opinion

Cookies, autenticación única y tú

Federico Dios, Pre-Sales Manager de Akamai

03 DE febrero DE 2020. 12:29H Federico Dios

52e311afdd78b2c458c8f9d746e2595c.JPG

Como parte de un esfuerzo conjunto para proteger la privacidad del usuario final y aumentar la seguridad de los navegadores, los principales navegadores web han incluido cambios en el tratamiento de las cookies de terceros (3rd party cookies). Estos cambios están diseñados para paralizar los servicios de publicidad que rastrean el comportamiento del usuario online y dependen de cookies de terceros.

Apple Safari, Mozilla Firefox, Microsoft Edge y Google Chrome han implementado la prevención de las cookies de terceros de forma predeterminada. Otras mejoras incluyen la limitación de las cross-site cookies exclusivamente a conexiones HTTPS.

Además de proteger a los usuarios del rastreo, la eliminación de las cookies de terceros aporta otros beneficios de seguridad. En palabras de Google: "Este cambio también beneficia a la seguridad de los usuarios de un modo significativo, ya que protege las cookies de la cross-site injection y de los ataques de divulgación de datos como Spectre y CSRF de forma predeterminada, que funcionan leyendo el contenido de la memoria del navegador".

Es un buen paso hacia la privacidad por diseño, pero puede crear problemas con la forma en que se han hecho las cosas. Estos cambios pueden afectar a algunas funciones de inicio de sesión única (SSO) en los sitios web, ya que estas soluciones suelen utilizar cookies. SSO es una capacidad útil que mantiene a sus clientes conectados cuando navegan entre sus sitios, por lo que deben saber cómo pueden ajustarse a la nueva realidad.

Para ello es bueno conocer la diferencia entre las cookies de origen (1st party cookies) y de terceros (3rd party cookies). La diferencia clave tiene que ver con la procedencia de la cookie. Las cookies que se crean utilizando el mismo dominio en el que estás (es decir, el sitio en la barra de direcciones de tu navegador) son cookies de origen. Por ejemplo, si estoy usando cualquier sitio web de onlinestore.com, las cookies de origen mostrarán onlinestore.com como el dominio.

En comparación, las cookies de terceros tienen un dominio diferente al del sitio que estamos usando. Si todavía estoy usando onlinestore.com, las cookies de terceros verán que podría haber algo como online-ad-tracker.com. Estas son comúnmente usadas por compañías para rastrear la actividad de un usuario a través de múltiples sitios. En la era del aumento de la privacidad y el consentimiento, la capacidad de rastrear la actividad a ese nivel no es aconsejable.

Las cookies de origen no son malas; son un componente clave para ayudar a proporcionar la experiencia personalizada a la que estamos acostumbrados cuando vamos de una página a otra en el mismo sitio web. Sin ellas, tendríamos que iniciar sesión más a menudo o perderíamos potencialmente lo que hay en nuestro carrito de la compra. Si realmente queremos deshabilitar las cookies de primera parte, podemos hacerlo en la configuración del navegador. Sin embargo, es posible que nuestra experiencia de navegación sea mucho más difícil con las cookies de origen deshabilitadas.

Esto implica que si utilizamos un servicio de Identidad como Servicio (IDaas), como Identity Cloud, para ayudar a proporcionar capacidades de SSO, las cookies de terceros se utilizarían para ayudar a facilitar esto, ya que el servicio es un proveedor que no es propiedad de su sitio Web. Los sitios Web afectados no podrán iniciar sesión automáticamente en un usuario que ya se haya autenticado en otro de sus sitios Web y, a su vez, los usuarios tendrán que iniciar sesión en cada sitio Web.

Como resultado de limitar el uso de cookies de terceros, las soluciones de inicio de sesión único que se basan en cookies de terceros también se ven afectadas y ya no funcionan en muchas combinaciones de navegador y SO. Apple ha reconocido esto y ha señalado que la interrupción del SSO o de la federación puede tener un "impacto no intencionado"; y "puede alterar los métodos de prevención de rastreo para permitir ciertos casos de uso"; en el futuro.

A pesar de que estas cookies de terceros no están siendo usadas para rastrear a los usuarios, las nuevas protecciones de los navegadores no discriminan entre las "buenas"; capacidades como SSO vs. las funciones "menos deseables" como el rastreo de anuncios. Si se trata de una cookie de terceros, se desactiva.

Mi consejo es que, los clientes que deseen continuar ofreciendo una capacidad SSO para sus sitios web necesitarán moverse a una solución que se base en enviar a un usuario a una página de inicio de sesión centralizada para la autenticación, que podrá entonces rastrear una sesión con una cookie de origen.

La experiencia del usuario final se puede configurar para trabajar exactamente como un login social donde el sitio web principal permanece en la ventana principal y el usuario se autentica en una ventana emergente que se cierra automáticamente cuando el login se realiza con éxito.

Herrera: "El mercado siempre sobrerreacciona ante situaciones como la actual"