Uno de los temas polémicos al tratar la privacidad y la seguridad
de los navegadores, es el uso de las cookies. En esta ocasión,
debido a un problema sin establecer aun concretamente, un sitio
web ha podido tener acceso a datos sensibles de sus usuarios.
Las cookies son pequeños ficheros que se graban en el disco duro
del usuario, y sirven para que al acceder a un sitio web, este
pueda optimizar su presentación atendiendo a nuestras anteriores
navegaciones sobre él. Personalizando las secciones que ha
registrado que más nos gustan, etc. En este archivo, también
se pueden almacenar datos como las veces que hemos visitado el
web, la fecha en que se hizo, etc. Toda esta informaciónsólo es
accesible por el sitio web que genera la cookie y «en teoría»
no deben suponer ningún problema de seguridad.
Todas las quejas sobre el uso de cookies han venido por los
defensores de la privacidad, ya que el mayor abuso que puede
realizarse con ellas, es un control sobre nuestras visitas al
sitio web.
Pero el tema vuelve a saltar con más importancia que nunca, pues
un sitio web (http://consumer.net) ha anunciado que en sus logs
se estaba recogiendo información de los usuarios proveniente de
cookies de otros servidores. Entre los datos que se pueden
encontrar en los registros, se pueden observar direcciones de
correo, passwords, etc.
El problema en esta ocasión radica en que un sitio web, ha podido
acceder al contenido de las cookies de otros servidores, cosa que
teóricamente debe ser imposible. Aun no se sabe la causa, ya que
tanto los navegadores de Microsoft como los de Netscape se ven
afectados por el problema, y ninguna de las firmas han sido
capaces de obtener una causa del problema.
En principio se pensó que era debido a un bug en los navegadores,
opción que finalmente parece descartarse. Todo indica que el
error proviene más de un fallo imprevisto en el archivo de la
cookie. Los archivos mostrados por el administrador de
consumer.net muestran que Netscape pierde un comando de retorno
de carro al final de algunas entradas de cookies, haciendo que
el servidor siga leyendo cuando debería de haber parado. Aunque
también enfatiza que se trata de un descubrimiento preliminar,
y que el problema es raro.
Sigue sin aclararse de que forma los archivos de las cookies se
corrompieron, aunque las causas más comunes son los «cuelgues»
del sistema o apagar el ordenador sin cerrar el sistema
operativo.
De momento el tema sigue abierto, y la problemática y el debate
sobre el uso (y abuso) de las cookies vuelve a abrirse una vez
más. Por otra parte, aunque la situación dada en consumer.net
haya sido un tanto extraña se abre la posibilidad de leer desde
un servidor cookies que no le pertenecen, lo cual si se consigue
explotar de alguna forma sí podría representar un grave problema
de seguridad.
Más información:
Ejemplos de los logs: http://onlineprivacy.com/cookiebug/
Consumer.net: http://consumer.net
Deja un comentario