonte

2 risposte

2

Perché i cookie e quali sono le alternative?

HTTP è senza stato. Una pagina web che ti ricorda (quindi non devi reinserire la tua password ogni volta che visiti una nuova pagina) è di stato. Per colmare il divario tra il protocollo stateless e l'applicationful stateful hai bisogno di una sorta di identificatore di sessione che è incluso in ogni richiesta.

Il modo standard per farlo è con un cookie. Ma potresti metterlo ovunque nella richiesta HTTP. Alcuni esempi:

  • Una pratica comune in passato era quella di inserire l'identificatore di sessione nell'URL, ma questo significava che finiva in tutti i tipi di log e trapelava tramite l'intestazione del referer. Non così buono.

  • Un'app di una singola pagina potrebbe semplicemente memorizzare l'identificatore (ad esempio un token di autenticazione) in una variabile JavaScript sul client e quindi inviarlo in un'intestazione personalizzata ad ogni richiesta. Sarebbe come un cookie che vive solo per un caricamento di una pagina. (Come sottolinea Marko Vodopija , la sicurezza sarebbe un po 'più debole qui, dal momento che l'identificatore non può essere protetto di http-only come un cookie può.)

Puoi pensare a questi come modi diversi di "simulare" una versione limitata di un cookie.

PHP utilizza i cookie per le sue sessioni, tra l'altro.

Perché ad alcune persone non piacciono i cookie?

Non c'è nulla di intrinsecamente insicuro sui cookie, e il loro utilizzo non è meno sicuro di uno dei metodi alternativi più contesi. Al contrario, come abbiamo visto, alcune sostituzioni sono peggiori.

La ragione per cui alcuni cookie di odio sono la stessa ragione per cui sono così utili - rendono lo stato del web. Ciò significa che possono essere utilizzati per tracciarti, con tutte le implicazioni sulla privacy che ne derivano. Quindi alcuni potrebbero voler disabilitare completamente i cookie.

Questa è probabilmente la ragione per cui un sito incentrato sulla privacy offrirebbe un'alternativa priva di cookie. Non rende il sito stesso più sicuro , ma può servire agli utenti che hanno disattivato i cookie per motivi di privacy.

    
risposta data 04.04.2017 - 10:22
fonte
2

Solo un complemento alla risposta di @ Anders.

I cookie sono un modo per avere sessioni stateful in HTTP che di per sé è un protocollo stateless non connesso. Le sessioni sono necessarie per le applicazioni Web e qualsiasi attività in linea.

I cookie utilizzati per essere disapprovati come era javascript nei primi tempi, perché in primo luogo è un modo per raccogliere statistiche di utilizzo e ha problemi di privacy, mentre l'altro consente al server di controllare il browser, che ha problemi di sicurezza. Oggigiorno, molti siti semplicemente non sono utilizzabili con i cookie o disabilitati per JavaScript, e disabilitarli in un browser non è sempre un compito banale. Quindi la mia opinione è che va bene fornire un servizio che richiede i cookie. Basta visualizzare una pagina di avviso che dice che il servizio richiede i cookie se non riesci a stabilire una sessione.

La riscrittura degli URL è (era?) un'alternativa ai cookie per fornire sessioni in HTTP. In questa modalità, si aggiunge costantemente un parametro costituito da una chiave e l'identificatore di sessione. Tutti i dati di sessione devono essere trasportati sul lato server in quella modalità. In questo modo non vi è alcun ulteriore rischio di perdita di dati poiché solo l'identificatore viene scambiato nell'URL. Il lato negativo è che non è adatto ai segnalibri: l'URL contiene l'id di sessione, quindi se aggiungi l'URL di una pagina che lo include tra i segnalibri, riceverai un errore di sessione non valido quando proverai a utilizzarlo in seguito. Ed è molto più difficile da usare rispetto a un cookie per passare informazioni tra siti dello stesso dominio. Per questo motivo i cookie sono ora il modo standard per avere un sito o un'applicazione HTTP stateful.

Le persone a cui non piacciono i cookie sostengono anche che non esiste un equivalente persistente nella riscrittura degli URL e che i cookie persistenti sono molto utilizzati per raccogliere dati sul comportamento dei clienti, le principali società Web (Google, Facebook, Amazon, ecc.) volentieri solo permesso ai cookie di navigare nei loro siti, e che a causa di tale riscrittura dell'URL è stato più o meno abbandonato. Sia vero o falso, è solo ora privo di significato perché il fatto è che i cookie sono richiesti dalla maggior parte dei siti e permessi dalla maggior parte degli utenti.

    
risposta data 04.04.2017 - 17:37
fonte

Leggi altre domande sui tag