Conversation

Notices

1. beckermatic (beckermatic@mastodon.la)'s status on Tuesday, 19-Jul-2022 19:58:31 UTC beckermatic

   Bien, como ahora tengo un rato libre y ganas de escribir, quiero hacer un hilo sobre...

   GALLETAS

   o

   COOKIES

   ¡No las que podemos comer, sino las informáticas!

   • beckermatic (beckermatic@mastodon.la)'s status on Tuesday, 19-Jul-2022 19:58:24 UTC beckermatic

     in reply to

     ¿Qué podemos hacer, entonces, para minimizar el espionaje sobre nuestros hábitos de navegación, consumo, etc?

     Primero: configurar el navegador para que no acepte cookies de terceros. En Firefox es la opción Estricta o Strict. Si te encontrás con que algunos sitios dejan de funcionar, probá con la opción anterior, “Estándar” o Standard.

     Luego: que el navegador envie una petición “No rastrear” (do not track). Muchos sitios hacen caso omiso de esto, ojo. También que el navegador borre todas las cookies al cerrar la ventana. Ojo: porque esto probablemente lleve a que muchos sitios nos pidan contraseña cada vez que abrimos el navegador.

     En los permisos, revisar que no haya ningún permiso abierto. Colocar todos en “preguntar”.

     Toni :mastodon: repeated this.
   • beckermatic (beckermatic@mastodon.la)'s status on Tuesday, 19-Jul-2022 19:58:26 UTC beckermatic

     in reply to

     En este hilo no tiene demasiado sentido hablar más en profundidad sobre cuestiones técnicas de las cookies (por ejemplo si son http-only, si son encriptadas, si son supercookies, etc). Lo que nos importa saber es qué hacer para que nos espíen lo menos posible.

     Pero antes de pasar a soluciones, veamos algo que se está usando mucho en paralelo a las cookies: el almacenamiento local.

   • beckermatic (beckermatic@mastodon.la)'s status on Tuesday, 19-Jul-2022 19:58:26 UTC beckermatic

     in reply to

     Como vivimos en la segunda década del siglo XXI y no a mediados de los años 90, las aplicaciones web están por doquier: blogs autopublicados, aplicaciones de ofimática, mapas, calculadoras, emuladores de videojuegos viejunos, sitios para ver series, tiendas online con carrito, et cetera.

     Como esas aplicaciones web hacen un uso intensivo de scripting tanto remoto como local, con los años se fue desarrollando y homologando un espacio local en disco llamado localStorage. Es espacio reservado para que cada dominio web pueda alojar allí lo que le venga en gana para optimizar la experiencia de usuario de sus aplicaciones.

     Como pasó con las cookies, pasó poco tiempo hasta que alguien comenzó a abusar de su uso legítimo.

     Resulta que muchos proveedores inescrupulosos de apps, enojados ante la “nueva” política de los navegadores de rechazar cookies de terceros o aquellas que no son estrictamente de sesión y de metadatos, decidieron utilizar el almacenamiento local para guardar allí datos privados nuestros con el fin de rastrearnos exactamente del mismo modo que antes.

     Veamos un ejemplo de uso legítimo (nuestro querido mastodon.la) y otro de uso cuestionable (pedidosya.com).

     Mastodon almacena únicamente lo que realmente necesita para optimizar su funcionamiento. Los nombres de las claves son claros y dan una idea concreta de para qué se están guardando. Nada que temer por aquí.

     PedidosYa, en cambio, almacena un montón de información encriptada o con nombres confusos, e incluso descaradamente nos dice que guarda información de marketing y seguimiento. Hay mucho más de lo que se ve en la captura.

     Toni :mastodon: repeated this.
   • beckermatic (beckermatic@mastodon.la)'s status on Tuesday, 19-Jul-2022 19:58:27 UTC beckermatic

     in reply to

     Pero antes un pequeño agregado.

     ¿Notaron que determinados sitios (casi siempre de noticias o de esos sitios de memes o de cotorreo) tardan mucho en cargar? O que usan mucha memoria, mucho más de lo que se justifica por lo que muestran en pantalla.

     Pues bien: se trata de sitios que añaden no uno sino decenas de rastreadores.

     Un caso conocido es el del sitio knowyourmeme.com. Es una mina de oro para rastreadores, profile scrappers y demás. Por esa razón es que la página queda tan sobrecargada que a veces utiliza cerca de un gigabyte de datos. ¡Por mostrarnos un meme!

     Vean la cantidad que aparecen en la lista. ¡Y eso es menos de la mitad!

   • beckermatic (beckermatic@mastodon.la)'s status on Tuesday, 19-Jul-2022 19:58:28 UTC beckermatic

     in reply to

     Pero resulta que Jaimito Choricetti no se conforma con esto. Como el niño Tang, quiere más. Mucho, mucho más. Total, que contrata a un pobre programador de Bangladesh en Fiverr, por cinco dólares, y logra ganancias de cientos de miles sin esfuerzo alguno. Todo lo hace una computadora...

     Entonces Jaimito Choricetti añade un rastreador de Google a su tienda. La gran mayoría de los usuarios no lo notan. Es un código tan pequeñito que no se nota en absoluto si no hay nerd del otro lado.

     Ese rastreador deja una cookie adicional, esta vez de Google. Entonces Jaimito, además de usar tu perfil comercial casero para venderte más cosas, ahora tiene acceso a toda una consola en donde aparecen miles de datos más acerca de vos: qué otros sitios web visitás, con cuánta frecuencia los visitás, horarios de uso de tu computadora... Vamos, que Google sabe hasta qué cenaste el 28 de febrero de 2009 y si luego te tiraste un pedo.

     Jaimito Choricetti pasó de ser un paleto dueño de una tienda piojosa a alguien que la CIA de los años 60 admiraría por el poder de espionaje que tiene en sus manos. Lo sabe todo acerca de sus clientes.

     Y todavía sigue siendo un caso legítimo de uso de cookies, aunque esta vez hay algo que podemos hacer para mitigar el espionaje.

     Veamos qué.

   • beckermatic (beckermatic@mastodon.la)'s status on Tuesday, 19-Jul-2022 19:58:30 UTC beckermatic

     in reply to

     El propósito legítimo de las cookies (o galletas) es almacenar localmente (o sea en tu computadora) información útil sobre un dominio de internet (o sea un sitio web y sus subdominios, por ejemplo google.com y también maps.google.com, mail.google.com).

     Esa información útil puede ser un identificador de sesión (para no tener que presentar usuario y contraseña cada vez que interactuamos con el servidor), preferencias de visualización (colores de fondo, fuentes, tamaño de la letra) y cualquier otro dato que una aplicación web requiera para incrementar su usabilidad (por ejemplo, en una aplicación web es útil y provechoso que se almacene siempre el estado de la app, para que la próxima vez que la abramos recupere el último estado; esto es especialmente bueno cuando rellenamos formularios o trabajamos con mapas, planillas de cálculo, carritos de compra, etc).

     Hasta acá vimos el uso legítimo, por el cual tiene sentido que existan estas cookies.

     Desafortunadamente, algunos programadores inescrupulosos se dieron cuenta de que también pueden usarse para espiar. Veamos cómo.

   • beckermatic (beckermatic@mastodon.la)'s status on Tuesday, 19-Jul-2022 19:58:30 UTC beckermatic

     in reply to

     Supongamos que Jaimito Choricetti tiene una tienda online, con carrito de compras, en el cual es necesario iniciar sesión con un nombre de usuario y una contraseña. A su vez, es necesario completar un perfil de consumidor final para poder comprar: nombre y apellido, dirección, teléfono, esas cosas.

     Es extremadamente sencillo cruzar los datos del perfil (nombre real, teléfono, email) con los datos de la sesión (dirección IP, qué navegador usás, en qué horarios te conectás más seguido, cuál es tu proveedor de internet de acuerdo al rango de IP) y todo esto con tu perfil comercial: qué productos comprás con más frecuencia, cuánto gastás mensualmente, si hacés las compras una vez por quincena, una vez al mes, a diario...

     Todo eso genera un paquete de datos, del lado del servidor, que a Jaimito Choricetti le viene de pelos para elaborar publicidad personalizada.

     ¿Y cómo logra colarte esa publicidad? Simple: Jaimito además de tener la tienda virtual (choricetti.com) cuenta con un subdominio que sirve publicidad (ads.choricetti.com). Al estar todo en el mismo servidor, la publicidad tiene acceso a las cookies de la tienda online.

     Al tener acceso a esas cookies, y a la base de datos comercial en donde tus datos de sesión están cruzados con tus compras y tus datos personales, es muy, muy fácil escribir en PHP un script que te envíe publicidad con las cosas que más comprás o que Jaimito (mediante mercadotecnia) considera más probable que termines comprando.

     Y todo esto con un uso totalmente legítimo de las cookies.

   • beckermatic (beckermatic@mastodon.la)'s status on Tuesday, 19-Jul-2022 19:58:50 UTC beckermatic

     in reply to

     Y finalmente, para borrar todo el contenido de localStorage:

     Presionar F12. Eso abrirá una consola de depuración que aparece abajo. Allí, ir a la solapa Storage (Almacenamiento) y elegir entre las opciones a la izquierda, Local Storage o Almacenamiento Local.

     Allí aparecerán todas las claves asociadas al dominio actual (en este caso mastodon.la).

     Para borrar el contenido global, ir a la pestaña Console, y pegar allí esto:

     window.localStorage.clear();

     Y darle Enter.

     Es probable que varias aplicaciones dejen de funcionar, ya que ese espacio se usa, como vimos antes, para guardar datos útiles. Bastará con recargar la página de la app dañada.

   • Toni :mastodon: (coloco@mastodon.social)'s status on Tuesday, 19-Jul-2022 19:59:06 UTC Toni :mastodon:

     in reply to

     @beckermatic Muy interesante, gracias por compartir.