Mas que raio são esses Cookies?!
- Time do TheWebGuardian
- 1 de mar. de 2023
- 3 min de leitura
Atualizado: 27 de jan.
Política de Quê?!
De um tempo para cá, em todo bendito site que a gente entra, aparece a "Política de Cookies"... É um saco. Acabamos por clicar em "aceitar todos os cookies". Mas que raio são esses cookies?
Cookie é uma forma de armazenamento de SEUS dados (em um arquivo .txt) - tais como: localização, tendências de busca, preferências de pesquisa, tempo de navegação, itens em carrinhos de compra, etc.
Ele é gerado pelo servidor do site que você visita. Ele armazena dados para futuras pesquisas que você fizer quando navegar novamente no mesmo website.
Para onde vão os Cookies?
Se você entrar no mesmo site depois, o servidor que criou o cookie vai mandar esse arquivo para o browser que você estiver usando, como uma forma de "reconhecer" você como usuário.
Por isso dizem que os cookies melhoram sua experiência de navegação. Porque eles "farejam" suas atividades online - em inglês seria "keep track".
Então, se você visita um site, um cookie é gerado no servidor desse site (na verdade, podem ser gerados dezenas de cookies!). Se você acessar esse mesmo site novamente, o servidor enviará os cookies para o seu browser, e um arquivo de cookie ficará armazenado no aparelho eletrônico que você usa para navegar.
E até mesmo os próprios browsers geram e usam muitos cookies.
Afinal, o Cookie é "do mal"?
O arquivo de cookie, em si, geralmente não contém nenhum malware, e não inclui vírus que podem danificar seu sistema.
Mas veja: toda atividade online deixa um rastro de atividades - chamadas de "pegadas digitais", que são ligadas à sua identidade na web, e que podem acabar nas mãos de anunciantes.
Tipos de Cookies
Entretanto existem diferentes tipos de cookies. Basicamente há 2 tipos:
Cookies Não-Persistentes (Session Cookies): Este cookie fica armazenado no navegador até o momento em que o usuário finaliza a sessão de navegação (faz logout).
Cookies Persistentes: Estes cookies têm um atributo chamado "Max-Age" ou "Expires". Isso quer dizer que ele é armazenado em disco pelo navegador até a data de validade.
Os cookies "de terceiros" ("third-party") são aqueles com os quais precisamos ficar mais espertos. Geralmente eles estão em sites que possuem anúncios de outras empresas.
Hackers, no entanto, tendo acesso a esses arquivos, podem usar as informações em malefício de alguém ou de uma empresa.
A Importância dos Cookies Não-Persistentes
Aplicações geralmente rastreiam os usuários após a autenticação, fazendo uso de cookies não-persistentes.
Isso faz com que as informações da sessão sejam forçosamente apagadas do cliente se a instância do navegador for fechada.
É importante usar cookies não persistentes, de modo que o ID da sessão não permaneça no cache do browser do usuário durante um período longo de tempo.
Desenvolvedores Web devem fazer uso de Cookies seguros - para que informações fiquem mais protegidas das ameaças hacker - usando o protocolo HTTPS.
Ameaças Cibernéticas Explorando Cookies
Cross Site Scripting - conhecido pelo acrônimo XSS, é um script malicioso, que pode acessar / roubar cookies, tokens de sessão e outras infos do usuário.
Esses dados são enviados diretamente ao criminoso. Esse ataque explora vulnerabilidades na validação de inputs (entradas) do usuário, a fim de redirecioná-lo a sites maliciosos.
Esses ataques também são conhecidos como Ataques de DOM Armazenados (Stored-DOM Based Attacks). Tudo que o usuário digita acaba sendo manipulado por um código.
O atacante pode usar um script de JavaScript (ou outra linguagem) para manipular a vulnerabilidade. Esses códigos conseguem inserir dados no valor atribuído a um cookie.
Boas práticas com Cookies
Temos algumas maneiras de nos prevenirmos com um possível mau uso de cookies que geramos em nossas navegações.
São todas medidas paliativas, com intenção de não gerar tantos cookies, ou dificultar o acesso indevido a eles. Vejamos o que pode ser feito:
Bloquear os cookies nas preferências dos browsers (no entanto, alguns sites não permitem que você navegue neles se não os aceitar...)
Não acessar sites sem certificação SSL (o símbolo do cadeado ao lado da URL)
Use a opção de janela / navegação privativa no seu browser (isto permite navegar sem que seu histórico / cache e cookies fiquem salvos)
Faça uso de um bom software anti-malware
Você pode navegar usando VPN (Virtual Private Network) - esta opção gera cookies, mas permite "mascarar" a localização do seu ID
A opção mais efetiva, sem dúvidas, é fazer uma limpeza periódica dos cookies armazenados pelos browsers que você usa.
NOS VEMOS NOS PRÓXIMOS POSTS!
