Una cookie ( galletao galleta informática) es una pequeña información mandada por un sitio web y guardada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del navegador. Si se ha efectuado un curso desde un inicio o bien una nueva aplicación se pueden efectuar con la misma contraseña o bien no en su sistema
Sus principales funciones son:
- Recordar accesos: conocer si ya se ha visitado la página para actuar en consecuencia, por servirnos de un ejemplo mostrando o no cierto contenido, recordar a un usuario, etc. En el momento en que un usuario introduce su nombre de usuario y contraseña, se almacena una cookiepara que no tenga que estar introduciéndolas para cada página del servidor. No obstante, una cookie no identifica a una persona, sino a una combinación de computadora de la clase de computación-navegador-usuario. Esto significa que la persona que crea la cuenta no se puede presentar con esta cuenta y sea reconocido.
- Conocer información sobre los hábitos de navegación, y también intentos de(programas espía), por la parte de agencias de publicidad y otros. Esto puede causar problemas dey es una de las razones por la que las cookiestienen sus detractores.
Originalmente, solo podían ser guardadas por petición de undesde el servidor, pero Netscape dio a su lenguajela capacidad de introducirlas de manera directa desde el usuario, sin necesidad de los CGLI. En un principio, debido a errores del navegador, esto dio algunos problemas de seguridad. Las cookiespueden ser borradas, aceptadas, ignoradas o bloqueadas según se desee, para esto se debe configurar convenientemente el navegador.
Las cookiesmágicas fueron ya utilizadas en informática cuando el programadortuvo la idea de usarlas en las comunicaciones web en junio de 1994. En ese instante era un empleado de, que estaba desarrollando una aplicación depara.yrepresentaban a MCI en las discusiones técnicas con Netscape Communications. Como no querían que los servidores de MCI tuviesen que retener los estados transaccionales parciales, pidieron a Netscape que encontrase una forma de guardar esos estados en el PC de cada usuario. Las cookiesofrecían una solución al problema de incorporar de forma fiable un carro de compras virtual.
Junto con John Giannandrea, Montulli escribió la especificación inicial depara las cookiesese mismo año. La versión 0.9beta del, publicada el 13 de octubre de 1994, soportaba cookies. El primer uso de las cookies(fuera del laboratorio) fue validar si los visitantes del sitio de Netscape ya habían visitado anteriormente el sitio. Montulli solicitó una patente para la tecnología de cookies en mil novecientos noventa y cinco, y se le concedió en 1998. El uso de cookiesfue integrado en Internet Explorer en la versión 2, publicada en el mes de octubre de mil novecientos noventa y cinco.
La introducción de las cookiesno era extensamente conocida por el público en ese momento. Particularmente, las cookiesse aceptaban por defecto y no se notificaba a los usuarios de la presencia de las mismas. El público normalmente se enteró de ellas después de que el publicase un artículo sobre las cookiesel 12 de febrero de 1996. Ese año las cookiesrecibieron un montón de atención mediática, en especial por sus implicaciones potenciales en materia de privacidad. Las cookiesse discutieron en dos audiencias de la Comisión Federal de Comercio de los EEUU en mil novecientos noventa y seis y en 1997.
El desarrollo de la especificación formal de las cookiesya estaba en marcha. En particular, las primeras discusiones sobre una especificación formal empezaron en el mes de abril de mil novecientos noventa y cinco en la lista de distribución Se formó un grupo de trabajo especial dentro del. 2 propuestas alternativas para introducir estado en las transacciones HTTP habían sido presentadas pory David Kristol respectivamente, pero el conjunto, dirigido por el mismo Kristol y Aron Afatsuom, pronto decidió emplear la especificación de Netscape como punto de partida. En febrero de mil novecientos noventa y seis, el grupo de trabajo identificó a las cookiesde terceros como una importante amenaza a la privacidad. La especificación producida por el grupo se publicó eventualmente como elen febrero de mil novecientos noventa y siete. En él se detalla que las cookiesde terceros no deberían permitirse o como mínimo estar desactivadas por defecto.
En ese instante, empresas de publicidad ya estaban utilizando cookiesde terceros. La recomendación de exactamente las mismas introducida en el RTFC dos mil ciento nueve no fue seguida ni por Netscape ni por Internet Explorer.
Elfue reemplazado por elen octubre de 2000.
La especificación definitiva para las cookiescomo se usan a día de el día de hoy fue publicada en elen abril de 2011.
Las cookiesson empleadas frecuentemente por los servidores de aplicaciones para diferenciar usuarios y para actuar de diferente forma dependiendo de estos. Las cookiesse idearon para ser empleadas en unavirtual, que actúa como dispositivo virtual en el que el usuario va "colocando" los elementos que quiere adquirir, de manera que los usuarios puedan navegar por el sitio donde se muestran los objetos en venta y añadirlos y suprimirlos de la cesta de la compra en cualquier momento. Las cookiespermiten que el contenido de la cesta de compra dependa de las acciones del usuario.
Un uso de las cookieses identificarse en un sitio web. Los usuarios generalmente se identifican introduciendo sus credenciales en una página de validación; las cookiespermiten al servidor saber que el usuario ya está ratificado, y por tanto se le puede permitir acceder a servicios o bien realizar operaciones que están limitadas a usuarios no identificados.
Otros sitios utilizan las cookiespara personalizar su aspecto según las preferencias del usuario. Los sitios que requieren identificación a menudo ofrecen esta característica, si bien también está presente en otros que no la requieren. La personalización incluye tanto presentación como funcionalidad. Por poner un ejemplo, las páginas depermiten a los usuarios identificados elegir un estilo de presentación a su gusto; el motor de búsqueda depermite a los usuarios (aun a los no registrados) decidir cuántos resultados de búsqueda quieren ver en todos y cada página.
Las cookiesse utilizan también para realizar seguimientos de usuarios durante un sitio. Las cookiesde terceros y los fallos en servidores web que se explican más abajo también permiten el seguimiento entre diferentes sitios. El seguimiento en un mismo lugar en general se hace con la intención de mantener estadísticas de uso, al paso que el seguimiento entre sitios en general se orienta a la creación de perfiles de usuarios anónimos por la parte de las compañías de publicidad, que entonces se usarán para orientar campañas publicitarias (decidir qué tipo de publicidad usar) basadas en perfiles de usuarios.
Back to top1) Realización
Una posible interacción entre un navegador y un servidor, en la que el servidor envía r y el navegador la devuelve cuando pide otra página.
Técnicamente, las cookiesson pedazos de datos arbitrarios definidos por ely enviados al navegador. El navegador los devuelve al servidor sin modificar, reflejando así un estado(memoria de acontecimientos precedentes) en las transacciones HTTP, que de otra forma serían independientes de ese estado.
Sin las cookies, cada petición de unao un componente de una página web sería un acontecimiento aislado, sin relación con el resto de peticiones de otras páginas del mismo sitio. Mas devolviendo una cookieal servidor web, el navegador da al servidor un medio para relacionar la solicitud de la página actual con peticiones de páginas precedentes. Además de ser definidas por un servidor web, las cookiestambién pueden ser definidas por unen un lenguaje como, si éste está soportado y habilitado en el navegador.
Las especificaciones de cookies sugieren que los navegadores deben aguantar un número mínimo de cookieso una cantidad mínima de memoria para guardarlas. Concretamente, se espera que un navegador sea capaz de guardar por lo menos 300 cookies de cuatro kilobytes cada una y al menos veinte cookiespor servidor o bien.
El servidor que establece la cookiepuede especificar una fecha de borrado, en tal caso la cookieserá borrada en esa data. Un lugar de compras podría querer ayudar a clientes del servicio potenciales recordando las cosas que había en su cesta de la compra, incluso si cierran el navegador sin realizar la adquisición y vuelven más tarde, para eludir que deban buscar los productos nuevamente. En ese caso, el servidor crearía una cookiecon fecha de borrado según el deseo del diseñador del sitio. Si no se define una fecha de borrado, la cookiees borrada cuando el usuario cierra su navegador. Por tanto, delimitar una fecha de borrado es una manera de hacer que la cookiesobreviva entre sesiones. Por esta razón, las cookiescon data de borrado se llaman persistentes.
Back to top2) Ideas equivocadas
Desde su introducción en Internet han circulado ideas equivocadas sobre las cookies. En dos mil cinco Jupiter Research publicó los resultados de una investigación, según el que un importante porcentaje de entrevistados creían cierta alguna de las siguientes afirmaciones:
- Las cookiesson afines ayque pueden borrar datos de los discos duros de los usuarios.
- Las cookiesson un tipo deporque pueden leer información personal guardada en el PC de los usuarios.
- Las cookiesgeneran.
- Las cookiesse usan para generar.
- Las cookiessolo se utilizan con fines promocionales.
En realidad, las cookiesson solo datos, no código, entonces no pueden borrar ni leer información del PC de los usuarios. No obstante, las cookiespermiten advertir las páginas visitadas por un usuario en un lugar determinado o conjunto de sitios. Esta información puede ser compendiada en un perfilde usuario. Estos perfiles son frecuentemente anónimos, es decir, no poseen información personal del usuario (nombre, dirección, etcétera. De hecho, no pueden contenerla a menos que el propio usuario la haya comunicado a ciertos sitios visitados. Mas aunque anónimos, estos perfiles han sido objeto de algunas preocupaciones relativas a la privacidad.
Según exactamente el mismo informe, un enorme porcentaje de los usuarios de Internet no saben cómo borrar las cookies.
La mayor parte de los navegadores modernos soportan las cookies. Sin embargo, un usuario puede generalmente escoger si las cookiesdeberían ser usadas o no. A continuación, las opciones más comunes:
- El navegador pregunta al usuario si se debe admitir cada cookie.
El navegador también puede incluir la posibilidad de concretar mejor qué cookiestienen que ser aceptadas y cuáles no. En concreto, el usuario puede normalmente aceptar alguna de las próximas opciones: rehusar las cookiesde ciertos dominios; rehusar las cookiesde terceros (ver más abajo); admitir cookiescomo no persistentes (se suprimen cuando el navegador se cierra); permitir al servidor crear cookiespara un dominio diferente. Además, los navegadores pueden también permitir a los usuarios ver y borrar cookiesindividualmente.
La mayoría de los navegadores que aguantan JavaScript dejan a los usuarios ver las
cookiesque están activas en una determinada página escribiendo
javascript:alert("Cookies: "+document.cookie)en el campo de dirección.
La especificaciónincluye la posibilidad de que un servidor defina una política de privacidad que especifique qué género de información recoge y con qué propósito. Estas políticas incluyen (entre otras muchas cosas) el uso de información recopilada a través de cookies. Según la especificación P3P, un navegador puede aceptar o rehusar cookiescomparando la política de privacidad con las preferencias del usuario guardadas, o bien consultar al usuario, ofreciéndole la política de privacidad declarada por el servidor.
Back to top3) Privacidad ycookiesde terceros
Las cookiestienen implicaciones importantes en lay elde los usuarios de la página web. Si bien las cookiessolo se envían al servidor que las definió o bien a otro en el mismo dominio, una página web puede contener imágenes y otros componentes almacenados en servidores de otros dominios. Las cookiesque se crean a lo largo de las peticiones de estos componentes se llaman cookies de terceros.
Las compañías publicitarias utilizan cookiesde terceros para efectuar un seguimiento de los usuarios a través de múltiples sitios. Concretamente, una compañía publicitaria puede proseguir a un usuario a través de todas y cada una de las páginas donde ha puesto imágenes promocionales o . El conocimiento de las páginas visitadas por un usuario deja a estas compañías dirigir su publicidad según las presuntas preferencias del usuario.
La posibilidad de crear un perfil de los usuarios se ha considerado como una potencial amenaza a la privacidad, aun cuando el seguimiento se restringe a un solo dominio, mas en especial cuando es a través de múltiples dominios mediante el empleo de cookiesde terceros. Por esa razón, ciertos países tienen legislación sobre cookies.
El gobierno de losdefinió estrictas reglas para la creación de cookiesen el año, después de que se conociese que la Oficina de Control de Drogas Nacional de lautilizaba cookiespara continuar a los usuarios que tras visitar su campaña anti-drogas, visitaban sitios relacionados con la fabricación o bien el empleo de drogas. En, el activista por la privacidadaveriguó que lahabía estado definiendo cookiespersistentes en ordenadores a lo largo de diez años. Cuando les informó de que estaban violando la política, la CIA confirmó que esas cookiesno habían sido creadas intencionadamente, y dejó de emplearlas. Elde, Brandt descubrió que lahabía estado creando 2 cookiespersistentes en los ordenadores de sus visitantes debido a una actualización de software. Tras ser informada, la agencia deshabilitó de manera inmediata las cookies.
Lacontiene reglas sobre el empleo de cookies. Específicamente, en el artículo cinco, párrafo tres establece que el almacenaje de datos (como cookies) en el computador de un usuario solo puede hacerse si: 1) el usuario recibe información sobre cómo se emplean esos datos; y 2) el usuario tiene la posibilidad de rechazar esa operación. No obstante, este artículo también establece que guardar datos que son necesarios por motivos técnicos está permitido como excepción. Se aguardaba que esta directiva hubiera empezado su aplicación desde octubre de dos mil tres, mas undice (página treinta y ocho) que no ha sido aplicado en la práctica, y que algunos países miembros (,,,y) ni siquiera la han transpuesto a su legislación. Exactamente el mismo informe sugiere un profundo análisis de la situación en los estados miembros.
Cualquiera puede actualmente configurar su navegador para que se deshabiliten las cookies de terceros, pero lo que solicita la directiva es que sea a la inversa, y que el usuario que quiera aceptar este tipo de cookies deba efectuar una acción consciente para su activación.
Back to top4) Inconvenientes de lascookies
Además de lo referente a la privacidad que ya se ha mencionado, hay otras razones por las que el uso de cookiesha recibido cierta oposición: no siempre y en todo momento identifican apropiadamente a los usuarios, y se pueden usar para ataques de seguridad.
4.1) Identificación inexacta
Si se emplea más de un navegador en un PC, cada uno tiene su propio almacenaje de cookies. En consecuencia, las cookiesno identifican a una persona, sino a una combinación de cuenta de usuario, ordenador y navegador. De este modo, cualquiera que utilice múltiples cuentas, múltiples ordenadores, o bien múltiples navegadores, tiene también múltiples conjuntos de cookies.
De exactamente la misma forma, las cookies no diferencian entre múltiples personas que usen exactamente el mismo computador o bien navegador, si éstos no emplean diferentes cuentas de usuario.
4.2) Robo decookies
Durante el funcionamiento normal, las cookiesse envían en los dos sentidos entre el servidor (o grupo de servidores en exactamente el mismo dominio) y el PC del usuario que está navegando. Puesto que las cookiespueden contener información sensible (nombre de usuario, un testigo utilizado como autenticación, etc.), sus valores no deberían ser alcanzables desde otros ordenadores. Sin embargo, las cookiesenviadas sobre sesiones HTTP normales son visibles a todos los usuarios que pueden escuchar en la red utilizando un de bultos. Estas cookiesno deben contener por consiguiente información sensible. Este inconveniente se puede solucionar a través de el empleo de, que invocapara cifrar la conexión.
El scripting entre sitios permite que el valor de las cookiesse envíe a servidores que por norma general no recibirían esa información. Los navegadores modernos permiten la ejecución de segmentos de código recibidos del servidor. Si las cookiesestán alcanzables a lo largo de la ejecución, su valor puede ser comunicado de alguna manera a servidores que no deberían acceder a ellas. El proceso que permite a una parte no autorizada recibir una cookiese llama robo de cookies, y el cifrado no sirve contra este género de ataque.
Esta posibilidad es explotada generalmente por atacantes de sitios que dejan a los usuarios el envío de contenido. Introduciendo un segmento de código conveniente en un envío HTML, un atacante puede recibir las cookiesde otros usuarios. El conocimiento de estas cookiespuede después ser explotado a través de la conexión a los sitios en los que se utilizan las cookiesrobadas, siendo así identificado como el usuario a quien se le birlaron las cookies.
4.3) Falsificación decookies
Aunque las cookiesdeben ser almacenadas y enviadas de vuelta al servidor sin alterar, un atacante podría modificar el valor de las cookiesantes de devolverlas. Si, por ejemplo, una cookiecontiene el valor total de la compra de un usuario en un sitio web, cambiando ese valor el servidor podría permitir al atacante abonar menos de lo debido por su compra. El proceso de modificar el valor de las cookiesse llama falsificación de cookiesy de forma frecuente se realiza tras un robo de cookiespara hacer un ataque persistente.
Sin embargo, la mayoría de los sitios solo almacenan en la cookieun identificador de sesión —un número único usado para identificar la sesión del usuario— y el resto de la información se guarda en el propio servidor. En este caso, el problema de la falsificación de cookiesqueda prácticamente eliminado.
4.4) Cookiesentre sitios (cross-site cooking)
Cada sitio debe tener sus propias cookies, de forma que un sitio malo.netno tenga posibilidad de modificar o bien delimitar cookiesde otro sitio como bueno.net. Las vulnerabilidades de de los navegadores permiten a sitios maliciosos romper esta regla. Esto es afín a la falsificación de cookies, mas el atacante se aprovecha de usuarios no aviesos con navegadores vulnerables, en vez de agredir el sitio directamente. La meta de estos ataques puede ser realizar una fijación de sesión (robo de sesión en un sitio).
Back to top5) Alternativas a lascookies
Algunas de las operaciones que se pueden efectuar a través de cookiestambién se pueden hacer a través de otros mecanismos. No obstante, estas opciones alternativas a las cookiestienen sus propios inconvenientes, que acaban transformando a las cookiesen la opción preferida en la práctica. La mayoría de las alternativas descritas a continuación permiten el seguimiento del usuario, aunque es cierto que no de forma tan fiable. Es por esta razón que la privacidad prosigue siendo un inconveniente, aun si el navegador rechaza las cookiesy el servidor no las define.
5.1) Dirección IP
Una técnica poco fiable de efectuar un seguimiento de usuarios se fundamenta en guardar ladel computador que pide las páginas. Esta técnica ha estado libre desde los comienzos de, siendo necesario para la descarga de páginas que el servidor que las tiene conozca la dirección IP del computador en el que corre el navegador, o de susi lo hay. El servidor puede guardar esta información, con independencia del uso o bien no de cookies.
Sin embargo, estas direcciones son por norma general menos fiables que las cookiespara la identificación de un usuario, dado a que los ordenadores y proxiespueden estar compartidos por varios usuarios, y exactamente el mismo ordenador puede tener asignadas diferentes direcciones IP en diferentes sesiones (caso típico en conexiones telefónicas, si bien también a través dey otras tecnologías). La fiabilidad de esta técnica se puede aumentar mediante el empleo de otra característica del protocolo HTTP: en el momento en que un navegador solicita una página pues el usuario ha seguido un enlace, la petición que se envía al servidor contiene la URL de la página donde el link estaba localizado. Si el servidor almacena esas URL, se puede rastrear el camino de páginas visitadas por el usuario de forma más precisa. Sin embargo, estos rastreos son menos fiables que los que proporcionan las cookies, puesto que varios usuarios pueden acceder a la misma página desde exactamente el mismo PC,cono proxy, y después proseguir enlaces diferentes. Además, esta técnica solo deja el rastreo, y no puede sustituir a las cookiesen sus otros usos.
El seguimiento de direcciones IP puede ser imposible en algunos sistemas que se utilizan precisamente para sostener el, como. Con semejantes sistemas, no solo puede un navegador emplear varias direcciones a lo largo de una sesión, sino que múltiples usuarios podrían aparecer tal y como si empleasen la misma dirección IP, convirtiendo por consiguiente el uso de las direcciones IP en una técnica completamente inútil para el rastreo de usuarios.
5.2) URL (query string)
Una técnica más precisa consiste en incrustar información en la. Generalmente se usa para este fin laque es una parte de la URL, mas también se pueden emplear otras partes. El mecanismo de sesión deutiliza este método si las cookiesno están habilitadas.
Este método consiste en que el servidor web añade cadenas de consulta a los enlaces de la página web que contiene, a la hora de servirla al navegador. Cuando el usuario prosigue un link, el navegador devuelve al servidor la query stringañadidos a los enlaces.
Las query stringsutilizadas de esta manera son muy afines a las cookies, siendo las dos porciones de información definidos por el servidor y devueltas por el navegador posteriormente. Sin embargo, existen diferencias: puesto que una cadena de consulta es una parte de una URL, si la URL es vuelta a utilizar posteriormente, se estará mandando al servidor exactamente la misma porción de información. Si, por ejemplo, las preferencias de un usuario están codificadas en la query stringde una URL, y el usuario envía esa URL a otro usuario por algún medio, esas preferencias serán utilizadas también por ese otro usuario.
Además, aun si exactamente el mismo usuario accede a la misma página dos veces, no hay garantía de que se utilice exactamente la misma query stringen las 2. Si, por ejemplo, el mismo usuario llega a la misma página dos veces, una procedente de otra página del mismo servidor web, y otra de un, las respectivas query stringsserán normalmente diferentes, al tiempo que las cookieshubiesen sido idénticas. Para más detalles, véase.
Otras desventajas de las cadenas de consulta están relacionadas con la seguridad: almacenar en una query stringinformación que identifica una sesión permite o facilita los ataques de, ataques de seguimiento dey otras. La transferencia de identificadores de sesión en forma de cookieses más segura.
Otra desventaja de las query stringstiene que ver con la forma en que la web está diseñada. Las URL deberían apuntar a recursos y ser "opacas". Véase. Si se tiene una URL que incluye una cadena de consulta, ya no es la ubicación real del recurso.
5.3) Autenticación HTTP
Para la autenticación, el protocolo HTTP incluye mecanismos tales como el , que permite acceder a una página web solo cuando el usuario ha facilitado un nombre de usuario y contraseña correctos. Cuando se han introducido los credenciales, el navegador las guarda y las usa para acceder a las páginas siguientes, sin solicitarlas nuevamente al usuario. Desde el punto de vista del usuario, el efecto es el mismo que si se emplean cookies: el nombre de usuario y palabra clave solo se piden una vez, y desde entonces el usuario obtiene acceso a las páginas del servidor. Interiormente, el nombre de usuario y la contraseña se envían al servidor con cada petición del navegador. Esto quiere decir que alguien que estuviera escuchando este tráfico podría leer esta información y guardarla para su empleo posterior. Las sesiones, no obstante, normalmente expiran tras un periodo de inactividad determinado, quedando así invalidadas para, por poner un ejemplo, recuperar la sesión que tenía el usuario que estaba navegando.
Si un navegador incluye elde, se puede usar la función de objetos compartidos localmente ( local shared objects) del mismo, de una manera muy afín a las cookies. Los objetos almacenados de forma local ( local stored objects) pueden ser una opción interesante para los desarrolladores web porque la mayoría de los usuarios detienen Flash Player instalado, el tamaño máximo por defecto de los objetos es 100 kb, y los controles de seguridad son distintos de los controles de usuario para las cookies, de forma que los objetos almacenados localmente puedan estar habilitados cuando las cookiesno lo están.
5.4) Persistencia en el cliente
Algunos navegadores web aguantan un mecanismo de persistencia basado en script que permite que la página almacene información de forma local para su empleo siguiente. Internet Explorer, por ejemplo, aguanta información persistente en el historial del navegador, en los favoritos, en un almacenamiento XML, o de forma directa en una página web guardada en disco.
5.4.1) Propiedadwindow.namede JavaScript
Si está habilitado el uso de JavaScript, se puede usar la propiedad
window.namedel objeto
windowpara almacenar información de forma persistente. Esta propiedad continúa inalterada a lo largo de la carga de otras páginas web. Este pequeñono es bien conocido, y por consiguiente no ha sido considerado un fallo de seguridad. Además, el uso de
window.nametiene problemas de compatibilidad con navegadores, en tanto que algunos, como los basados ende los quees un caso, no soportan la persistencia con JavaScript usando
window.name.
6) Implementación
6.1) Creando unacookie
La trasferencia de páginas Web prosigue. Pese a las cookies, los navegadores piden una página de servidores para enviarles un texto corto llamado HTTP. Por poner un ejemplo, para acceder a la página /index.html, los navegadores se conectan al servidor mandando una petición que se parece a la siguiente:
El servidor responde al enviar la página pedida precedida por un texto afín, llamado encabezado HTTP. Este bulto puede contener líneas peticionando al navegador a fin de que guarde cookies:
HTTP/1.1 doscientos OK
Content-type: text/html
Set-Cookie: name=value
(content of page)
La línea
Set-cookiees solo mandada si el servidor desea que el navegador guarde
cookies. En verdad, es una petición al navegador el guardar la secuencia
name=valuey enviarla de vuelta en cualquier otro futuro pedido del servidor. Si el navegador aguanta
cookiesy las
cookiesestán aceptadas, cada petición de cada página subsecuente al mismo servidor va a contener la cookie. Por ejemplo, el navegador pide la página /spec.html mandando al servidor un pedido que se semeja al siguiente:
GET /spec.html HTTP/1.1
Cookie: name=value
Accept: */*
Este es un pedido para otra página del mismo servidor, y se distingue del primero porque contiene la secuencia que el servidor había anteriormente enviado al navegador. Por donde, el servidor sabe que este pedido está relacionado con el previo. El servidor responde al enviar la página pedida, posiblemente añandiendo otras cookiestambién.
El valor de la cookie puede ser modificada por el servidor al mandar una nueva línea
Set-Cookie: name=newvalueen respuesta al pedido de la página. El navegador entonces reemplaza el viejo valor con el nuevo.
La línea
Set-Cookieno es típicamente generada por el servidor HTTP en sí, sino por un programa. El servidor HTTP solo envía el resultado del programa (un documento precedente por el encabezado contiendo
cookies) al navegador.
Las
cookiestambién pueden ser puestas por JavaScript o bien scripts afines en el navegador. En JavaScript, el objeto
document.cookiees utilizado para este propósito. Por poner un ejemplo, la instrucción
document.cookie = "temperature=20"crea una cookie de nombre
temperaturey valor
20.
6.2) Atributos de lacookie
Cuando las cookieshan caducado, estas no son enviadas al navegador; por ende, la caducidad de las cookies puede ser pensada como un límite de tiempo en el que una de ellas puede ser utilizadas. La cookie puede luego ser renovada después de que este límite haya pasado. Ciertos sitios prefieren que las cookiescaduquen en tiempos más cortos por razones de seguridad. Las cookiesno se envían al servidor bajo estas condiciones:
- al acabar una sesión de usuario: por servirnos de un ejemplo, cuando se cierra el navegador (si esta no es persistente)
- Se ha fijado una data de caducidad y esta ha pasado.
- La data de caducidad es cambiada a una data anterior (por el servidor)
- esta se borra por orden del usuario.
Nota: La tercera condición permite que un servidor elimine una cookie explícitamente.
6.3) Autenticación
Muchos servidores o páginas web emplean las cookiespara reconocer usuarios que se hayan autenticado o para personalizar páginas web dependiendo de las opciones que un usuario seleccione. Por servirnos de un ejemplo, esto puede suceder cuando:
- El usuario escribe su nombre y contraseña, los cuales son enviados al servidor
- El servidor verifica la información proporcionada, y si es correcta devuelve una página de confirmación con una cookie, guardando así esta información en la computadora del usuario.
- Cuando el usuario visita una página la cual pertenece al servidor, este comprueba la existencia de las cookiesy luego comprueba si las cookiesexistentes son iguales a las que han sido guardadas en el servidor. Si hay coincidencias, el servidor puede identificar el usuario que solicitó la página.
Este es uno de los métodos de autenticación más frecuentes, usados por Yahoo!, Wikipedia, o Fb.
Otro uso de las cookiesse refiere al seguimiento de una senda (camino) que un usuario toma cuando navega a través de páginas web de un servidor o sitio. Esto también puede ser obtenido cuando se usa la dirección IP de una computadora, si bien las cookiestienen mejor precisión. Esto se puede realizar de la próxima manera:
- Si el usuario visita una página web mas la petición no contiene una cookie, el servidor acepta que esta es la primera visita a esa página; el servidor crea una serie de caracteres azarosos, que luego son mandados como una cookie además de la página pedida.
- De ahora de ahora en adelante, la cookie es enviada al servidor automáticamente por el navegador toda vez que una página se ha pedido. El servidor envía una página como siempre, pero la fecha y hora son guardadas en un registro de la visita con la cookie.
Si entonces se lee el registro, es posible identificar cuando, quién, y la secuencia en la cual un usuario accedió a que páginas.
Algunas páginas web, particularmente páginas de compra o bien venta de productos dejan que usuarios guarden objetos en una "cesta virtual" aun si ellos están fuera de sesión. Una lista de estos objetos puede ser almacenada en una cookie. Por ejemplo, cuando el usuario añade un elemento a su cesta virtual, el servidor agrega el nombre de este objeto a la cookie. Sin embargo, éste es un método muy inseguro puesto que es posible que la cookie sea fácilmente perturbada por otro usuario. Una mejor forma podría ser que se genere una cookie de "seguimiento" azarosa y después emplearla como una referencia en el servidor.
Back to top7) Referencias
Back to top8) Enlaces externos
Back to top
