Detectar si están habilitadas las cookies en el navegador

[semptrion]

El tema es que una cookie se puede copiar y reutilizar y preservar más allá de lo que el desarrollador quiere. Es decir, por ejemplo, creas una cookie de sesión para determinar la sesión del usuario conectado y así continuar con "el hilo" de la conexión.

Sin embargo, si el cliente no es un browser, no destruirá la cookie al terminar la sesión del browser, y podrá seguir utilizando la sesión para enmascarar al usuario. Resultado: rompieron tu seguridad en base a esa cadena cifrada ya que no necesitan descifrar lo que significa esa cadena, sólo se requiere la cadena para enviarla al servidor y hacerse pasar por el usuario previamente autenticado.

Copiar el archivo de una cookie no es tecnología de la NASA. Se puede hacer y se hace. En red mientras un usuario está conectado otro puede copiar su cookie y luego utilizarla.

Otra forma es enviar la cookie del usuario utilizando código html dinámico y javascript. Las puertas del infierno están abiertas y el que no lo sepamos no las cierra.

Así, vive feliz con las cookies, yo vivo feliz sin ellas.

[dec]

Hola,

A ver. No diré yo que no se puedan copiar cookies... pero también se puede (en teoría) copiar cualquier otro archivo de un ordenador... y no por eso hemos dejado de usar ordenadores. Pero sigo sin ver que las cookies comprometan la seguridad por sí mismas.

El que alguien pueda copiar las cookies que tú tienes en tu ordenador y las utilize para suplantar tu persona en una aplicación, ¿es problema de la aplicación o es tu problema? Yo aventuro que es problema tuyo y no de la aplicación. Y por otro lado la aplicación no se ha de ver comprometida...

Al fin y al cabo quien suplante tu persona en la aplicación tendrá como mucho tus "permisos" de usuario, pero, ni uno más. Y no sólo esto, sino que, para llevar a cabo ciertas tareas como usuario de la aplicación, por ejemplo darte de baja de la misma, la aplicación puede forzarte a autentificarte: borrando las cookies u obviándolas.

Yo no soy ningún experto en seguridad Web, ni muchísimo menos, empero, nadie podrá negar que las cookies son cosa muy utilizada, como he dicho más arriba, por sitios Web y empresas de las más prestigiosas. Debe ser que son muy útiles, porque de otro modo no me explico su utilización por tantos y tantos sitios en Internet.

E insisto: por sí solas las cookies no son buenas ni malas. Y sin son algo son buenas, puesto que se pensaron para suplir una necesidad, para ser útiles. ¿Que alguien puede aprovecharse de las cookies para hacer algo que hieda y no huela? Pues claro que sí, pero, con todo pasa igual: un cuchillo puede servir para cortar carne y para cortar carne también... no sé si me explico.

Otra cosa es que la aplicación pueda tomar ciertas medidas con el fin de evitar determinadas circunstancias. Ya he puesto un ejemplo: ¿que quieres de darte de baja como usuario? Pues no me bastan tus cookies, necesitas autentificarte de nuevo o de otro modo no te doy de baja. O tal vez la aplicación puede caducar las cookies cada cierto tiempo, y otras muchas más cosas que se me escapan porque como ya he dicho no soy ningún experto.

[semptrion]

El que muchos utilicen algo no significa que sea bueno. En realidad no significa nada. Si muchos sitios importantes usan cookies, hay que determinar en que aspectos lo usan.

Por ejemplo, para autenticación de usuarios que administran información financiera, no sólo NO usan cookies, sino que se deben colocar sistemas adicionales de seguridad que impidan que las usen.

Que hotmail.com por ejemplo utilice cookies no significa que el mundo entero está seguro. Vean por ejemplo este artículo de como hackear el hotmail (que me encantó por cierto el ingenio utilizado) http://www.net-force.nl/files/articles/hotmail_xss/

Ahora, el uso de cookies envenenados es una técnica conocida para hacerse pasar por un usuario (impersonalización o suplantación) que, dependiendo de los roles y los accesos que tenga el usuario podrían representar serios problemas para una aplicación (en cuanto a seguridad se refiere). Vemoas por ejemplo, http://www.windowsecurity.com/uplart...ningByline.pdf que explica una técnica para hacerlo.

La pregunta es, voy a utilizar la brecha de seguridad que emplean las cookies para rescatar el estado de cuentas de la carnicería de la esquina? o lo haré para rescatar las cuentas de Angelina Jolie?

Dependiendo de donde se encuentra el tesoro. Carne y carne .

Pero si me voy a hacer pasar por alguien, o si alguien se hará pasar por alguien no será para autodañarse, sino para lograr acceso, vía web, a lugares prohibidos o delicados.

[dec]

Hola,

Si me lo permites voy a hacerte una pregunta. Si, como dices, no es bien utilizar cookies, ¿qué se supone que hay que utilizar para hacer persistir determinada información entre clientes y servidores? ¿Qué solución propones al uso de las cookies? Porque es evidente que las cookies vinieron a cubrir un hueco, ahora bien, ¿cómo rellenamos ese hueco sin ellas? Habría que inventar algo. ¿Pero está ya inventado, aceptado y extendido como lo está el uso de las cookies?

No vale decir "no uses cookies en modo alguno", porque, como digo, no estoy diciendo que haya que usarlas en todo momento y sin ton ni son, sino cuando se hacen necesarias, para guardar información en el cliente que luego podamos recuperar desde el Servidor, entonces, puesto que esto puede resultar necesario en ocasiones, ¿qué se supone que hay que usar que no sean las cookies? ¿Acaso existe otra solución viable? No me extrañaría... por eso lo pregunto.

[semptrion]

Esta información la extraje del manual de php http://us2.php.net/session

Cita:

Hay dos formas de propagar un "session id":

• Cookies
• Parámetro en la URL

El módulo de sesiones admite ambas formas. Las Cookies son la mejor opción, pero como no son fiables (los clientes no están obligados a aceptarlas), no podemos confiar en ellas. El segundo método incrusta el "session id" directamente en las URLs.
PHP es capaz de hacerlo de forma transparente al usuario cuando se compila con --enable-trans-sid. Si activa esta opción, las URIs relativas serán modificadas de forma que contengan el session id automáticamente. Alternativamente, puede usar la constante SID que está definida, si el cliente no envía la cookie adecuada. El SID puede tener la forma de nombre_de_sesion=session_id o ser una cadena vacía.

Otra forma de implmentar session tracking es mediante URL Rewriting. (Aunque hay quienes confunden url rewriting con enviar el id de sesión mediante GET, no es este el caso.) Esta técnica permite incorporar el id de session dentro el path (no del query como hace GET).

Por ejemplo, sea el número de sesión el 12333444555 y el recurso al que invocamos es http://www.example.com/test1.php.

Colocar en el query sería algo así como:
http://www.example.com/test1.php?ID_SESSION=12333444555

Colocar en el path sería:
http://www.example.com/12333444555/test1.php

(En el Apache, revisen el mod_rewrite para implementar esto.)

Los cookies son utilizados para almacenar información en el disco duro del cliente. Qué se puede colocar ahí? tenemos 4k por cookie de "cosas".

Eso depende de la iniciativa del desarrollador acerca de lo que se debe colocar ahí. Se puede colocar un identificador del usuario para ir mejorando sus preferencias en cuanto a navegación por un sitio. Por ejemplo, en un periódico, podemos registrar el tipo de noticias que ha navegado el cliente y luego dar una clasificación que permita al software, la siguiente vez que el usuario visite el sitio, las noticias de su elección.

Se puede, se puede, se pueden hacer muchas cosas. Pero no estar informados acerca de lo que existe es cometer un error severo que puede costar al contratante más que al usuario.

Por ejemplo, alguna vez entré a la Agencia Federal para el Manejo de Emergencias de los Estados Unidos y en la parte de Privacidad del Usuario y Aviso de Seguridad mienten descaradamente cuando dicen:

Cita:

Empezado por http://www.fema.gov/spanish/help/privacy_spa.shtm

• Éste es el estado de la tecnología en Web. En la actualidad no existen aplicaciones que no usen cookies para esta función de pedidos múltiples.

Puede tener la absoluta seguridad de que el uso de la tecnología de cookies por parte de FEMA NO constituye un intento encubierto para recopilar o analizar información sobre usuarios de Internet.

Hay caramba! No creo que los técnicos de FEMA nos mientan descaradamente! Podrá ser que una institución seria como el FEMA se haya equivocado? Tan grande ! Tan estatal ! Tan técnica ! Se habrá equivocado? Les habrán hackeado la página para poner mentiras y hacerles quedar mal?

Aquí es donde las cosas se ponen viscozas. Cuando afirman que ES EL ESTADO DE LA TECNOLOGíA EN WEB cuando deberían decir (por verguenza deportiva al menos) ES EL ESTADO DE LA TECNOLOGíA EN WEB que conocemos.

Mensajes como éste han hecho que mucha gente piense que no existe nada más allá de los cookies. Y los que no los tienen o no los quieren: $@#!$. Así que, hay que usar nomás cookies sin ver lo que son o lo que hacen?.

Mucha de la tecnología de cookies está sustentada en mentiras (como la del FEMA) o en verdades a medias.

Hay algunas cosas buenas que hay que decir de los cookies: son seguros; son soportados por la mayoría de los browsers; no contagian virus ni los transportan(?); no son intrusivos y tampoco ocupan mucho espacio.

Entonces, quitando el tema de sesiones y seguridad, en qué se pueden utilizar cookies que:
- No viole la privacidad del usuario
- Si el usuario no quiere usarlos, no sea excluido

Hay todavía espacio para los cookies después de responder esa pregunta. Por ejemplo, en amazon.com, cuando un usuario visita una de sus páginas, son registradas sus preferencias, de tal manera que la siguiente vez que se conecta le muestran las novedades que, corresponden a sus preferencias. Pero, utilizar cookies para pedir la tarjeta de crédito del usuario? NUNCA!!! para eso existen el https y el uri rewrite. Finalmente, si el cliente no recibe cookies, no importa, no se perderá la conexión con un usuario por ello. Será tratado como un usuario nuevo y se le mostrarán las preferencias por defecto.

Cita:

Empezado por dec

No vale decir "no uses cookies en modo alguno",

No uses cookies en modo alguno... para temas de seguridad. Para los demás temas, valdrá la pena esforzarse en usarlas?

Saludos