Cookie de terceiros

Um cookie de terceiros é um cookie que é colocado no disco rígido de um usuário por um website de um domínio diferente daquele que o usuário está visitando.

Bookie de primeira parte vs. cookies de terceiros

Bothes tipos de cookies são bits de informação que coletam dados do usuário da web. Ambos são tipicamente usados para armazenar dados do usuário, tais como preferências de navegação e personalização e informações de rastreamento. A diferença está em quem usa esses dados e para quem o cookie coleta dados em.

>forte>Biscoitos do primeiro partido. Um cookie de primeira parte é colocado em um site pela editora/proprietária do site, e coleta dados do usuário para a editora/proprietária. Eles são frequentemente usados para melhorar a experiência do usuário (UX), lembrando as preferências e configurações do usuário. Os itens adicionados aos carrinhos de compras online, nomes de utilizador, palavras-passe e preferências de idioma são informações que os cookies de primeira pessoa armazenam. Eles também podem ser usados por um proprietário de site para fornecer serviços -- chats ao vivo são um exemplo disso.

>forte>Biscoitos de terceiros. Um cookie de terceiros é colocado num site por alguém que não o proprietário (um terceiro) e recolhe dados do utilizador para o terceiro. Como os cookies padrão, os cookies de terceiros são colocados para que um site possa se lembrar de algo sobre o usuário em um momento posterior. Os cookies de terceiros, no entanto, são frequentemente definidos por redes de publicidade que um site pode subscrever na esperança de impulsionar vendas ou hits.

Por exemplo, um usuário visita um site chamado news.com. Os cookies colocados neste domínio por news.com são cookies de primeira mão. Um cookie colocado por qualquer outro site, tal como um anunciante ou site de mídia social, é um cookie de terceiros.

Cookies em geral também podem ser referidos como cookies HTTP, web cookies e cookies do navegador. Os cookies de terceiros também podem ser referidos como trackers.

Third-party vs. first-party cookies diagram Um diagrama que contrasta cookies de primeira parte com cookies de terceiros

Como funcionam os cookies de terceiros

Biscoitos de terceiros funcionam através da incorporação de JavaScript de um site em outro. Um website hospeda o cookie de terceiros incorporando o JavaScript de terceiros. HTTP, o protocolo que é usado para navegação na web, é um protocolo sem estado, o que significa que a informação não é guardada entre sessões de navegação. Os cookies lembram informações de estado (informações que são lembradas entre sessões) no ambiente HTTP sem estado.

Ao criar um cookie, os atributos do cookie são especificados no cabeçalho da resposta HTTP que determina se o cookie é o primeiro ou o de terceiros. O atributo "SameSite" permite que o criador do cookie determine se o cookie será um cookie de terceiros ou um cookie de primeira parte (cookie do mesmo site). Quando um usuário faz um pedido ao navegador (realiza qualquer ação no site), os atributos do cookie determinam se e quando os cookies serão enviados junto com a resposta.

Por exemplo, se um usuário do site solicita uma imagem do mesmo domínio do site (clicando na imagem, por exemplo), o cookie com o atributo "SameSite" registrará informações do usuário. Se o usuário solicita uma imagem de um site de terceiros, onde o nome do domínio não é o mesmo, um cookie com o atributo SameSite não irá coletar informações do usuário entre sites.

O atributo SameSite determina basicamente que o cookie será a primeira parte. Dentro do SameSite, há um par de descritores.

  • Se o criador do cookie definir SameSite como "Strict", o cookie será estritamente a primeira parte, e nunca será enviado em pedidos entre sites. Ele só será ativado quando o domínio de ambas as partes na troca vier do mesmo domínio web. Esta configuração funciona bem para lembrar as preferências do usuário no site, mas não funcionará para um pedido proveniente de um link externo. Assim, por exemplo, se o usuário clicar em um link do site em um e-mail de um amigo, o cookie não será enviado, porque o usuário está vindo de um domínio diferente.
  • Se o cookie estiver definido como "Lax", ele será enviado em certos pedidos entre sites. Lax significa que o cookie é enviado com navegações seguras de nível superior (nível superior significa que a URL muda). Lax não permite que sites de terceiros POST, ou em outras palavras, carregue informações no site original do usuário. Isso significa que um cookie de terceiros com "Lax" pode ser enviado quando um usuário clica em um link para o site do cookie mas não será capaz de carregar anúncios de outro site em um iframe, por exemplo, pois isso usa o comando HTTP POST, que é considerado menos seguro.
  • Se nenhuma especificação for feita, todas as solicitações estão sujeitas a cookies, e o cookie é, por definição, um cookie de terceiros. Ele não restringe pedidos POST, que podem ser usados por anunciantes, redes sociais e outros terceiros para carregar informações do seu site. Esta falta de especificação torna os cookies úteis para os anunciantes porque eles frequentemente usam métodos que não se encaixam nos critérios de "SameSite = Strict" e "SameSite = Lax". Por exemplo, um site externo faz um pedido de GET que não altera a URL como uma navegação de alto nível. Essa ação (que pode ser um <iframe> ou <img> request) é bloqueada tanto por "Lax" quanto por "Strict". Não ter nenhuma especificação permite esse tipo de comunicação, na qual uma página é carregada dentro de outra página. Esta é uma forma comum de anúncios aparecerem em páginas web.

Por que são usados cookies de terceiros e quem os usa

Biscoitos de terceiros são nomeados como tal porque vêm de um site que não aquele em que o usuário está atualmente -- um terceiro em outras palavras. Eles são frequentemente usados por anunciantes e redes sociais para monitorar a atividade do usuário online e para direcionamento comportamental. Isto é útil para os anunciantes porque os dados específicos do usuário podem melhorar o sucesso do anunciante no marketing do produto correto. Eles rastreiam os usuários através dos domínios. Tanto os anunciantes quanto a plataforma de mídia social dependem muito dos dados dos usuários para informar o conteúdo que eles curam e criam. Os cookies de terceiros permitem que os usuários sejam rastreados através dos sites, o que torna a imagem do comportamento do usuário mais rica do que os cookies de primeira parte poderiam oferecer, coletando apenas os dados do usuário ao interagir com o site do proprietário. Os perfis dos usuários podem ser feitos a partir destes dados para informar como as informações serão apresentadas ao usuário, seja um pop-up de publicidade ou um feed de mídia social.

Ativar, desativar e bloquear cookies em navegadores da web

Biscoitos de terceiros são frequentemente bloqueados e excluídos através das configurações do navegador e configurações de segurança como a mesma política de origem; por padrão, o Mozilla Firefox bloqueia todos os cookies de terceiros; o Chrome e o Apple Safari também começaram recentemente a fazer isso. O bloqueio de cookies de terceiros não cria problemas de login em sites (o que pode ser um problema após o bloqueio de cookies de terceiros) e pode resultar em menos anúncios na Internet. However, blocking all cookies can sometimes lead to problems, as some websites rely on first-party cookies to function properly.

How to enable or disable cookies in popular browsers:

  • Apple Safari:
    • Open Safari
    • Click Safari> Preferences in the upper left-hand corner of the screen
    • Click on Privacy. An option to "Block all cookies" will appear.
    • Check the box next to "Block all cookies" to disable all cookies.
    • Uncheck it to enable all cookies.
    • Check the "Prevent cross-site tracking:" option to block only third-party cookies.
  • Google Chrome:
    • Open Chrome
    • Click the button that looks like three dots in the upper right-hand corner of the browser window
    • Scroll down to the Privacy and Security section.
    • Click cookies and other site data. You will be presented with the following options
      • Allow all cookies
      • Block third-party cookies in incognito
      • Block third-party cookies
      • Block all cookies (not recommended)
    • Click the bubble next to the option that most applies to you.
  • Mozilla Firefox:
    • Open Firefox
    • Click the menu button (looks like three horizontal lines stacked on top of each other). Select options.
    • Select privacy and security. This will present your settings for enhanced tracking protection (including cookies).
    • Three options appear:
      • This means all cookies are enabled except for trackers. Trackers are for most intents and purposes the same as third-party cookies. This is the default setting.
      • Blocks most cookies, and may cause sites to break.
      • This allows you to choose which cookies are blocked.

Firefox gives the option for extra protection against social media trackers. For example, if a site contains a Facebook "like" button somewhere on the page, Facebook can track user browsing activity on the site even if the like button is never clicked.

Third-party cookies and data privacy

Third-party cookies, and cookies in general, pose a significant data security risk, and are viewed by some as infringing on user privacy rights. This is why all the main browsers mentioned above now block third-party cookies by default. Em 2011, a União Européia aprovou a lei de cookies que exigia que os usuários fossem informados sobre os cookies com os quais estariam interagindo ao visitar um site.

Embora não sejam perigosos por si mesmos, os cookies podem ser desviados e usados por atores maliciosos para obter informações. Isto acontece quando qualquer cookie relacionado à autenticação não é transmitido com segurança. Por exemplo, o Kaspersky descobriu um Trojan de roubo de cookies que dá aos hackers a capacidade de controlar as contas de mídia social das vítimas.

Cookies relacionados à autenticação normalmente terão uma bandeira de segurança que instrui o navegador a acessar o cookie apenas usando canais seguros (SSL/TLS). Se não forem transmitidos usando esses canais, os hackers podem escutar e obter acesso de forma ilegítima.

Outros ataques comuns que utilizam cookies em seu método incluem:

  • Cross-site request forgery (CSRF)
  • Cross-site scripting (XSS)
  • Session hijacking

O que está acontecendo com os cookies de terceiros?

Há um afastamento geral dos cookies de terceiros. O bloqueio de cookies de terceiros aumenta a privacidade e a segurança dos usuários, mas criou um problema para as empresas de rastreamento/ad serving, que frequentemente colocam anúncios que seguem os usuários pela web.

Combinado com a remoção de cookies de terceiros por outros meios, algumas empresas estimam que 40% de todos os cookies de terceiros são removidos. Como isso afeta sua sobrevivência, os editores da web têm tentado minar essas mudanças usando outras técnicas, tais como respawning cookies, Flash cookies, entity tags (Etags) e canvas fingerprinting.

Browser fingerprinting também está substituindo os cookies de terceiros como uma forma de identificar usuários online. Uma impressão digital do browser consiste numa colecção de detalhes sobre o utilizador, por exemplo, o tipo de browser que está a utilizar, o conteúdo da cache do browser, a hora e data e o sistema operativo. Ele coleta todos esses dados em um valor hash, e o coletor de informações pode então procurar por essa mesma combinação de detalhes e seguir os usuários pela web com precisão.

Um grupo de pesquisadores da Universidade de Cambridge descobriu que os smartphones são particularmente vulneráveis à impressão digital do navegador, de formas contra as quais o usuário não pode se proteger. Se em um computador, os usuários podem tomar medidas para mitigar as impressões digitais do navegador. Uma forma simples é limpar o cache do navegador; outras formas envolvem o uso de um navegador Tor, uma janela incógnita ou uma variedade de plugins de navegador que limitam a exposição dos dados do usuário.