Provavelmente você já acessou um site que pediu permissão para compartilhar os Cookies e você aceitou sem ler os termos, certo? Segundo pesquisa da NordVPN, realizada nos Estados Unidos, metade dos usuários aceitam todos os Cookies de forma automática dos sites que visitam. Porém, o que muitas pessoas não sabem é que eles são pequenos arquivos de texto que os sites colocam em dispositivos dos visitantes durante a navegação. Entretanto, existem questões relacionadas à privacidade. Há muitas maneiras pelas quais Cookies desprotegidos podem ser manipulados e expor usuários e organizações a graves incidentes de segurança.
“Quando você visita um site, seu navegador envia uma solicitação, em seguida o site responde com as informações solicitadas e também com um Cookie, que é armazenado no navegador. Sempre que você envia outra solicitação para o mesmo site, o navegador envia junto o Cookie, para que você possa ser facilmente identificado. Isso pode ser usado em funções como selecionar um idioma em um site multilíngue, para manter o usuário autenticado ou rastrear suas ações”, explica Cláudio Dodt, sócio-gerente da DARYUS Consultoria, especialista e evangelista em Cibersegurança e Proteção de Dados.
O Cookie é uma ferramenta da internet que têm o potencial de fornecer às empresas uma visão da atividade online dos internautas. Dodt explica que o uso do Cookie em si não é uma ameaça de segurança, pelo contrário, são uma ferramenta fundamental que apoiam funções básicas em sites, por exemplo, os carrinhos de compras online, mas também tem o potencial de fornecer às empresas uma visão substancial da atividade online de seus usuários.
“Muito além das questões relacionadas à privacidade, há muitas maneiras pelas quais Cookies desprotegidos podem ser manipulados e expor usuários e organizações a graves incidentes de segurança”, afirma Dodt.
Segundo o especialista, existem três tipos de Cookies:
- Cookies de sessão: São Cookies temporários e, como o próprio nome indica, devem ser válidos apenas para uma única sessão, e desaparecem assim que você fecha o navegador, pois geralmente são mantidos na memória ativa.
- Cookies permanentes: Este tipo de Cookie é usado para identificá-lo por um período mais longo, em várias sessões diferentes, daí o nome permanente ou persistente. Neste caso são armazenados em seu disco rígido e não serão excluídos automaticamente. Os Cookies permanentes têm duas funções básicas: autenticação e rastreamento.
- Cookies Primários x Terceiros: Alguns Cookies são criados pelo site que você está visitando, por exemplo, a maioria dos Cookies de sessão são Cookies primários. Mas há também o caso de Cookies criados por um site que você nem está visitando, são Cookies de terceiros, também conhecidos como Cookies de marketing ou de publicidade, e são usados para rastrear um usuário e coletar informações em diferentes sites e fornecer uma “experiência personalizada”.
Segurança e privacidade dos Cookies
É importante entender que não existe algo como uma infecção de malware através de um cookie, afinal eles são apenas arquivos de texto simples e não contêm nenhum tipo de código executável. No entanto, dependendo de como os Cookies são usados e expostos, eles podem representar um sério risco à segurança.
Por exemplo, imaginando uma situação em que Cookies são “sequestrados”, e levando em consideração o fato de que a maioria dos sites utiliza Cookies como os únicos identificadores para as sessões do usuário, teoricamente um invasor de posse do Cookie poderá se passar por outra pessoa e obter acesso não autorizado.
“Como o rastreamento de usuários evoluiu de forma significativa ao longo dos anos, os Cookies de marketing atualmente são capazes de realizar a personalização do usuário e fazer o rastreamento de acordo com as preferências do site”, comenta Dodt.
Diante disso, mesmo que exista algum risco de segurança e privacidade, os Cookies também são muito úteis e fornecem funções essenciais para a maioria dos sites atuais. De acordo com o especialista, desabilitar completamente o uso de Cookies não é uma abordagem viável, uma vez que limita ou mesmo impossibilita uma experiência adequada para o usuário.
Para o uso seguro dos Cookies, Cláudio Dodt preparou algumas dicas, confira:
- O desenvolvedor deve habilitar o sinalizador (flag) HttpOnly ao gerar um Cookie, o que ajuda a mitigar o risco do script no lado do cliente (cliente-side) acessar um Cookie protegido.
- O desenvolvedor deve habilitar o sinalizador de Cookie Seguro evita que o Cookie seja enviado através de uma solicitação HTTP não criptografada, eliminando a possibilidade de ser facilmente capturado por terceiros não autorizados.
- O usuário deve manter seu navegador atualizado, a maioria dos navegadores modernos permite que você exclua facilmente ou até mesmo bloqueie Cookies.
- O usuário pode optar por uma série de plug-ins/extensões de navegador para gerenciar ou até mesmo excluir automaticamente Cookies.
Sobre a Daryus Consultoria – O Grupo Daryus, empresa brasileira com experiência no mercado nacional e internacional, é referência na prestação de serviços em Consultoria e Educação. A Daryus Consultoria, unidade estratégica de negócios do Grupo, integra as áreas de Continuidade de Negócios e Gestão de Riscos, Governança e Gestão de TI, Privacidade e Proteção de dados pessoais (LGPD) e Segurança da informação e cibersegurança. Desde 1998, proporciona aos seus clientes apoio à gestão empresarial, estratégia e de riscos e, com isso, atende organizações líderes de vários segmentos. Seus parceiros internacionais incluem: DRII, EXIN, ISACA, PECB, PeopleCert, Axelos e DMI. Dentre os prêmios conquistados estão SECMASTER 2006 pela ISSA International e Infragard USA 2011.