156782 Letture

Che cosa sono i cookie: la verità su come gestirli, rimuoverli e difendere la privacy sul web

I cookie contengono una serie di "proprietà" che permettono al browser web di "capire" quale server (sito web) li ha prodotti. L'attributo domain (dominio) comunica al browser a quale sito Internet deve essere restituito il contenuto del cookie mentre l'attributo path (percorso) indica quali subdirectory (sottocartelle) del dominio specificato sono da ritenersi valide.
Se, all'interno di un cookie è specificato come dominio, ad esempio, miodominio.it e come path /utenti, il contenuto del cookie sarà successivamente restituito solo alle pagine presenti su host come www.miodominio.it o ftp.miodominio.it che siano contenute all'interno della sottocartella utenti.
Oltre all'indicazione relativa al dominio ed al percorso, i cookie contengono altri quattro attributi: un nome/valore, una scadenza (questo dato stabilisce il periodo in cui il cookie deve essere ritenuto valido), una modalità di accesso (viene sfruttata per rendere invisibile il cookie a JavaScript così come ad altri linguaggi lato client utilizzati nelle pagine web) e una proprietà sicuro (stabilisce se il cookie debba essere trasmesso usando il protocollo HTTPS).

È comunque bene tenere sempre a mente che i cookie non sono "programmi" (sono semplici file testuali) e non possono assolutamente raccogliere informazioni in modo autonomo. In particolare, i cookie non possono in alcun modo "rubare" informazioni su di voi, all'interno del vostro personal computer. Essi possono essere utilizzati esclusivamente per memorizzare dei dati si sono digitati, in qualche circostanza, all'interno di uno o più siti web.
Per fare un esempio di tipo "benigno", supponete di aver inserito in un modulo (form) presente su un particolare sito web, il vostro colore preferito. Il server del sito provvederà a creare sul vostro personal computer un cookie contenente il nome del vostro colore preferito: non appena vi collegherete allo stesso sito Internet, il server verificherà la presenza dello stesso cookie all'interno del vostro computer, recupererà di nuovo le informazioni relative al vostro colore preferito e, per esempio, imposterà lo sfondo delle proprie pagine web con tale colore in modo da accontentarvi.

I cookie, come anticipato, possono essere comunque utilizzati con scopi meno "nobili". Ogni accesso ad uno specifico sito Internet lascia, grazie all'utilizzo dei cookie, informazioni sul vostro passaggio. Alcune società pubblicitarie hanno creato dei sistemi, basati sull'utilizzo di cookie, per effettuare una "profilazione" dettagliata degli utenti che "navigano" in Rete. I cookie, creati secondo specifiche standard, vengono distribuiti tra i vari siti web costituenti il network pubblicitario. In questo modo ogni volta che lo stesso utente visita uno dei siti web appartenenti al network, gli vengono proposti esclusivamente banner pubblicitari che possono potenzialmente essere più vicini ai suoi interessi.
Dal punto di vista grafico, i banner pubblicitari che compaiono sui siti web che utilizzano il sistema dei cookie, sono esattamente uguali a tutti gli altri. In realtà esiste una importante quanto, "ad occhio nudo", invisibile differenza... Quando un utente si connette per la prima volta al server pubblicitario (ciò avviene non appena egli visita un sito web che fa uso dei cookie per la gestione dei banner pubblicitari...), questo crea sul suo computer un cookie, all'interno del quale viene memorizzato un numero identificativo. Dopo un certo periodo di tempo, il server pubblicitario stila un elenco di tutti i siti web - facenti parte del network pubblicitario - che quello stesso utente ha visitato utilizzando così queste informazioni per creare un dettagliato profilo dell'utente con lo scopo di proporgli, successivamente, banner che possano attrarre maggiormente la sua attenzione.


Solitamente nomi e cognomi e/o indirizzi e-mail non fanno parte delle informazioni che le aziende pubblicitarie che fanno uso di questi sistemi gestiscono, tuttavia, altre informazioni che il browser fornisce (combinate con altri dati relativi a precedenti attività di uno stesso individuo), possono essere sufficienti per identificare uno stesso utente.


Uno dei consigli più utili è consiste quindi nel ripulire periodicamente la cache del browser cancellando anche i cookie. Ovviamente si dovrà aver cura di non eliminare quelli più importanti; in caso contrario, si perderà il login sui principali siti che si frequentano con maggior interesse e frequenza.

Un software che consente di rimuovere i cookie (insieme con la cache ed altri elementi) da qualunque browser è il famoso CCleaner, prelevabile da questa scheda. Gratuito ed interamente in lingua italiana, CCleaner consente di sbarazzarsi di una vasta mole di informazioni superflue eventualmente conservate sul sistema in uso.
Per procedere con l'eliminazione dei cookie, basterà spuntare la casella Cookie dalla finestra principale, cliccare sul pulsante Analizza quindi su Avvia pulizia:

Cliccando su Opzioni poi su Cookie è eventualmente possibile definire un elenco di cookie da conservare e quindi non sottoporre mai ad eliminazione:

Ad ogni modo, a parte la comodità di continuare a restare loggati anche durante le successive sessioni di lavoro, proprio grazie ai cookie, alcuni esperti nel campo della sicurezza informatica continuano a ripetere, tutt'oggi, che l'effettuazione dell'operazione di logout è preferibile, soprattutto quando si visitano siti poco fidati. Open Web Application Security Project (OWASP), fondazione senza scopo di lucro che incentra le sue attività sulla produzione di risorse, articoli e materiale relativo a problematiche collegate con la sicurezza informatica, ha più volte posto l'accento sugli attacchi Cross Site Request Forgery (CSRF).
Si tratta di aggressioni che si concretizzano inviando ad un'applicazione web delle richieste sfruttando le autorizzazioni di un utente "trusted", ad esempio una persona che abbia effettuato il login su un determinato sito web.
Supponiamo che l'utente Bob sia loggato su un sito web di una banca e che, non effettuando il login, egli acceda - ad esempio - ad una pagina web dove il malintenzionato Mallory ha pubblicato un messaggio. Il messaggio preparato da Mallory contiene, ad esempio, una tag html IMG che fa riferimento ad uno script residente sul server della banca di Bob. Visitando la pagina "malevola", Bob potrebbe quindi inconsapevolmente dare il via ad un'operazione che lui non ha richiesto.
Ecco perché è sempre consigliabile effettuare il logout da qualsiasi servizio online si stia utilizzando.
Un esempio su tutti? In passato una vulnerabilità CSRF fu scoperta dal ricercatore Petko D. Petkov, all'interno del servizio Google Gmail. In alcune schermate dimostrative pubblicate sul suo sito personale, Petkov illustrò una possibile forma di attacco: "nell'esempio, l'aggressore prepara un filtro aggiuntivo che permette di estrarre le e-mail con allegato e le inoltra ad un altro indirizzo e-mail di sua scelta", dichiarò il ricercatore. Un attacco potrebbe innescarsi nel momento in cui l'utente dovesse trovarsi a visitare un sito web maligno, opportunamente sviluppato per far leva sulla lacuna di sicurezza, rimanendo loggato al servizio GMail. Il problema fu prontamente risolto dai tecnici di Google e non ci risulta che un analogo incidente si sia riproposto ma l'esperienza suggerisce di agire con cautela anche in futuro.

  1. Avatar
    Giorgio da Prato
    17/04/2013 11.03.06
    ho letto, molto velocemente per desso, questi articoli poichè ho "perso" un riconoscimento da un sito che mi era di una certa utilità
    ho infatti cancellato TUTTI i cookies ma avevo eseguito, da questo sito, una serie di scelte che
    mi ritrovavo sempre ripresentate e che ora dovrò rifare
    ho constatato che con l'utilizzo appropriato di CCleaner (selezione dei coookies da mantenere) in effetti non si perdono le informazioni di riconoscimento del proprio PC
    (in precedenza avevo eseguito la pulizia, sempre con CCleaner, SENZA utilizzare questa opzione)

    Chiedo questo:
    è possibile sapere dove, e con quale nome, il cookie che interessa mantenere è registrato ?
    (magari copiandolo su un altro PC posso ritrovarmi le stesse scelte, senza doverle rifare ...)
Che cosa sono i cookie: la verità su come gestirli, rimuoverli e difendere la privacy sul web - IlSoftware.it - pag. 2