kindness cookie

Incredibile: l'applicazione della legge sui cookies sta amplificando le minacce alla sicurezza dei nostri dati. Fino a qualche tempo fa ci veniva consigliato di disabilitare o bloccare i cookies e addirittura di cancellarli per limitare l’intromissione nella nostra privacy, ora ci viene detto invece di accettarli altrimenti non puoi navigare: come cambia la prospettiva!!!.

Se è vero che tanti siti hanno adottato i prescritti di legge, all'ultimo minuto, è anche vero che l'utenza di questi siti sta trovando noioso e invadente il banner sui cookie che ogni tanto appare, e le lamentele crescono, con manager che borbottano alla ricerca di una soluzione meno invadente e più usabile. Ma ci sono veramente soluzioni che permettono di abbandonare i cookie senza perdere il controllo dei nostri dati? Se si abbandonano i cookie, l'ID di sessione che viene registrato nei cookie, come lo gestiamo? Qualcuno ha avuto la bella idea di risponere "semplice: nella URL!!!" e del resto se non accettate il trattamento dei cookie, la session id passa nella url, visto che il sito non vi può far salvare il cookie....

Far passare la SessionID nella url, è ampiamente riconosciuta  non essere una pratica sicura, ed è chiaramente testimoniato anche dalla OWASP Top 10, la lista delle più frequenti vulnerabilità applicative,  che ne parla  nel punto A2 (https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management);

L'uso della session id nella url, oltre ad esporre al massimo il vostro id di sessione e di conseguenza la vostra capacità di azione su quel sito, potrebbe finire in qualche bookmark o ancora peggio nella url di qualche  qualche post su social network;  ma soprattutto potrebbe essere un canale di attacco alla session fixation, una  vulnerabilità con cui un malintenzionato, mediante un link che riesce a farvi clickare , vi costringe cad usare un session id scelto da lui per un'attività malevola. E' quindi chiaro che la session id nella url rappresenta la scelta peggiore che si può fare dal punto di vista della sicurezza.

Tutto questo senza considerare che anche Google sconsiglia l'uso delle session ID nelle url https://static.googleusercontent.com/media/www.google.com/it//intl/it/webmasters/docs/search-engine-optimization-starter-guide-it.pdf

Insomma, una legge nata per sensibilizzare e proteggere i nostri dati alla fine rischia di ottenere l’effetto contrario: aumentare le minacce alla sicurezza delle nostre informazioni in cambio dell’usabilità dei servizi web di Internet...che dire, grazie Garante per aver fatto un provvedimento così mal scritto? Non è la prima volta e non sarà neanche l’ultima, ma certamente l’incapacità di certi personaggi e dei loro consiglieri di riuscire a valutare correttamene e compiutamente gli effetti delle scelte che adottano,   sta diventando troppo frequente e  ingombrante, con effetti negativi sul business e sulle persone.