it-swarm-es.com

¿Por qué los usuarios quieren deshabilitar las cookies?

Acabo de comenzar a crear una nueva aplicación web. En la documentación, está escrito que tengo que prepararme para la situación en la que los usuarios han deshabilitado las cookies. Esta no es la primera vez que leo esta condición. ¿Alguien puede explicarme por qué los usuarios desean deshabilitar las cookies en sus navegadores?

22
Krystian

Las cookies han sido históricamente una fuente de numerosas preocupaciones de seguridad y privacidad.

Por ejemplo, las cookies de seguimiento se pueden usar para identificar qué sitios web ha visitado y qué actividades ha realizado en ellos:

  1. El sitio A incluye iframe oculto que apunta a un servicio de seguimiento.
  2. El servicio de seguimiento emite una cookie que lo identifica y registra su visita.
  3. El sitio B incluye el mismo iframe oculto.
  4. El servicio de seguimiento reconoce su cookie y también registra esa visita.
  5. El sitio A y el sitio B pagan al rastreador para obtener información sobre qué otros sitios visitaron sus usuarios.

Esta es solo una aplicación. Hay otras formas de usar cookies de seguimiento, algunas de las cuales permiten todo tipo de ataques desagradables, como el robo de identidad.

Otro problema es el robo de cookies, que puede usarse para secuestrar sesiones inseguras (es decir, no HTTPS). Al usar un exploit (por ejemplo, XSS), una página podría publicar las cookies de otro sitio en sí misma, permitiendo que un atacante robe su ID de sesión. Desactivar las cookies evita esto.

Debido a estos problemas, los usuarios a menudo deshabilitan las cookies o las bloquean en ciertos sitios para una mayor privacidad y seguridad.

27
Polynomial

Con las cookies de seguimiento, los anunciantes pueden rastrear a los usuarios a través de diferentes sitios web e incluso a través de direcciones IP (por ejemplo, para usuarios de computadoras portátiles). Esto ha estado sucediendo desde siempre (literalmente desde el comienzo de las redes publicitarias, como Google Adwords), pero recientemente los medios de comunicación han estado incitando al público contra esas cookies, culpándolas como la causa principal de la violación de la privacidad. Ha ido tan lejos que la UE aprobó algo que se supone que prohíbe las cookies innecesarias sin optar. Irónicamente, el sitio web del gobierno holandés (aquí la ley entró en vigor hace unos meses) tampoco cumple con la ley.

Estas cookies son en realidad, en parte, una causa de intrusión de privacidad. Hace que sea fácil de rastrear, pero hay muchas otras formas para diferenciar a un usuario de otro. Además, casi no hay razón para bloquear este tipo de publicidad dirigida, corta en ambos sentidos, pero ese es otro tema y un debate candente.

Sin cookies, difícilmente puede mantener a un usuario conectado. Indique el error apropiado cuando las cookies se deshabilitan ("Es posible que no pueda iniciar sesión, las cookies están deshabilitadas en su navegador, haga clic aquí para obtener más información"), y creo que es caso cerrado. La mayoría de los otros sitios web como Facebook y Twitter tampoco funcionarán sin cookies de todos modos.

21
Luc

La razón más común es que lo han hecho accidentalmente y no tienen idea de que lo han hecho (vea el párrafo 4 a continuación).

La segunda razón más común es la privacidad (¿paranoia?). Algunas personas son anti-seguimiento a cualquier costo. Tiendo a descubrir que realmente no entienden qué son las cookies en este caso. Es más probable que simplemente piensen que "el seguimiento es malo" y los apaguen, sin tener ni idea, por ejemplo, cuál es la diferencia entre las cookies de sesión, las cookies de primera/tercera parte, etc.

Sin embargo, lo que es más importante, no creo que sea realista dar cuenta de la situación en la que un usuario ha deshabilitado las cookies en todo menos en sitios web extremadamente básicos. No es posible evitar el uso de cookies (o un equivalente basado en URL) en otra cosa que no sea un sitio web básico con muy poca interacción del usuario que no sea seguir enlaces a contenido estático. Puede olvidarse de los inicios de sesión y las cestas de compra, porque para crearlos, necesita al menos una sesión o una cookie (y el seguimiento de la sesión requiere una cookie o URL equivalente).

En 12 años como desarrollador de sitios web, las únicas personas que he conocido que han deshabilitado las cookies, lo han hecho accidentalmente. SIN excepciones, esto es porque han estado en la pantalla de configuración de Internet Explorer y pensó que subir ese control deslizante de seguridad/privacidad a "Alto" tiene que ser mejor que "Medio". En todos los casos, lo han vuelto a reducir a medio, una vez que he señalado qué efecto tiene y cuántos sitios web rompe. A menudo, el usuario ha instalado un segundo navegador, creyendo que su navegador original está "roto" ya que ningún sitio web funciona con él. Como tal, creo que es importante decirles a los usuarios que tienen las cookies deshabilitadas (utilizando un método de detección adecuado) si tiene un sitio de alto tráfico.

Puede evitar el uso de cookies almacenando una ID única en la URL (.NET y otros marcos lo admiten de forma nativa), pero creo que esto simplemente mueve el problema a la URL, y los usuarios paranoicos pueden desanimarse por una URL que los rastrea claramente . Asegúrese de asegurarse de que si se le ocurre un método homebrew para hacer lo mismo, cualquier ID de URL esté vinculada a la dirección IP de los usuarios. De lo contrario, creará un método extremadamente fácil para el secuestro de sesión: como un usuario que simplemente envía un enlace, adquirirá el estado de sesión del usuario que envía.

La gran mayoría de los principales sitios web que requieren un inicio de sesión o tienen una función de carrito de compras requieren cookies para funcionar y no creo que sea sensato intentar solucionar esto. Probablemente esté hablando de una pequeña fracción del 1% de los usuarios que tienen las cookies deshabilitadas. Ignore las estadísticas producidas a partir de sistemas automáticos como WebTrends, ya que estos incluirán cosas como rastreadores web y bots que no admiten (y no necesitan) cookies, ya que esto le dará una lectura falsamente alta de la cantidad de usuarios que han deshabilitado galletas. Ciertamente estás hablando más como 1 de cada 5000 en lugar de 1 de cada 10 usuarios que han deshabilitado las cookies y todavía esperan que los sitios web funcionen :)

9
NickG

En la documentación, está escrito que tengo que prepararme para la situación en la que los usuarios han deshabilitado las cookies.

Estar "preparado" no es lo mismo que crear un sistema de inicio de sesión totalmente funcional que funcione sin cookies HTTP.

Los usuarios pueden desactivar las cookies HTTP para evitar "ser rastreados"; en este caso, podría pensar en usar otro enfoque para la administración de la sesión, como usar una URL secreta. Mantener la ID de sesión en la URL tiene algunos méritos de seguridad y usabilidad, pero también realmente problemas serios de seguridad y usabilidad , y este mensaje no es recomendando este enfoque. Debido a que la pregunta no se refería a la seguridad de mantener el ID de la sesión en la URL , no quiero discutir este tema (interesante) aquí.

El problema no es solo técnico, es un problema de aceptabilidad: si el usuario desactiva voluntariamente las cookies, puede apostar que no quiere que lo rastreen. Intentar evitar el bloqueo de cookies (incluso "por su propio bien") es muy probable para molestarlo.

En cambio, puede explicar a los usuarios que solo se necesitan cookies de sesión para la administración de sesiones dentro de su aplicación web, y que es posible borrar automáticamente todas las cookies cuando se cierra el navegador.

6
curiousguy