Sí, ha sido error mio al expresarme. Las cookies per se son inofensivas.S4M4 escribió: Para poder leer las cookies tendrías que tener acceso físico a ellas y eso sólo es posible si estás delante del ordenador que las tiene o si el ordenador está infectado con alguna backdoor que controlas. En ambos casos la culpa no es de las cookies.
Hay una tercera forma de leer las cookies: si eres tú quien las puso o controlas el servidor del dominio que las puso ya sea de forma legítima o ilegítima (y el usuario vuelve a visitarte). Si eres tú quien las puso la información que contienen ya la conoces, si has hackeado el servidor que las puso significa que la seguridad del sitio es una mierda, el sitio es cutre y la culpa no es de las cookies.
En el peor de los casos en que alguien accediera a leer mis cookies de forma ilegítima (metiéndome un virus a mi o hackeando al que las puso y esperando a que yo vuelva a visitarle) los metadatos que contengan no tienen nada de especial. Si tu banco es mínimamente normal no va a poner en ellas tu número de tarjeta, ni ninguna web decente va a guardar ahí passwords, mucho menos sin encriptar.
Sí se puede dar el caso de que el webmaster de un foro sobre cría de caracoles ponga ahí tu password, que no uses antivirus, que te bajes warez infectado y que un teenager ruso acabe haciéndose pasar por ti en forocaracoles.com.es
Luego el tema del rastreo tampoco me parece algo tan místico, es como si me conecto a Youtube y luego a Gmail, o como si visito dos blogs de El País, el proveedor perfectamente puede saberlo ya que posee ambos servicios. Lo que pasa es que la ad network de Google es inmensa. Si visitas webs fuera de "su red", no tienen forma de saberlo.
Con esto discrepo más todavía :D
Las cookies publicitarias las pone facebook, google u otros adservers más minoritarios, hoy en día muchísimas webs tienen anuncios servidos por google, el código del anuncio lee tu cookie para identificarte y así saben que has visitado elpaís, elmundo y luego un blog de una temática aprobada por dichas ad networks. O saben que has visitado cierta página de producto de cierto anunciante de su red y por eso a veces cuando navegas te "persiguen" ciertos anuncios.
Tú no puedes tracearme porque no te voy a prestar mi ordenador, porque no eres google y porque no tienes un adserver que utilicen millones de webmasters del mundo.
Lo único que puedes hacer es convencerme de que visite tu web, ponerme una cookie y saber cuántas páginas de tu sitio he leído, qué navegador tengo, qué SO y poco más, nada impresionante. Y además eso podrías hacerlo igual sin cookies y cuesta muchísimo menos trabajo.
Desde tu dominio no puedes leer cookies de otros dominios (a lo mejor si navegara usando Internet Explorer 3.0 sí :D )
Esto es totalmente imposible, una cookie es un archivo de texto plano, no puedes ejecutarla, infectarla con virus, o convertirla en backdoor. Como ya he dicho lo más normal es que no puedas ni leerla.
En los ataques de seguridad a webs que involucran cookies (XSS o cookie snooping) el problema nunca es que el usuario acepte cookies (texto plano) en su sistema.
Como mucho puedes crearte, con información robada de alguna manera, una cookie en tu sistema para hacerte pasar por mi en una web cutre con seguridad pobre, y en ningún caso sería porque yo tenga cookies en mi pc, que son inofensivas.
Aparte, al respecto de la gili-ley esa, hay una paradoja bastante estúpida: si visitas una web que te pregunta si aceptas cookies y le dices que no, la web no tiene forma de recordar tu elección si no es poniéndote una cookie para saber que has elegido que no aceptas cookies.
Ahora bien, contienen información y eso las convierte en elementos sensibles. Especialmente sensibles cuando cualquiera puede hacerse con ellas sin, necesariamente, comprometer la seguridad de un equipo o un servidor (con esto ya tendríamos acceso directo y a información más 'útil'), y no hablamos de algo más elaborado como un ARP spoofing y un MiTM, bastaría con encontrar una red wifi pública con seguridad débil y poner a escuchar un sniffer. Esto lo puede hacer cualquier imbécil. Especialmente sensibles porque, como bien dices, una mala administración, una falta de encriptado o una seguridad defectuosa de la página o del servidor hace que el control escape de tus manos y que su buena gestión no dependa de los conocimientos o medidas que uno pueda adoptar.
La información que aportan no es importante. Toda información es importante. Es un error de bulto no dar importancia a informaciones aparentemente inocuas, de hecho las grandes agencias de seguridad nacional realizan sus investigaciones analizando metadatos. Ejemplo: El sujeto llama diariamente al teléfono 777, pasado un tiempo esas llamadas se espacian en el tiempo, se acortan en duración y se incrementan las llamadas al teléfono 888. Se realiza una llamada larga al 999, desaparece el número 777 y el 888 se vuelve más regular. Sin oir ni una palabra de las conversaciones, tenemos el historial amoroso del sujeto: 777 novia, 888 amante, 999 amigo o familiar al que le cuenta la situación, lo deja con 777 y sale con 888. Reúne una buena cantidad de esos metadatos y junta un equipo de analistas y esa información que creías sin importancia se convierte en la historia de tu vida. Toda información es importante.
El averiguar que un sujeto visita la web del BBVA, sentimentche y forocaracoles.es es información suficiente para empezar. De hecho para hacer una web con código malicioso tengo información de sobra.
En el caso de google, hay sospechas fundadas de venta de esos metadatos (incluido lo que dispogan de tu historial de navegación, incluyendo inputs en buscadores) a empresas privadas y agencias de seguridad nacionales. Toda información es importante, por tanto saber salvaguardarla en la medida de lo posible también lo es. Y a mí el hecho de que vendan la mia o la de mis clientes por h o por b no me hace ni puta gracia.
Sí, son inofensivas, pero pueden ser usadas (y modificadas) con fines mailiciosos a modo de spyware.
Cualquier archivo, y recalco lo de cualquier, puede ser troyanizado. Incluso un .txt. Existe la solución del vago-tonto: encontrar programas que camuflan ejecutables en archivos inofensivos. Te va a saltar hasta la alarma del móvil. Una solución a esto sería modificar el archivo con un editor hexadecimal para burlar anti-virus, pero tendría que currárselo bastante para burlar los motores de búsqueda heurística y aún así sería difícil evitar a Kaspersky y, desde luego, a NOD32. Pero bueno, lo que buscamos no es meter un troyano, al menos no uno al uso. Puedes camuflar, sin necesidad de joiners, código en una cookie (un .bat o un .ssh); ejecutar un syscall que establezca comunicación con un servidor remoto y acceso a shellcode. A partir de ahí "hágase según arte", tienes una petición del equipo víctima, a no ser que esté detrás de un firewall corporativo no va a poner trabas en establecer la conexión. Ya, claro, para poner en marcha la cookie modificada hay que ejecutarla al menos una vez y para eso el navegador debe tener un fallo de seguridad para poder inyectar código. Casualmente hicimos hace apenas dos semanas este mismo experimento en una red privada a modo de laboratorio usando un '0-day' de Google Chrome que, por cierto, aún no han solucionado pese a que saben del fallo. Y hasta aquí puedo leer.
%5B8%5D.gif)
