cookies

I cookies

Stefano Castoldi

Gestione delle preferenze

Rifiuto

L'utente riuscirà a vedere la presentazione:

Acconsento

Cosa sono i cookies?

I cookies sono dei pacchetti di informazioni che permettono di identificare il client in maniera univoca. Possono essere anche utilizzati ai fini dell'autenticazione del client in fase di login e vengono utilizzati per tenere traccia dei modi in cui un utente esplora un dato sito, una piattaforma o una risorsa.

Cookie policy

Chi impiega i cookie deve fornire all'utente informazioni precise in merito alla natura dei cookie stessi alle relative finalità di utilizzo.Questa finalità è detta cookie policy di un dato sito o risorsa Internet. All'utente deve quindi essere garantita la possibilità di accettare o rifiutare l'uso di ogni singola tipologia dei cookie utilizzati da fini differenti da quelli natura tecnica. Chi non si allinea alle direttive previste da questa normativa rischia, chiaramente, di incappare in pesanti sanzioni.

Quanti Cookies esistono?

Cookie di prima parte

Cookie di terza parte

Cookie di proliferazione

Cookie tecnici

Cookie analitici

Quest è un tipo di cookie che viene impostato direttamente dal sito web che l'utente sta visitando. sono generalmente utilizzati per raccogliere informazioni relative alla navigazione dell'utente all'interno del sito.

Vengono utilizzati per determinare alcune statistiche di utilizzo del sito. Sono strumenti davvero utili per chi gestisce un portale che ha, potenzialmente, la possibilità di massimizzare le visite degli utenti.

Sono quei pacchetti di dati inviati dal client al server che permettono la regolare e agevole fruizione dei siti. Grazie a questi cookie non si ha la necessità di specificare nuovamente le proprie preferenze in un sito già visitato.

Si tratta di cookie utilizzati in ambito pubblicitario usati per tracciare un ideale profilo dei gusti e degli interessi in modo da selezionare in base a questi ultimi gli annunci pubblicitari.

Sono quelli che vengono inviati al client da siti e risorse Web differenti da quelli che si è espressamente scelto di visitare. questi cookie vengono impiegati da inserzionisti e aziende che operano nel campo pubblicitario per proporre agli stessi pubblicità personalizzata.

Il cookie poisoning

Cookie poisoning è un termine generico per vari attacchi che mirano a manipolare o falsificare i cookie HTTP. Questo termine si riferisce ad attacchi che modificano direttamente i valori dei cookie esistenti.

Il cross-site scripting: In questo tipo di attacco, un malintenzionato inietta del codice JavaScript malevolo in una pagina web. Se il sito non filtra correttamente il contenuto, il codice iniettato può rubare i cookie dal browser dell'utente e inviarli a un server controllato dall'attaccante.

Session Hijacking: In questo attacco il cookie può essere rubato o manomesso da un attaccante. Se l'attaccante riesce a rubare questo cookie, può accedere al profilo dell'utente e fare azioni non autorizzate, come ad esempio inviare richieste al server come se fosse l'utente legittimo.

Cross-site request forgery: Un hacker fa in modo che un utente vittima invii involontariamente una richiesta HTTP dal suo browser al sistema web in cui è attualmente autenticato; il sistema, avendo la certezza che la richiesta provenga dall'utente già precedentemente autenticato la esegue senza sapere che in realtà dietro di essa si cela un'azione pensata dall'attaccante.

Spoofing della sessione: Eseguito quando l'utente non ha effettuato l'accesso. Gli aggressori utilizzano token di sessione rubati o contraffatti per avviare una nuova sessione e impersonare l'utente legittimo senza che sia richiesta alcuna interazione con l'utente.

La protezione dei cookies

Utilizzare HTTPS

Impostare i flag Secure e HttpOnly

Impostando il flag Secure, è possibile rendere un cookie inaccessibile agli script in quanto i cookie dovrebbero essere trasmessi solo su connessioni sicure (Secure) e non dovrebbero essere accessibili tramite JavaScript (HttpOnly).

Assicurarsi che il sito web utilizzi sempre una connessione HTTPS sicura per proteggere i cookie durante la trasmissione.

Utilizzare cookie di sessione univoci e sicuri

Utilizzo di token CSRF

I token CSRF, sono una misura di sicurezza essenziale utilizzata per proteggere le applicazioni Web dagli attacchi CSRF. introducendo un elemento unico e imprevedibile in ogni richiesta effettuata dall'utente. Questi token vengono generati dal server.

Gli identificatori di sessione devono essere inaccessibili agli aggressori e generati in modo casuale in modo che siano impossibili da indovinare. Dovrebbero anche essere inutilizzabili dopo la chiusura della sessione.

Fine

Grazie per l'attenzione