COOKIES

En los últimos meses las cookies han atraído un interés considerable en publicaciones sobre temas relacionados con los ordenadores, la Internet y la seguridad.

A pesar de que los grupos de anunciantes mantienen una guerra particular con ciertas organizaciones que promueven la intimidad en la Red, lo cierto es que las cookies continúan usándose extensivamente.

La mayoría de los usuarios ya pueden rechazar a voluntad las cookies desde sus navegadores o bien desde un número cada vez mayor de programas y extensiones al navegador que las bloquean. De esta manera son libres de elegir si prefieren la navegación con cookies o sin ellas, de decidir si desean arriesgar su intimidad a cambio de ciertas comodidades y de una navegación más individualizada.

Con el tiempo se verá cuál es el destino de las cookies, si caerán en el olvido o se convertirán en estándar aceptado para extender las posibilidades del protocolo HTTP.

Lo más importante es que entre tanto los usuarios de Internet sean informados acerca de la naturaleza real de las cookies, quiénes las usan y para qué, y qué riesgo real suponen para su intimidad. Mientras no surjan estándares al respecto, nada como la información para combatir los miedos irracionales.

Descripción

Las cookies constituyen una potente herramienta empleada por los servidores Web para almacenar y recuperar información acerca de sus visitantes. Dado que el protocolo de transferencia de Hipertexto (HTTP) es un protocolo sin estados (no almacena el estado de la sesión entre peticiones sucesivas), las cookies proporcionan una manera de conservar información entre peticiones del cliente, extendiendo significativamente las capacidades de las aplicaciones cliente/servidor basadas en la Web. Mediante el uso de cookies se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc.

Una cookie no es más que un fichero de texto que algunos servidores piden a nuestro navegador que escriba en nuestro disco duro, con información acerca de lo que hemos estado haciendo por sus páginas.

Entre las mayores ventajas de las cookies se cuenta el hecho de ser almacenadas en el disco duro del usuario, liberando así al servidor de una importante sobrecarga. Es el propio cliente el que almacena la información y quien se la devolverá posteriormente al servidor cuando éste la solicite. Además, las cookies poseen una fecha de caducidad, que puede oscilar desde el tiempo que dure la sesión hasta una fecha futura especificada, a partir de la cual dejan de ser operativas.

Ingredientes de las cookies

Vamos a examinar a continuación la lista de ingredientes de una cookie. Tomaremos como ejemplo la cookie recomendada por el chef: la de Netscape.

Cada cookie representa una pequeña porción de información con una fecha de caducidad opcional, que se añade al fichero o directorio de cookies con el siguiente formato:

nombre = valor; expires = fechaCaducidad;

donde “nombre” es el nombre del dato almacenado, y “valor” representa su valor. La fecha de caducidad es un parámetro opcional que indica el tiempo que se conservará la cookie. Si no se especifica el valor de “expires”, la cookie caduca cuando el usuario sale de la sesión en curso con el navegador. Por consiguiente, el navegador conservará y recuperará la cookie sólo si su fecha de caducidad aún no ha expirado.

Más ingredientes

No obstante, si editamos el fichero de cookies, veremos que aparecen muchos más datos, algunos bastante crípticos. Bien, vamos a analizarlos uno por uno.

Un dominio

Se trata de un nombre de dominio parcial o completo para el cual será válida la cookie. El navegador devolverá la cookie a todo host que encaje con el nombre de dominio parcial. Por ejemplo, si especificas un nombre de dominio de la forma “.ehu.es”, entonces el navegador devolverá la cookie a servidores Web alojados en cualquiera de las máquinas “www.bi.ehu.es”, “bidx01.bi.ehu.es”, “www.lg.ehu.es”, etc. Los nombres de dominio deben incluir al menos dos puntos para evitar intentos fraudulentos de encajar dominios de alto nivel como “.es”. Si no se especifica ningún dominio, entonces el navegador sólo devolverá la cookie a la máquina que la originó. Además, este atributo viene acompañado de un flag que indica si todas las máquinas dentro del dominio especificado pueden acceder a la variable.

Un camino

Cuando se suministra el atributo de camino para la cookie, el navegador lo contrastará con el URL de tu script antes de devolver la cookie. Por ejemplo, si especificas el camino “/cgi-bin”, entonces la cookie será devuelta a scripts de la forma “/cgi-bin/pedido.pl”, “/cgi-bin/datos.pl” y “/cgi-bin/ficha_cliente/credito.pl”, pero no al script “/cgi-administrador/webmaster.pl”. Por defecto, el camino se establece al camino del documento HTML o guión CGI que emitió la cookie, lo que hace que la cookie se envíe a cualquier guión en CGI o documento HTML que cuelgue de ese directorio.

Secure

Este atributo indica que la cookie sólo será transmitida a través de un canal seguro con SSL.

El fichero cookies.txt se lee al abrir el navegador. A partir de ese momento el uso de cookies se gestiona en memoria y al cerrar el navegador se almacenarán en el fichero aquellas cookies que no hayan caducado (las que no especifican fecha de caducidad caducan al terminar la sesión).

La caja de las cookies

Las cookies no las escribe el servidor, sino que es el propio navegador del cliente quien almacena la cookie en su disco duro.

Dónde se esconden

Veamos varias instrucciones para distintos sistemas operativos que nos permitirán rastrearlo:

Win 3.x

En el Administrador de archivos, en Archivo, selecciona Buscar y en la ventanita a tal efecto escribe cookies.txt

Win95 o WinNT

Pulsa Inicio, selecciona Buscar y luego Archivos o carpetas…, escribe cookies.txt

Unix

Escribe en la línea de comandos:
find . -name cookies

Ahí tienes dónde se almacena la graciosa cookie con Netscape. Si todavía usas Microsoft Internet Explorer (¿cuándo piensas disfrutar en serio de la red?), busca en el directorio Win95 o WinNT, y encontrarás un directorio llamado Cookies. Ahí se esconden las pícaras. Verás que a diferencia del Netscape, existe un fichero por cada cookie, con el siguiente aspecto: <identificador de usuario>@<dominio.txt>, donde dominio es la dirección de la máquina o bien el directorio (si es que no es el raíz) desde donde se envió la cookie. Bueno, otra filosofía de implementación, que no tiene mayor importancia.

Para ver qué se cuece dentro de la caja de las cookies no tienes más que editarlas con cualquier editor de texto. Sin embargo, debido a que las cookies se almacenan en memoria hasta que sales del navegador, momento en que se escriben en el disco, no es posible ver qué cookies has aceptado en tu fichero cookies.txt hasta que sales. Pero si escribes el siguiente comando JavaScript en la barra de direcciones:

JavaScript:alert(document.cookie);

mientras estás conectado al sitio sospechoso, aparecerá un cuadro informándote de las cookies que te han colocado. Este truquillo no funcionará con Microsoft Internet Explorer.

Usos de las cookies

¿Quién no ha pensado alguna vez en acceder a un sitio y encontrarlo personalizado a nuestro gusto? ¿A quién no le gustaría cuando se conecta a su librería virtual que le avisen de las novedades sobre aquellas materias que más le interesan? ¿A cuánta gente le parece un engorro tener que teclear su nombre y contraseña cada vez que se conecta a un sitio de pago? ¿Nunca has visitado una página con montones de información por los que tienes que bucear para encontrar lo que te interesa? ¿No estaría bien que cuando quieres bajarte programas de la red, no tengas que especificar siempre que lo quieres para Windows95 o para Mac?

Personalización, ésa es la palabra clave. La Tela de Araña Mundial (WorldWideWeb) constituye una fantástica herramienta para crear presentaciones con el potencial de llegar a cualquier persona en cualquier lugar del mundo (con conexión a Internet, claro). Aunque la idea es muy atractiva, en la práctica ocurre que la información presentada en las páginas se torna impersonal. Es algo así como comprar un CD-ROM por el cual puedes navegar, incluso admirar animaciones y escuchar sonidos y música, pero que es igual para todo el mundo, y como todos sabemos, las mismas cosas no nos interesan a todos por igual. Lo que realmente nos gusta son los productos a nuestra medida, confeccionados especialmente para nosotros.

Usos bien vistos

Personalización de las páginas

A menudo se nos presenta la posibilidad de elegir entre navegar con o sin frames. A veces nos dan a elegir incluso el color del fondo o el tipo de letra. Toda esta información queda almacenada en una cookie, para que en visitas posteriores las páginas aparezcan a nuestro gusto, sin el engorro de ir apretando botones de configuración.

Idioma

Nos hemos topado más de una vez con páginas que nos ofrecen la posibilidad de elegir entre varios idiomas. Pues bien, si la primera vez que me conecto y elijo un idioma determinado, esta información se almacena en una cookie, las próximas veces que acceda a esas páginas, el texto aparecerá en el idioma seleccionado.

Tiendas electrónicas

Se han desarrollado sistemas de venta que almacenan en una cookie los gustos del usuario basándose en las páginas visitadas cuando accede para efectuar sus pedidos. Así, en lo sucesivo, cuando se conecte de nuevo, se le puede informar de las últimas novedades en aquellos artículos de su preferencia.

Carritos de la compra

Permiten recordar los artículos que un cliente va adquiriendo a medida que se mueve por las páginas del catálogo, como si los estuviera cargando en un carrito de la compra virtual, de manera que no tenga que ir pagándolos uno a uno, sino pagarlos todos de una vez cuando vaya a la página de pago.

Usos no tan bien vistos

Seguimiento de las visitas a un Web

He aquí una aplicación controvertida. Su objetivo es mantener un historial de las páginas visitadas por los usuarios dentro del servidor con el fin de conocer cuáles son las páginas menos visitadas, páginas a las que llega la gente pero de las que luego no sabe salir o de las que salen por falta de interés. También permiten recabar registros más exactos sobre el número de visitantes a una página, ya que las cookies permiten diferenciar 30 personas distintas visitando un sitio de una misma persona pulsando 30 veces el botón de recargar. Sin embargo, muchos piensan que se trata de una violación de la intimidad.

Carteles publicitarios

Muchas páginas muestran distintos anuncios o espacios publicitarios (banners) cada vez que nos conectamos a ellas. La forma de hacerlo es guardar en una cookie el identificador del último anuncio que nos han mostrado, de manera que la cada vez que nos conectemos nos presenten uno distinto.

Marketing personalizado

Se trata de la aplicación con fines comerciales más extendida. Las cookies se pueden emplear para construir un perfil de usuario con los lugares visitados, los anuncios (banners) que se han seguido, los productos comprados, etc. Esta información es posteriormente usada para enviarle anuncios que ellos creen le pueden interesar, así como para variar los anuncios mostrados (ver párrafo anterior). Ahora bien, ¿y si la compañía vende esta información a terceros? La polémica está servida.

Almacenamiento de santo y seña

Todos hemos visitado sitios en los que nos piden nombre y contraseña para poder acceder a su contenido. Algunos de estos sitios además almacenan estos datos en una cookie que se guarda en el disco duro del usuario. De esta forma, la siguiente vez que acceda no se le volverá a pedir su santo y seña. Si bien ningún otro servidor puede acceder a esta información, cualquier usuario accediendo físicamente al ordenador puede leer la cookie que contiene estos datos. Por ello, conviene almacenarlos cifrados, y también que caduquen al poco tiempo, días o incluso horas.

Almacenamiento de información sensible

Aunque parezca mentira, existen sitios que almacenan nuestro número de tarjeta en una cookie, para que en futuras transacciones comerciales con ellos no tengamos que introducirlo. Mejor no tener transacciones con gente así. Si bien las cookies podrían enviarse sobre SSL, también deberían cifrarse en el disco duro del usuario.

Alternativas a las cookies

Como queda dicho, la razón de ser de las cookies es almacenar el estado de la sesión entre peticiones sucesivas, puesto que el protocolo HTTP es sin estado. No obstante, existen por lo menos otros dos métodos que ya eran usados mucho antes de que aparecieran las cookies, a saber, transmitir datos del estado de la sesión a través de campos ocultos en los formularios CGI y añadir datos del estado al final de un URL.

Como ejemplo del último enfoque, considérese el siguiente URL:

/cgi-bin/tracker.exe?curso.html

donde tracker.exe es un programa que filtra todas las direcciones y almacena en un fichero el nombre y dirección IP de la máquina que solicita la página, la hora de la petición, y la página solicitada. La dirección después del interrogante es la de la página que se quiere visitar. De esta manera y sin necesidad de cookies podemos hacer un seguimiento exhaustivo del número y la identidad de las visitas a una página.

Por otro lado, para usar los formularios con campos ocultos es necesario procesar todas las páginas mediante "form submit", un método que hoy en día ya queda muy obsoleto, aunque puede seguir usándose en algunas aplicaciones, como en carritos de compra, además de consumir un gran ancho de banda por su voluminosidad.

Las cookies mejoran los métodos anteriores en términos de facilidad de uso, rendimiento, flexibilidad y seguridad.