Servlets y JSP

Los Cookies son peque�os trozos de informaci�n textual que el servidor Web env�a al navegador y que el navegador devuelve sin modificar cuando visita m�s tarde la misma site o dominio. Dejando que el servidor lea la informaci�n env�ada previamente al cliente, la site puede proporcionar a los visitantes un n�mero de conveniencias:

  • Identificar a un usuario durante una sesi�n de comercio electr�nico. Muchas tiendas on-line usan una "carta de compra" a la que se a�aden los articulos que selecciona el usuario, luego contin�a comprando. Como la conexi�n HTTP se cierra despu�s de enviar cada p�gina, cuando el usuario selecciona un nuevo item para su carta. �c�mo sabe la tienda que �l es el mismo usuario que a�adi� el �tem anterior a su carta? Los cookies son una buena forma de conseguir esto. De hecho, son tan �tiles que los sevlets tienen un API especifico para esto, y los autores de servlets no necesitan manipular las cookies directamente haciendo uso de �l. Esto se explica en la p�gina sigueinte .
  • Evitar el nombre de usuario y la password. Muchas grandes sites requieren registrarse para poder usar sus servicios, pero es un inconveniente recordar el nombre de usuario y la password. Los cookies son una buena alternativa para sites de baja seguridad. Cuando un usuario se registra, se env�a una cookie con un �nico ID de usuario. Cuando el cliente se reconecta m�s tarde, se devuelve el ID de usuario, el servidor los busca, determina que pertenece a un usuario registrado, y no requiere expl�citamente el nombre de usuario y la password.
  • Personalizar una Site. Muchos "portales" nos permiten personalizar el aspecto de la p�gina principal. Usan cookies para recordar lo que queremos, para que obtengamos el mismo resultado inicial la pr�xima vez.
  • Publicidad enfocada. Los motores de b�squeda cobran m�s a sus clientes por mostrar anuncios "directos" que por anuncios "aleatorios". Es decir, si hacemos una b�squeda sobre "Java Servlets", un motor de b�squea cobra m�s por un anuncio de un entorno de desarrollo de Servlets que por el de una agencia de viajes on-line. El problema es que tienen que ense�arnos un anuncio aleatorio la primera vez que llegamos y no hemos realizado la b�squeda, as� como cuando buscamos algo que no corresponde con las caegor�as de anuncios. Los cookies les permiten recordar "Oh, esta es la persona que busc� por esto y esto enteriormente" y muestra un anunci� apropiado (lease "caro") en vez de uno aleatorio (lease "barato").

Ahora, a�adir conveniencias al usuario y a�adir valor al proporietario de la site es el prop�sito que hay detr�s de las cookies. Y no te creas todas las informaciones, las cookies no son un serio problema de seguridad. Las cookies nunca son interpretadas o ejecutadas de ninguna forma, y no pueden usarse para insertar virus o atacar nuestro sistema. Adem�s, como los navegadores s�lo aceptan 20 cookies por site y 300 cookies en total, cada cookies est� limitada a 4Kb, las cookies no se pueden usar para llenar el disco duro o lanzar otros ataques de denegaci�n de servicio.

Sin embargo, aunque no presentan un serio problema de seguridad, si que presentan un significante problema de privacidad. Primero, a algunas personas no les gusta que los motores de b�squeda puedan recordar que ellos son las personas que usualmente buscan por uno u otro t�pico. Incluso peor, dos motores de b�squeda pueden compartir datos sobre usuarios cargando peque�as im�genes de una tercera parte que usa los cookies y comparte los datos con los dos motores de b�squeda. (Sin embargo, Netscape tiene una bonita caracter�sitca que permite rechazar las cookies de otros sites distintos del que nos conectamos, pero sin desactivar las cookies totalmente). Este truco puede incluso ser explotado mediante email si usamos un programa de correo conpatible HTML que soporte Cookies, como lo hace Outlook Express. As�, la gente podr�a enviar un email que cargue im�genes, adjuntar cookies a esas im�genes, y luego identificar nuestra direcci�n email y todo cuando vamos a su site.

O, una site que podr�a tener un nivel de seguridad muy superior al est�ndard podr�a permitir a los usuarios saltarse el nombre y la password mediante cookies. Por ejemplo, algunas de las grandes librer�as on-line usan cookies para recordar a sus usuarios, y nos permite hacer pedidos sin tener que reintroducir nuestra informaci�n personal. Sin embargo, no muestran realmente el n�mero completo de nuestra tarjeta de cr�dito, y s�lo permiten env�ar libros a la direcci�n que fue introducida cuando introducimos el n�mero completo de la tarjeta de cr�dito o el nombre de usuario y la password. Y como resultado, alguien que use nuestro ordenador (o que robe el fichero cookie) lo �nico que podr�a hacer ser�a un enorme pedido de libros con nuestra tarjeta de cr�dito que nos llegar�a a casa, donde podr�an ser rechazados. Sin embargo, las peque�as compa�ias no suelen ser tan cuidadosas, y el acceso de alguien a nuestro ordenador o al fichero de cookies puede resultar en una p�rdida de informaci�n personal importante. Incluso peor, las sites incompetentes podr�an embeber el propio n�mero de tarjeta de cr�dito y otra informaci�n sensible directamente dentro de cookies, en vez de usar identificadores inocuos que s�lo se enlazan con los usuarios reales en el servidor.

El punto de todo esto es doble. Primero, debido a los problemas reales de privacidad, algunos usuarios desactivan las cookies. Por eso, incluso aunque usemos cookies para dar valor a�adido a nuestra site, nuestra site no deber�a depender de ellas. Segundo, como autor de Servlets que podemos usar cookies, no deber�amos confiar a los cookies informaci�n particularmente sensible, ya que el usuario podr�a correr el riesgo de que alguien accediera a su ordenador o a sus ficheros de cookies.

COMPARTE ESTE ARTÍCULO

COMPARTIR EN FACEBOOK
COMPARTIR EN TWITTER
COMPARTIR EN LINKEDIN
COMPARTIR EN WHATSAPP
ARTÍCULO ANTERIOR