Opciones

Search:

 

• Home

    Apuntes sobre seguridad

• Cinco dudas sobre el correo electronico y los virus
• Virus de macro
• Troyanos
• Cookies
• Buffer Overflow
• index.dat
• borrar mails
RSS 2.0

Actualizado el 14-01-2007
versión para imprimir

Información básica

¿que es una cookie?

Las cookies son unos pequeños archivos de texto (*.txt) colocados en tu disco duro por un servidor de páginas web.
Como tal archivo de texto, no puede contener código ejecutable o portar virus
En teoria su información solo puede ser recuperada por el mismo servidor que te lo mandó.

¿para que sirven las cookies?

Para decirle al servidor web que ya has estado antes en esa página

¿en que te ayudan las cookies?

El propósito original de las cookies era el de dotar de cierta memoria a las páginas web, ayudando a ahorrar tiempo a los usuarios:

Cuando tu vuelves a una página web, no es necesario que re-introduzcas tu información de usuario

Las páginas web se basan en el protocolo http, que no tiene un concepto nativo de sesión, por eso el navegador cuando pasa a la siguiente página no recuerda las acciones realizadas en la anterior (por ejemplo los libros que hayas seleccionado para comprar). Las cookies proporcionan una manera de conservar información entre peticiones del cliente, ampliando enormemente las capacidades de las aplicaciones cliente/servidor basadas en la Web.

¿en que ayudan las cookies a la página web?

Las cookies permiten personalizar las páginas web para sus usuarios, entregando información mas eficiente.

¿Que daño puede causar una cookie ?

Cuando se habla de la seguridad de las cookies, no se trata de la misma amenaza que supone el código malicioso (virus), sino de salvaguardar la intimidad. Las cookies son archivos de texto, que por tanto no pueden borrar archivos ni formatear tu disco duro.

Sin embargo, mediante las cookies si que es posible almacenar y estudiar los habitos de navegación de una persona sin su conocimiento.

¿y entonces ?

Actualmente la mayoría de los navegadores tienen algun sistema selectivo de filtrado de cookies, y existen numerosos programas para su control. De esta manera puedes elegir si prefieres la navegación con cookies o sin ellas, de decidir si deseas arriesgar un poco de tu intimidad a cambio de ciertas comodidades y de una navegación más individualizada.

Pero debes tener en cuenta que muchas páginas (sobre todo comerciales) usan sistemas basados en cookies; si no las aceptas mientras estes en ella no podrás disfrutar algunos de sus servicios

Información ampliada

estructura

Cada cookie representa una pequeña porción de información con una fecha de caducidad opcional, que se añade al fichero o directorio de cookies con el siguiente formato:

nombre = valor; ejemplo: expires = fechaCaducidad;

Si no se especifica el valor de “expires”, la cookie caduca cuando el usuario sale de la sesión en curso con el navegador. Por consiguiente, el navegador conservará y recuperará la cookie sólo si su fecha de caducidad aún no ha expirado.

Ademas puede contener otros datos: Un dominio, parcial o completo, desde el que se podrá leer la cookie. Si no se especifica ningún dominio, entonces el navegador sólo devolverá la cookie a la máquina que la originó. Una ruta dentro del servidor, en cuyo caso solo se devolverá cuando sea llamada desde páginas que esten en la misma. Secure indica que la cookie sólo será transmitida a través de un canal seguro con SSL.

Debido a que las cookies se almacenan en memoria hasta que sales del navegador, momento en que se escriben en el disco, no es posible ver qué cookies has aceptado en tu fichero cookies.txt hasta que sales

Limitaciones por diseño

Aunque estos datos pueden variar de un ordenador a otro, ya que no existe ningun standard sobre cookies, existen varios limites usuales:

• Trescientas cookies en total en el archivo de cookies. Si llega la número 301, se borra la más antigua.
• 4 Kbytes por cookie, para la suma del nombre y valor de la cookie.
• Veinte cookies por servidor o dominio
• Ninguna máquina que no encaje en el dominio de la cookie puede leerla. Es decir, la información almacenada en una cookie no puede ser leída por una máquina distinta de la que la envió. Ahora bien, en Internet Explorer, esto no es del todo cierto debido a un agujero de seguridad que permite a cualquier sitio web visualizar la información almacenada en las cookies.

¿Como funcionan ?

Cuando navegas por internet, la información no viaja en un solo sentido, desde la red a tu ordenador. Constantemente tu navegador lanza "peticiones de información" que son rutinariamente analizadas y dirigidas hacia el servidor de destino, quien a su vez las analiza y te sirve la página que has pedido.

Este es un ejemplo de las cabeceras que manda www.ignside.net (* ver nota al pie):

0: HTTP/1.1 200 OK 
1: Date: Tue, 15 Oct 2002 17:20:59 GMT 
2: Server: Apache/1.3.26 (Unix) Debian GNU/Linux mod_gzip/1.3.19.1a PHP/4.1.2 v2h/1.5.1 
3: X-Powered-By: PHP/4.1.2 
4: Set-Cookie: lang=spanish; expires=Wed, 15-Oct-03 17:20:59 GMT 
5: Set-Cookie: fXA[0]=1; expires=Tue, 15-Oct-02 18:20:59 GMT 
6: Set-Cookie: fXA[3]=__News__; expires=Tue, 15-Oct-02 18:20:59 GMT 
7: Connection: close 
8: Content-Type: text/html 

Puedes ver que la información http (no visible) que el servidor manda a tu navegador incluye información acerca del mismo, acerca del formato del archivo que te envia (text/html) y tres cookie

Del mismo modo, mediante las cabeceras http, el servidor recupera la cookie grabada en tu disco, y reutiliza la información.

Ejemplo: las cookies de ignside.net

Esta página utiliza varias cookies distintas:

• cookie de idioma, con el par idioma=valor, que recuerda el idioma preferido por el usuario. Esta se manda siempre.
• cookie de administrador con el par admin=cadena de caracteres, donde de forma encriptada se almacena el nick del administrador, su contraseña y su lenguaje. Asi cuando alguien pretende conectarse como administrador, el servidor compara la cookie que recupera del navegador con el nombre y contraseña de la base de datos, dandole pleno acceso a la administración si es correcto.
• cookie de usuario registrado con el par user y valor cadena de texto, donde de forma encriptada (base 64) se almacenan datos tales como número de usuario, nombre de usuario, contraseña, apariencia y numero de noticias que desea ver en la página, etc.
• y finalmente las cookies que puedes vewr arriba como fXA que son de un contador de visitas que informa de los modulos mas visitados

La version de phpnuke con forum incorporado manda una cookie adicional con el dato de la ultima visita.

Recursos relacionados

• Si deseas ver las cabeceras http de un sitio web concreto, tienes rexswain
• Si deseas descifrar online el contenido de una cookie cifrado en Base 64, Securitystats
• CookieSpy es un programa gratuito con el cual podrás ver las cookies que tienes almacenadas, de donde vienen, y borrarlas
• Similar al anterior, pero con mas posibilidades (como ver los valores de la cookie) es este Karen's cookie viewer
• Conoce tu navegador !! En la mayoria de ellos hay opciones relacionadas con las cookies

(*) NOTA: Este ejemplo es el de las cabeceras de ignside net a Octubre de 2002. Como los cambios son frecuentes, es posible que en el futuro haya otras diferentes. Si estas interesado en el tema puedes leer el apartado La Página | FAQ desde el menu de la izquierda de la pagina principal (http://www.ignside.net) donde procuramos estar al dia en los cambios. El apartado de manuales (http://www.ignside.net/man) no usa cookies