Usted escribió:
Me preguntaba si una página web podría acceder a las cookies que no contenía (obteniendo así un historial de navegación bastante preciso, así como información sobre el usuario). Me parece que esto debería ser (y probablemente se defiende) contra, pero si lo es, ¿cómo? Puedo leer las cookies en mi computadora y al menos ver de dónde vienen, por lo que no parece que estén cifradas ...
Usted tiene razón, sí, puede leer el contenido de las cookies, porque es su computadora. Pero eso no significa que el navegador permita que cualquier sitio web los lea. Entonces, esas son dos cosas diferentes. También puede tener algunos archivos personales en su computadora que USTED puede leer, pero un sitio web no puede.
Tienes una pregunta interesante. Hasta ahora, asumí que cada página web tiene sus propias cookies. Pero eso resulta ser falso. La verdad es que cada dominio tiene sus propias cookies. Al menos así es como funciona Firefox. Por lo tanto, si tiene tres páginas en su sitio web, pueden acceder a las cookies de los demás.
No puede ver con precisión el historial de navegación de una persona desde las cookies. Las cookies generalmente almacenan el dominio, la fecha de vencimiento, la configuración, los contadores y todo lo que el usuario haya ingresado en un formulario. Entonces, esas son las cosas que puedes descubrir en una cookie. El peor de los casos sería decir que ingresa el número de su tarjeta de crédito en una página. El JavaScript guarda el número en una cookie (CARDNO = 1234567890123456) y lo transfiere a otra página en el mismo dominio. Luego, esa página lee el número, lo verifica y lo envía a la tercera página, que luego envía los datos al servidor. Suena loco, pero es POSIBLE. En cuanto a las cookies, no sabrá que el usuario visitó las tres páginas. Todo lo que sabe es lo que se guarda en la cookie, la fecha de caducidad y el origen. En este caso, si el número de la tarjeta de crédito se guarda en una cookie, eso es lo que hay en la cookie. Puede estar encriptado o no encriptado, sí. Las páginas web de otros dominios no deberían poder leer las cookies, ya que, como puede ver, eso sería un gran problema. Ahora, ya que usted es el propietario de su computadora, puede acceder a cualquier cosa en su computadora, por lo que puede ver TODAS las cookies guardadas en su computadora si así lo desea. Y eso no es un problema de seguridad siempre y cuando usted sea la única persona que use su computadora. Si le roban su computadora o si la comparte con alguien, aún puede leer los documentos, las cookies y otras cosas de otra persona si tiene una cuenta de administrador.
Las cookies proporcionan aproximadamente 5 KB de espacio para que cada dominio guarde los datos. Puede ser un poco más o menos. Si un sitio web necesita guardar muchos más datos, entonces hay una nueva cosa llamada localStorage. Funciona de la misma manera que las cookies, pero permite que un sitio web guarde megabytes de datos en lugar de solo un par de kilobytes. Nuevamente, al igual que con las cookies, los valores en localStorage se comparten en las páginas web dentro del mismo dominio. Entonces, si una página establece un valor, otra página puede leer ese valor dentro del mismo dominio.
Ver también:
enlace