Cookies y otras tecnologías de monitorización en Internet son usadas para identificar usuarios mientras navegan y rastrear su comportamiento. Aunque las cookies tradicionales pueden ser eliminadas, existen métodos alternativos como fingerprinting del navegador, ETags, window.name y almacenamiento local que permiten seguir rastreando a un usuario aun después de eliminar cookies. Herramientas como Evercookie implementan múltiples métodos para crear cookies muy persistentes y difíciles de eliminar.
Vídeo de la presentación: http://www.youtube.com/watch?v=i__IbhyrB28
Cookies: ¿Cómo se usan en JavaScript?
Uso de las cookies en JavaScript: document.cookie, atributos de una cookie, setCookie(), getCookie(), escape(), unescape()
Más información:
- http://accesibilidadweb.dlsi.ua.es
- http://desarrolloweb.dlsi.ua.es
Autor: Sergio Luján Mora, profesor de la Universidad de Alicante (http://www.ua.es)
Vídeo de la presentación: http://www.youtube.com/watch?v=i__IbhyrB28
Cookies: ¿Cómo se usan en JavaScript?
Uso de las cookies en JavaScript: document.cookie, atributos de una cookie, setCookie(), getCookie(), escape(), unescape()
Más información:
- http://accesibilidadweb.dlsi.ua.es
- http://desarrolloweb.dlsi.ua.es
Autor: Sergio Luján Mora, profesor de la Universidad de Alicante (http://www.ua.es)
Forrester’s study: Discover How Marketing Analytics Increases Business Perfor...Nicolas Valenzuela
Invest In An Integrated Platform To Address Challenges Of Device Proliferation And Data Complexity
**Creemos en la cooperacion del conocimiento. Compartido por www.andabi.com
Vídeo de la presentación: http://www.youtube.com/watch?v=5sSideuXCFQ
¿Cómo funcionan las cookies?:
- JavaScript: document.cookie
- PHP: setcookie() y $_COOKIE
- RFC 6265 HTTP State Management Mechanism
Más información:
- http://accesibilidadweb.dlsi.ua.es
- http://desarrolloweb.dlsi.ua.es
Autor: Sergio Luján Mora, profesor de la Universidad de Alicante (http://www.ua.es)
Presentación de Xavier Ribas relativa a la Guía sobre el uso de cookies publicada en España en mayo de 2013 por la Agencia Española de Protección de Datos y las asociaciones aDigital, Autocontrol e IAB. Ver presentación en vídeo y con voz en http://www.youtube.com/watch?v=XJASICSi3LE
Procedimiento de notificacion de infracciones a ISPXavier Ribas
Análisis comparativo del procedimiento previsto en el Anteproyecto de Ley remitido al Consejo Asesor de las Telecomunicaciones y de la Sociedad de la Información
Resumen en español de como se interpreta la cookie de Google Analytics.
_utma, _utmb, _utmc, _utmz y _utmv
Identificando los marcadores de Dominio, Visitante, Campaña, tiempos, etc.
Saludos
Prof. Nicolas Julio Valenzuela @profvalenzuela
El equipo de Google Partner de Argentina compartió recientemente este documento, para contribuir a los departamentos de Marketing, Comunicación a los Communuty Managers, Diseñadores, Programadores y todo el ecosistema que siempre necesita estar al día en buenas practicas y métricas de nuestra region. En este caso intereses y costumbres del mundo mobile
A los amigos conocidos, colegas y estudiantes es que va dedicada esta nueva versión de nuestro Simulador de PLC, MacroPLC Trainer:
http://www.marioperez.com.mx/macroplc/simulador/?run
Ahora también disponible en Google Play:
https://play.google.com/store/apps/details?id=com.ionicframework.macroplc365297
Mi querido navegador web ¿Qué sabe de mí?linenoise
La ponencia versará sobre qué guardan de nosotros los navegadores web más utilizados (Explorer, Firefox, Chrome, Opera, Safari) y los métodos que utilizan para almacenar dicha información
Forrester’s study: Discover How Marketing Analytics Increases Business Perfor...Nicolas Valenzuela
Invest In An Integrated Platform To Address Challenges Of Device Proliferation And Data Complexity
**Creemos en la cooperacion del conocimiento. Compartido por www.andabi.com
Vídeo de la presentación: http://www.youtube.com/watch?v=5sSideuXCFQ
¿Cómo funcionan las cookies?:
- JavaScript: document.cookie
- PHP: setcookie() y $_COOKIE
- RFC 6265 HTTP State Management Mechanism
Más información:
- http://accesibilidadweb.dlsi.ua.es
- http://desarrolloweb.dlsi.ua.es
Autor: Sergio Luján Mora, profesor de la Universidad de Alicante (http://www.ua.es)
Presentación de Xavier Ribas relativa a la Guía sobre el uso de cookies publicada en España en mayo de 2013 por la Agencia Española de Protección de Datos y las asociaciones aDigital, Autocontrol e IAB. Ver presentación en vídeo y con voz en http://www.youtube.com/watch?v=XJASICSi3LE
Procedimiento de notificacion de infracciones a ISPXavier Ribas
Análisis comparativo del procedimiento previsto en el Anteproyecto de Ley remitido al Consejo Asesor de las Telecomunicaciones y de la Sociedad de la Información
Resumen en español de como se interpreta la cookie de Google Analytics.
_utma, _utmb, _utmc, _utmz y _utmv
Identificando los marcadores de Dominio, Visitante, Campaña, tiempos, etc.
Saludos
Prof. Nicolas Julio Valenzuela @profvalenzuela
El equipo de Google Partner de Argentina compartió recientemente este documento, para contribuir a los departamentos de Marketing, Comunicación a los Communuty Managers, Diseñadores, Programadores y todo el ecosistema que siempre necesita estar al día en buenas practicas y métricas de nuestra region. En este caso intereses y costumbres del mundo mobile
A los amigos conocidos, colegas y estudiantes es que va dedicada esta nueva versión de nuestro Simulador de PLC, MacroPLC Trainer:
http://www.marioperez.com.mx/macroplc/simulador/?run
Ahora también disponible en Google Play:
https://play.google.com/store/apps/details?id=com.ionicframework.macroplc365297
Mi querido navegador web ¿Qué sabe de mí?linenoise
La ponencia versará sobre qué guardan de nosotros los navegadores web más utilizados (Explorer, Firefox, Chrome, Opera, Safari) y los métodos que utilizan para almacenar dicha información
HTML5 es la respuesta de ingenieros y especialistas de empresas y organizaciones tecnológicas dedicadas a la web, quienes propusieron un estándar acorde a los nuevos tiempos y necesidades. Hoy en día, HTML5 está en vías de convertirse en un estándar oficial y es la punta del iceberg de un conjunto de tecnologías de web abierta destinadas a revolucionar la forma en que se construyen sitios y aplicaciones web.
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
Material de Alejandro Ramos para el Curso Online de Especialización en Seguridad Informática para la Ciberdefensa:
Módulo 3: Comunicaciones críticas e identificación en entornos de alta seguridad.
Mecanismos de autenticación-identificación. Vulneración y cracking de contraseñas
http://www.criptored.upm.es/formacion/index.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
Cookies y otras tecnologías de monitorización en internet
1. Cookies y otras tecnologías de
monitorización en Internet
Alejandro Ramos
Twitter: @aramosf
Blog: http://www.securitybydefault.com
Slideshare: http://www.slideshare.com/aramosf
Junio/2014
2. Introducción.
• Por motivos históricos el protocolo HTTP no
está orientado a mantener la sesión.
• == No es capaz de distinguir a los usuarios
mientras navegan.
• Debido a la necesidad de crear un “carrito de la
compra” nacen las cookies.
3. El protocolo HTTP
GET /
GET /siames.jpg
GET /persa.jpg
GET /angora.jpg
<incluye imágenes con gatos>
4. El protocolo HTTP – Ej. Autenticación
POST / usuario=yo&contraseña=CatFan
GET /mensajes
Cookie: ID=HD5F12EEAB095EF112
Set-Cookie: ID=HD5F12EEAB095EF112
Ok! Usuario correcto.
Hola… este es un mensaje privado…
5. Propiedades de las cookies
• Una cookie es un secreto compartido entre
cliente y servidor para validar la identidad:
un testigo.
• Se almacenan en el sistema en ficheros de forma
persistente.
• Tienen fecha de expiración.
• Se pueden establecer para que solo se
transmitan en protocolo seguro (HTTPS).
• Las de un dominio no pueden ser consultadas
por otro dominio.
8. Ejemplos de otros usos de las cookies.
• Identificar de forma inequívoca a un usuario
permite:
▫ Saber que páginas ha visitado.
▫ Que productos ha buscado.
▫ Su localización geográfica.
▫ Conocer desde que página ha llegado.
▫ El navegador que utiliza.
▫ Ver en que parte de la web a movido el ratón.
▫ … O incluso las teclas que ha pulsado.
11. Tipos de cookies.
• Existen varios formas de almacenar información de forma
persistente en un navegador:
▫ Cookies estándar: aceptadas por los RFC de HTTP.
▫ Cookies de HTML5 “webstorage”: nuevo método para almacenar
cookies en el navegador.
▫ Cookies “Local Shared Object” o LSO: en las que se usa un
contenedor de Flash.
▫ IE userData: parar versiones anteriores a la 10 de IE.
▫ SilverLight Isolated Storage: similar a Flash pero de MS.
• No todas ellas son “ampliamente” conocidas o se pueden
eliminar desde el navegador.
12. Cookie estándar
• Definidas en los RFC 2109 y 2965.
• Son la gran mayoría y las más conocidas.
• Se establecen mediante cabecera HTTP Set-
Cookie.
• Según el navegador se almacenan en:
▫ IE (ficheros)
%AppData%MicrosoftWindowsCookies
▫ Firefox (sqlite)
%AppData%MozillaFirefoxProfilesxxxxxx.defaultcookies.sqlite
▫ Chrome (sqlite)
%LocalAppData%GoogleChromeUser DataDefaultCookies
13. Peticiones HTTP
Servidor
HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: name=value
Set-Cookie: name2=value2; Expires=Wed, 09 Jun 2021 10:18:14 GMT
(content of page)
Navegador
GET /spec.html HTTP/1.1
Host: www.example.org
Cookie: name=value; name2=value2
Accept: */*
14. Cookies Flash - Local Shared Object
• Es necesario utilizar el plugin de Flash.
• Se pueden compartir entre navegadores Firefox->IE.
• Existió controversia cuando se comenzó a utilizar. Su uso
era muy extendido y no se conocían los mecanismos para
eliminar este tipo de datos.
• Desde 2011 se pueden eliminar desde el propio
navegador.
• No caducan.
• Se almacenan en:
▫ IE/Firefox:
%AppData%MacromediaFlash Player#SharedObjectsXXX
▫ Chrome:
%LocalAppdata%GoogleChromeUser DataDefaultPepper
DataShockwave FlashWritableRoot#SharedObjects
15. Ejemplo de Almacenamiento ActionScript 3
http://research.zscaler.com/2009/03/demystifyingabusing-flash-cookies.html
18. SilverLight Isolated Storage
• Similar a las Cookies de Flash, pero menos
conocidas.
• No muy extendidas debido a la falta de
popularidad de SilverLight.
• Ruta de los ficheros:
▫ %UserProfile%AppDataLocalLowMicrosoftSil
verlightis
20. Cookies HTML5
• Nacen con HTML5 para aumentar el tamaño de las cookies y
mejorar el rendimiento.
• Se pueden almacenar de formas distintas:
▫ Session Storage: no persistente.
▫ Local Storage: persistente y ampliamente usada
▫ Global Storage: antiguo método.
▫ Database Storage: en sqlite. Soportado por pocos navegadores.
▫ IndexedDB: Chrome/Firefox y parcialmente en IE.
• Las que se usan normalmente son las dos primeras.
• Su ruta en el disco es:
▫ IE:
%UserProfile%AppDataLocalLowMicrosoftInternet ExplorerDOMStore
▫ Firefox:
%AppData%MozillaFirefoxProfilesxxxxxxx.defaultwebappsstore.sqlite
▫ Chrome:
%LocalAppData%GoogleChromeUser DataDefaultLocal Storage
21. Ejemplo almacenamiento Local Storage
http://www.adictosaltrabajo.com/tutoriales/tutoriales.php?pagina=html5AlmacenamientoLocal
24. IE userData
• Utilizado como alternativa a “localStorage” en
navegadores IE sin soporte HTML5.
• Obsoleto en Internet Explorer 10.
• Peligrosas, ya que no expiran nunca.
• No soportado por otros navegadores.
• Ruta del almacén de ficheros:
▫ %USERPROFILE%AppDataRoamingMicrosoft
Internet ExplorerUserData
29. Alternativas a las cookies.
• Técnicamente es posible “engañar” al navegador
para identificar a un usuario sin la necesidad de
cookies.
• Esto permite que algunas empresas usen estos
métodos para rastrear usuarios y sus
comportamientos, aunque eliminen las cookies.
30. ¿Y estos métodos se usan?
Si….Y se las conoce como cookies zombie.
31. window.name
• Propiedad que permite especificar un nombre a
una ventana.
• Es permanente entre las páginas.
• Su uso esta muy extendido, sin propósitos de
monitorización.
• Aunque también se usa como sustituto de las
cookies de sesión..
• No es persistente en disco duro, salvo se
guarde en la caché.
32. Proyecto: jQuery-store
• Librería que permite almacenar información en:
▫ HTML 5's DOM Storage
▫ Microsoft's UserData
▫ Si esos métodos fallan: window.name
• Se puede usar para trazar una sesión, pero al no
ser persistente no aguanta los reinicios del
navegador.
https://github.com/medialize/jQuery-store
33. Fingerprint del navegador
• Identifica al usuario en base a una firma obtenida
al conectarse.
• Método ampliamente usado.
• La firma se genera en base a características como:
▫ Fuentes instaladas (javascript y flash).
▫ Complementos instalados.
▫ Zona horaria
▫ Resolución de la pantalla.
▫ Características del navegador (canvas)
35. Proyecto: FingerprintJS
• Permite obtener una huella única de un
navegador con una probabilidad del 94%.
• Múltiples variantes. Más de 10 proyectos en
Github similares.
• Proyecto EFF Panopticlick de 2010
https://github.com/Valve/fingerprintjs
https://github.com/carlo/jquery-browser-fingerprint
38. HTTP ETags
• La cabecera HTTP ETag es un identificador único que
se entrega junto a un objeto de una página web.
• Es usada para que el navegador consulte si ha sido
modificado el objeto que almacena en caché.
▫ Si no se ha modificado, no hace la petición.
▫ Si se ha modificado, realiza la petición y actualiza la
caché.
• Si el servidor web manda un identificador único en el
Etag para cada usuario, puede leerlo posteriormente
para identificarlo.
40. Proyecto: Cookieless
• Aplicación que implementa tracking mediante Etag.
• Fácil de usar y muy difícil de detectar si está bien
implantado.
• Proyectos alternativos:
▫ http://lucb1e.com/rp/cookielesscookies/
▫ https://github.com/mephir/etagsession
▫ https://github.com/adamdeprince/etag-tracker
• https://github.com/lucb1e/cookielesscookies
44. WebCache: “If-Modified-Since”
• Similar al caso anterior de Etag, basándose en la
caché del navegador.
• El servidor establece una fecha concreta para
cada usuario en un objeto (Last-Modified)
• El navegador comprueba si la versión de su
caché es la última mediante la cabecera “If-
Modified-Since” más la fecha que recibió.
• El servidor lee la fecha de la petición e identifica
al usuario.
45. Javascript con código único.
• El servidor manda a cada usuario un javascript
con un ID único.
• El javascript es almacenado en la caché.
• El ID es obtenido por el propio javascript como
valor de sesión.
• Este método es ampliamente usado, no siempre
con propósitos malvados.
48. WebHistory
• Mediante javascript se codifica en base64 la cookie.
• Se realizan peticiones en background para que queden
guardadas las URL en el historial del navegador.
• Por ejemplo, para almacenar “bcde-”, se harían las peticiones
de:
▫ google.com/evercookie/cache/b
▫ google.com/evercookie/cache/bc
▫ google.com/evercookie/cache/bcd
▫ google.com/evercookie/cache/bcde
▫ google.com/evercookie/cache/bcde-
• Para recuperar la sesión, se consulta el historial de
navegación mediante fuerza bruta (en local) utilizando CSS y
javascript.
• Es una prueba de concepto más que una realidad.
49. PNG, Canvas y caché
• Cuando el servidor genera la cookie, establece una
segunda cookie de control.
• El cliente solicita un PHP. Si el servidor observa que esa
petición contiene la cookie de control, crea una imagen
(PNG) que contiene los datos de la cookie a guardar.
• Se indica al cliente que guarde la imagen en la caché
durante años.
• Para recuperar la cookie el cliente solicita la imagen.
• El servidor devuelve un “304 Not Modified” y deja que el
navegador use la imagen de la caché.
• Mediante Canvas, recupera los bytes guardados en la
imagen.
50. PNG/Canvas – Crear imagen (cookie)
GET /index.html
Set-Cookie: ID=EE01AF
Set-Cookie: Control=778811
GET /pixel.png
Cookie: ID=EE01AF
Cookie: Control=778811
¿Tiene
cookie?
Si
EE01AF
Expires: Mon, 29 Apr 203’ 21:44:55 GMT
Queda
almacenada
en caché la
imagen
51. PNG/Canvas – Recuperar cookie (de la imagen)
GET /index.html
GET /pixel.png ¿Tiene
cookie?
No
304 Not ModifiedEn cache
Javascript lee el PNG con
“canvas” y establece la
cookie
52. Otros métodos
• Existen más métodos para identificar de forma
inequívoca a un usuario mientras navega:
▫ Java JNLP
▫ Google Gears
▫ HTTP Autenticación básica.
53. evercookie
• Herramienta que implementa hasta 14 métodos distintos
para persistir una cookie.
• Creada por Samy Kamkar en 2010
• Entre ellos algunos muy agresivos:
▫ Storing cookies in Web History
▫ Storing cookies in HTTP ETags
▫ Storing cookies in Web cache
▫ Java JNLP PersistenceService
▫ window.name caching
▫ PNG
▫ Java CVE-2013-0422 exploit
• https://github.com/samyk/evercookie
54. Evercookies en la NSA
• Presentación filtrada
por Snowden
• La NSA se plantea el
uso de evercookies.
http://www.theguardian.com/world/interactive/2013/oct/04/tor-stinks-nsa-
presentation-document
57. Recomendaciones.
• Pensemos que no hay manera de librarse.
• Única opción: navegar en modo privado
“InPrivate” o “Incógnito”. Esto deshabilita la
caché.
• Vaciar la caché del navegador al terminar de
usarlo.
• Cerrar el navegador al terminar de navegar.
• Utilizar extensiones como “AdBlock” , “Private
Browsing”, “Disconnect” y “SecretAgent”