¿Puede una página web leer las cookies de otra página?

19

Estaba escuchando Pandora cuando ingresé aquí, y el siguiente comercial fue sobre InfoSec. Eso me hizo preguntarme si eso era una coincidencia (probablemente) o si sabían de alguna manera. Para resumir, me preguntaba si una página web podría acceder a las cookies que no contenía (obteniendo así un historial de navegación bastante preciso, así como información sobre el usuario). Me parece que esto debería ser (y probablemente se defiende) contra, pero si lo es, ¿cómo? Puedo leer las cookies en mi computadora y al menos ver de dónde vienen, por lo que no parece que estén cifradas ...

    
pregunta KnightOfNi 30.01.2014 - 21:10
fuente

4 respuestas

27

Sí, se defiende contra el uso de la la misma política de origen , que generalmente impide que un sitio lea otras cookies.

Cuando ve un comportamiento en el que los anuncios parecen saber dónde ha estado, es probable que se deba a cookies de seguimiento de anuncios de terceros.

Entonces, como ejemplo simplificado, si va al sitio A que usa una red publicitaria, esa red publicitaria puede registrar que estuvo en ese sitio colocando una cookie de seguimiento en su PC.

Luego, cuando vaya al Sitio B, que utiliza la misma red de anuncios, la red de anuncios lee la cookie que se configuró cuando estaba en el Sitio A (lo que puede hacer porque está cargando contenido de sus dominios en ambos casos, por lo que no rompe el mismo origen) y luego puede ofrecerle anuncios basados en sus hábitos de navegación.

    
respondido por el Rоry McCune 30.01.2014 - 21:16
fuente
3

Un navegador diseñado adecuadamente no permitirá que un sitio web acceda a las cookies de otro sitio web, ya que esto violaría la política de dominios cruzados y sería un problema de seguridad importante.

Los sitios web no relacionados pueden implementar secuencias de comandos que envían información a una única red de seguimiento de anuncios, que luego puede ofrecer anuncios personalizados a estos sitios web participantes en función de su actividad informada.

Activar las opciones "no rastrear" no es 100% confiable, ya que "no rastrear" solo puede funcionar si el sitio web recibe la solicitud "no rastrear". Las cookies se pueden desactivar o bloquear, pero existen otras formas sencillas en que las redes publicitarias pueden hacer un seguimiento de su actividad:

  • Las páginas en sitios no relacionados pueden mostrar un archivo de imagen que reside en el servidor de la red publicitaria. Cuando su navegador solicite el archivo de imagen, enviará su dirección IP y la URL de referencia (la página en la que se muestra la imagen) al servidor de la red publicitaria. La URL de la imagen podría mejorarse con los parámetros de información (generados por el servidor de la página). Afortunadamente, un bloqueador de anuncios podría bloquear dicha imagen.
  • Cuando su navegador solicita una página web, el servidor de la página puede comunicarse directamente con la red publicitaria y compartir información como su dirección IP y el contenido que solicitó. No puede bloquear esta forma de seguimiento, pero se puede mitigar potencialmente mediante el uso de una VPN.
respondido por el Aufgeschissener Kunde 08.09.2016 - 03:02
fuente
1

Aquí podría haber un canal lateral de temporización. Se supone que si un usuario ha iniciado sesión obtiene una gran cantidad de información, pero si se desconecta recibe un pequeño formulario de inicio de sesión. El rendimiento del canal de Internet es finito, por lo que las veces que el usuario descarga la misma página puede diferir según el contenido. JS permite medir el tiempo que tardan en cargarse los elementos para que sea posible determinar si un usuario ha iniciado sesión en algún sitio web extranjero que no coopera. No he probado esta idea y ni siquiera he buscado en Google, pero sé que el ataque contra Hsts que se informó el año pasado en algunas conferencias usa el canal lateral de sincronización.

    
respondido por el KOLANICH 08.09.2016 - 15:08
fuente
0

Usted escribió:

  

Me preguntaba si una página web podría acceder a las cookies que no contenía (obteniendo así un historial de navegación bastante preciso, así como información sobre el usuario). Me parece que esto debería ser (y probablemente se defiende) contra, pero si lo es, ¿cómo? Puedo leer las cookies en mi computadora y al menos ver de dónde vienen, por lo que no parece que estén cifradas ...

Usted tiene razón, sí, puede leer el contenido de las cookies, porque es su computadora. Pero eso no significa que el navegador permita que cualquier sitio web los lea. Entonces, esas son dos cosas diferentes. También puede tener algunos archivos personales en su computadora que USTED puede leer, pero un sitio web no puede.

Tienes una pregunta interesante. Hasta ahora, asumí que cada página web tiene sus propias cookies. Pero eso resulta ser falso. La verdad es que cada dominio tiene sus propias cookies. Al menos así es como funciona Firefox. Por lo tanto, si tiene tres páginas en su sitio web, pueden acceder a las cookies de los demás.

No puede ver con precisión el historial de navegación de una persona desde las cookies. Las cookies generalmente almacenan el dominio, la fecha de vencimiento, la configuración, los contadores y todo lo que el usuario haya ingresado en un formulario. Entonces, esas son las cosas que puedes descubrir en una cookie. El peor de los casos sería decir que ingresa el número de su tarjeta de crédito en una página. El JavaScript guarda el número en una cookie (CARDNO = 1234567890123456) y lo transfiere a otra página en el mismo dominio. Luego, esa página lee el número, lo verifica y lo envía a la tercera página, que luego envía los datos al servidor. Suena loco, pero es POSIBLE. En cuanto a las cookies, no sabrá que el usuario visitó las tres páginas. Todo lo que sabe es lo que se guarda en la cookie, la fecha de caducidad y el origen. En este caso, si el número de la tarjeta de crédito se guarda en una cookie, eso es lo que hay en la cookie. Puede estar encriptado o no encriptado, sí. Las páginas web de otros dominios no deberían poder leer las cookies, ya que, como puede ver, eso sería un gran problema. Ahora, ya que usted es el propietario de su computadora, puede acceder a cualquier cosa en su computadora, por lo que puede ver TODAS las cookies guardadas en su computadora si así lo desea. Y eso no es un problema de seguridad siempre y cuando usted sea la única persona que use su computadora. Si le roban su computadora o si la comparte con alguien, aún puede leer los documentos, las cookies y otras cosas de otra persona si tiene una cuenta de administrador.

Las cookies proporcionan aproximadamente 5 KB de espacio para que cada dominio guarde los datos. Puede ser un poco más o menos. Si un sitio web necesita guardar muchos más datos, entonces hay una nueva cosa llamada localStorage. Funciona de la misma manera que las cookies, pero permite que un sitio web guarde megabytes de datos en lugar de solo un par de kilobytes. Nuevamente, al igual que con las cookies, los valores en localStorage se comparten en las páginas web dentro del mismo dominio. Entonces, si una página establece un valor, otra página puede leer ese valor dentro del mismo dominio.

Ver también: enlace

    
respondido por el Zsolt 07.05.2017 - 14:55
fuente

Lea otras preguntas en las etiquetas