Provavelmente você já acessou um site que pediu permissão para compartilhar os cookies e você aceitou sem ler os termos, certo? Segundo pesquisa da NordVPN, realizada nos Estados Unidos, metade dos usuários aceitam todos os cookies de forma automática. Porém, o que muitas pessoas não sabem é que eles são pequenos arquivos de texto que os sites colocam em dispositivos dos visitantes durante a navegação. Entretanto, existem questões relacionadas à privacidade. Há muitas maneiras pelas quais cookies desprotegidos podem ser manipulados e expor usuários e organizações a graves incidentes de segurança.
“Quando você visita um site, seu navegador envia uma solicitação, em seguida o site responde com as informações solicitadas e também com um cookie, que é armazenado no navegador. Sempre que você envia outra solicitação para o mesmo site, o navegador envia junto o cookie, para que você possa ser facilmente identificado. Isso pode ser usado em funções como selecionar um idioma em uma página multilíngue, para manter o usuário autenticado ou rastrear suas ações”, explica Cláudio Dodt, sócio-gerente da DARYUS Consultoria, especialista em Cibersegurança e Proteção de Dados.
O cookie é uma ferramenta da internet que têm o potencial de fornecer às empresas uma visão da atividade on-line dos internautas. Dodt explica que o uso do cookie em si não é uma ameaça de segurança, pelo contrário, é uma ferramenta fundamental que apoia funções básicas em sites (por exemplo, os carrinhos de compras on-line), mas também tem o potencial de fornecer às empresas uma visão substancial da atividade on-line de seus usuários.
Segundo o especialista, existem três tipos de cookies:
- Cookies de sessão: são temporários e, como o próprio nome indica, devem ser válidos apenas para uma única sessão e desaparecem assim que você fecha o navegador, pois geralmente são mantidos na memória ativa.
- Cookies permanentes: é usado para identificar o usuário por um período mais longo, em várias sessões diferentes, daí o nome permanente ou persistente. Neste caso são armazenados em seu disco rígido e não serão excluídos automaticamente. Os cookies permanentes têm duas funções básicas: autenticação e rastreamento.
- Cookies primários x terceiros: alguns cookies são criados pelo site que você está visitando e a maioria dos cookies de sessão, por exemplo, são primários. Mas há também os cookies criados por um site que você nem está visitando, são os de terceiros, também conhecidos como cookies de marketing ou de publicidade, e são usados para rastrear um usuário e coletar informações e fornecer uma “experiência personalizada”.
É importante entender que não existe algo como uma infecção de malware através de um cookie, afinal eles são apenas arquivos de texto simples e não contêm nenhum tipo de código executável. No entanto, dependendo de como são usados e expostos, os cookies podem representar um sério risco à segurança.
Por exemplo, imaginando uma situação em que cookies são “sequestrados”, e levando em consideração o fato de que a maioria dos sites utiliza cookies como os únicos identificadores para as sessões do usuário, teoricamente um invasor de posse do cookie poderá se passar por outra pessoa e obter acesso não autorizado.
Por outro lado, mesmo que exista algum risco de segurança e privacidade, os cookies também são muito úteis e fornecem funções essenciais para a maioria dos sites atuais. De acordo com o especialista, desabilitar completamente o uso de cookies não é uma abordagem viável, uma vez que limita ou mesmo impossibilita uma experiência adequada para o usuário.
Para o uso seguro dos cookies, Cláudio Dodt sugere algumas dicas:
- O desenvolvedor deve habilitar o sinalizador (flag) HttpOnly ao gerar um cookie, o que ajuda a mitigar o risco do script no lado do cliente (cliente-side) ao acessar um cookie protegido.
- O desenvolvedor deve habilitar o sinalizador de Cookie Seguro, o qual evita que o cookie seja enviado através de uma solicitação HTTP não criptografada, eliminando a possibilidade de ser facilmente capturado por terceiros não autorizados.
- O usuário deve manter seu navegador atualizado, a maioria dos navegadores modernos permite que você exclua facilmente ou até mesmo bloqueie cookies.
- O usuário pode optar por uma série de plug-ins/extensões de navegador para gerenciar ou até mesmo excluir automaticamente cookies.