iframe cookies browser privacy user-tracking

¿Por qué los navegadores permiten configurar cookies en el dominio principal(cruzado) de un iframe?



browser privacy (1)

En mi opinión, se debe a la combinación del mecanismo CORS y al hecho de que la mayoría de los navegadores permiten las cookies de terceros de forma predeterminada.

Encontrará información útil en la página web de Cookies de Mozilla :

Si bien las cookies de origen se envían solo al servidor que las configura, una página web puede contener imágenes u otros componentes almacenados en servidores en otros dominios (como anuncios publicitarios ). Las cookies que se envían a través de estos componentes de terceros se denominan cookies de terceros y se utilizan principalmente para publicidad y seguimiento en toda la web.

[...] La mayoría de los navegadores permiten las cookies de terceros de forma predeterminada

Para evitar esta configuración predeterminada, es posible que las cookies de SameSite :

Permita que los servidores requieran que no se envíe una cookie con solicitudes entre sitios.

pero

Las cookies de SameSite aún son experimentales y aún no son compatibles con todos los navegadores .

Vea también la documentación de CORS (Intercambio de recursos entre orígenes) , donde puede leer eso:

El mecanismo CORS admite solicitudes seguras de dominio cruzado y transferencias de datos entre navegadores y servidores web. [...]

Este estándar de intercambio de origen cruzado se utiliza para habilitar las solicitudes HTTP entre sitios para:

[...]

  • Scripts (para excepciones no silenciadas).

También puede observar en la página web de Mozilla Security Same-Origin del desarrollador que <frame> y <iframe> son recursos que pueden estar incrustados de origen cruzado

Si está preocupado y no aceptaría ninguna cookie de terceros en Firefox , aún puede instalar los complementos de Privacy Badger (creados por el EFF ), pero esta solución requiere acceso en el navegador del usuario.

¿Por qué un sitio (a.com) que tiene un iframe para otro dominio (b.com) puede ver y modificar su cookie en ese otro documento de dominio?

Acabo de ver que esto sucedió en un anuncio, y fui a hacer una prueba de concepto, y funcionó ... esto es lo que hice: primero, señalé a.com y b.com a mi IP de la máquina de prueba.

luego tengo: http://a.com/a.html (este sería el sitio donde vi el anuncio)

<html><body><script src="http://b.com/b.js"></script>

http://b.com/b.js (esta sería la secuencia de comandos del anuncio insertada en línea en el sitio, que apunta al dominio de la empresa anunciante)

document.write(''<iframe src="http://b.com/b.html"></iframe>'');

en http://b.com/b.html :

<html><body><script>document.cookie = "test=1;domain=.a.com;path=/;expires=Tue, 30 Oct 2012 02:47:11 UTC";</script></body></html>

y después de ejecutar eso, en el stock de firefox 14, tengo una cookie en a.com.

que gobierna eso? ¿Dónde se define este comportamiento?