Cookies: τι είναι τελικά και πώς σχετίζονται με την ασφάλεια μας;
Τα τελευταία τρία χρόνια, θα έχετε παρατηρήσει “επιθέσεις” από popups κατά την πλοήγηση σε ιστοτόπους, τα οποία popup σχετίζονται με τα λεγόμενα cookies. Τις περισσότερες φορές καταλήγουν να είναι ενοχλητικά, όμως όλο το εγχείρημα δεν προκύπτει απόλυτα από την οικειοθελή επιλογή τού εκάστοτε διαχειριστή ιστότοπου. Ακόμα ένας αντίκτυπος του Γενικού Κανονισμού Προσωπικών Δεδομένων (ΓΚΠΔ) της ΕΕ είναι και η υποχρεωτική ενημέρωση ή/και επιλογή των cookies που χρησιμοποιούνται στους ιστοτόπουςΤα τελευταία τρία χρόνια, θα έχετε παρατηρήσει “επιθέσεις” από popups κατά την πλοήγηση σε ιστοτόπους, τα οποία popup σχετίζονται με τα λεγόμενα cookies. Τις περισσότερες φορές καταλήγουν να είναι ενοχλητικά, όμως όλο το εγχείρημα δεν προκύπτει απόλυτα από την οικειοθελή επιλογή τού εκάστοτε διαχειριστή ιστότοπου. Ακόμα ένας αντίκτυπος του Γενικού Κανονισμού Προσωπικών Δεδομένων (ΓΚΠΔ) της ΕΕ είναι και η υποχρεωτική ενημέρωση ή/και επιλογή των cookies που χρησιμοποιούνται στους ιστοτόπους.
Αρχικά, θα αναρωτιέστε τι είναι τέλος πάντων εκείνα τα cookies που βλέπουμε να αναφέρονται σχεδόν σε κάθε επίσκεψη σε ιστότοπο. Πρακτικά, δεν είναι τίποτα άλλο, πέρα από πάρα πολύ μικρά αρχειάκια, τα οποία βρίσκονται στον τοπικό αποθηκευτικό χώρο του κάθε πλοηγού (chrome, firefox, κ.ά.), τα οποία είναι ακίνδυνα, όμως, πολλές φορές, με πάρα πολύ μεγάλη σημασία ως προς το περιεχόμενο τους.
Μπορεί να γίνει είτε απόρριψη είτε αποδοχή των cookies σε ένα τέτοιο popup. Κάποια cookies είναι απαραίτητα για την λειτουργία της ιστοσελίδας και για αυτά δεν έχουμε την επιλογή απόρριψης. Η επιλογή και αποδοχή αφορά κυρίως τα υπόλοιπα cookies όπως και τα 3rd-party cookies (cookies που σχετίζονται με ιστοτόπους πέρα από αυτόν που πλοηγούμαστε) και αυτά είναι για παράδειγμα το Google Analytics (για στατιστικούς σκοπούς), AdSense (για διαφημιστικούς σκοπούς), Facebook κ.ά. Σε κάθε περίπτωση, σύμφωνα με τον ΓΚΠΔ, η μη αποδοχή των cookies πρέπει να επιτρέπει την χρήση της ιστοσελίδας, όπως θα ήταν και στην περίπτωση αποδοχής αυτών, εκτός όμως των λειτουργιών εκείνων που αφορούν τα απορριφθέντα cookies. Ακόμα, λεπτομέρειες σχετικά με τα cookies που χρησιμοποιούνται, θα πρέπει να περιγράφονται στην πολιτική απορρήτου της εκάστοτε ιστοσελίδας.
Ας επιχειρήσουμε τώρα να πάμε ένα βήμα παραπέρα, σε κάτι πολύ ενδιαφέρον, και να αναφέρω πράγματα σχετικά με τα cookies που αφορούν την ασφάλειά μας. Σε πολύ γενικές γραμμές, μικρής σημασίας cookies, ενδεχομένως να είναι cookies τα οποία περιέχουν πληροφορίες από επιλογές του χρήστη σε έναν ιστότοπο, όπως η προτίμηση του νομίσματος σε ένα ηλεκτρονικό κατάστημα.
Από την άλλη πλευρά, μεγάλης σημασίας cookies, είναι εκείνα τα οποία περιλαμβάνουν πληροφορίες οι οποίες είναι ικανές να ταυτοποιήσουν τον επισκέπτη, είτε προσωπικά είτε ανώνυμα. Για παράδειγμα, κατά την είσοδο στον λογαριασμό μας σε έναν ιστότοπο, θα δημιουργηθεί cookie (ή cookies) που σχετίζονται με την ταυτότητα μας και συνήθως αφορά μόνο τον συγκεκριμένο ιστότοπο που πλοηγούμαστε. Το σημαντικότερο συμπέρασμα που προκύπτει από το παράδειγμα είναι πως αν η ασφάλεια είναι σχετικά φτωχή σε έναν ιστότοπο στον οποίο πραγματοποιούμε είσοδο στον λογαριασμό μας, τότε, αν το cookie ταυτοποίησης “πέσει” σε ξένα χέρια, είναι σαν να έχει κάποιος το κλειδί μας και να πλοηγείται όπως εμείς. Αυτό δεν σημαίνει ότι κάποιος έμαθε τον κωδικό μας, αλλά ότι έχει χακάρει τον λογαριασμό μας φορώντας το “καρτελάκι” μας στο λαιμό του με το οποίο του εξουσιοδοτείται η περιήγηση, σαν να είμαστε εμείς, μέσα στον ιστότοπο.
Βρίσκομαι σε θέση να γνωρίζω, ότι μέχρι πριν κάποια χρόνια, αυτό ήταν εφικτό να γίνει σε μεγάλο (ίσως το μεγαλύτερο σήμερα) κοινωνικό δίκτυο, όμως έως σήμερα έχουν γίνει πολλές βελτιώσεις ασφαλείας στο συγκεκριμένο κομμάτι του ιστοτόπου και οποιαδήποτε απόπειρα επιχειρηθεί με αυτή την τεχνική, θα είναι μάταιη.
Έχοντας αναγνώσει τα παραπάνω, πιθανότατα να έχει γεννηθεί το ερώτημα για το πώς μπορούμε να προστατευτούμε. Γνωρίζοντας ότι κανένα πληροφοριακό σύστημα δεν είναι απόλυτα ασφαλές, είναι απαραίτητο για την ασφάλειά μας να κάνουμε τα εξής:
α) Σε περίπτωση εισόδου σε λογαριασμό μας, να χρησιμοποιούμε έμπιστο και ασφαλές δίκτυο. Η είσοδός μας στο e-banking, ενώ έχουμε συνδεθεί σε δημόσιο δίκτυο, ενδέχεται να αποβεί μοιραία
β) Χρήση συγκεκριμένων συσκευών για την πρόσβαση μας και όχι από οποιαδήποτε συσκευή
γ) Χρήση ελέγχου ταυτότητας δύο παραγόντων (2FA), εφόσον παρέχεται από τον ιστότοπο
δ) Σε οποιαδήποτε περίπτωση, ο ιστότοπος πρέπει να χρησιμοποιεί ασφαλές πρωτόκολλο μεταφοράς δεδομένων https. Συνήθως στους πλοηγούς εμφανίζεται ένα λουκέτο κλειδωμένο δίπλα στην ηλεκτρονική διεύθυνση
Πηγή: https://www.csii.gr/
