Capire i rischi dell'accesso ai cookie
Scopri i cookie, i loro rischi e come proteggere la tua privacy.
― 9 leggere min
Indice
- Cosa sono gli Script di Terze Parti?
- Come Vengono Accessati i Cookie
- Rilevamento della Condivisione dei Dati da Parte di Script di Terze Parti
- La Portata del Problema
- Rischi per la Privacy degli Utenti
- Domini di Terze Parti Comuni
- L'Impatto dell'Accesso ai Cookie
- Manipolazione dei Cookie: Sovrascrittura e Cancellazione
- Quanto È Comune la Manipolazione dei Cookie?
- Attori Chiave nella Manipolazione dei Cookie
- Progettare una Soluzione: Strumenti di Protezione dei Cookie
- Due Approcci alla Protezione dei Cookie
- Implementare l'Isolamento dei Cookie
- Valutare l'Efficacia della Protezione dei Cookie
- Affrontare i Problemi di Funzionalità dei Siti Web
- Misurare l'Impatto sulle Prestazioni
- Conclusione: La Strada da Seguire
- Fonte originale
- Link di riferimento
I cookie sono piccoli pezzi di dati che i siti web memorizzano sul tuo computer. Aiutano i siti a ricordare le tue preferenze, i dettagli di accesso e altre informazioni. Anche se i cookie possono essere utili, possono anche comportare rischi per la privacy. In questo articolo, vedremo come vengono creati, utilizzati e talvolta abusati da Script di terze parti che possono accedere e condividere i tuoi dati senza che tu lo sappia.
Cosa sono gli Script di Terze Parti?
Gli script di terze parti sono pezzi di codice provenienti da siti esterni che possono essere aggiunti a una pagina web. Questi script tracciano spesso il comportamento degli utenti, visualizzano pubblicità o raccolgono dati per scopi analitici. Quando visiti un sito web, questi script possono essere eseguiti e accedere ai cookie memorizzati sul tuo computer. Questo può portare a condivisioni di dati indesiderate e potenziali problemi di privacy.
Come Vengono Accessati i Cookie
Quando uno script vuole accedere ai cookie su una pagina web, può usare un comando chiamato document.cookie. Questo comando consente agli script di leggere tutti i cookie disponibili per il sito web, potenzialmente includendo informazioni private memorizzate in essi. Questo significa che script non direttamente correlati al sito che stai visitando possono accedere a dati che potrebbero contenere le tue informazioni personali.
Rilevamento della Condivisione dei Dati da Parte di Script di Terze Parti
Per scoprire se gli script di terze parti stanno accedendo ai cookie, i ricercatori hanno sviluppato metodi per osservare come operano questi script. Puoi cercare identificatori specifici nei valori dei cookie e anche esaminare gli URL che questi script creano quando fanno richieste ad altri siti web.
Ad esempio, i cookie seguono tipicamente uno schema in cui un nome è associato a un valore. Esaminando le stringhe dei cookie e i parametri URL, è possibile identificare quali dati potrebbero essere condivisi.
La Portata del Problema
Le ricerche mostrano che un numero significativo di siti web consente agli script di terze parti di accedere ai cookie. Quasi la metà dei siti analizzati aveva script di terze parti che recuperavano cookie di prima parte. Questo significa che oltre il 43% dei siti web è a rischio di condividere informazioni sensibili senza il consenso dell’utente.
Diamo un’occhiata alle statistiche: su oltre 107.000 cookie su 10.000 siti, circa 18.960 cookie sono stati accessi e condivisi da script di terze parti. Questo dimostra quanto sia diffuso il problema e solleva preoccupazioni sulla privacy e sicurezza degli utenti.
Rischi per la Privacy degli Utenti
Il rischio per gli utenti diventa chiaro quando si considera il tipo di informazioni che i cookie possono contenere. I cookie di sessione, ad esempio, aiutano a verificare che un utente sia loggato in un servizio. Se un cookie di questo tipo viene accesso da una terza parte, potrebbe portare a accessi non autorizzati, consentendo a qualcuno di prendere il controllo di quell'account.
Siti altamente sensibili, tra cui banche e rivenditori online, spesso incorporano script di tracciamento. Questo significa che gli script possono accedere ai dati dei cookie, che possono includere informazioni personali identificabili (PII).
Domini di Terze Parti Comuni
Ci sono alcuni domini noti per essere attivi nel recupero e nella condivisione dei dati dei cookie. Ad esempio, google-analytics.com si distingue come un attore principale nella raccolta dei dati degli utenti. Altri domini, in particolare quelli coinvolti nella pubblicità, si impegnano spesso a condividere informazioni sui cookie.
Il motivo per cui questi domini sono coinvolti è principalmente dovuto al modo in cui vengono venduti gli annunci online. Quando gli utenti visitano siti che eseguono offerte in tempo reale (RTB) per gli annunci, le informazioni sugli utenti e i loro cookie possono essere trasmesse alle reti pubblicitarie. Man mano che cresce il numero di siti che utilizzano RTB, aumenta anche la probabilità che i dati vengano condivisi senza che gli utenti lo sappiano.
L'Impatto dell'Accesso ai Cookie
Uno dei risultati significativi è il numero enorme di cookie che vengono estratti da script cross-domain. I cookie creati da uno script possono essere accessi e potenzialmente abusati da un altro.
Ad esempio, i cookie chiamati "gid" e "ga", creati da google-analytics.com, sono stati bersaglio più volte da numerosi script. Questo tipo di tracciamento può aiutare le aziende a raccogliere informazioni sul comportamento degli utenti su diversi siti, creando profili dettagliati senza il consenso degli utenti.
Manipolazione dei Cookie: Sovrascrittura e Cancellazione
Oltre al recupero dei dati, gli script di terze parti possono anche manipolare i cookie. Questo significa che possono sovrascrivere cookie esistenti o eliminarli completamente. Se uno script conosce il nome di un cookie, può facilmente cambiare il suo valore o rimuoverlo dal tuo browser.
Questa manipolazione può avvenire anche se il nome originale del cookie non è comune. Ad esempio, un cookie specifico creato da un servizio potrebbe essere sovrascritto da un altro script completamente diverso. Questo può causare problemi inaspettati con la funzionalità del sito web e l'esperienza dell'utente.
Quanto È Comune la Manipolazione dei Cookie?
Le ricerche mostrano che la manipolazione dei cookie è un problema diffuso. Su migliaia di siti web, quasi il 32% ha subito sovrascritture dei cookie da parte di script di terze parti. Ancora più preoccupante, i cookie sono stati cancellati nel 2,3% dei siti. In un contesto più ampio, questi numeri rappresentano una considerevole quantità di manipolazione dei dati che avviene all'insaputa degli utenti.
Attori Chiave nella Manipolazione dei Cookie
Alcuni domini sono noti per le loro attività di manipolazione dei cookie. Ad esempio, pubmatic.com si distingue per la sovrascrittura dei cookie, mentre civiccomputing.com è noto per la cancellazione di essi. Questi domini forniscono spesso servizi legati alla pubblicità e alla gestione del consenso, il che può portare a interazioni complesse con i cookie degli utenti.
Progettare una Soluzione: Strumenti di Protezione dei Cookie
Considerati i rischi associati all'accesso e alla manipolazione dei cookie, c'è bisogno di strumenti che possano aiutare a proteggere i dati degli utenti. L'obiettivo è creare un sistema che possa isolare i cookie in base alla loro origine, impedendo l'accesso non autorizzato da parte di script di terze parti.
Due Approcci alla Protezione dei Cookie
Shadow Cookie Jar: Questo metodo tiene traccia di quale script ha creato ogni cookie. Quando uno script cerca di accedere ai cookie, il sistema verifica le informazioni sul creatore e consente l'accesso solo ai cookie della stessa fonte.
Set di Dati Separato: Un secondo approccio crea una copia delle informazioni sui cookie che viene memorizzata dall'estensione. Questo approccio tiene traccia dei nomi dei cookie e dei loro domini originali. Quando uno script vuole accedere ai cookie, controlla questo set di dati per assicurarsi di avere il permesso di farlo.
Implementare l'Isolamento dei Cookie
Lo strumento di protezione dei cookie proposto agisce come un'estensione del browser che monitora le interazioni con i cookie. Utilizza un sistema che consente solo agli script provenienti dallo stesso dominio di accedere ai loro cookie, bloccando gli script cross-domain dal recuperarli o cambiarli.
Quando uno script richiede cookie, lo strumento controlla il set di dati per vedere se il dominio dello script che chiama corrisponde a quello che ha creato il cookie. Se corrispondono, lo script riceve tutti i cookie di prima parte. Se non corrispondono, ottiene solo l'accesso ai cookie che ha creato.
Questo metodo mira a trovare un equilibrio tra privacy e funzionalità. I siti web hanno bisogno di accedere ai cookie per funzionare correttamente, quindi l'estensione è progettata per consentire l'accesso completo agli script di prima parte senza compromettere i dati degli utenti.
Valutare l'Efficacia della Protezione dei Cookie
L'efficacia degli strumenti di protezione dei cookie può essere misurata monitorando il grado in cui limitano l'accesso ai cookie da parte di script di terze parti. Studi hanno dimostrato che l'uso di meccanismi di protezione riduce significativamente la frequenza di recupero, sovrascrittura, cancellazione ed estrazione dei cookie.
I test rivelano che le misure protettive hanno portato a una diminuzione del 60,2% nel recupero dei cookie e a un calo dell'82,2% nelle istanze di sovrascrittura. Questi numeri dimostrano che lo strumento è efficace nel limitare il potenziale accesso non autorizzato ai dati degli utenti.
Affrontare i Problemi di Funzionalità dei Siti Web
Mentre è essenziale proteggere i cookie, è altrettanto importante garantire che i siti web continuino a funzionare come previsto. Sono stati condotti test per valutare l'impatto della protezione dei cookie sulle prestazioni dei siti web.
I risultati dei test indicano che non ci sono state interruzioni significative nella navigazione o nell'aspetto, anche se sono stati notati alcuni problemi minori e maggiori nei processi di login (SSO) e in altre funzionalità. Ad esempio, molti siti fanno affidamento su script di terze parti per la gestione dei login, portando a problemi quando quegli script sono limitati.
Soluzioni, come l'inserimento nella whitelist di determinati domini, possono alleviare questi problemi e garantire un'esperienza utente più fluida.
Misurare l'Impatto sulle Prestazioni
L'implementazione di strumenti di protezione dei cookie ha un costo in termini di prestazioni. Test preliminari mostrano un aumento medio del tempo di caricamento di 304 millisecondi quando la protezione è attiva. Anche se questo può sembrare significativo, molti utenti potrebbero trovare accettabile questo compromesso data la maggiore sicurezza.
Conclusione: La Strada da Seguire
I rischi associati agli script di terze parti che accedono ai cookie sono sostanziali. Monitorare e ricercare continuamente il comportamento dei cookie è essenziale per proteggere la privacy degli utenti.
Sviluppare strumenti di protezione dei cookie, come la proposta di estensione del browser, è cruciale per affrontare questi rischi. Con sistemi efficaci in atto, gli utenti possono godere di esperienze di navigazione più sicure, riducendo le possibilità di accesso non autorizzato ai loro dati personali. Proteggendo i cookie e garantendo che siano accessibili solo dai legittimi proprietari, possiamo contribuire a mantenere la fiducia degli utenti nelle piattaforme online.
Guardando avanti, è fondamentale considerare altre risorse condivise che gli script possono manipolare oltre ai cookie. Espandere il focus non solo sui cookie, ma su altri elementi fornirà una comprensione più completa dei rischi per la privacy sul web.
Titolo: COOKIEGUARD: Characterizing and Isolating the First-Party Cookie Jar
Estratto: As third-party cookies are going away, first-party cookies are increasingly being used for tracking. Prior research has shown that third-party scripts write (or \textit{ghost-write}) first-party cookies in the browser's cookie jar because they are included in the website's main frame. What is more is that a third-party script is able to access all first-party cookies, both the actual first-party cookies as well as the ghost-written first-party cookies by different third-party scripts. Existing isolation mechanisms in the web browser such as SOP and CSP are not designed to address this lack of isolation between first-party cookies written by different third-parties. We conduct a comprehensive analysis of cross-domain first-party cookie retrieval, exfiltration, and modification on top-10K websites. Most notably, we find 18\% and 4\% of the first-party cookies are exfiltrated and overwritten, respectively, by cross-domain third-party scripts. We propose \name to introduce isolation between first-party cookies set by different third-party scripts in the main frame. To this end, \name intercepts cookie get and set operations between third-party scripts and the browser's cookie jar to enforce strict isolation between first-party cookies set by different third-party domains. Our evaluation of \name shows that it effectively blocks all cross-domain cookie read/write operations to provide a fully isolated cookie jar. While it generally does not impact appearance, navigation, or other website functionality, the strict isolation policy disrupts Single Sign-On (SSO) on just 11\% of websites that rely on first-party cookies for session management. Our work demonstrates the feasibility of isolating first-party cookies.
Autori: Pouneh Nikkhah Bahrami, Aurore Fass, Zubair Shafiq
Ultimo aggiornamento: 2024-06-07 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2406.05310
Fonte PDF: https://arxiv.org/pdf/2406.05310
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://www.michaelshell.org/
- https://www.michaelshell.org/tex/ieeetran/
- https://www.ctan.org/pkg/ieeetran
- https://www.ieee.org/
- https://www.latex-project.org/
- https://www.michaelshell.org/tex/testflow/
- https://www.ctan.org/pkg/ifpdf
- https://www.ctan.org/pkg/cite
- https://www.ctan.org/pkg/graphicx
- https://www.ctan.org/pkg/epslatex
- https://www.tug.org/applications/pdftex
- https://www.ctan.org/pkg/amsmath
- https://www.ctan.org/pkg/algorithms
- https://www.ctan.org/pkg/algorithmicx
- https://www.ctan.org/pkg/array
- https://www.ctan.org/pkg/subfig
- https://www.ctan.org/pkg/fixltx2e
- https://www.ctan.org/pkg/stfloats
- https://www.ctan.org/pkg/dblfloatfix
- https://www.ctan.org/pkg/url
- https://www.michaelshell.org/contact.html
- https://www.example.com:443/path
- https://www.example.com:443
- https://example.com:8080
- https://subdomain.example.com:8080
- https://store.example.com
- https://arxiv.org/pdf/2102.09301
- https://www.alexa.com/
- https://almanac.httparchive.org/en/2022/javascript#first-party-versus-third-party-javascript
- https://mirror.ctan.org/biblio/bibtex/contrib/doc/
- https://www.michaelshell.org/tex/ieeetran/bibtex/
- https://cnn.com