Cookies, mais propriamente chamados de cookies HTTP, são pequenos bits de dados armazenados como arquivos de texto em um navegador. Os sites usam esses pequenos bits de dados para rastrear os usuários e habilitar recursos específicos do usuário.
Eles habilitam a funcionalidade central do site, como carrinhos de compras de um e-commerce, e também são usados para fins mais controversos, como rastrear a atividade do usuário.
Os cookies são uma parte necessária para a forma como a internet funciona, bem como uma fonte de preocupações com a privacidade e riscos de segurança. Por esse motivo, os usuários comuns e os desenvolvedores da web têm um bom motivo para entender melhor como esses pequenos dados funcionam.
Quer você seja apenas um usuário casual da Internet ou ganhe a vida como desenvolvedor da Web, há certas coisas sobre cookies HTTP que todo usuário da Internet deve saber, como a finalidade dos cookies e os riscos de privacidade e segurança inerentes ao seu uso.
No entanto, antes de entrarmos nisso, vamos começar respondendo a esta pergunta: de onde vieram os cookies da web?
De onde surgiu os cookies HTTP
Os cookies foram desenvolvidos pela primeira vez em 1994 por Lou Montulli, um funcionário da Netscape Communications. Junto com John Giannandrea, Lou desenvolveu os cookies como uma solução para tornar possível o carrinho de compras no e-commerce.
A primeira aplicação real de cookies na web foi para determinar se os visitantes do site da Netscape já o haviam acessado anteriormente.
Inicialmente, os cookies eram aceitos por padrão por todos os navegadores suportados e muito poucos usuários finais tinham alguma ideia sobre sua presença ou uso. Tudo mudou em fevereiro de 1996, quando o Financial Times publicou um artigo detalhando sua existência, seu propósito e uso.
O que aconteceu em sequência foi uma intensa pressão da mídia nos anos seguintes, devido aos riscos de privacidade inerentes ao rastreamento de visitantes.
A Força-Tarefa de Engenharia da Internet (IETF) recebeu a tarefa de criar uma especificação formal de cookie que concordasse com as preocupações expressas pela mídia.
A principal preocupação foram os riscos associados à permissão de cookies de terceiros. Eles são mais comumente conhecidos como cookies de rastreamento. A IETF tentou exigir que cookies de terceiros fossem explicitamente proibidos ou permitidos apenas após a aceitação explícita do usuário.
No entanto, os principais desenvolvedores de navegadores da época, Netscape e Microsoft, ignoraram a recomendação da IETF e concordaram com o desejo dos donos de sites a permitir cookies de rastreamento de terceiros.
Para que serve os cookies?
Os cookies associam bits de dados a um usuário específico.
Por exemplo, se você visitar um site, o site pode associar um cookie que o identifica como usuário X. Se você sair do site e depois acessá-lo novamente, esse cookie será usado pelo site para reconhecer que você é o mesmo usuário X que estava no site anteriormente.
Os cookies contêm necessariamente, no mínimo, dois dados: um identificador único de usuário e algumas informações sobre esse usuário.
Eles também podem conter uma ampla gama de atributos que informam aos navegadores o que fazer com o cookie.
Um exemplo comum de como tudo isso funciona é um cookie de autenticação.
Quando você faz login em um site, o site pode retornar um cookie que identifica sua conta de usuário e confirma que você fez login com êxito no site. Quando você interagir com o site, ele usará esse cookie como confirmação de que você é um usuário logado.
Tipos comuns de cookies
Os cookies podem ser classificados de várias maneiras diferentes. Vejamos quatro das classificações mais comuns para entender melhor como os cookies são usados e como funcionam.
- Os cookies de sessão são cookies temporários armazenados na memória do navegador apenas até o navegador ser fechado.
Esses tipos de cookies representam menos risco de segurança e são usados para alimentar carrinhos de compras de comércio eletrônico, para controlar os elementos da página mostrados a um usuário durante uma única visita de várias páginas a um site da Web e para outros fins de armazenamento de curto prazo.
- Cookies peristentes são cookies de longo prazo marcados pelo emissor com uma data de expiração.
Esses cookies são armazenados pelo navegador, mesmo após o navegador ser fechado. Eles são devolvidos ao emissor sempre que você visita o site que emitiu o cookie ou visualiza um site que contém um recurso (como um anúncio) emitido pelo emissor do cookie original.
Dessa forma, os cookies persistentes podem rastrear sua atividade não apenas no site que emitiu o cookie, mas também em qualquer site que inclua um recurso emitido pelo mesmo site. Este é o mecanismo que sites como Google e Facebook usam para criar um registro da atividade do usuário em vários sites.
Quando você clica em “Lembrar-me” ou em uma opção semelhante ao fazer login em uma conta online, um cookie persistente é usado para armazenar suas informações de login em seu navegador.
Como os cookies persistentes duram muito mais tempo do que os cookies de sessão e, teoricamente, podem rastrear sua atividade ao longo do tempo em vários sites, os cookies persistentes representam um risco maior do que os cookies de sessão.
- Cookies primários são cookies criados pelo site que você está visitando no momento. Por exemplo, enquanto estamos neste site, usamos cookies para vários fins, como fazer o nosso recurso de filtragem de host funcionar. Os cookies que emitimos enquanto você visita nosso site são cookies primários.
- Cookies de terceiros são cookies adicionados por um domínio que não é o domínio que você está visitando no momento. O uso mais comum de cookies de terceiros é rastrear usuários que clicam em anúncios e os associa ao domínio de referência.
Por exemplo, quando você clica em um anúncio em um site, um cookie de terceiros é usado para associar seu tráfego ao site onde o anúncio apareceu.
Embora os cookies sejam uma parte necessária da web moderna, eles também podem representar um risco considerável de invasão de privacidade, bem como um risco de segurança para os sites que os utilizam.
Cuidado com o usuário: Risco e recompensa de cookies
Como um usuário da web, é importante você conhecer os riscos associados aos cookies e o que pode fazer para excluí-los quando necessário. Vamos começar com os riscos associados aos cookies, que tendem a se enquadrar em duas categorias: fraude e invasão de privacidade.
Fraude de Cookie
Os métodos de cometer fraude de cookie são tecnicamente complexos, mas vale a pena conhecê-los.
Na maioria dos casos, a fraude de cookie assume uma de duas formas: um site malicioso usa visitantes legítimos do site como proxy em um ataque a um site ou a sistemas de rastreamento de jogos, anexando IDs de sessão falsos à atividade de um usuário legítimo. Vejamos quatro explorações comuns de fraude de cookies para aprender como funcionam:
- Cross-site scripting (XSS) : um usuário visita um site malicioso e recebe um cookie que contém uma carga útil de script visando um site diferente. O cookie malicioso é disfarçado para parecer que se originou do site de destino. Quando o usuário visita o site de destino, o cookie malicioso, incluindo a carga útil do script, é enviado ao servidor que hospeda o site de destino.
- Fixação de sessão : um usuário recebe um cookie malicioso que contém o ID de sessão do emissor do cookie. Quando o usuário tenta fazer login em um domínio de destino, a ID de sessão do emissor é conectada em vez da ID de sessão do usuário. Dessa forma, parece para o domínio de destino que o emissor está executando ações que o usuário está realmente executando.
- Ataque de falsificação de solicitação entre sites (XSRF) : um usuário visita um site legítimo e recebe um cookie legítimo. O usuário então visita um site malicioso que instrui o navegador do usuário a executar alguma ação visando o site legítimo. O site legítimo recebe a solicitação junto com o cookie legítimo e executa a ação, pois parece ter sido iniciada por um usuário legítimo.
- Ataque de lançamento de cookie : um usuário visita um site malicioso que fornece um cookie projetado para parecer que se originou de um subdomínio de um site direcionado, como . Quando o usuário visita o site de destino , http://example.com neste caso, o cookie do subdomínio é enviado junto com os cookies legítimos. Se o cookie de subdomínio for interpretado primeiro, os dados nesse cookie irão anular os dados contidos em quaisquer cookies legítimos subsequentes.
Como você pode ver, em praticamente todos os casos de fraude de cookies, os cookies são usados para falsificar a identidade de usuários legítimos ou para usar a identidade do usuário legítimo para realizar ações maliciosas.
Proteção contra fraude de cookies
Os cookies, mesmo os maliciosos, não são vírus. A natureza de texto simples dos cookies significa que eles não podem ser executados no seu computador.
Portanto, os programas de antivírus dificilmente protegem contra cookies maliciosos. No entanto, há pelo menos duas coisas que você pode fazer para se proteger para não se tornar uma vítima de fraude de cookie:
- Mantenha seu navegador atualizado. Muitas explorações de cookies são projetadas para tirar vantagem de brechas de segurança em navegadores desatualizados. A maioria dos navegadores atuais é atualizada automaticamente, mas se você estiver usando um navegador antiquado, pare de usá-lo e atualize-o.
- Evite sites questionáveis. Se você for avisado pelo navegador ou por um mecanismo de pesquisa de que um site é potencialmente malicioso, não prossiga para o site. Simplesmente não vale o risco.
Invasão de privacidade
A invasão de privacidade é uma preocupação maior do que a fraude de cookies para muitos usuários.
Se você considerar quantos sites têm algum tipo de recurso incorporado do Google, como o Adsense, Analytics, Maps, login com o Google e assim por diante, é fácil perceber como o Google está continuamente coletando dados dos usuários diariamente.
Muitos usuários acham que o uso dessa informação pelo Google para entregar anúncios direcionados é, no mínimo, assustador e potencialmente uma grave invasão de privacidade.
O Google não está sozinho nesse aspecto. Todas as plataformas de publicidade e redes sociais na internet estão constantemente tentando extrair o máximo de dados de cada usuário com o objetivo de entregar anúncios relevantes com mais chances de serem clicados.
Resumindo, se você acessa a internet, você está sendo rastreado e agora tem conhecimento disso.
Proteja sua privacidade
Realmente não há como evitar os cookies. No entanto, existem algumas coisas que você pode fazer para limitar a quantidade de exposição que enfrenta quando se trata de invasão de privacidade coletada por cookies:
- Preste atenção às configurações de segurança e privacidade do seu navegador. Abra o menu de configurações do seu navegador e procure as configurações de segurança ou privacidade. Defina as políticas de cookies para serem tão rigorosas quanto você julgar necessário, sem dificultar indevidamente o acesso aos recursos do site.
- Use o modo de navegação privada ou anônima. Todos os navegadores modernos oferecem a opção de navegar na web usando uma lista de cookies limpa. Ao usar este modo, o navegador não usará nenhum cookie persistente existente. Ao fechar o navegador, todos os cookies, mesmo os persistentes, serão excluídos. Lembre-se de que isso significa que nenhuma senha será salva e todos os sites pensarão que é a primeira vez que você os visita cada vez que os visita.
Como visualizar e excluir os cookies armazenados pelo seu navegador
Todos os principais navegadores tornam muito fácil visualizar e excluir os cookies armazenados por ele. No entanto, o processo varia de um navegador para outro.
Em geral, você poderá abrir as configurações do navegador e procurar a seção de privacidade ou segurança. Em seguida, procure uma opção que permite visualizar os cookies armazenados pelo seu navegador. Ao visualizar cookies individuais, você terá a opção de excluir todos os cookies que deseja remover de seu navegador. Você também deve encontrar uma opção para excluir facilmente todos os cookies, se desejar.
Se tiver dúvidas, basta pesquisar no Google o termo “Como visualizar cookies no nome do navegador“.
Um tipo especial de cookie que você pode ter problemas para excluir é um cookie zumbi. Esse tipo de cookie é recriado automaticamente por um script armazenado fora da memória do navegador sempre que você o exclui. O resultado? Você não pode simplesmente excluir o cookie e fazer com que ele seja removido para sempre.
Esse comportamento estranho pode fazer você pensar que todos os cookies zumbis são maliciosos, mas não é o caso. Alguns cookies zumbis têm usos legítimos. No entanto, seu comportamento fez com que fossem universalmente ridicularizados tanto por especialistas em segurança quanto por defensores da privacidade.
Excluir esses tipos de cookies exige um pouco mais de perseverança e normalmente envolve o exercício de suas habilidades de pesquisa no Google para descobrir como outras pessoas lidaram com o mesmo cookie que não pode ser excluído. O que você terá que fazer é descobrir onde o script que está recriando o cookie está armazenado e excluí-lo para interromper o renascimento contínuo do cookie zumbi.
Controle de cookies: navegadores e dispositivos
A boa notícia é que você não está inteiramente à mercê das boas ou más intenções dos diversos sites e serviços na internet. Você pode gerenciar a política de cookies do seu navegador. Ao estabelecer uma política de cookies, você pode limitar sua exposição a alguns dos riscos inerentes ao uso da web.
Estabelecendo uma política de controle de cookies do navegador
Todos os principais navegadores facilitam o gerenciamento de cookies. No entanto, o processo varia de um navegador para outro. Vamos dar uma olhada em como você pode gerenciar a política de cookies nas versões para desktop do Chrome, Firefox, Microsoft Edge e Internet Explorer.
Chrome
Abra o menu de configurações e use o campo Configurações de pesquisa para pesquisar “cookies”. Isso retornará as configurações de privacidade . Você também pode encontrar esta seção rolando até a parte inferior do menu de configurações, selecionando Mostrar configurações avançadas e localizando a seção Privacidade .
Nas configurações de privacidade , selecione a opção Configurações de conteúdo . Por padrão, todos os cookies originais e de terceiros são aceitos – uma configuração à qual o Chrome se refere como Permitir que dados locais sejam configurados (recomendado) . Se você não estiver satisfeito com esta política, as alternativas incluem:
- Mantenha os dados locais apenas até sair do navegador : Selecione esta opção para aceitar cookies, mas excluí-los ao sair do navegador.
- Bloquear as configurações de quaisquer dados por sites : Selecione esta opção para desativar completamente todos os cookies.
- Bloquear cookies de terceiros e dados do site : se você não quiser permitir cookies de terceiros, marque esta caixa de seleção.
- Gerenciar exceções : pressione este botão para gerenciar a lista de sites que operam com uma política de cookies específica do site.
Firefox
Para gerenciar cookies no Firefox, abra o menu do navegador, selecione Opções e selecione a guia Privacidade . Na seção Histórico , selecione o item do menu suspenso para Usar configurações personalizadas para histórico e, em seguida, selecione uma das seguintes opções:
- Desmarque a opção padrão para Aceitar cookies de sites para desabilitar completamente os cookies.
- No menu suspenso Aceitar cookies de terceiros, você pode escolher aceitar todos os cookies de terceiros, apenas aqueles de sites que você visitou anteriormente ou bloquear cookies de terceiros totalmente.
- Selecione o botão Exceções para gerenciar uma lista de sites com uma política de cookies diferente da política do navegador.
- No menu suspenso Manter até , opte por manter os cookies até que eles expirem ou exclua-os quando o Firefox for fechado.
Microsoft Edge
Gerenciar cookies no navegador mais recente da Microsoft é bastante simples. Primeiro, abra o menu de configurações do navegador. Role até a parte inferior e clique em Exibir configurações avançadas . Role até a parte inferior novamente e você encontrará um menu suspenso Cookies . Existem três opções autoexplicativas disponíveis neste menu:
- Não bloqueie cookies (selecionado por padrão)
- Bloquear todos os cookies
- Bloqueie apenas cookies de terceiros .
Notavelmente ausente neste menu está qualquer forma de excluir cookies cada vez que o navegador é fechado.
No entanto, você pode fazer isso voltar ao menu de configurações principais (clique no botão «na parte superior do menu Configurações avançadas ).
Em seguida, selecione o botão Escolha o que limpar abaixo de Limpar dados de navegação . Selecione apenas a opção Cookies e dados do site salvos e , em seguida, selecione a opção de alternar para Sempre desmarcar quando eu fechar o navegador .
Internet Explorer
O gerenciamento de cookies no IE 9, IE 10 e IE 11 é feito da mesma maneira.
Primeiro, abra o menu Opções da Internet . Em seguida, selecione a guia Privacidade . Na guia Privacidade , selecione o botão Avançado . No próximo menu, você pode estabelecer uma política para cookies primários e de terceiros. Além disso, você pode marcar uma caixa de seleção para substituir a política de cookies e Sempre permitir cookies de sessão .
Se você também deseja excluir todos os cookies sempre que fechar o Internet Explorer, volte para a guia Geral e marque a caixa de seleção para Excluir histórico de navegação ao sair . Por fim, selecione o botão Aplicar na parte inferior do menu Opções da Internet para salvar e aplicar suas alterações.
Gerenciando cookies em seu dispositivo móvel
O gerenciamento de cookies em dispositivos móveis pode variar do processo de gerenciamento de cookies em um navegador de desktop.
Isso ocorre principalmente porque a maioria dos sistemas operacionais móveis inclui um navegador nativo. Além disso, os navegadores móveis podem não oferecer todas as mesmas opções que seus irmãos de desktop, e isso pode complicar ainda mais as coisas.
Vamos dar uma olhada no gerenciamento de cookies em dispositivos iOS, Android e Blackberry.
Apple iOS
Se você usa o Safari no iOS, pode gerenciar a política de cookies abrindo o aplicativo Ajustes , rolando para baixo e selecionando Safari e, em seguida, rolando para baixo até ver a opção Bloquear cookies . O menu Bloquear cookies exibirá quatro opções:
- Sempre bloquear
- Permitir apenas do site atual (cookies primários)
- Permitir de sites que eu visito (opção padrão, permite cookies de terceiros limitados)
- Sempre permitir .
Se você não usa o Safari no seu iPhone, há uma boa chance de você usar o Chrome. O Chrome no iOS possibilita a exclusão de cookies, mas não o gerenciamento da política de cookies.
Para excluir cookies, abra o menu do Chrome e selecione Configurações . Role para baixo e selecione Privacidade . Role para baixo novamente e selecione Limpar dados de navegação . Selecione os tipos de dados que deseja excluir, certificando-se de selecionar Cookies, Dados do site e, em seguida, selecione a opção para Limpar dados de navegação .
Outra opção para usuários do Chrome no iOS é navegar usando uma guia anônima e certifique-se de fechar a guia antes de fechar o navegador. Dessa forma, nenhum cookie será armazenado além da sessão de navegação atual.
Andriod
Muitos dispositivos Android vêm com um navegador integrado. Infelizmente, esses navegadores variam de um fabricante e modelo de telefone para outro. Como resultado, o gerenciamento de cookies nesses navegadores varia consideravelmente. No entanto, em geral, o que você precisa fazer é abrir o navegador, encontrar o menu de configurações e localizar as configurações de privacidade.
As coisas são um pouco mais diretas para usuários do Chrome no Android. Para gerenciar a política de cookies, abra o navegador, encontre o menu e selecione Configurações . Navegue até as configurações do site e selecione Cookies . A partir desse menu, você pode ativar ou desativar a aceitação de cookies, decidir se permite ou não cookies de terceiros e gerenciar uma lista de sites excluídos da política de cookies.
Existe lei para uso de cookies
Todos que possuem um site publicado na internet precisam estar cientes das leis e diretivas de privacidade que afetam seu trabalho. Se você ignorar as leis que se aplicam ao uso de cookies, poderá até mesmo enfrentar multas pesadas.
- Requisitos da política de privacidade : vários países, incluindo recentemente o Brasil, exigem que você informe aos usuários o que está fazendo com seus dados pessoais. Se você usar cookies de qualquer forma para rastrear a atividade do usuário, incluindo o uso de cookies de analytics para rastrear o tráfego de visitantes, você é obrigado por lei a publicar uma política de privacidade explicando quais dados você coleta e como os usa.
Cumprir a lei no que diz respeito a cookies não é tão difícil. Na maioria dos casos, tudo o que você precisa fazer é seguir estas três diretrizes:
- Se você mora na União Europeia ou no Brasil e tem como alvo consumidores da UE, certifique-se de dar a eles a oportunidade de reconhecer que seu site usa cookies.
- Se você permitir anúncios pagos ou a colocação de anúncios afiliados em seu site, divulgue essas informações em seu site de maneira óbvia.
- Se você rastrear a atividade do usuário ou coletar quaisquer dados do usuário, forneça uma política de privacidade abrangente explicando quais dados você coleta e como eles são usados.
Faça essas três coisas e você permanecerá do lado certo da lei. Posto isto, devemos também dizer que não somos advogados, não oferecemos aconselhamento jurídico, e se você tiver alguma dúvida específica sobre este assunto você realmente deve consultar um advogado.
Conclusão
Os cookies são parte integrante da web moderna e sem eles muitos serviços existentes hoje não seriam possíveis. É o caso por exemplo dos programas de afiliados bastante explorados no marketing digital.
Afinal, as plataformas de marketing de afiliação apenas são capazes de identificar a origem da venda do afiliado por conta dos cookies.
No entanto, eles representam uma faca de dois gumes: eles facilitam a usabilidade de sites ao mesmo tempo que representam um risco legítimo para a segurança do site e a privacidade do usuário.
No final das contas, os cookies continuarão existindo e a grande maioria dos sites usa cookies de alguma forma.
Ao se informar sobre como os cookies funcionam e como lidar com eles, você estará mais bem preparado para aproveitar seus benefícios enquanto se protege contra os riscos inerentes.