¿Existe algún beneficio de seguridad por no usar cookies?

5

Estaba leyendo cómo el infame TorMail tenía un modo heredado que permitía que su servicio de correo electrónico se utilizara sin cookies. El artículo implicaba que hicieron esto por cuestiones de privacidad para los usuarios finales. Por lo que entiendo, no es posible almacenar sesiones sin cookies. Así que tengo que preguntar:

  1. ¿Cómo las personas no usan cookies, usan sesiones de PHP o algo similar?

  2. Si no necesitamos cookies, ¿por qué usarlas?

  3. ¿Cuál es el beneficio de seguridad / privacidad de evitarlos?

pregunta Dylan 04.04.2017 - 02:51
fuente

2 respuestas

2

¿Por qué las cookies y cuáles son las alternativas?

HTTP es sin estado. Una página web que lo recuerde (para que no tenga que volver a ingresar su contraseña cada vez que visite una nueva página) tiene estado. Para cerrar la brecha entre el protocolo sin estado y la aplicación con estado, necesita algún tipo de identificador de sesión que se incluya en cada solicitud.

La forma estándar de hacerlo es con una cookie. Pero podría ponerlo en cualquier lugar en la solicitud HTTP. Algunos ejemplos:

  • Una práctica común en el pasado era poner el identificador de la sesión en la URL, pero esto significaba que terminaba en todo tipo de registros y se filtraba a través del encabezado del remitente. No tan bien.

  • Una aplicación de una sola página podría almacenar el identificador (por ejemplo, un token de autenticación) en una variable de JavaScript en el cliente y luego enviarla en un encabezado personalizado con cada solicitud. Sería como una cookie que solo dura una carga de una página. (Como lo señala Marko Vodopija , la seguridad sería un poco más débil aquí, ya que el identificador no pudo ser protegido por http-only como puede una cookie.)

Puede pensar en estas como formas diferentes de "simular" una versión limitada de una cookie.

PHP usa cookies para sus sesiones, por cierto.

¿Por qué a algunas personas no les gustan las cookies?

No hay nada intrínsecamente inseguro en las cookies, y su uso no es menos seguro que cualquiera de los métodos alternativos más avanzados. Por el contrario, como hemos visto, algunos reemplazos son peores.

La razón por la que algunas cookies de odio es la misma razón por la que son tan útiles: hacen que la web sea completa. Esto significa que pueden usarse para rastrearte, con todas las implicaciones de privacidad que conlleva. Así que algunos pueden desear deshabilitar las cookies por completo.

Esa es probablemente la razón por la que un sitio centrado en la privacidad ofrecería una alternativa sin cookies. No hace que el sitio sea más seguro , pero puede servir a los usuarios que tienen desactivadas las cookies por razones de privacidad.

    
respondido por el Anders 04.04.2017 - 10:22
fuente
2

Solo un complemento a la respuesta de @ Anders.

Las cookies son una forma de tener sesiones con estado en HTTP que, por sí misma, es un protocolo sin estado sin conexión. Las sesiones son necesarias para las aplicaciones web y cualquier negocio en línea.

Las cookies solían estar mal vistas como lo era javascript en los primeros tiempos, porque primero es una forma de recopilar estadísticas de uso y tiene problemas de privacidad, mientras que el otro permite que el servidor controle el navegador, que tiene problemas de seguridad. Hoy en día, muchos sitios simplemente no se pueden utilizar con las cookies o javascript deshabilitados, y deshabilitarlos en un navegador no siempre es una tarea trivial. Entonces, mi opinión es que está bien proporcionar un servicio que requiera cookies. Solo muestre una página de advertencia que indique que su servicio requiere cookies si no puede establecer una sesión.

La reescritura de URL es (era?) una alternativa a las cookies para proporcionar sesiones en HTTP. En ese modo, constantemente agrega un parámetro que consiste en una clave y el identificador de sesión. Todos los datos de la sesión deben llevarse del lado del servidor en ese modo. De esa manera no hay riesgo adicional de fuga de datos porque solo se intercambia el identificador en la URL. El inconveniente es que no es compatible con marcadores: la URL contiene el identificador de sesión, por lo que si marca la URL de una página que lo incluye, obtendrá un error de sesión no válido cuando intente usarlo más tarde. Y es mucho más difícil de usar que una cookie para pasar información entre sitios del mismo dominio. Por ese motivo, las cookies son ahora la forma estándar de tener un sitio o aplicación HTTP con estado.

Las personas a las que no les gustan las cookies también argumentarán que no existe un equivalente persistente en la reescritura de URL, y que las cookies persistentes son muy utilizadas para recopilar datos sobre el comportamiento del cliente, las principales empresas web (Google, Facebook, Amazon, etc.) voluntariamente solo permití que las cookies navegaran por sus sitios, y eso debido a la reescritura de esa URL ha sido más o menos abandonado. Ya sea que sea verdadero o falso, ahora no tiene sentido porque el hecho es que la mayoría de los usuarios requieren las cookies y están permitidas por la mayoría de los usuarios.

    
respondido por el Serge Ballesta 04.04.2017 - 17:37
fuente

Lea otras preguntas en las etiquetas