Capita su parecchi siti web, sarà capitato anche a voi. Nel riquadro dove i visitatori registrati possono inserire nome utente e password appare anche una casellina quadrata, Ricordati di me. Se la spuntiamo, possiamo tornare su quel sito – anche a giorni di distanza, anche dopo aver chiuso e riaperto il browser – senza inserire nuovamente le credenziali. Bel trucco. Ma vi siete mai chiesti come funziona davvero questa memorizzazione, se introduca rischi, se e quando valga la pena di usarla? In altre parole, perché sulla maggioranza dei siti il ricordo della visita svanisce al termine della visita stessa, come un bel sogno al risveglio?
![Fumetto in cui un ragazzo si sveglia eccitato dal sogno notturno e corre a raccontarlo, ma l'ha dimenticato prima di raggiungere la compagna.](http://imgs.xkcd.com/comics/every_damn_morning.png)
Aveva a che fare con una spada, una coppa, una collina e un albero, mi pare.
Se non ci fermiamo troppo a pensarci, sembra che non ci voglia molto. Ogni visione di una pagina su un sito web sarebbe una visita a sé, come abbiamo già spiegato, se non esistesse la magia dei cookie. Una tecnologia semplice, innocua e largamente incompresa. Però, che ci vuole? Salviamo username e password in un cookie permanente e in questo modo alla prossima visita non ci sarà bisogno di reinserirla.
Si potrebbe fare, ma sarebbe una ingenuità pericolosa. Mi spiego. Il traffico da e per un sito web http viaggia in chiaro, in forma completamente intercettabile. Per esempio, se mi fermo in un Internet Café e apro Apogeonline sul mio portatile (tablet, smartphone o notebook), il mio browser manda i cookie al server in un formato che tutti gli altri avventori possono sbirciare senza problemi. Se ci fosse un cookie che contiene i dati con cui io commento il blog, qualsiasi altro avventore potrebbe copiarlo, impersonarmi e commentare a mio nome. Quindi, se i programmatori di WordPress – il sistema su cui è basato Apogeonline – usassero i cookie in questo modo sarebbero dei peracottai. Fortunatamente ci vuol poco, usando Google Chrome, per verificare quali e quanti cookie un sito utilizza, e cosa c’è dentro.
Avviso ai naviganti: se usate un sito per qualcosa di importante, scegliete di non usare la funzionalità ricordati di me perché comunque essa è, per sua natura, un po’ insicura. E voi, in quanto meri utilizzatori del sistema, non avete controllo sul modo esatto in cui l’informazione viene processata. Specialmente se c’è sotto WordPress.
Chi di web ne mastica si chiederà a questo punto se c’è un modo consigliato con cui può dare vita alla funzionalità ricordati di me. La risposta è positiva, ma ci vuole un po’ di lavoro. In sintesi: nel cookie mettiamo una password usa-e-getta, unica e casuale. Sul server ne esiste una copia cifrata, che viene verificata quando tornate; se coincide, la sostituisce immediatamente con un’altra che verrà consumata alla prossima pagina visitata; se non coincide deduce che un altro avventore del vostro Internet Café ve l’ha rubata e ve ne informa.
Come sempre, a guardare cosa fanno quelli bravi c’è sempre da imparare. Se andate su Amazon, verrete riconosciuti e salutati grazie a un sistema ricordati di me (realizzato nel modo appena spiegato e relativamente sicuro); potete navigarlo e fruire del suggerimenti personalizzati. Però non appena provate a fare qualcosa di impegnativo, come chiudere un acquisto – zac! – scatta la richiesta di username e password.