Sicuramente uno dei meccanismi più delicati insiti nella navigazione in rete è rappresentato dai cd. cookies attraverso i quali i vari siti web riescono non soltanto a personalizzare l'esperienza di navigazione dell'utente ma soprattutto a riconoscere quando egli torna a far visita alle pagine del sito.
Questi cookies, il cui funzionamento è descritto nella RFC 2109, possono essere impostati per sessione ed in questo caso rimangono nella memoria di sistema fino alla chiusura del browser oppure, caso assai più frequente, possono avere una determinata scadenza o essere addirittura permanenti ed allora essi vengono memorizzati in una apposita cartella del disco fisso locale sotto forma di file di testo in modo da poter essere successivamente recuperati.
Peraltro proprio i cookie di quest'ultimo tipo, soprattutto se utilizzati per finalità di autenticazione, sono quelli che presentano le maggiori vulnerabilità poiché, essendo persistenti, un aggressore potrebbe riuscire ad acquisirne una copia ed assumere successivamente l'identità on-line di un altro individuo.
In effetti è stato scoperto che attraverso un semplice clic su un URL costruito ad hoc gli utenti di Internet Explorer diventano potenzialmente vulnerabili alla rivelazione dei cookies presenti sulla loro macchina (un proof-of-concept di questa vulnerabilità è stato pubblicato all'indirizzo http://www.peacefire.org/security/iecookies).
