Acabo de empezar a crear una nueva aplicación web. En la documentación, está escrito que debo prepararme para la situación en la que los usuarios han desactivado las cookies. Esta no es la primera vez que leo esta condición. ¿Alguien puede explicarme por qué los usuarios desean deshabilitar las cookies en sus navegadores?
Las cookies han sido, históricamente, una fuente de numerosas preocupaciones de seguridad y privacidad.
Por ejemplo, las cookies de seguimiento se pueden usar para identificar qué sitios web ha visitado y qué actividades ha realizado en ellos:
iframe oculto que apunta a un servicio de seguimiento. iframe oculto. Esta es solo una aplicación. Hay otras formas de usar cookies de seguimiento, algunas de las cuales permiten todo tipo de ataques desagradables, como el robo de identidad.
Otro problema es el robo de cookies, que se puede usar para secuestrar sesiones inseguras (es decir, no HTTPS). Al usar un exploit (por ejemplo, XSS), una página puede administrar la publicación de cookies de otro sitio en sí misma, lo que le permite a un atacante robar su ID de sesión. Desactivar las cookies evita esto.
Debido a estos problemas, los usuarios a menudo deshabilitan las cookies o las bloquean en ciertos sitios para aumentar la privacidad y la seguridad.
Con las cookies de rastreo, los anunciantes pueden rastrear a los usuarios en diferentes sitios web e incluso en direcciones IP (por ejemplo, para usuarios de computadoras portátiles). Esto ha estado ocurriendo desde siempre (literalmente desde el inicio de las redes de publicidad, como Google Adwords), pero recientemente los medios de comunicación han estado incitando al público contra esas cookies, culpándolas como la causa principal de la violación de la privacidad. Se ha ido tan lejos que la UE aprobó algo que supuestamente prohíbe las cookies innecesarias sin el consentimiento. Irónicamente, el sitio web del gobierno holandés (aquí la ley entró en vigencia hace unos meses) tampoco sigue la ley.
Estas cookies son en realidad, en parte, una causa de intrusión de privacidad. Le facilita el seguimiento, pero hay muchas otras formas para decirle a un usuario de otro. Además, casi no hay razón para bloquear este tipo de publicidad dirigida, corta en ambos sentidos, pero ese es otro tema y un debate candente.
Sin cookies, difícilmente puede mantener un usuario conectado. Dé el error apropiado cuando las cookies estén deshabilitadas ("Es posible que no pueda iniciar sesión, las cookies están deshabilitadas en su navegador, haga clic aquí para obtener más información"), y creo que está cerrado. La mayoría de los otros sitios web, como Facebook y Twitter, tampoco funcionarán sin cookies.
La razón más común es que lo han hecho accidentalmente y no tienen idea de que lo hayan hecho (ver el párrafo 4 a continuación).
La segunda razón más común es la privacidad (¿paranoia?). Algunas personas son anti-seguimiento a cualquier costo. Tiendo a encontrar que realmente no entienden qué son las cookies en este caso. Es más probable que solo piensen que "el seguimiento es malo" y que los desactiven, sin tener idea, por ejemplo, cuál es la diferencia entre las cookies de sesión, las cookies de terceros / terceros, etc.
Sin embargo, lo que es más importante, no creo que sea realista dar cuenta de la situación en la que un usuario ha desactivado las cookies en todo menos en sitios web extremadamente básicos. No es posible evitar el uso de cookies (o un equivalente basado en URL) en otra cosa que no sea un sitio web básico con muy poca interacción por parte del usuario que no sea seguir enlaces a contenido estático. Puede olvidarse de los inicios de sesión y las canastas de compras, porque para crearlos, necesita al menos una sesión o una cookie (y el seguimiento de la sesión requiere una cookie o su equivalente en una URL).
En 12 años como desarrollador de sitios web, las únicas personas con las que me he encontrado que han deshabilitado las cookies, lo han hecho accidentalmente. Sin NINGUNA excepción , esto se debe a que han estado en la pantalla de configuración de Internet Explorer y pensaron que subir el control deslizante de seguridad / privacidad a "Alto" tiene que ser mejor que "Medio". En todos los casos, lo han vuelto a poner en el medio, una vez que he señalado qué efecto tiene y cuántos sitios web se rompe. A menudo, el usuario ha instalado un segundo navegador, creyendo que su navegador original está "roto" ya que ningún sitio web funciona con él. Como tal, creo que es importante informar a los usuarios que tienen las cookies deshabilitadas (utilizando un método de detección adecuado) si tiene un sitio de alto tráfico.
Usted puede evitar el uso de cookies almacenando una ID única en la URL (.NET y otros marcos lo soportan de forma nativa) pero creo que esto simplemente traslada el problema a la URL, y los usuarios paranoicos pueden ser rechazados por una URL que es claramente seguimiento de ellos. Asegúrese de asegurarse de que si encuentra un método homebrew para hacer lo mismo, cualquier ID de URL esté vinculada a la dirección IP de los usuarios. De lo contrario, creará un método extremadamente fácil para el secuestro de sesiones: como usuario que simplemente envía un enlace, adquirirá el estado de sesión del usuario que envía.
La gran mayoría de los sitios web importantes que requieren un inicio de sesión o que tienen una función de carrito de la compra requieren cookies para funcionar y no creo que sea sensato intentarlo. Probablemente esté hablando de una pequeña fracción del 1% de los usuarios que tienen las cookies desactivadas. Ignore las estadísticas producidas a partir de sistemas automáticos como WebTrends, ya que estos incluirán elementos como rastreadores web y robots que no (y no tienen necesidad de) admiten cookies, ya que esto le dará una lectura falsamente alta del número de usuarios que han desactivado galletas. Ciertamente, está hablando más como 1 en 5000 en lugar de 1 en 10 usuarios que han deshabilitado las cookies y aún esperan que los sitios web funcionen :)
En la documentación, está escrito que debo prepararme para la situación en la que los usuarios han desactivado las cookies.
Estar "preparado" no es lo mismo que hacer un sistema de inicio de sesión completamente funcional que funcione sin cookies HTTP.
Los usuarios pueden desactivar las cookies HTTP para evitar "ser rastreados"; en este caso, podría pensar en utilizar otro enfoque para la administración de sesiones, como usar una URL secreta. Mantener el ID de sesión en la URL tiene algunos méritos de seguridad y facilidad de uso, pero también problemas graves de seguridad y facilidad de uso , y este mensaje no recomienda este enfoque . Debido a que la pregunta no se refería a la seguridad de mantener el ID de sesión en la URL , no quiero discutir este (interesante) tema aquí.
El problema no es solo técnico, es un problema de aceptabilidad: si el usuario desactiva las cookies de forma voluntaria, puede apostar a que no desea ser rastreado. Tratar de sortear el bloqueo de cookies (incluso "por su propio bien") es muy probable que lo moleste.
En cambio, puede explicar a los usuarios que solo se necesitan cookies de sesión para la administración de la sesión dentro de su aplicación web, y que es posible borrar automáticamente todas las cookies cuando se cierra el navegador.
Lea otras preguntas en las etiquetas web-application web-browser privacy cookies session-management