Sempre più spesso sul web si sente parlare di Cookie Policy, ma non tutti sono a conoscenza di cosa si tratti effettivamente e quali siano le fonti normative da conoscere. Scopriamolo in questa guida dedicata.
Che cos’è la Cookie Policy?
Indice argomenti
La Cookie Policy è un documento normativo che descrive le modalità di trattamento dei dati personali degli utenti che visitano un sito web.
In buona sostanza, la Cookie Policy è un’informativa resa anche ai sensi dell’art. 13 e 14 del Regolamento (UE) 2016/679 – Regolamento generale sulla protezione dei dati (“GDPR”) – per chi semplicemente naviga in un sito e per gli utenti che inviano spontaneamente comunicazioni ai recapiti di contatto resi pubblici sul sito visitato.
E, i cookie, cosa sono? I cookie o “biscottini” sono un tipo particolare di gettone identificativo che vengono utilizzati dalle applicazioni web lato server per archiviare e recuperare informazioni a lungo termine sul lato clienti.
Cookie Policy: che cosa sono i cookie HTTP?
I cookie, più propriamente detti cookie HTTP, sono piccoli bit di dati memorizzati come file di testo su un browser. I siti Web utilizzano questi piccoli bit di dati per tenere traccia degli utenti e abilitare le funzionalità specifiche dell’utente.
Consentono di abilitare le funzionalità del sito web principale, come i carrelli degli acquisti di E-Commerce e sono utilizzati per scopi anche più controversi, come il monitoraggio delle attività degli utenti.
I cookie sono un elemento fondamentale alla base del buon funzionamento del sito web e comportano una serie di preoccupazioni sulla privacy e sui rischi per la sicurezza dei visitatori.
Per questo motivo, gli utenti Web occasionali e gli sviluppatori Web hanno buone ragioni per capire meglio come funzionano questi piccoli frammenti di dati.
Questa guida sulle basi che ogni internauta dovrebbe conoscere sui cookie, sulle modalità di funzionamento dei “biscottini” e su come evitare problemi legali dovuti all’uso dei cookie.
I cookie sono stati sviluppati per la prima volta nel 1994 da Lou Montulli, un dipendente di Netscape Communications. Insieme a John Giannandrea, Lou ha sviluppato i cookie come soluzione per rendere disponibili i carrelli della spesa per l’E-Commerce.
La prima vera applicazione dei cookie sul web era quella di determinare se i visitatori del sito Web di Netscape avevano già avuto contatti con l’azienda sul canale telematico.
Inizialmente, i cookie sono stati accettati di default da tutti i browser supportati e pochissimi utenti finali avevano qualche idea sulla loro presenza o utilizzo. Tutto cambiò nel febbraio del 1996, quando il Financial Times pubblicò un articolo che dettagliava la loro esistenza, scopo e uso.
Alla Internet Engineering Task Force (IETF) fu affidato il compito di elaborare una specifica formale sui cookie in accordo con le preoccupazioni espresse dai media.
Di particolare interesse sono stati i rischi associati alla concessione di cookie di terze parti: questi sono più comunemente noti come cookie di tracciamento. L’IETF tentò di richiedere che i cookie di terze parti fossero esplicitamente disabilitati o consentiti solo previa esplicita attivazione da parte dell’utente.
Tuttavia, i principali sviluppatori di browser, Netscape e Microsoft, ignorarono la raccomandazione IETF e siglarono un accordo con l’inserzionista online per consentire i cookie di tracciamento di terze parti.
Le attuali specifiche sui cookie riconoscono l’uso di cookie di terze parti e i rischi inerenti al loro utilizzo, ma finiscono per porre l’onere di affrontare tale rischio agli sviluppatori di browser.
Tipologie comuni di cookie
I cookie possono essere classificati in diversi modi. Diamo un’occhiata a quattro delle classificazioni più comuni per capire meglio come vengono utilizzati i cookie e come funzionano.
Cookie di sessione
I cookie di sessione sono cookie temporanei memorizzati nella memoria del browser solo fino alla chiusura del browser. Questi tipi di cookie presentano meno rischi per la sicurezza e vengono utilizzati per controllare gli elementi della pagina mostrati a un utente durante una singola visita di più pagine a un sito Web e per altri scopi di archiviazione a breve termine.
Cookie permanenti
I cookie permanenti sono cookie a più lungo termine contrassegnati dall’emittente con una data di scadenza. Questi cookie vengono memorizzati dal browser anche dopo la sua chiusura.
Vengono restituiti all’emittente ogni volta che si visita il sito che ha emesso il cookie o si visualizza un sito che contiene una risorsa (come un annuncio).
In questo modo, i cookie permanenti possono tracciare la tua attività non solo sul sito che ha emesso il cookie, ma anche su qualsiasi sito che include una risorsa emessa dallo stesso sito.
Questo è il meccanismo utilizzato da Google e da Facebook per creare un registro delle attività degli utenti su più siti web.
Quando si fa clic su “Ricordami” o quando si accede a un account online, viene utilizzato un cookie permanente per memorizzare le informazioni di accesso sul browser.
Rimanendo molto più a lungo dei cookie di sessione e tracciando la tua attività su più siti, i cookie permanenti rappresentano un rischio maggiore rispetto ai cookie di sessione.
Cookie proprietari
I cookie proprietari sono cookie creati dal sito che stai visitando in quel momento.
Cookie di terze parti
I cookie di terze parti sono cookie aggiunti da un dominio che non è quello che stai visitando in quel momento. L’uso più comune dei cookie di terze parti è tracciare gli utenti che fanno clic sugli annunci pubblicitari e li associano al dominio di riferimento.
Ad esempio, quando fai clic su un annuncio su un sito web, viene utilizzato un cookie di terze parti per associare il tuo traffico al sito in cui è stato pubblicato l’annuncio.
Sebbene i cookie siano un elemento fondamentale di ogni sito web, possono anche rappresentare un notevole rischio di violazione della privacy e un rischio per la sicurezza dei siti Web che li utilizzano.
Cookie Policy: Rischi e frodi
Come utente Web, vorrai conoscere i rischi associati ai cookie e cosa puoi fare per visualizzarli ed eliminarli quando è necessario.
I metodi per commettere frodi sui cookie sono tecnicamente complessi, ma vale la pena conoscerli.
Nella maggior parte dei casi, un sito Web dannoso utilizza visitatori del sito Web legittimi come proxy in un attacco a un sito Web allegando ID di sessione falsi all’attività di un utente legittimo. Diamo un’occhiata a quattro comuni exploit di frode sui cookie per scoprire come funzionano:
- Cross-site scripting (XSS): un utente visita un sito Web dannoso e riceve un cookie che contiene un payload di script rivolto a un sito Web diverso. Il cookie malevolo è camuffato per apparire come proveniente dal sito Web di destinazione. Quando l’utente visita il sito target, il cookie dannoso viene inoltrato al server che ospita il sito target.
- Fissazione della sessione: un utente riceve un cookie malevolo che contiene l’ID della sessione dell’emittente del cookie. Quando l’utente tenta di accedere a un dominio di destinazione, l’ID di sessione dell’emittente viene registrato al posto dell’ID di sessione dell’utente.
- Cross site request forgery attack (XSRF): un utente visita un sito legittimo e riceve un cookie legittimo. L’utente visita il sito dannoso che indica al browser dell’utente di eseguire alcune azioni mirate al sito legittimo. Il sito legittimo riceve la richiesta insieme al cookie legittimo ed esegue l’azione poiché sembra essere stata avviata da un utente legittimo.
- Attacco di lancio di cookie: un utente visita un sito dannoso che fornisce un cookie progettato per apparire come proveniente da un sottodominio di un sito mirato. Quando l’utente visita il sito target, il cookie del sottodominio viene inviato insieme ai cookie legittimi. Se il cookie del sottodominio viene interpretato per primo, i dati in quel cookie annulleranno i dati contenuti in eventuali cookie legittimi successivi.
Come puoi capire, in quasi tutti i casi di frode sui cookie, i cookie vengono utilizzati per falsificare l’identità degli utenti legittimi o per utilizzare l’identità dell’utente legittimo per eseguire azioni dannose.
Hai bisogno di attivare la Cookie Policy sul tuo sito? Attivala gratis su Nibirumail