Come funzionano i cookie di Internet

Piccoli pezzi di dati memorizzati da un browser web mentre si trova su un sito web

(chiamati anche , , , o semplicemente ) sono piccoli blocchi di dati creati da un server web mentre un utente sta navigando su un sito web e inseriti sul computer o altro dispositivo dell'utente dal browser web dell'utente.

ragnatela. Consentono ai server Web di memorizzare informazioni stateful (come gli articoli aggiunti nel carrello della spesa in un negozio online) sul dispositivo dell'utente o di tracciare l'attività di navigazione dell'utente (incluso il clic su determinati pulsanti, l'accesso o la registrazione di quali pagine sono state visitate in passato). ^[1] Possono anche essere utilizzati per salvare le informazioni che l'utente ha precedentemente inserito nei campi del modulo, come nomi, indirizzi, password e numeri di carta di pagamento, per un uso successivo.

sono comunemente utilizzati dai server Web per autenticare che un utente sia loggato e con quale account hanno effettuato l'accesso. criptato. Vulnerabilità di sicurezza, utilizzato per ottenere l'accesso ai dati degli utenti, cross-site scripting e cross-site request forgery, per esempio). ^[2]

, e soprattutto , sono comunemente usati come modi per compilare registrazioni a lungo termine delle cronologie di navigazione degli individui - un potenziale problema di privacy che ha spinto i legislatori europei ^[3] e statunitensi ad agire nel 2011. ^{[4] [5]} La legge europea richiede che tutti i siti web che si rivolgono agli Stati membri dell'Unione Europea ottengano il "consenso informato

Background

Origine del nome

Il termine è stato coniato dal programmatore di browser web Lou Montulli. Deriva dal termine , che è un pacchetto di dati che un programma riceve e rimanda indietro invariato, usato dai programmatori Unix. ^{[6] [7]}

Storia

Lou Montulli ha avuto l'idea di utilizzarli nelle comunicazioni web nel giugno 1994. ^[8] All'epoca, era un dipendente di Netscape Communications, che stava sviluppando un'applicazione di e-commerce per MCI. Vint Cerf e John Klensin hanno rappresentato MCI nelle discussioni tecniche con Netscape Communications. MCI non voleva che i suoi server dovessero mantenere stati parziali delle transazioni, il che li portò a chiedere a Netscape di trovare un modo per memorizzare quello stato nel computer di ogni utente. carrello della spesa virtuale. ^{[9] [10]}

Versione 0.9beta di Mosaic Netscape, rilasciata il 13 ottobre 1994, ^{[11] [12] [10] [13]} Internet Explorer nella versione 2, rilasciata nell'ottobre 1995. ^[14]

^[15] Il Financial Times ha pubblicato un articolo su di loro del 12 febbraio 1996. ^[16] S. Audizioni della Federal Trade Commission nel 1996 e nel 1997. ^[2]

In particolare, le prime discussioni su una specifica formale sono iniziate nell'aprile 1995 sulla mailing list www-talk. È stato formato un gruppo di lavoro speciale all'interno della Internet Engineering Task Force (IETF). Due proposte alternative per l'introduzione dello stato nelle transazioni HTTP erano state proposte rispettivamente da Brian Behlendorf e David Kristol. Ma il gruppo, guidato dallo stesso Kristol e da Lou Montulli, decise presto di utilizzare le specifiche Netscape come punto di partenza. La specifica prodotta dal gruppo è stata infine pubblicata come RFC 2109 nel febbraio 1997. ^[17] La RFC 2109 è stata sostituita dalla RFC 2965 nell'ottobre 2000.

RFC 2965 ha aggiunto un campo di intestazione ^{[18] [19]} è stato utilizzato raramente, tuttavia, ed è stato deprecato ^[20] Nessun browser moderno riconosce il campo di intestazione. ^[21]

La terminologia

A (nota anche come , o ) esiste solo nella memoria temporanea mentre l'utente naviga in un sito web. ^{[22] [23]}

A scade in una data specifica o dopo un determinato periodo di tempo.

^{[24] [25]} Perché possono essere utilizzati dagli inserzionisti per registrare informazioni sulle abitudini di navigazione web di un utente per un periodo di tempo prolungato. (Vedi § Usi, sotto.)

A può essere trasmesso solo tramite una connessione crittografata (ad es. HTTPS). Non possono essere trasmessi tramite connessioni non crittografate (ad es. HTTP). Intercettazioni.

Non è possibile accedere ad An dalle API lato client, ad esempio . cross-site scripting (XSS). ^[26] Attacchi di cross-site tracing (XST) e cross-site request forgery (CSRF).

Nel 2016 Google Chrome versione 51 ha introdotto ^[27] con possibili valori di , o . ^[28] Con attributo Ciò mitigherebbe efficacemente gli attacchi CSRF (Cross-Site Request Forgery). ^[29] Con l'attributo sicuro attributo sicuro ^[30]

^[31] per aggiornare RFC 6265 (se approvato).

^[32] Google intendeva modificare tale impostazione predefinita in Chrome 80 previsto per il rilascio a febbraio 2020, ^[33] circostanze COVID-19, Google ha posticipato questa modifica a Chrome 84. ^{[34] [35]}

Un dominio di primo livello (ad esempio ) o un suffisso pubblico (ad esempio ). .

, potrebbe influire in modo dannoso su una richiesta effettuata A. Questo può essere utilizzato per falsificare gli accessi o modificare le informazioni dell'utente.

L'elenco dei suffissi pubblici ^[36] L'elenco dei suffissi pubblici è un'iniziativa cross-vendor che mira a fornire un elenco accurato e aggiornato dei suffissi dei nomi di dominio.

Altri usi

Il termine Two such ETag ^[37] A causa dell'attenzione dei media, Microsoft ha successivamente disabilitato questo codice. ^[38] In un post sul blog del 2021, Mozilla ha utilizzato il termine per fare riferimento all'uso della cache del browser come mezzo per tracciare gli utenti tra i siti. ^[39]

Articoli principali: e

A è il dato e il codice che è stato inserito da un server web sul computer di un visitatore o su un altro dispositivo in una posizione nascosta al di fuori del browser web del visitatoreFlash Local shared object, HTML5 Web storage ^{[40] [41]}

Struttura

^{[42] [43] [44]}

1. Nome
2. Valore
3. Zero o più attributi (coppie nome/valore). e ).

Utilizza

spesa o il carrello della spesa di gestione

delle sessioni). ^{[9] [10]} Identificatore univoco di sessione (in genere, una lunga stringa di lettere e numeri casuali).

Quando l'utente effettua correttamente l'accesso, il server ricorda che quel particolare identificatore di sessione è stato autenticato e concede all'utente l'accesso ai suoi servizi.

Personalizzazione Gli

utenti selezionano le proprie preferenze inserendole in un modulo Web e inviando il modulo al server. In questo modo, ogni volta che l'utente accede a una pagina del sito web, il server può personalizzare la pagina in base alle preferenze dell'utente. Per esempio, il GoogleAlso, DuckDuckGo

Tracking

Vedi anche: Tracciamento web

Questo può essere fatto anche in una certa misura utilizzando l'indirizzo IP del computer che richiede la pagina o il campo referer dell'HTTPQuesto può essere dimostrato come segue:

Analizzando questo file di registro, è quindi possibile scoprire quali pagine l'utente ha visitato, in quale sequenza e per quanto tempo.

Il Wall Street Journal ha rilevato che i primi cinquanta siti web americani hanno installato una media di sessantaquattro pezzi di tecnologia di tracciamento sui computer, per un totale di 3.180 file di tracciamento. ^[45] I dati possono quindi essere raccolti e venduti alle società offerenti.

Implementazione

Il browser li invia quindi al server ad ogni richiesta, introducendo stati (memoria di eventi precedenti) in HTTP altrimenti stateless Transazioni. Una pagina web o un componente di una pagina web sarebbe un evento isolato, in gran parte non correlato a tutte le altre visualizzazioni di pagina effettuate dall'utente sul sito web.

^{[46] [47]}

• byte di dimensione.
• dominio (cioè per sito web).

campo di intestazione, inviato in una risposta HTTP dal server web.

Ad esempio, il browser invia la sua prima richiesta HTTP per la homepage del sito web:

Il server risponde con due campi di intestazione:

La risposta HTTP del server contiene il contenuto della home page del sito web. Il primo, tema , è considerato un poiché non ha un attributo or. Il secondo, sessionToken , è considerato un poiché contiene un

Next, il browser invia un'altra richiesta per visitare la pagina del sito web. Questa richiesta contiene un

In questo modo, il server sa che questa richiesta HTTP è correlata alla precedente. Il server risponderebbe inviando la pagina richiesta, possibilmente includendo più campi di intestazione con una data di scadenza nel passato.

Carattere ASCII ( attraverso , Unicode attraverso ) escludendo e e caratteri di spazio bianco. , poiché questo è il delimitatore tra il nome e il valore.

Il termine ^[48]

che viene eseguito all'interno del browser. viene utilizzato per questo scopo. Ad esempio, l'istruzione temperatura e il valore 20 . ^[49]

Dominio e Percorso

Il e Ad esempio, il sito web perché Ciò consentirebbe al sito web .

e gli attributi non sono specificati dal server, per impostazione predefinita sono il dominio e il percorso della risorsa che è stata richiesta. ^[50] dominio. In quest'ultimo caso, sono inclusi anche tutti i sottodomini (ad esempio, ). ^{[51] [52] [53]}

Di seguito è riportato un esempio di alcuni campi di intestazione nella risposta HTTP di un sito Web dopo che un utente ha effettuato l'accesso. La richiesta HTTP è stata inviata a una pagina web all'interno del sottodominio:

, non ha alcun attributo e ha un attributo impostato su . (Il dominio è derivato dal dominio della richiesta). e , verrebbe utilizzato quando il browser richiede un sottodominio in qualsiasi percorso (ad esempio ). Il punto precedente è facoltativo negli standard recenti, ma può essere aggiunto per compatibilità con le implementazioni basate su RFC 2109. ^[54]

Scade e Età massima

La data e l'ora sono specificate nel modulo , o nel modulo per i valori di YY dove YY è maggiore o uguale a 0 e minore o uguale a 69. ^[55]

In alternativa, di seguito è riportato un esempio di tre campi di intestazione ricevuti da un sito Web dopo che un utente ha effettuato l'accesso:

, scadrà il 15 gennaio 2013. Verrà utilizzato dal cliente browser fino a quel momento. Verrà eliminato dopo che l'utente chiuderà il browser. , il valore viene modificato in Deleted , con un'ora di scadenza nel passato.

A partire dal 2016 ^{[aggiornamento]} Internet Explorer non supportava . ^{[56] [57]}

Secure e HttpOnly

Gli attributi e non hanno valori associati. Piuttosto, la presenza dei soli nomi degli attributi indica che i comportamenti devono essere abilitati.

Le connessioni sicure/crittografate. attacchi man-in-the-middle.

Il ), e quindi non può essere rubato facilmente tramite cross-site scripting (una tecnica di attacco pervasiva). ^[58]

Impostazioni del browser

Le seguenti sono opzioni comuni: ^[59]

^{[60] [61] [62] [63]}

Articolo principale:

Vedi anche:

. banner pubblicitari. Ciò apre la possibilità di tracciare la cronologia di navigazione dell'utente e viene utilizzato dagli inserzionisti per fornire annunci pubblicitari pertinenti a ciascun utente.

Ad esempio, supponiamo che un utente visiti . Questo sito web contiene una pubblicità di ). Quindi, l'utente visita un altro sito web, , che contiene anche un annuncio pubblicitario da ). Campo di intestazione del referente HTTP.

A partire dal 2014 ^{[aggiornamento] [64] [65]}

^[17] La maggior parte dei browser Web moderni contiene impostazioni sulla privacy che possono bloccareDal 2020, Apple Safari, ^[66] Firefox, ^[67] e Brave ^[68] Nel maggio 2020, Google Chrome ^{[69] [70] [71]}

Privacy

Vedi anche: Do Not Track

Avere una chiara divulgazione (ad esempio in una politica sulla privacy ^{[72] [ verifica fallita ]}

L'ufficio per la politica antidroga degli Stati UnitiNel 2002, l'attivista per la privacy Daniel Brandt ha scoperto che la CIAOn 25 dicembre 2005, Brandt ha scoperto che la National Security Agency ^[73]

Nel 2002, l'Unione europea ha varato la direttiva relativa alla vita privata e alle comunicazioni elettroniche ^{[74] [75]} In particolare, l'articolo 5, paragrafo 3, stabilisce che la memorizzazione di dati tecnicamente non necessari sul computer di un utente può essere effettuata solo se all'utente vengono fornite informazioni su come vengono utilizzati tali dati e all'utente viene data la possibilità di negare tale operazione di memorizzazione. ^[76]

Nel 2009 la legge è stata modificata dalla direttiva 2009/136/CE, che ha introdotto una modifica dell'articolo 5, Paragrafo 3. ^[75] La definizione di consenso è un riferimento incrociato con la definizione della legge europea sulla protezione dei dati, in primo luogo la Direttiva sulla protezione dei dati del 1995 e successivamente il Regolamento generale sulla protezione dei dati (GDPR). In un caso deciso ai sensi della direttiva sulla protezione dei dati, tuttavia, la Corte di giustizia dell'Unione europea ha successivamente confermato che la legge precedente implicava la stessa forte qualità del consenso dello strumento attuale. ^[77] Sebbene non tutti i trattamenti dei dati ai sensi del GDPR richiedano il consenso, le caratteristiche della pubblicità comportamentale significano che è difficile o impossibile da giustificare per qualsiasi altro motivo. ^{[78] [79]}

^[80] Deve essere espresso liberamente e senza ambiguità: le caselle preselezionate sono state vietate sia dalla direttiva sulla protezione dei dati del 1995 ^[77] che dal GDPR (considerando ^{32) [81].} Il GDPR specifica che il consenso deve essere "facile da revocare come da dare" ^[81], il che significa che un pulsante "rifiuta tutto" deve essere facilmente accessibile in termini di clic e visibilità come un pulsante "accetta tutto". ^[80] Deve essere specifico e informato, il che significa che il consenso si riferisce a scopi particolari per l'utilizzo di questi dati e tutte le organizzazioni che cercano di utilizzare questo consenso devono essere specificamente nominate. ^{[82] [83]} La Corte di giustizia dell'Unione europea ^[84]

La risposta dell'industria è stata ampiamente negativa. Robert Bond dello studio legale Speechly Bircham descrive gli effetti come "di vasta portata e incredibilmente onerosi" per "tutte le aziende del Regno Unito". Simon Davis di Privacy International sostiene che un'applicazione adeguata "distruggerebbe l'intero settore". ^{[85] [78]}

Studi accademici e regolatori Entrambi descrivono una diffusa inosservanza della legge. Uno studio condotto su 10.000 siti web del Regno Unito ha rilevato che solo l'11,8% dei siti ha aderito ai requisiti legali minimi, con solo 33. ^{[80] [86]} L'autorità di regolamentazione del Regno Unito, l'Information Commissioner's Office, ha dichiarato nel 2019 che il "Transparency and Consent Framework" del settore del gruppo di tecnologia pubblicitaria Interactive Advertising Bureau era "insufficiente a garantire la trasparenza e il trattamento equo dei dati personali in questione e quindi anche insufficiente a fornire un consenso libero e informato. con conseguenti implicazioni per la conformità alla PECR [e-Privacy]». ^[82] Molte aziende che vendono soluzioni di conformità (Consent Management Platform) consentono di configurarle in modi manifestamente illegali, il che secondo gli studiosi crea interrogativi sull'appropriata allocazione delle responsabilità. ^[87]

Un W3C La specifica chiamata P3P è stata proposta per i server per comunicare la loro politica sulla privacy ai browser, consentendo una gestione automatica e configurabile dall'utente. Tuttavia, pochi siti web implementano la specifica e il W3C ha interrotto il lavoro sulla specifica. ^[88]

^[89] Nel 2020 il comitato europeo per la protezione dei dati

^[90]

^{[91] [92] [93] [94]} Inoltre, se tale impostazione è più difficile da realizzare rispetto all'accettazione del tracciamento, essa continua a violare le condizioni della direttiva relativa alla vita privata e alle comunicazioni elettroniche ^[80].

Dal punto di vista del server web, una richiesta da parte di un utente malintenzionato ha quindi la stessa autenticazione delle richieste della vittima; Pertanto, la richiesta viene eseguita per conto della sessione della vittima.

Intercettazione della rete

Il traffico su una rete può essere intercettato e letto da computer della rete diversi dal mittente e dal destinatario (in particolare tramite Wi-Fi aperto non crittografato). Sessioni HTTP. attacco man-in-the-middle.

Questo problema può essere risolto proteggendo la comunicazione tra il computer dell'utente e il server utilizzando il protocollo HTTPS (Transport Layer Security) per crittografare la connessione. Un server può specificare il ^[46]

Pubblicazione di un sottodominio falso: DNS cache poisoning

Se un utente malintenzionato è in grado di causare un server DNS per memorizzare nella cache una voce DNS fabbricata (chiamata DNS cache poisoningAd esempio, un utente malintenzionato potrebbe utilizzare l'avvelenamento della cache DNS per creare una voce DNS fabbricata che punta all'indirizzo IP del server dell'attaccante. L'utente malintenzionato può quindi pubblicare l'URL di un'immagine dal proprio server (ad esempio, ). Vittime che leggono l'articolo dell'aggressore messaggio scaricherebbe questa immagine da . Poiché è un sottodominio di , i browser delle vittime invierebbero tutti

Se un utente malintenzionato è in grado di raggiungere questo obiettivo, di solito è colpa dei provider di servizi Internet per non aver protetto adeguatamente i loro server DNS. In questo caso, l'utente malintenzionato avrebbe la sfida aggiuntiva ^di ottenere il certificato TLS del sito Web di destinazione da un'autorità

Articolo principale: Cross-site scripting

Ciò si verifica quando un utente malintenzionato sfrutta un sito Web che consente ai suoi utenti di pubblicare HTML e contenuti non filtrati.

Ad esempio, un utente malintenzionato può pubblicare un messaggio con il seguente link:

Quando un altro utente clicca su questo link, il browser esegue il pezzo di codice all'interno dell'attributo, sostituendo così il server di stringhe. Se il post dannoso dell'aggressore è su un sito Web HTTPS, commettere in testo normale.

È responsabilità degli sviluppatori del sito web filtrare tale codice dannoso.

Cross-site scripting: richiesta proxy

Nelle versioni precedenti di molti browser, si verificavano falle di sicurezza nell'implementazione dell'API XMLHttpRequest. Questa API consente alle pagine di specificare un server proxy che otterrà la risposta e questo server proxy non è soggetto ai criteri della stessa origine. Ad esempio, una vittima sta leggendo il post di un utente malintenzionato su , e lo script dell'utente malintenzionato viene eseguito nel browser della vittima. Lo script genera una richiesta a con il server proxy . Poiché la richiesta riguarda tutte le

connessioni HTTPS e il protocollo HTTPS impone la crittografia end-to-end (ovvero le informazioni vengono crittografate sul browser dell'utente e decrittografate sulla destinazione server). In questo caso, il server proxy visualizzerà solo i byte non elaborati e crittografati della richiesta HTTP.

Contraffazione

di richieste cross-site

Ad esempio, Bob potrebbe navigare in un forum di chat in cui un altro utente, Mallory, ha pubblicato un messaggio. Supponiamo che Mallory abbia creato un elemento immagine HTML che fa riferimento a un'azione sul sito web della banca di Bob (piuttosto che a un file immagine), ad esempio,

è un attacco contro Internet Explorer che consente all'aggressore di rubare un utente inducendolo a trascinare un oggetto sullo schermo. Microsoft ha ritenuto il difetto a basso rischio a causa del "livello di interazione utente richiesto", ^{[96] [97]} ingegneria sociale. ^[96]

In particolare, non sempre identificano accuratamente gli utenti, possono essere utilizzati per attacchi alla sicurezza e sono spesso in contrasto con lo stile architettonico del software REST (Representational State Transfer). ^{[98] [99]}

Identificazione imprecisa

^[100]

account utente, computer e browser.

Un

JSON Web Token (JWT) è un pacchetto autonomo di informazioni che può essere utilizzato per memorizzare informazioni sull'identità e l'autenticità dell'utente.

Il

protocollo HTTP include l'autenticazione dell'accesso di base e i protocolli di autenticazione dell'accesso digest, che consentono l'accesso a una pagina Web solo quando l'utente ha fornito il nome utente corretto e parola d’ordine. Se il server richiede tali credenziali per concedere l'accesso a una pagina web, il browser le richiede all'utente e, una volta ottenute, le memorizza e le invia in ogni successiva richiesta di pagina. Queste informazioni possono essere utilizzate per tracciare l'utente.

URL (stringa di query)

La parte della stringa di query dell'URL è la parte che viene in genere utilizzata per questo scopo, ma è possibile utilizzare anche altre parti. Java Servlet e PHP

Questo metodo consiste nell'aggiunta di stringhe di query contenenti un identificatore di sessione univoco a tutti i collegamenti all'interno di una pagina web. Quando l'utente segue un collegamento, il browser invia la stringa di query al server, consentendo al server di identificare l'utente e mantenere lo stato.

Tuttavia, ci sono alcune differenze. Poiché una stringa di query fa parte di un URL, se tale URL viene riutilizzato in un secondo momento, la stessa informazione allegata verrà inviata al server, il che potrebbe portare a confusione. Ad esempio, se le preferenze di un utente sono codificate nella stringa di query di un URL e l'utente invia questo URL a un altro utente entro , tali preferenze verranno utilizzate anche per quell'altro utente.

Inoltre, se lo stesso utente accede più volte alla stessa pagina da fonti diverse, non vi è alcuna garanzia che venga utilizzata ogni volta la stessa stringa di query. Ad esempio, se un utente visita una pagina provenendo da una pagina interna al sito la prima volta e quindi visita la stessa pagina provenendo da un motore di ricerca esterno la seconda volta, le stringhe di query saranno probabilmente diverse.

Altri svantaggi delle stringhe di query sono legati alla sicurezza. L'archiviazione dei dati che identificano una sessione in una stringa di query consente attacchi di fissazione della sessione, attacchi di registrazione del referente e altri exploit di sicurezza.

Un'altra

forma di monitoraggio delle sessioni consiste nell'utilizzare moduli web con Campi. Questa tecnica è molto simile all'utilizzo di stringhe di query URL per conservare le informazioni e presenta molti degli stessi vantaggi e svantaggi. Infatti, se il modulo viene gestito con il metodo HTTP GET, questa tecnica è simile all'utilizzo delle stringhe di query URL, poiché il metodo GET aggiunge i campi del modulo all'URL come stringa di query.

Questo approccio presenta due vantaggi dal punto di vista del tracker. Innanzitutto, avere le informazioni di tracciamento posizionate nel corpo della richiesta HTTP piuttosto che nell'URL significa che non verranno notate dall'utente medio. In secondo luogo, le informazioni sulla sessione non vengono copiate quando l'utente copia l'URL (ad esempio, per aggiungere la pagina ai segnalibri o inviarla via e-mail).

window.name Proprietà DOM

Proprietà DOM . Lo

svantaggio è che ogni finestra o scheda separata avrà inizialmente una proprietà vuota quando viene aperta.

Indirizzo IP

Alcuni utenti possono essere tracciati in base all'indirizzo IP del computer che richiede la pagina. Il server conosce l'indirizzo IP del computer che esegue il browser (o il proxy, se utilizzato) e potrebbe teoricamente collegare la sessione di un utente a questo indirizzo IP.

Tuttavia, gli indirizzi IP non sono generalmente un modo affidabile per tracciare una sessione o identificare un utente. Molti computer progettati per essere utilizzati da un singolo utente, ad esempio i PC dell'ufficio o i PC di casa, sono protetti da un NAT (Network Address Translator). Ciò significa che più PC condivideranno un indirizzo IP pubblico. Inoltre, alcuni sistemi, come Tor, sono progettati per mantenere l'anonimato su Internet, rendendo il tracciamento tramite indirizzo IP impraticabile, impossibile o un rischio per la sicurezza.

Articolo

principale: HTTP ETag § Tracciamento utilizzando ETags

Ulteriori campi di intestazione di caching possono anche migliorare la conservazione dei dati ETag.

ETags può essere svuotato in alcuni browser svuotando la cache del browser.

Articolo

principale: Cache web

La cache del browser può essere utilizzata anche per memorizzare informazioni che possono essere utilizzate per tracciare i singoli utenti. Questa tecnica sfrutta il fatto che il browser Web utilizzerà le risorse memorizzate nella cache invece di scaricarle dal sito Web quando determina che la cache dispone già della versione più aggiornata della risorsa.

). Dopo la visita iniziale dell'utente, ogni volta che l'utente accede alla pagina, questo file verrà caricato dalla cache invece di essere scaricato dal server. Pertanto, il suo contenuto non cambierà mai.

Articolo

principale: Impronta digitale del dispositivo

Un'impronta digitale del browser è un'informazione raccolta sulla configurazione di un browser, come il numero di versione, la risoluzione dello schermo e il sistema operativo, ai fini dell'identificazione.

Le informazioni di base sulla configurazione del browser Web sono state a lungo raccolte dai servizi di analisi Web nel tentativo di misurare con precisione il traffico Web umano reale e scontare varie forme di frode sui clic. Con l'assistenza dei linguaggi di scripting lato client, è possibile la raccolta di parametri molto più esoterici. ^{[101] [102]} L'assimilazione di tali informazioni in una singola stringa costituisce un'impronta digitale del dispositivo. Nel 2010, EFF ha misurato almeno 18,1 bit di entropia possibili dal fingerprinting del browser. ^[103] Il canvas fingerprinting, una tecnica più recente, afferma di aggiungere altri 5,7 bit.

Articolo principale: Archiviazione Web

Alcuni browser Web supportano meccanismi di persistenza che consentono alla pagina di memorizzare le informazioni localmente per un uso successivo.

L'HTML5Archiviazione Web che consente due tipi di archiviazione: archiviazione locale e archiviazione di sessione. Locale L'archiviazione si comporta in modo simile a ^[104]

Internet Explorer supporta informazioni persistenti ^[105] nella cronologia del browser, nei preferiti del browser, in un archivio XML ("dati utente") o direttamente all'interno di una pagina Web salvata su disco.

Alcuni plug-in del browser Web includono anche meccanismi di persistenza. Ad esempio, Adobe Flash dispone di un oggetto condiviso locale e di Microsoft Silverlight di un archivio isolato. ^[106]

Vedi anche

Riferimenti