22 giugno 2015 Matteo Lazzarin

Cosa sono i Cookie e come funzionano

Nelle ultime settimane, molto si è sentito parlare di cookie e di regolarizzazione del proprio sito web in materia di privacy. Non tutti, però, conoscono l’esatto funzionamento di un cookie e di come esso possa facilitare la navigazione all’utente finale. Vediamo in dettaglio di cosa si tratta.

Cookies: cosa sono e come funzionano

I cookie, concepiti per il web negli anni ‘90 per offrire memorizzazione di stato al protocollo HTTP state-less, cioè quello utilizzato quando viene richiesta una pagina in rete, sfruttano un’idea già utilizzata nei sistemi basati su UNIX, cioè quella di scambiare informazioni tra le parti coinvolte e tenerne traccia identificandole in maniera univoca. Si potrebbe analogamente pensare ad un supermercato, in cui è necessario prenotarsi al banco prendendo un numero: esso non ha altro significato che quello di identificare la corrispondenza tra il turno di acquisto ed il numero staccato. Le informazioni del sistema di ticketing implementato dagli sviluppatori di UNIX vengono chiamate Magic Cookies in gergo informatico, ed è da questo nome e da questo funzionamento che derivano i Cookie di cui parliamo.

Nel caso specifico dell’interazione tra server e client, le piccole stringhe passate tra le parti vengono create ed inviate all’occorrenza dal server in risposta ad un client (solitamente un browser web) per memorizzarne lo stato ed alcuni parametri, al fine di migliorare l’esperienza nel sito da parte dell’utente utilizzatore.

In concreto, esistono diversi casi di utilizzo dove è necessario il salvataggio di stato in cookie, come ad esempio:

  • memorizzare quando un utente si è loggato in un sito, per nascondere il form di login e permettergli operazioni specifiche;
  • salvare lo stato di un carrello, permettendo aggiunta e rimozione di prodotti senza perdere riferimento allo stato precedente;
  • personalizzare l’interfaccia utente;
  • tracciare il percorso fatto dall’utente all’interno del sito;
  • accedere automaticamente a servizi esterni e social networks, senza dover richiederne più volte l’accesso.

 

Gli elementi che compongono un cookie sono sei:

  1. Nome e valore: obbligatorio, indica il nome del cookie e il valore ad esso associato;
  2. Scadenza: indica la data di scadenza del cookie;
  3. Modalità di accesso: indica se un cookie può essere accessibile o meno da script client-side all’interno della pagina in cui è presente;
  4. Sicuro: indica se il cookie deve essere criptato tramite protocollo HTTPS;
  5. Dominio: definisce il dominio di visibilità del cookie, al di fuori del quale il cookie non può essere visto;
  6. Percorso: definisce il percorso (interno al dominio) di visibilità del cookie, al di fuori del quale il cookie non può essere visto.

 

È possibile simulare il funzionamento della comunicazione che avviene tra client e server tramite un semplice diagramma esplicativo di esempio:

infografica-cookies

Problematiche sulla privacy, normativa europea e risoluzione italiana

Potendo salvare informazioni di qualsiasi genere, i cookie vengono utilizzati non solo per scopi tecnici, ma anche per profilare gli utenti ed analizzarne le statistiche. In un ambiente di rete come quello odierno in cui parte dei dati sensibili vengono raccolti nella quotidianità e potrebbero essere svelati ed utilizzati per scopi malevoli, l’Unione Europea è corsa ai ripari istituendo una nuova direttiva, deliberata nel 2009 e adottata da molti Stati membri nel 2011. Essa spiega come (riassumendo) un sito debba necessariamente portare a conoscenza l’utente utilizzatore di che tipo di dati verranno salvati, oltre alle modalità di utilizzo. Inoltre, differentemente dal periodo precedente, viene esplicitata la richiesta di salvataggio dei dati tramite processo di opt-in, cioè tramite consenso all’utilizzo da parte dell’utente.

In Italia, la direttiva è stata approvata il giorno 8 maggio 2014 e pubblicata nella gazzetta ufficiale il 3 giugno 2014. Nell’articolo viene stabilita qual è la responsabilità delle parti al fine di salvaguardare i dati dell’utente utilizzatore.

Gli strumenti di salvataggio vengono suddivisi in due macro-categorie:

  • Cookie tecnici: sono tutti i cookie che vengono utilizzati al fine di memorizzare dati per garantire il corretto funzionamento del sito; solitamente vengono installati dal titolare o gestore del sito;
  • Cookie di profilazione: sono quei cookie che servono a creare un profilo utente ben definito ed utile per pubblicizzare in modo mirato prodotti e servizi secondo le preferenze manifestate dallo stesso navigando in rete.

 

Nel caso specifico dei cookie di profilazione, la normativa implica che l’utente venga avvisato se sono presenti metodi che possano profilarlo, ed in questo caso richiede esplicitamente che sia lo stesso ad accettare o meno la memorizzazione dei suoi dati sensibili.

Un altro punto discusso ed approvato è stato quello di definire quali siano le parti coinvolte nella memorizzazione di dati, e l’installazione degli stessi è divisa in:

  • Cookie installati da prime parti, cioè installati direttamente dal gestore del sito;
  • Cookie installati da terze parti, cioè installati ed utilizzati da fornitori esterni al gestore del sito.

 

Dal momento che non si può avere controllo sui cookie staccati dalle terze parti e sugli eventuali aggiornamenti che gli editori esterni potranno fare sui loro metodi di memorizzazione, il garante suggerisce di non integrare la privacy policy di entità esterne, ma di citarne solo il nome ed il link alla corrispondente privacy o cookie policy.

Anonimizzazione dei servizi offerti da Google Analytics

Google Analytics è un insieme di servizi offerto da Google per il controllo del traffico e delle attività svolte in un sito web. Essendo molto aperto a tutti i tipi di modifica, può anch’esso essere utilizzato per profilare la provenienza di un utente che accede ad un sito web. Il garante sulla privacy, dopo approfondita discussione, ha decretato che è possibile trattare i cookie installati da Google Analytics come cookie tecnici se e solo se, in inizializzazione del servizio, viene esplicitato l’utilizzo anonimo dei dati acquisiti.

Le funzioni che Google fornisce nelle librerie di Analytics permettono di mascherare i primi 8 bit destri di un indirizzo IP, per offuscare l’effettiva provenienza di un client che naviga in rete.

Per maggiori informazioni su Google Analytics ed il codice per l’anonimizzazione degli indirizzi IP, è possibile visitare la pagina dedicata.