The client side (extra)

HTTP header

Ad ogni richiesta, il client invia un header HTTP al server.
Normalmente gli header vengono inviati non cifrati.
Gli header contengono informazioni come
- lingua richiesta,
- codifica dei caratteri richiesta
- browser utilizzato (e sistema operativo)
- cookie ...
HTTPS, invece, invia anche gli header cifrati.
Header HTTP possono contenere anche informazioni "private", ad esempio:
- FROM: l'indirizzo e-mail dell'utente, critico a causa del tracciamento dell'utente e della raccolta di indirizzi (spam).
- AUTENTICATION: contiene informazioni di autenticazione.
- COOKIE: un dato fornito al client dal server e restituito dal client al server nelle richieste successive.
- REFERER: la pagina da cui proviene il cliente, inclusi i termini di ricerca utilizzati nei motori di ricerca.
Combinare le informazioni (ad es. FROM, REFERER, indirizzo IP) consente ai fornitori di server un monitoraggio del comportamento degli utenti.

I cookie sono stati introdotti per consentire la gestione della sessione.
L'idea principale è abbastanza semplice:
- Un server può, in qualsiasi risposta, includere un cookie.
- Un client invia, in ogni richiesta, il cookie al server.
- Un cookie può contenere qualsiasi dato (fino a 4Kb).
- Un cookie ha una durata limitata.
I cookie hanno ricevuto molte critiche per motivi di privacy in quanto modificabili dall’utente e/o da un attaccante.

I cookie possono essere utilizzati per tracciare gli utenti.
La privacy è attaccata su più fronti:
- Analisi dei registri del server.
- Intercettazione del traffico (anche le intestazioni crittografate sono informative).
- Applicazione di proxy (o firewall a livello di applicazione), ad esempio distribuiti dal tuo ISP (Internet Service Provider) o datore di lavoro.
- Rivela i "registri del browser" (la cronologia) sul lato client.
Pertanto, i cookie sono solo una parte del gioco.
In ogni caso, i cookie devono essere considerati come informazione confidenziale!
I cookie con una durata molto lunga sono sospetti!