Será que é seguro habilitar cookies?

Toda pessoa que utiliza a internet com certeza já viu algum tipo de pop-up ou outra forma de alerta referente a utilização de cookies, alguns sites até permitem escolher se você quer aceitar todos os cookies ou apenas aqueles considerados necessários. Mas será que é seguro habilitar cookies?

Na realidade, o uso de cookies pode ser rastreado há muitos anos. Em 1994, um funcionário da Netscape Communications os criou como uma solução que ajudaria a tornar possíveis carrinhos de compra, algo fundamental para lojas de comércio eletrônico, e têm sido amplamente utilizados desde então.

Exemplificando de forma bem simples, os cookies são uma ferramenta importante na Internet com o potencial de fornecer às empresas uma visão substancial da atividade online de seus usuários. Muito além das questões relacionadas à privacidade, há muitas maneiras pelas quais cookies desprotegidos podem ser manipulados e expor usuários e organizações a graves incidentes de segurança.

O que são Cookies e como eles funcionam?

Cookies são pequenos arquivos de texto que os sites colocam nos dispositivos de visitantes durante a navegação. Na verdade, os próprios cookies são bastante inofensivos, são processados e armazenados pelo seu navegador e são fundamentais para algumas funções dos sites, como os carrinhos de compras que já mencionamos.

De que forma isso acontece? Quando você visita um site, seu navegador envia uma solicitação, em seguida o site responde com as informações solicitadas e também com um cookie, armazenado em seu navegador. Sempre que você envia outra solicitação para o mesmo site, seu navegador envia junto o cookie, para que você possa ser facilmente identificado. Isso pode ser usado em funções como selecionar um idioma em um site multilíngue, para manter o usuário autenticado ou rastrear suas ações.

Existem três tipos básicos de cookies, e cada um tem um propósito específico:

Cookies de sessão: são cookies temporários e, que devem ser válidos apenas para uma única sessão, e desaparecem assim que você fecha o navegador, pois são geralmente mantidos na memória ativa. Este é o tipo de cookie mais comum e, basicamente, informa ao servidor que todas as suas solicitações, em um determinado período, vieram da mesma origem e devem ser tratadas como uma única sessão.

Cookies permanentes: este tipo de cookie é usado para identificá-lo por um período mais longo, em várias sessões diferentes. Neste caso são armazenados em seu disco rígido e não serão excluídos automaticamente. Os cookies permanentes têm duas funções básicas: autenticação e rastreamento. Por exemplo, cada vez que você ativa a opção “lembrar de mim” ou “manter-me conectado” em um site, você está usando um cookie permanente para fins de autenticação. Agora, para a parte de rastreamento, bem, na maioria das vezes, esses cookies são ativados automaticamente e, ao menos que o site forneça um alerta ou dê a opção de desativar cookies desnecessários, isso pode ocorrer mesmo sem você saber.

Cookies Primários x Terceiros: Alguns cookies são criados pelo site que você está visitando, por exemplo, a maioria dos cookies de sessão são primários. Mas há também o caso de cookies criados por um site que você nem está visitando, são cookies de terceiros, também conhecidos como cookies de marketing ou de publicidade, e são usados para rastrear um usuário e coletar informações em diferentes sites. À medida que os cookies de terceiros coletam mais e mais informações, eles são usados para fornecer uma “experiência personalizada” e, geralmente, em termos práticos, isso significa que você receberá anúncios personalizados com base em informações como consultas anteriores, comportamentos, localização geográfica, interesses e muito mais.
Assim sendo, se os cookies temporários desaparecem automaticamente e os cookies persistentes geralmente podem ser facilmente visualizados e excluídos. Qual é o motivo para tanta preocupação? Bem, para começar, os cookies de terceiros podem representar um grave risco para a privacidade, mas esse não é o único problema: existem vários tipos de fraudes e ataques cibernéticos baseados na exploração de vulnerabilidades de cookies e podem levar a graves incidentes de segurança.

Cookies e riscos

É importante esclarecer que não há como você ser infectado por um malware através de um cookie, afinal eles são apenas arquivos de texto simples e não contêm nenhum tipo de código executável. No entanto, dependendo de como os cookies são usados e expostos, eles podem representar um sério risco à segurança.

Por exemplo, os cookies podem ser “sequestrados” e como a maioria dos sites utiliza cookies como os únicos identificadores para as sessões do usuário, teoricamente um invasor de posse do seu cookie poderá se passar por você e obter acesso não autorizado.

Existem diversas formas de como isso pode acontecer. Pode ser através da captura de cookies em canais não seguros: qualquer cookie relacionado à autenticação deve sempre ser transmitido de forma segura, mas isso nem sempre acontece. Um exemplo são os cookies sem o “Security flag”. Quando um cookie é definido com o sinalizador (flag) seguro, ele instrui o navegador para que somente possa ser acessado por canais seguros como SSL/TLS. Se o security flag não for definido, um cookie pode ser transmitido em texto puro, não criptografado, por exemplo, se o usuário visitar qualquer URL HTTP dentro do escopo do cookie. Isso permitiria que um invasor espionasse o tráfego de rede para capturar facilmente o cookie e usá-lo para obter acesso não autorizado.

Fixação de sessão: este é outro ataque que permite a um invasor sequestrar uma sessão de usuário válida, desta vez explorando uma limitação na maneira como o aplicativo web gerencia o ID da sessão. Exemplo, se um aplicativo permite um token (identificador) de sessão nos parâmetros de consulta, um invasor pode enviar a um usuário uma URL com uma ID de sessão específica incluída em seus argumentos. Agora, quando o usuário se autentica usando este URL, o invasor pode sequestrar a sessão.

Cross-Site Scripting (XSS): Outra forma de roubar cookies é usar cross-site scripting para explorar sites que permitem aos usuários postar conteúdo HTML e JavaScript não filtrado. Se um usuário clicar em um link malicioso postado por um invasor, ele pode executar o código JavaScript e fazer com que o navegador da vítima envie os cookies da vítima para um site controlado pelo invasor.

Cross-Site Request Forgery (CSRF): Esse é um tipo de ataque que explora um site, fazendo-o executar comandos não autorizados que são transmitidos de um usuário em quem o aplicativo da web confia. Em um ataque CSRF, o objetivo do invasor é usar uma vítima inocente para enviar, sem saber, uma solicitação criada com códigos maliciosos a um site ao qual a vítima tem acesso privilegiado. Uma vez que a vítima já está logada, qualquer solicitação proveniente de seu navegador será considerada confiável, portanto, será executada. Para que um ataque CSRF funcione, um invasor deve primeiro identificar uma solicitação da Web reproduzível que executa uma ação específica, por exemplo, alterar uma senha na página de destino. Depois que tal solicitação for identificada, um link pode ser criado para gerar essa solicitação maliciosa e esse link pode ser incorporado em uma página falsa sob o controle do invasor. Pior ainda, pode nem ser necessário que a vítima clique no link.

Cookie Tossing: Esse ataque é baseado em fornecer a um usuário um cookie malicioso que foi projetado para parecer que veio do subdomínio do site de destino. Quando o usuário visita o site de destino, todos os cookies são enviados, tanto os válidos quanto os que parecem ser de subdomínios. Nesse ataque, a capacidade de assumir o controle de uma sessão é bastante limitada, porque o invasor só pode escrever informações, mas não pode ler nada. No entanto, a distribuição de cookies pode ser usada para definir valores de cookies arbitrários que, em alguns casos, podem ser usados para um ataque CSRF ou uma injeção de XSS, dependendo apenas do que o domínio principal faz com o conteúdo do cookie.

Cookies e a privacidade

Os cookies também podem representar um grave risco para a privacidade, seu uso no rastreamento de usuários evoluiu significativamente ao longo dos anos, de operações simples, como contagem de impressões de anúncios, visualizações e cliques, para definir pop-ups e criar uma sequência específica de anúncios, os cookies de marketing atualmente são capazes de realizar a perfilização do usuário e fazer o rastreamento de acordo com as preferências do site. E com praticamente todos os sites usando redes de veiculação de anúncios de terceiros em grande escala, como Google Adsense / Adwords, esse ponto tem gerado muita controvérsia e preocupação entre grupos que buscam defender o direito fundamental de privacidade para consumidores on-line, ao ponto de regulamentações específicas tem sido desenvolvidas em vários países para tentar evitar abusos.

Conclusão

É seguro habilitar cookies? Resumindo, sim! Usar cookies pode ser algo seguro! Obviamente existem vários riscos de segurança e privacidade, mas cookies também são muito úteis e fornecem funções essenciais para a maioria dos sites atuais, portanto, desabilitar completamente o cookie não é uma abordagem viável.

O foco deve ser garantir que os cookies sejam usados de forma segura, e há muitas etapas simples que um desenvolvedor pode realizar para mitigar vulnerabilidades, por exemplo, habilitar o sinalizador (flag) HttpOnly ao gerar um cookie ajuda a mitigar o risco do script no lado do cliente (cliente-side) acessar um cookie protegido. Da mesma forma, o Sinalizador de Cookie Seguro evita que o cookie seja enviado através de uma solicitação HTTP não criptografada, eliminando a possibilidade de ser facilmente capturado por terceiros não autorizados.

Também existem alguns passos que usuários podem adotar para evitar riscos de segurança relacionados a cookies, por exemplo, é essencial manter seu navegador atualizado, a maioria dos navegadores modernos permite que você exclua facilmente ou até mesmo bloqueie cookies. Ainda assim, se você não estiver satisfeito, bem, existe uma série de plug-ins/extensões de navegador para gerenciar ou até mesmo excluir automaticamente cookies. Esse mesmo tipo de solução também pode ser aplicado a problemas relacionados à privacidade, pois torna mais fácil bloquear cookies de marketing que você considerar desagradáveis ou desnecessários.

Texto DARYUS originalmente publicado em 18/04/2022

Fonte: https://www.exin.com/pt-br/article/cookies-uma-visao-geral-dos-riscos-associados-a-privacidade-e-seguranca-da-informacao/