Provavelmente você já acessou um site que pediu permissão para compartilhar os cookies e você aceitou sem ler os termos, certo? Segundo pesquisa da NordVPN, realizada nos Estados Unidos, metade dos usuários aceitam todos os cookies de forma automática dos sites que visitam. Porém, o que muitas pessoas não sabem é que eles são pequenos arquivos de texto que os sites colocam em dispositivos dos visitantes durante a navegação. Entretanto, existem questões relacionadas à privacidade. Há muitas maneiras pelas quais cookies desprotegidos podem ser manipulados e expõem usuários e organizações a graves incidentes de segurança.
“Quando você visita um site, seu navegador envia uma solicitação, em seguida o site responde com as informações solicitadas e também com um cookie, que é armazenado no navegador. Sempre que você envia outra solicitação para o mesmo site, o navegador envia junto o Cookie, para que você possa ser facilmente identificado. Isso pode ser usado em funções como selecionar um idioma em um site multilíngue, para manter o usuário autenticado ou rastrear suas ações”, explica Cláudio Dodt, sócio-gerente da Daryus Consultoria, especialista e evangelista em Cibersegurança e Proteção de Dados.
O cookie é uma ferramenta da internet que tem o potencial de fornecer às empresas uma visão da atividade on-line dos internautas. Dodt explica que o uso do cookie em si não é uma ameaça de segurança, pelo contrário, é uma ferramenta fundamental que apoia funções básicas em sites, por exemplo, os carrinhos de compras on-line, mas também tem o potencial de fornecer às empresas uma visão substancial da atividade on-line de seus usuários.
“Muito além das questões relacionadas à privacidade, há muitas maneiras pelas quais cookies desprotegidos podem ser manipulados e expõem usuários e organizações a graves incidentes de segurança”, afirma Dodt.
Segundo o especialista, existem três tipos de cookies:
- Cookies de sessão: são cookies temporários e, como o próprio nome indica, devem ser válidos apenas para uma única sessão, e desaparecem assim que você fecha o navegador, pois geralmente são mantidos na memória ativa.
- Cookies permanentes: este tipo de cookie é usado para identificá-lo por um período mais longo, em várias sessões diferentes, daí o nome permanente ou persistente. Neste caso, os cookies são armazenados em seu disco rígido e não serão excluídos automaticamente. Os cookies permanentes têm duas funções básicas: autenticação e rastreamento.
- Cookies Primários x Terceiros: alguns cookies são criados pelo site que você está visitando, por exemplo, a maioria dos cookies de sessão são cookies primários. Mas há também o caso de cookies criados por um site que você nem está visitando, são cookies de terceiros, também conhecidos como cookies de marketing ou de publicidade, e são usados para rastrear um usuário e coletar informações em diferentes sites e fornecer uma “experiência personalizada”.
Segurança e privacidade dos cookies
É importante entender que não existe algo como uma infecção de malware através de um cookie, afinal, eles são apenas arquivos de texto simples e não contêm nenhum tipo de código executável. No entanto, dependendo de como os cookies são usados e expostos, eles podem representar um sério risco à segurança.
Por exemplo, imaginando uma situação em que cookies são “sequestrados”, e levando em consideração o fato de que a maioria dos sites utiliza cookies como os únicos identificadores para as sessões do usuário, teoricamente um invasor de posse do cookie poderá se passar por outra pessoa e obter acesso não autorizado.
“Como o rastreamento de usuários evoluiu de forma significativa ao longo dos anos, os cookies de marketing atualmente são capazes de realizar a personalização do usuário e fazer o rastreamento de acordo com as preferências do site”, comenta Dodt.
Diante disso, mesmo que exista algum risco de segurança e privacidade, os cookies também são muito úteis e fornecem funções essenciais para a maioria dos sites atuais. De acordo com o especialista, desabilitar completamente o uso de cookies não é uma abordagem viável, uma vez que limita ou mesmo impossibilita uma experiência adequada para o usuário.
Para o uso seguro dos Cookies, Cláudio Dodt preparou algumas dicas, confira:
– O desenvolvedor deve habilitar o sinalizador (flag) “HttpOnly” ao gerar um cookie, o que ajuda a mitigar o risco do script no lado do cliente acessar um cookie protegido.
– O sinalizador de cookie seguro evita que o cookie seja enviado através de uma solicitação HTTP não criptografada, eliminando a possibilidade de ser facilmente capturado por terceiros não autorizados.
– O usuário deve manter seu navegador atualizado, a maioria dos navegadores modernos permite que você exclua facilmente ou até mesmo bloqueie cookies.
– O usuário pode optar por uma série de plug-ins/extensões de navegador para gerenciar ou até mesmo excluir automaticamente cookies.
Fonte: Contadores CNT