Detectar si están habilitadas las cookies en el navegador

[[egostar]]

Cita:

Empezado por dec

Por otro lado, el uso de sesiones tiene una desventaja, y es su caducidad. Las cookies pueden durar años (que se lo pregunten a los chicos de Google que incluyen cookies que caducan dentro de 20 años por lo menos) y esto puede ser importante, no que duren 20 años, pero sí que duren algo más de lo que puede durar una sesión de usuario.

Yo no se nada de el manejo de cookies, pero me apoyo en el comentario de nuestro amigo David, de hecho Club Delphi avisa cuando finalizas tu sesión esto:

Cita:

Empezado por Club Delphi

All cookies cleared!

• Return to the page you were previously viewing
• Go to forums index

Me parece lo más adecuado.

Salud OS.

[semptrion]

Al cookies que vas a almacenar? la sesión de trabajo? la fecha de última conexión del usuario? el lugar de conexión? ha votado la última vez?

Dependiendo de la pregunta, la respuesta oscilará irremediablemente entre un problema de seguridad o de accesibilidad.

Si es para manejar sesiones, datos reservados, autenticación, validación, entonces estamos hablando de un serio problema de seguridad.

Y el problema no es que la cookie desaparezca una vez terminada la sesión, es que es una medida de seguridad implementada en el cliente!

Y tu sabes cual es el cliente que está usando la cookie que le diste?

Es realmente un browser? es realmente lo que dice ser?

Por otra parte, en el caso de que por políticas institucionales o del firewall organizacional no se puedan usar cookies, ese usuario será excluido del sistema?

Entonces se convierte en un problema de accesibilidad. Impedimos el acceso a los usuarios que no pueden o no quieren manejar cookies.

Y si el usuario no quiere que le coloquen cookies, actuamos como el Internet Explorer y no le consultamos y le obligamos a aceptarlas?

Yo uso mozilla y he configurado mi browser para que que no reciba cookies sin mi autorización. (Ahora hablo de la privacidad de los usuarios por si acaso.) Y cuando un sitio me pide permiso para colocar una cookie, me pongo muy curioso y juguetón.

Y más de una vez me he encontrado con sorpresitas.

Mejor leamos lo que dicen los que más saben del tema de las cookies y que las quieren como a sus propios hijos, pero... tampoco confían y esperan que se cambie y se limite el protocolo para las cookies.

http://www.cookiecentral.com/

En fin no hay mucha tela que cortar. Hay preceptos más sólidos que la simple facilidad o que "todo el mundo utiliza".

Esos son: seguridad y accesibilidad.

Saludos.

[dec]

Hola,

Pero todo es rebatible. Las cookies sirven para lo que sirven: mantener, precisamente, en el cliente, cierta información, que luego podremos recoger de ese mismo cliente para usarla en nuestra aplicación. Para eso sirven las cookies: para hacer persistente cierta información del usuario entre sesiones y sesiones de este en nuestra aplicación. Y parece ser que van bien y se utilizan en no pocas circunstancias y en muchos sitios y empresas Web "de prestigio".

En cuanto a la accesibilidad... bueno. Pero es que también existen los requisitos. Una aplicación puede usar cookies opcionalmente, o puede tener como requisito que estas estén disponibles. Es un requisito. El cliente ha de cumplir con este requisito para trabajar con la aplicación. No diré que se usen para todo, sin pensar en las consecuencias, pero, para ciertas cosas son muy útiles, desde luego, y si hay que hacer uso de ellas... hay que hacer uso de ellas.

Ahora bien, vamos con la seguridad de las cookies. ¿En qué comprometen la seguridad y de qué seguridad estamos hablando? Si una aplicación guarda en cookies los datos necesarios para autentificar a un usuario (para algo tan útil como no tener que "hacer login" cada vez que visitas ciertas páginas Web), lo que está claro es que la aplicación no debe guardar en las cookies datos del usuario en claro, si estos pueden resultar comprometedores.

Y ahí iba yo más arriba con lo de guardar en una cookie la contraseña de un usuario, por ejemplo, previo cifrado de la misma. ¿Qué tiene el cliente? El cliente (ojo, sea quien sea el cliente, siempre que acepte cookies) como mucho va a tener una cookie que contiene una "clave", por ejemplo una cadena alfanumérica resultado del cifrado de la contraseña del usuario. Se me hace complicado que de esa cadena alfanumérica se pueda obtener la contraseña del usuario...

¿Entonces en qué se compromete la seguridad con las cookies? Hombre, si un usuario visita una aplicación y esta le coloca en una cookie el número de la tarjeta de crédito del usuario (en "claro") y en otra cookie le coloca el número secreto de su cuenta corriente o qué sé yo (siempre en claro)... ¡no es que las cookies sean inseguras, es que se está haciendo un uso fatal de ellas! Pero no es culpa de las cookies, desde luego.

Ahora, lo mismo es que me estoy perdiendo algo... advierto que estoy dispuesto a aprender.

[semptrion]

El tema es que una cookie se puede copiar y reutilizar y preservar más allá de lo que el desarrollador quiere. Es decir, por ejemplo, creas una cookie de sesión para determinar la sesión del usuario conectado y así continuar con "el hilo" de la conexión.

Sin embargo, si el cliente no es un browser, no destruirá la cookie al terminar la sesión del browser, y podrá seguir utilizando la sesión para enmascarar al usuario. Resultado: rompieron tu seguridad en base a esa cadena cifrada ya que no necesitan descifrar lo que significa esa cadena, sólo se requiere la cadena para enviarla al servidor y hacerse pasar por el usuario previamente autenticado.

Copiar el archivo de una cookie no es tecnología de la NASA. Se puede hacer y se hace. En red mientras un usuario está conectado otro puede copiar su cookie y luego utilizarla.

Otra forma es enviar la cookie del usuario utilizando código html dinámico y javascript. Las puertas del infierno están abiertas y el que no lo sepamos no las cierra.

Así, vive feliz con las cookies, yo vivo feliz sin ellas.

[dec]

Hola,

A ver. No diré yo que no se puedan copiar cookies... pero también se puede (en teoría) copiar cualquier otro archivo de un ordenador... y no por eso hemos dejado de usar ordenadores. Pero sigo sin ver que las cookies comprometan la seguridad por sí mismas.

El que alguien pueda copiar las cookies que tú tienes en tu ordenador y las utilize para suplantar tu persona en una aplicación, ¿es problema de la aplicación o es tu problema? Yo aventuro que es problema tuyo y no de la aplicación. Y por otro lado la aplicación no se ha de ver comprometida...

Al fin y al cabo quien suplante tu persona en la aplicación tendrá como mucho tus "permisos" de usuario, pero, ni uno más. Y no sólo esto, sino que, para llevar a cabo ciertas tareas como usuario de la aplicación, por ejemplo darte de baja de la misma, la aplicación puede forzarte a autentificarte: borrando las cookies u obviándolas.

Yo no soy ningún experto en seguridad Web, ni muchísimo menos, empero, nadie podrá negar que las cookies son cosa muy utilizada, como he dicho más arriba, por sitios Web y empresas de las más prestigiosas. Debe ser que son muy útiles, porque de otro modo no me explico su utilización por tantos y tantos sitios en Internet.

E insisto: por sí solas las cookies no son buenas ni malas. Y sin son algo son buenas, puesto que se pensaron para suplir una necesidad, para ser útiles. ¿Que alguien puede aprovecharse de las cookies para hacer algo que hieda y no huela? Pues claro que sí, pero, con todo pasa igual: un cuchillo puede servir para cortar carne y para cortar carne también... no sé si me explico.

Otra cosa es que la aplicación pueda tomar ciertas medidas con el fin de evitar determinadas circunstancias. Ya he puesto un ejemplo: ¿que quieres de darte de baja como usuario? Pues no me bastan tus cookies, necesitas autentificarte de nuevo o de otro modo no te doy de baja. O tal vez la aplicación puede caducar las cookies cada cierto tiempo, y otras muchas más cosas que se me escapan porque como ya he dicho no soy ningún experto.

[semptrion]

El que muchos utilicen algo no significa que sea bueno. En realidad no significa nada. Si muchos sitios importantes usan cookies, hay que determinar en que aspectos lo usan.

Por ejemplo, para autenticación de usuarios que administran información financiera, no sólo NO usan cookies, sino que se deben colocar sistemas adicionales de seguridad que impidan que las usen.

Que hotmail.com por ejemplo utilice cookies no significa que el mundo entero está seguro. Vean por ejemplo este artículo de como hackear el hotmail (que me encantó por cierto el ingenio utilizado) http://www.net-force.nl/files/articles/hotmail_xss/

Ahora, el uso de cookies envenenados es una técnica conocida para hacerse pasar por un usuario (impersonalización o suplantación) que, dependiendo de los roles y los accesos que tenga el usuario podrían representar serios problemas para una aplicación (en cuanto a seguridad se refiere). Vemoas por ejemplo, http://www.windowsecurity.com/uplart...ningByline.pdf que explica una técnica para hacerlo.

La pregunta es, voy a utilizar la brecha de seguridad que emplean las cookies para rescatar el estado de cuentas de la carnicería de la esquina? o lo haré para rescatar las cuentas de Angelina Jolie?

Dependiendo de donde se encuentra el tesoro. Carne y carne .

Pero si me voy a hacer pasar por alguien, o si alguien se hará pasar por alguien no será para autodañarse, sino para lograr acceso, vía web, a lugares prohibidos o delicados.

[dec]

Hola,

Si me lo permites voy a hacerte una pregunta. Si, como dices, no es bien utilizar cookies, ¿qué se supone que hay que utilizar para hacer persistir determinada información entre clientes y servidores? ¿Qué solución propones al uso de las cookies? Porque es evidente que las cookies vinieron a cubrir un hueco, ahora bien, ¿cómo rellenamos ese hueco sin ellas? Habría que inventar algo. ¿Pero está ya inventado, aceptado y extendido como lo está el uso de las cookies?

No vale decir "no uses cookies en modo alguno", porque, como digo, no estoy diciendo que haya que usarlas en todo momento y sin ton ni son, sino cuando se hacen necesarias, para guardar información en el cliente que luego podamos recuperar desde el Servidor, entonces, puesto que esto puede resultar necesario en ocasiones, ¿qué se supone que hay que usar que no sean las cookies? ¿Acaso existe otra solución viable? No me extrañaría... por eso lo pregunto.