Cookie di terze parti

Un cookie di terze parti è un cookie che viene inserito sul disco rigido di un utente da un sito Web da un dominio diverso da quello che l'utente sta visitando.

Cookie di prima parte vs. cookie di terze parti

Entrambi i tipi di cookie sono informazioni che raccolgono i dati degli utenti web. Entrambi sono tipicamente utilizzati per memorizzare i dati dell'utente come le preferenze di navigazione e personalizzazione e le informazioni di tracciamento. La differenza sta in chi utilizza quei dati e per chi il cookie raccoglie i dati.

Cookie di prima parte. Un cookie di prima parte viene inserito su un sito Web dall'editore / proprietario del sito e raccoglie i dati dell'utente per l'editore / proprietario. Sono spesso utilizzati per migliorare l'esperienza dell'utente (UX) ricordando le preferenze e le impostazioni dell'utente. Gli articoli aggiunti ai carrelli della spesa al dettaglio online, i nomi utente, le password e le preferenze di lingua sono informazioni che i cookie proprietari memorizzano. Possono anche essere utilizzati dal proprietario di un sito per fornire servizi: le chat dal vivo ne sono un esempio.

Cookie di terze parti. Un cookie di terze parti viene inserito su un sito Web da qualcuno diverso dal proprietario (una terza parte) e raccoglie i dati dell'utente per la terza parte. Come con i cookie standard, i cookie di terze parti vengono inseriti in modo che un sito possa ricordare qualcosa sull'utente in un secondo momento. I cookie di terze parti, tuttavia, sono spesso impostati da reti pubblicitarie a cui un sito può iscriversi nella speranza di aumentare le vendite o le visite alle pagine.

Ad esempio, un utente visita un sito web chiamato news.com. I cookie inseriti in questo dominio da news.com sono cookie proprietari. Un cookie inserito da qualsiasi altro sito, come un inserzionista o un sito di social media, è un cookie di terze parti.

I cookie in generale possono anche essere indicati come cookie HTTP, cookie web e cookie del browser. I cookie di terze parti possono anche essere indicati come tracker.

Diagramma dei cookie di terze parti e di prima parte

Un diagramma che confronta i cookie di prima parte con i cookie di terze parti

Come funzionano i cookie di terze parti

I cookie di terze parti funzionano incorporando JavaScript da un sito Web a un altro. Un sito web ospita il cookie di terze parti incorporando JavaScript di terze parti. HTTP, il protocollo utilizzato per la navigazione sul Web, è un protocollo senza stato, il che significa che le informazioni non vengono salvate tra le sessioni di navigazione. I cookie ricordano le informazioni con stato (informazioni che vengono ricordate tra le sessioni) nell'ambiente HTTP senza stato.

Quando si crea un cookie, gli attributi del cookie vengono specificati nell'intestazione della risposta HTTP che determina se il cookie è di prima o terza parte. L'attributo "SameSite" consente al creatore del cookie di determinare se il cookie sarà un cookie di terze parti o un cookie di prima parte (cookie dello stesso sito). Quando un utente effettua una richiesta al browser (esegue qualsiasi azione sul sito), gli attributi del cookie determinano se e quando i cookie verranno inviati insieme alla risposta.

Ad esempio, se un utente di un sito Web richiede un'immagine dallo stesso dominio del sito (facendo clic sull'immagine, ad esempio), il cookie con l'attributo SameSite registrerà le informazioni dell'utente. Se l'utente richiede un'immagine da un sito di terze parti, dove il nome di dominio non è lo stesso, un cookie con l'attributo SameSite non raccoglierà le informazioni sull'utente attraverso i siti.

L'attributo SameSite determina fondamentalmente che il cookie sarà di prima parte. All'interno di SameSite, ci sono un paio di descrittori.

  • Se il creatore del cookie imposta SameSite su "Strict", il cookie sarà rigorosamente di prima parte e non verrà mai inviato su richieste cross-site. Sarà attivato solo quando il dominio di entrambe le parti nello scambio proviene dallo stesso dominio web. Questa impostazione funziona bene per ricordare le preferenze dell'utente sul sito ma non funzionerà per una richiesta proveniente da un collegamento esterno. Quindi, ad esempio, se l'utente fa clic su un collegamento del sito in un'e-mail di un amico, il cookie non verrà inviato, perché l'utente proviene da un dominio diverso.
  • Se il cookie è impostato su "Lax", verrà inviato su determinate richieste cross-site. Lax significa che il cookie viene inviato con navigazioni sicure e di primo livello (il primo livello significa che l'URL cambia). Lax non consente ai siti di terze parti di eseguire il POST o, in altre parole, di caricare le informazioni sul sito dell'utente originale. Ciò significa che un cookie di terze parti con "Lax" può essere inviato quando un utente fa clic su un collegamento al sito del cookie ma non sarà in grado di caricare annunci pubblicitari da un altro sito in un iframe, ad esempio, poiché utilizza il comando HTTP POST , che è considerato meno sicuro.
  • Se non viene specificata alcuna specifica, tutte le richieste sono soggette a cookie e il cookie è per definizione un cookie di terze parti. Non limita le richieste POST, che possono essere utilizzate da inserzionisti, social network e altre terze parti per caricare informazioni dal proprio sito. Questa mancanza di specifica rende i cookie utili per gli inserzionisti perché spesso utilizzano metodi che non soddisfano i criteri di "SameSite = Strict" e "SameSite = Lax". Ad esempio, un sito esterno effettua una richiesta GET che non modifica l'URL come navigazione di primo livello. Questa azione (che può essere un file o richiesta) è bloccato sia da "Lax" che da "Strict". Non avere specifiche consente quel tipo di comunicazione, in cui una pagina viene caricata all'interno di un'altra pagina. Questo è un modo comune in cui gli annunci pubblicitari vengono visualizzati sulle pagine web.

Perché vengono utilizzati i cookie di terze parti e chi li utilizza

I cookie di terze parti sono denominati come tali perché provengono da un sito Web diverso da quello su cui si trova attualmente l'utente, in altre parole una terza parte. Sono spesso utilizzati da inserzionisti e social network per monitorare l'attività degli utenti online e per il targeting comportamentale. Ciò è utile per gli inserzionisti perché dati utente specifici possono migliorare il successo dell'inserzionista nel commercializzare all'utente il prodotto corretto. Tracciano gli utenti in tutti i domini. Sia gli inserzionisti che la piattaforma di social media fanno molto affidamento sui dati degli utenti per informare i contenuti che curano e creano. I cookie di terze parti consentono agli utenti di essere tracciati attraverso i siti, creando un'immagine più ricca del comportamento dell'utente rispetto a quella che i cookie proprietari potrebbero offrire raccogliendo solo i dati dell'utente quando interagisce con il sito del proprietario. I profili utente possono essere creati da questi dati per informare su come le informazioni verranno presentate all'utente, sia che si tratti di un pop-up pubblicitario o di un feed di social media.

Abilitazione, disabilitazione e blocco dei cookie nei browser web

I cookie di terze parti vengono spesso bloccati e cancellati tramite le impostazioni del browser e le impostazioni di sicurezza come la stessa politica di origine; per impostazione predefinita, Mozilla Firefox blocca tutti i cookie di terze parti; Anche Chrome e Apple Safari hanno recentemente iniziato a farlo. Il blocco dei cookie di terze parti non crea problemi di accesso ai siti Web (che può essere un problema dopo il blocco dei cookie proprietari) e può comportare la visualizzazione di meno annunci su Internet. Tuttavia, il blocco di tutti i cookie a volte può portare a problemi, poiché alcuni siti Web si basano su cookie proprietari per funzionare correttamente.

Come abilitare o disabilitare i cookie nei browser più diffusi:

  • Apple Safari:
    • Apri Safari
    • Dacci un'occhiata cliccando Safari> Preferenze nell'angolo in alto a sinistra dello schermo
    • Fare clic su Privacy. Apparirà un'opzione per "Blocca tutti i cookie".
    • Seleziona la casella accanto a "Blocca tutti i cookie" per disabilitare tutti i cookie.
    • Deselezionalo per abilitare tutti i cookie.
    • Controlla il "Impedisci il monitoraggio di più siti:"opzione per bloccare solo i cookie di terze parti.
  • Google Chrome:
    • Apri Chrome
    • Fare clic sul pulsante che assomiglia a tre punti nell'angolo in alto a destra della finestra del browser
    • Scorri verso il basso fino alla sezione Privacy e sicurezza.
    • Fare clic su cookie e altri dati del sito. Ti verranno presentate le seguenti opzioni
      • Consenti tutti i cookie
      • Blocca i cookie di terze parti in incognito
      • Blocca i cookie di terze parti
      • Blocca tutti i cookie (non consigliato)
    • Fai clic sulla bolla accanto all'opzione che più si applica a te.
  • Mozilla Firefox:
    • Apri Firefox
    • Fare clic sul pulsante del menu (ha l'aspetto di tre linee orizzontali impilate l'una sull'altra). Seleziona le opzioni.
    • Seleziona privacy e sicurezza. Questo presenterà le tue impostazioni per una migliore protezione dal tracciamento (inclusi i cookie).
    • Vengono visualizzate tre opzioni:
      • Ciò significa che tutti i cookie sono abilitati ad eccezione dei tracker. I tracker sono per la maggior parte degli intenti e degli scopi uguali ai cookie di terze parti. Questa è l'impostazione predefinita.
      • Blocca la maggior parte dei cookie e potrebbe causare l'interruzione dei siti.
      • Ciò ti consente di scegliere quali cookie bloccare.

Firefox offre l'opzione per una protezione aggiuntiva contro i tracker dei social media. Ad esempio, se un sito contiene un pulsante "Mi piace" di Facebook da qualche parte nella pagina, Facebook può monitorare l'attività di navigazione dell'utente sul sito anche se il pulsante Mi piace non viene mai cliccato.

Cookie di terze parti e privacy dei dati

I cookie di terze parti, e in generale i cookie, rappresentano un rischio significativo per la sicurezza dei dati e sono considerati da alcuni come una violazione dei diritti alla privacy degli utenti. Questo è il motivo per cui tutti i principali browser sopra menzionati ora bloccano i cookie di terze parti per impostazione predefinita. Nel 2011, l'Unione Europea ha approvato la legge sui cookie che richiedeva agli utenti di essere informati sui cookie con cui avrebbero interagito quando visitano un sito.

Sebbene non siano pericolosi di per sé, i cookie possono essere dirottati e utilizzati da malintenzionati per ottenere informazioni. Ciò accade quando un cookie relativo all'autenticazione non viene trasmesso in modo sicuro. Ad esempio, Kaspersky ha scoperto un Trojan che ruba i cookie che offre agli hacker la possibilità di controllare gli account dei social media delle vittime.

I cookie relativi all'autenticazione normalmente avranno un flag di sicurezza che istruisce il browser ad accedere al cookie solo utilizzando canali protetti (SSL / TLS). Se non vengono trasmessi utilizzando questi canali, gli hacker possono intercettare e ottenere l'accesso illegittimamente.

Altri attacchi comuni che utilizzano i cookie nel loro metodo includono:

  • Falsificazione di richieste tra siti (CSRF)
  • Cross-site scripting (XSS)
  • Dirottamento di sessione

Cosa sta succedendo ai cookie di terze parti?

C'è stato un generale allontanamento dai cookie di terze parti. Il blocco dei cookie di terze parti aumenta la privacy e la sicurezza degli utenti, ma ha creato un problema per le aziende di monitoraggio / pubblicazione di annunci dei consumatori, che spesso inseriscono annunci che seguono gli utenti in tutto il Web.

In combinazione con la rimozione dei cookie di terze parti con altri mezzi, alcune aziende stimano che il 40% di tutti i cookie di terze parti venga rimosso. Poiché influisce sulla loro sopravvivenza, gli editori web hanno cercato di minare questi cambiamenti utilizzando altre tecniche come i cookie di respawning, i cookie Flash, i tag di entità (Etags) e il fingerprinting del canvas.

Il fingerprinting del browser sta anche sostituendo i cookie di terze parti per identificare gli utenti online. Un'impronta digitale del browser consiste in una raccolta di dettagli sull'utente, ad esempio il tipo di browser che sta utilizzando, il contenuto della cache del browser, l'ora e la data e il sistema operativo. Raccoglie tutti questi in un valore hash e il raccoglitore delle informazioni può quindi cercare la stessa combinazione di dettagli e seguire gli utenti in tutto il Web con precisione.

Un gruppo di ricercatori dell'Università di Cambridge ha scoperto che gli smartphone sono particolarmente vulnerabili alle impronte digitali del browser, in modi da cui l'utente non può proteggersi. Se si utilizza un computer, gli utenti possono adottare misure per mitigare l'impronta digitale del browser. Un modo semplice è svuotare la cache del browser; altri modi prevedono l'utilizzo di un browser Tor, una finestra di navigazione in incognito o una varietà di plug-in del browser che limitano l'esposizione dei dati dell'utente.