it-swarm.it

Perché gli utenti vogliono disabilitare i cookie?

Ho appena iniziato a creare una nuova applicazione Web. Nella documentazione, è scritto che devo prepararmi per la situazione in cui gli utenti hanno disabilitato i cookie. Questa non è la prima volta che leggo questa condizione. Qualcuno può spiegarmi perché gli utenti vogliono disabilitare i cookie nei loro browser?

22
Krystian

I cookie sono stati, storicamente, fonte di numerosi problemi di sicurezza e privacy.

Ad esempio, i cookie tracker possono essere utilizzati per identificare quali siti Web sono stati visitati e quali attività sono state svolte su di essi:

  1. Il sito A include iframe nascosto che punta a un servizio di localizzazione.
  2. Il servizio Tracker emette un cookie che ti identifica e registra la tua visita.
  3. Il sito B include lo stesso iframe nascosto.
  4. Il servizio Tracker riconosce i tuoi cookie e registra anche quelli che visitano.
  5. Il sito A e il sito B pagano il tracker per ottenere informazioni su quali altri siti hanno visitato i loro utenti.

Questa è solo un'applicazione. Esistono altri modi per utilizzare i cookie tracker, alcuni dei quali consentono tutti i tipi di attacchi cattivi come il furto di identità.

Un altro problema è il furto di cookie, che può essere utilizzato per dirottare sessioni non sicure (ovvero non HTTPS). Utilizzando un exploit (ad es. XSS) una pagina potrebbe riuscire a pubblicare i cookie di un altro sito su se stesso, consentendo a un utente malintenzionato di rubare l'ID della sessione. La disattivazione dei cookie impedisce questo.

A causa di questi problemi, gli utenti spesso disabilitano i cookie o li bloccano su determinati siti per una maggiore privacy e sicurezza.

27
Polynomial

Con i cookie di tracciamento, gli inserzionisti possono tracciare gli utenti su diversi siti Web e persino su indirizzi IP (ad es. Per utenti di laptop). Questo è successo da sempre (letteralmente dall'inizio delle reti pubblicitarie, come Google Adwords), ma recentemente i media hanno incitato il pubblico contro quei cookie, incolpandoli come la causa principale della violazione della privacy. È andato così lontano che l'UE ha approvato qualcosa che dovrebbe vietare i cookie non necessari senza opt-in. Ironia della sorte, neanche il sito web del governo olandese (qui la legge è entrata in vigore alcuni mesi fa) non segue la legge.

Questi cookie sono in realtà, parzialmente, una causa di violazione della privacy. Ti semplifica il monitoraggio, ma ci sono molti altri modi per distinguere un utente da un altro. Inoltre non c'è quasi alcun motivo per bloccare questo tipo di pubblicità mirata, che taglia in entrambi i modi, ma questo è un altro argomento e un acceso dibattito.

Senza i cookie, difficilmente puoi mantenere un utente connesso. Fornisci l'errore appropriato quando i cookie risultano disabilitati ("Potresti non essere in grado di accedere, i cookie sono disabilitati nel tuo browser, fai clic qui per ulteriori informazioni") e penso che sia chiuso. La maggior parte degli altri siti Web come Facebook e Twitter non funzionerà comunque senza i cookie.

21
Luc

Il motivo più comune è che l'hanno fatto per caso e non hanno idea di averlo fatto (vedere il paragrafo 4 di seguito).

Il secondo motivo più comune è la privacy (paranoia?). Alcune persone sono anti-tracciamento a qualsiasi costo. Tendo a scoprire che non capiscono davvero cosa siano i cookie in questo caso. Più probabilmente pensano solo che "il tracciamento sia negativo" e li disattivano - senza avere alcuna idea, ad esempio, qual è la differenza tra cookie di sessione, cookie di prima/terza parte ecc.

Tuttavia, cosa ancora più importante, non credo che sia realistico tenere conto della situazione in cui un utente ha disabilitato i cookie su siti Web tutt'altro che basilari. Non è possibile evitare di utilizzare i cookie (o un equivalente basato su URL) in qualcosa di diverso da un sito Web di base con un'interazione utente molto ridotta se non seguire i collegamenti a contenuti statici. Puoi dimenticarti degli accessi e dei cestini della spesa, perché per crearli è necessario almeno una sessione o un cookie (e il monitoraggio della sessione richiede un cookie o equivalente URL).

In 12 anni come sviluppatore di siti Web, le uniche persone che abbia mai incontrato che hanno disabilitato i cookie, l'hanno fatto accidentalmente. Senza eccezioni, questo perché sono stati nella schermata delle impostazioni di Internet Explorer e ha pensato che spostare il cursore di sicurezza/privacy su "Alto" debba essere migliore di "Medio". In tutti i casi, l'hanno riportato al livello medio, una volta che ho sottolineato quale effetto ha e quanti siti Web si interrompe. Spesso l'utente ha installato un secondo browser, ritenendo che il proprio browser originale sia "rotto" in quanto nessun sito Web funziona con esso. Pertanto, credo sia importante dire agli utenti che i cookie sono disabilitati (utilizzando un metodo di rilevamento adeguato) se si dispone di un sito a traffico elevato.

Eviti di usare i cookie memorizzando un ID univoco nell'URL (.NET e altri framework lo supportano in modo nativo) ma credo che questo sposta semplicemente il problema all'URL e gli utenti paranoici potrebbero essere rimandati da un URL che li sta chiaramente monitorando . Assicurati che se ti viene in mente un metodo homebrew per fare la stessa cosa, qualsiasi ID URL sia legato all'indirizzo IP dell'utente. In caso contrario, creerai un metodo estremamente semplice per il dirottamento della sessione - poiché un utente che invia semplicemente un collegamento acquisirà lo stato della sessione dell'utente mittente.

La stragrande maggioranza dei principali siti Web che richiedono un accesso o che hanno una funzione di carrello della spesa richiedono i cookie per funzionare e non credo sia ragionevole provare a aggirare il problema. Probabilmente stai parlando di una piccola frazione dell'1% degli utenti che hanno i cookie disabilitati. Ignora le statistiche prodotte da sistemi automatici come WebTrends in quanto includeranno elementi come web-crawler e bot che non supportano (e non hanno bisogno di) i cookie, poiché ciò fornirà una lettura falsamente elevata del numero di utenti che hanno disabilitato biscotti. Stai sicuramente parlando più come 1 su 5000 piuttosto che 1 su 10 utenti che hanno disabilitato i cookie e in realtà si aspettano ancora che i siti Web funzionino :)

9
NickG

Nella documentazione, è scritto che devo prepararmi per la situazione in cui gli utenti hanno disabilitato i cookie.

Essere "preparati" non è la stessa cosa di creare un sistema di accesso completamente funzionale che funzioni senza i cookie HTTP.

Gli utenti possono disattivare i cookie HTTP per evitare "il tracciamento"; in questo caso, potresti pensare di usare un altro approccio per la gestione della sessione, come usare un URL segreto. Mantenere l'ID di sessione nell'URL ha alcuni meriti di sicurezza e usabilità, ma anche seri gravi problemi di sicurezza e usabilità e questo messaggio non è raccomandando questo approccio. Poiché la domanda non riguardava la sicurezza di mantenere l'ID sessione nell'URL , non voglio discutere qui questo (interessante) problema.

Il problema non è solo tecnico, è un problema di accettabilità: se l'utente disattiva volontariamente i cookie, puoi scommettere che non vuole essere monitorato. Cercare di aggirare il blocco dei cookie (anche "per il suo bene") è molto probabile per sconvolgerlo.

Al contrario, è possibile spiegare agli utenti che sono necessari solo i cookie di sessione per la gestione delle sessioni all'interno dell'applicazione Web e che è possibile cancellare automaticamente tutti i cookie alla chiusura del browser.

6
curiousguy