Você está na página 1de 24

Mestrado em Cincia da Informao

Segurana da Informao

COOKIES:
UMA AMEAA PRIVACIDADE

Marisa Aldeias (mci09035)

Porto
2011/2012
Cookies: uma ameaa privacidade

ndice

Resumo.................................................................................................................................... 3

Introduo ............................................................................................................................... 3

. Definio e descrio ........................................................................................................... 3

. Interesse e utilidade ............................................................................................................ 5

Questes de privacidade ............................................................................................................ 7

.Cookies no Google e no Facebook .......................................................................................... 8

. Ajuste de permisses ......................................................................................................... 10

Cookies no Mozilla Firefox ................................................................................................. 10

Cookies no Internet Explorer ............................................................................................. 12

Cookies no Google Chrome ............................................................................................... 15

Cookies na FEUP ............................................................................................................. 17

. Protocolo HTTP ................................................................................................................. 18

. Lei europeia de regulao................................................................................................... 19

Aplicaes futuras ................................................................................................................... 20

Concluso............................................................................................................................... 22

2 / 24
Cookies: uma ameaa privacidade

Resumo

O presente trabalho foi realizado no mbito da disciplina Segurana da Informao e tem a


pretenso de demonstrar como os cookies na Web podero ser um problema para a privacidade do
utilizador comum se no houver os cuidados necessrios aquando do acesso a sites, em contexto de
trabalho ou lazer.
Pretende-se clarificar o que um cookie, expor os tipos de cookies que existem e demonstrar
o interesse e a utilidade que tm. Posteriormente explicar como so utilizados e revelar falhas na
privacidade pela exposio de dados do utilizador, focando a famigerada rede social Facebook e os
browsers Mozilla Firefox, Internet Explorer e Google Chrome.
De seguida abordar-se- como os cookies podem ser controlados e bloqueados, fazendo
referncia ao ajuste de permisses, ao protocolo HTTP e nova lei europeia de regulao dos
cookies. Por ltimo sero apresentados alguns estudos recentes para aumentar a sua
confidencialidade e a sua eficincia.

Introduo

Os cookies surgiram pela primeira vez no browser Netscape Navigator, em setembro de 1994,
por isso pode dizer-se que so quase to antigos quanto a prpria Web. Disto nos d conta a
enciclopdia mundial online, Wikipedia (Collins 2011).
Normalmente so encarados como uma aplicao danosa que instalada no computador de
um utilizador por sites cuja fiabilidade duvidosa. Mas ser que sempre foram vistos dessa forma? E
qual a razo da sua existncia? J agora, pelo facto de a traduo deste termo corresponder a um
aperitivo apreciado (biscoito), ter havido uma inteno salutar aquando da sua criao?
O presente trabalho tem por ambio dar resposta a estas dvidas, proporcionando ao
utilizador comum algumas sugestes para controlar a sua incidncia no disco rgido do seu
computador.

. Definio e descrio

Cookies are a general mechanism which server side connections (such as CGI scripts) can
use to both store and retrieve information on the client side of the connection (Netscape).
Criados pela Netscape para solucionar o problema do envio e solicitao de arquivos, o seu
nome deve-se a uma gria usada pelos programadores. Consistia num programa que chamava um
procedimento e recebia de volta algo que seria necessrio apresentar novamente mais tarde para
realizar algum trabalho.
Em primeiro lugar, importa balizar que um cookie um ficheiro criado por um site e tem como
objetivo armazenar no computador dados de identificao do utilizador, os quais podem consistir em
informaes relativas s suas preferncias aquando de uma visita a um site, como por exemplo

3 / 24
Cookies: uma ameaa privacidade

informaes de incio de sesso (username e password). Por outras palavras, consiste num conjunto
de dados trocados entre o navegador/browser (por exemplo o Mozilla Firefox ou o Internet Explorer)
e o servidor de pginas da Internet. Note-se que os dados encontram-se depositados num ficheiro de
texto criado no computador do utilizador, logo um cookie no contm nenhum cdigo, por isso no
pode transmitir vrus ou spyware.
Quanto ao tipo de cookies, possvel distinguir cookies originais e cookies de terceiros. Os
cookies originais (tambm designados primrios) so definidos pelo domnio do site listado na barra
de endereos, so usados para reconhecer o utilizador quando visita o website; os cookies de
terceiros vm de outras fontes de domnio que tm itens incorporados na pgina, como anncios,
imagens, videoclips, e pretendem reconhecer o computador do utilizador quando ele visita o website
ou outros websites.
Os cookies podem permanecer no disco do computador por diferentes perodos de tempo.
Alguns so designados cookies de sesso, pois existem somente quando o website aberto. Estes so
apagados automaticamente quando o utilizador fecha o browser. Outros so cookies permanentes,
pois perduram mesmo com o browser fechado. Estes podem ser usados por websites para reconhecer
o computador do utilizador quando mais tarde ele voltar a abrir o seu browser e aceder Internet
outra vez.
Os sites geralmente usam os cookies para distinguir utilizadores e memorizar preferncias. Os
sites de comrcio eletrnico so os que mais recorrem aos cookies a fim de conservarem a
preferncia do utilizador (por exemplo, as opes que assinalou) para evitarem que ele tenha de
escrever ou seleccionar tudo de novo. Sabendo se o utilizador um homem ou uma mulher, um site
poder direccion-lo directamente para a pgina adequada para faz-lo poupar tempo e, sobretudo,
para vender melhor. Se alm disso, o utilizador indicar no seu perfil que gosta de praticar tnis, o site
estar em condies de lhe propor uma seleo personalizada dos ltimos artigos na matria.
Muitos sites (como um webmail) precisam de cookies. Se o utilizador os bloquear, no
conseguir usar muitos servios que necessitam de identificao . Por exemplo, quando um utilizador
entra num site com o seu nome de utilizador e a respetiva senha (como por exemplo no webmail da
FEUP), o Firefox recebe e salva um ou mais cookies. Esses cookies servem como uma identificao
que o Firefox envia em todos os acessos. Dessa forma o site pode reconhecer o utilizador como a
pessoa que entrou anteriormente atravs do login.
Por outro lado, dado que um site utiliza cookies para traar as preferncias do utilizador,
frequente ocorrer que esse site solicite autorizao ao navegador Web para colocar um ou mais
cookies no disco rgido do computador do utilizador. Neste momento questionamos que
consequncias haver quando voltarmos a ligar o computador.

4 / 24
Cookies: uma ameaa privacidade

. Interesse e utilidade

Embora envoltos em polmica, os cookies so reconhecidos como um recurso til para a


personalizao e interatividade, Importa destacar que algumas aplicaes Web geralmente utilizam
cookies para manter o estado de autenticao entre utilizadores e aplicaes Web. Por outras
palavras, alguns Web sites usam cookies para preservar informao entre os cliques em diferentes
links e diferentes pginas Web. Posteriormente, esses cookies so usados por Web sites para saberem
que informao apresentar ao utilizador.
Entre outras coisas, os cookies so utilizados pelos sites, principalmente para identificar e
armazenar informaes sobre os visitantes. Cada posterior acesso que contenha os cookies ser
automaticamente permitido pelos aplicativos web, sem outra autenticao adicional (Putthacharoen
2011). Neste sentido, esta ferramenta de vigilncia de pleno direito (Collins 2011) presta um
servio pblico. Na verdade, tornou-se, aparentemente, um elemento essencial da Web. Tappenden
foi mais longe ao considerar que os cookies eram a espinha dorsal de muitas aplicaes Web
(Tappenden 2008).
Atente-se no seu funcionamento:
1. Um utilizador solicita uma pgina da Web;
2. O servidor pode fornecer informaes adicionais acompanhando a pgina solicitada e
essas informaes podem incluir um cookie, um pequeno arquivo (com 4 KB no
mximo).
3. O cookie pode ter at 5 campos: Domain, Path, Content, Expires, Secure. Domain
informa de onde veio o cookie. O navegador confirma que os servidores esto a
enviar dados fiis a respeito de seu domnio. Cada domnio pode armazenar no
mximo 20 cookies por cliente. O campo Path um caminho na estrutura de
diretrios do servidor que identifica as partes da rvore de arquivos do servidor que
podem usar o cookie. Frequentemente, ele obtm o smbolo / (barra), que
representa a rvore inteira. O campo Content utiliza a forma nome = valor, podendo
o servidor definir da maneira que quiser tanto o valor quanto o nome e nele que
fica armazenado o contedo do cookie. Expires o campo que faz o cookie persistir,
nele esto contidos a data e o horrio e, se ele estiver ausente, o navegador
descartara automaticamente aps o trmino da sesso. O ltimo campo define se ele
seguro ou no.

5 / 24
Cookies: uma ameaa privacidade

Segue-se um quadro com os principais atributos para um cookie :


Atributo Valor Sintaxe Observaes
O nome e o valor no podem
Cookie_name conter os caracteres ponto e
Signature_of_Alice Atributo obrigatrio.
vrgula (;), vrgula (,) nem
espao.
Permite definir a data a partir da
qual o cookie j no deve ser
Seg, DD-Ms-AAAA
Expire Data armazenado no disco. Normalmente
HH:MM:SS GMT
definido com a funo time () mais
a validade do cookie em segundos.
Geralmente deixado vazio porque
o nome do servidor atribudo por
defeito. Quando indicado, o nome
de domnio deve conter pelo menos
Domain Nome_do_domnio xxx.xxx.xxx dois pontos (.example.com). Uma
mquina que provm de um domnio
especfico pode especificar apenas
um nome de subdomnio ou o seu
prprio nome de domnio.
Este atributo permite definir uma
subdiretoria ou um ficheiro do
Path / /caminho/ servidor sobre o qual o cookie
vlido, a fim de reduzir o seu campo
de ao.
Este atributo opcional. Permite
especificar que o cookie deve ser
enviado usando uma conexo
Secure True ou False ___
segura (protegida pelos protocolos
SSL ou HTTPS). O valor tpico
False (sem conexo segura).

Em sntese, os cookies so utilizados pelos sites para:


guardar a identificao e a senha de um utilizador (gesto da sesso);
personalizar o contedo de sites pessoais ou de notcias, de acordo com as
preferncias do utilizador (personalizao).
manter listas de compras ou listas de produtos preferidos em sites de compras
(personalizao);
fazer a contagem dos acessos s pginas de um site, para a realizao de
estatsticas e anlises (rastreamento). Estes so os que levantam mais
preocupaes quanto privacidade, pois podem ser usados para acompanhar os
vrios sites, fornecendo um perfil detalhado de interesses, hbitos e informao
pessoal (rastreamento).

Outro aspeto a reter que um cookie contm a privacidade do utilizador e dados de


identificao, que podem ser usados para identific-lo. Ora, como so usados para identificar e
autenticar os utilizadores, acabam por ser um potencial alvo para os atacantes.
Cada vez que um utilizador direciona o browser para mostrar uma pgina a partir da qual
armazenou um cookie no seu computador, o browser transmite as informaes sobre aquele utilizador
para o servidor Web que hospeda o site.
Os browsers geralmente contm recursos de aceitar os cookies automaticamente, de no
aceit-los ou de aceit-los mediante autorizao do usurio. No entanto, h limites na quantidade de
cookies armazenados no computador:

6 / 24
Cookies: uma ameaa privacidade

300 cookies no total;


4 kilobytes por cookie;
20 cookies por domnio.
Em suma, o cookie usado para identificar um utilizador que configurou uma pgina Web,
para que na prxima vez que ele entrar ela esteja configurada do modo em que ele a deixou. Pode
ser usado tambm quando se faz a solicitao de armazenamento de senha. Assim, num momento
posterior em que entrar no site, a sua senha ser lembrada. usado tambm em sites de compra,
como e-commerce, armazenando os produtos que o cliente colocou no carrinho para que no final da
compra no necessite fazer todo o processo novamente.

Questes de privacidade

Como j houve oportunidade de explorar, os cookies so ficheiros que um servidor da Web


armazena no computador de um utilizador para facilitar a troca de informao entre o seu browser e o
site. A maior parte dos cookies so simplesmente ficheiros de texto que so praticamente inofensivos,
mas existem alguns que conseguem recolher informao sobre o utilizador e encaminh-la para
terceiros.
O problema dos cookies advm das informaes que contm. A transmisso de cookies, por
padro, invisvel ao utilizador. No entanto, possvel configurar os motores de busca para alertar o
utilizador sobre a sua existncia ou para permitir que veja os cookies armazenados. Um cookie
transmitido at que perca a validade, que definida pelo site.
Hoje em dia, questes como a proteco de dados e privacidade na Web esto a tornar-se o
centro das preocupaes. Isto porque se verifica que h cada vez mais sites que recolhem
informaes pessoais dos utilizadores atravs de cookies, entre outros recursos que tambm levantam
problemas de ameaa privacidade, mas que no so objeto de estudo neste trabalho.
Os cookies podem ser alvo de uso intrusivo. Ainda existem alguns riscos potenciais
segurana em cookies. Por exemplo, o seu contedo pode ser facilmente alterado, assim ele ir
resultar em algumas ameaas de segurana para o utilizador ou mesmo para o website. Embora a
maioria dos servios Web usem cookies para personalizar o acesso dos clientes ao site, atualmente o
e-commerce limita substancialmente o uso de cookies, dado que as informaes confidenciais no
podem ser armazenadas de forma segura e comunicadas num simples cookie (Park 2000).
Idealmente, o cookie deve conter uma cadeia aleatria (identificador de sesso) nica e
dificilmente adivinhvel, vlida unicamente durante um tempo determinado. Em nenhum caso o
cookie deve conter directamente as informaes relativas ao utilizador e a sua durao de vida deve
ser o mais prxima possvel da que corresponde sesso do utilizador.
Por outro lado, os dados armazenados num cookie so enviados pelo servidor, com base nos
dados informados pelo utilizador (com excepo do endereo IP e a identificao do navegador
transmitida automaticamente ao servidor). Assim, o utilizador deve recusar fornecer informaes

7 / 24
Cookies: uma ameaa privacidade

pessoais a um site que no lhe inspire confiana, porque no tem nenhuma razo para recolher
informaes dessas.
Neste prisma, um cookie no tem nada de perigoso se o utilizador no transmitir informaes
pessoais e o seu acessvel apenas ao site ao qual pertence. No entanto, se o site X usa uma imagem
(ou outro recurso qualquer) de um site Y, este ltimo poder saber se o utilizador j o visitou antes
no instante em que ele carrega a pgina do site X. Para que isto no acontea, necessrio
desmarcar a opo Aceitar cookies de outros sites na janela de opes para desativar esse
comportamento.

Este assunto ser desenvolvido no item dedicado ao ajuste de permisses (cf. pg. 10).

.Cookies no Google e no Facebook

Para ilustrar os riscos inerentes aos cookies, recordem-se as polmicas que envolveram
recentemente o browser Google e a famigerada rede social Facebook, por comprometerem os dados
dos utilizadores.
Quanto ao Google, foi alvo da acusao de dois especialistas de segurana que alertaram para
o facto de uma nova verso da ferramenta Firesheep Wi-Fi permitir o acesso aos dados de navegao
da maioria dos utilizadores do Google Web History, que recurso que faz um histrico de tudo o que
se procurou na Internet. Eles realizaram um teste a 10 utilizadores voluntrios e foram capazes de
identificar 82% de todos os sites visitados (JM 2011).
A falha localizou-se no arquivo utilizado para identificar o cibernauta durante a sua navegao
nos servios oferecidos pelo Google, que era, nada mais nada menos, que o cookie Session ID. Este
cookie enviado sempre que um utilizador acede a uma aplicao naquele motor de busca. Ora, com
a ferramenta Firesheep era possvel recolher os dados remetidos de um computador ligado a
hotspots pblicos sem encriptao. Note-se que a encriptao de dados a pedra angular da
segurana na Internet. Na verdade, isto mostra que os hackers tm refinado as suas formas de
ataque, procurando encontrar alternativas para um utilizador enviar o seu Session ID.
Vrios servios oferecidos pela Google usam o protocolo HTTPS, como por exemplo o Gmail.
Por isso, o mtodo mais fcil configurar um ponto de acesso de rede sem fio falso e usar um iFrame

8 / 24
Cookies: uma ameaa privacidade

(componente de programao) para direccionar o utilizador para um servio do Google, como o


Alerts, que no utiliza um canal de comunicao protegido.
Para o ataque ocorrer, necessrio que o utilizador tenha o Google Web History activado. No
entanto, essa funcionalidade configurada quando se cria uma conta e muitos utilizadores tm o
recurso em uso mas nem sabem disso.
Para evitar esse tipo de acesso indevido durante o uso de hotspots pblicos, o utilizador
pode utilizar uma rede privada virtual (VPN), desligar o Google Web History, excluir o histrico da
Web ou simplesmente estar desligado dos servios da Google durante esse acesso.

No que diz respeito ao Facebook, a polmica surgiu de uma publicao, num blog, de um
pesquisador australiano, onde revelava as suas concluses aps uma anlise aos cdigos de
programao da referida rede social. Ele notou que quando um utilizador clicava
no boto Gosto, os seus dados comeavam a ser rastreados, sem nenhum tipo
de aviso ou pergunta, mesmo depois de fazerem logout, o que representa uma
falha no sistema de cookies. Em resposta aos boatos de que monitorizava os
utilizadores, a rede social admitiu o problema em trs cookies e foi clere na resoluo do mesmo.
O Facebook usa cookies no computador do utilizador. No entanto, tero surgido
inadvertidamente no computador de alguns utilizadores trs cookies que incluam identificadores
nicos quando o utilizador saa do Facebook, o que no era suposto acontecer. Contudo, a empresa
de Mark Zuckerberg manifestou que no guardava esses identificadores, por isso no usara esta
informao para rastreamento ou qualquer outro propsito. Por outro lado, ao tomar conhecimento
do sucedido, esses cookies foram modificados para no inclurem nenhuma informao individual no
futuro, quando um utilizador se desconetar.
Importa mencionar que a referida rede social defendeu que no tinha qualquer interesse em
monitorizar as pessoas, que no guardava nem utilizava qualquer informao que no devia e que
no houve nenhum problema de segurana ou de violao da privacidade dos utilizadores,
salvaguardando que usava cookies para personalizar contedos.
Neste sentido, os cookies so usados em plugins sociais para personalizar o contedo, como
por exemplo para mostrar aos utilizadores o que os seus amigos gostam, para ajudar a manter e
melhorar o servio do site e para a segurana, como por
exemplo para evitar que menores de idade se inscrevam
na rede social.
O diretor de engenharia do site, Arturo Bejar,
afirmou que, apesar de as informaes serem
redirecionadas para os servidores da rede, elas eram
logo apagadas e no tinham nenhum uso extra como
fazer anlise de mercado ou vend-las para anunciantes da pgina (Barros 2011). Ou seja, os
cookies do Facebook no so utilizados para espionar os internautas, mas sim para fornecer um
contedo personalizado, melhorar o servio ou para proteger os seus utilizadores e os seus servios,

9 / 24
Cookies: uma ameaa privacidade

por exemplo para solicitar uma segunda autenticao quando o utilizador se coneta a partir de um
lugar pouco habitual.
No entanto, um grupo de utilizadores denominado Europe X Facebook (Computerworld
2011), aproveitando uma lei da Unio Europeia que d a cada cidado o direito de solicitar aos sites
as informaes que possuem a seu respeito, conseguiram ter acesso informao que supostamente
a rede social guarda de cada utilizador. Na verdade eles publicaram o histrico da conta de uma
utilizadora, cuja identificao foi ocultada. Eis o resultado:
880 pginas de informaes, agregadas desde 2007, ano do registou no Facebook;
50 vezes interpelada, sendo que 2008 foi o ano em que mais pessoas interagiram com ela;
Foram revelados os computadores usados para se ligar rede, com que frequncia e que
outros utilizadores utilizaram a mesma mquina para entrar no site;
Foi possvel saber quais os contactos de que no aceitou a amizade e os que excluiu
posteriormente.
Talvez os dados anteriormente apresentados justifique comentrios como aquele proferido pelo
criador do WikiLeaks, Julian Assange, qualificando a rede como uma mquina de espionagem.

. Ajuste de permisses

Os browsers Web tm as ferramentas necessrias para remover ou condicionar qualquer cookie


guardada no computador de um utilizador. Por outro lado, todos os cookies armazenados tm uma
data em que expiram e teoricamente so eliminados. No entanto, qualquer utilizador pode eliminar
cookies manualmente, mas a remoo diferente em cada navegador.
No sentido de clarificar os passos a seguir para essas aes, este ponto centrar-se- em trs
browsers por serem os que esto mais em voga no momento:
Mozilla Firefox;
Internet Explorer;
Google Chrome.

Cookies no Mozilla Firefox

Tomando como ponto de referncia a verso 8.0.1. do Firefox, instalado num sistema operativo
Windows XP, seguem-se os passos que um utilizador deve seguir para poder adicionar, gerir, conferir
e remover cookies no seu computador. Note-se que, contudo, noutras verses h pequenas
diferenas quando apresentao da informao.
O primeiro passo consiste em aceder ao menu Ferramentas que se encontra na barra superior de
menu, selecionar o item Opes, para surgir uma janela de dilogo, e clicar sobre o cone Privacidade,
que se encontra na barra superior. Surgir a seguinte janela:

10 / 24
Cookies: uma ameaa privacidade

Janela 1

Ao clicar no link remover cookies individualmente (janela 2), ser possvel ter acesso aos
cookies armazenados no computador (janela 3), como tambm eliminar aquele(s) que o utilizador
quiser, at mesmo todos, se for o caso. A imagem que se segue ilustra as janelas que sero
apresentadas ao utilizador, facilitando a tomada de deciso. Note-se que um cookie pode ser
seleccionado e apagado individualmente com um clique no boto Remove Cookie (cf. janela 3), ou
podem ser apagados na sua totalidade com um clique no boto Remover todas as cookies (cf.
janela 3).

Janela 2

Janela 3

11 / 24
Cookies: uma ameaa privacidade

No entanto, se um utilizador optar por clicar sobre o link limpar o seu histrico recente,
todos os cookies tambm sero apagados.
Em sntese:
1. Clicar no cone Ferramentas > Opes;
2. Seleccionar o item Privacidade;
3. Clicar no link limpar o seu histrico recente / remover cookies individualmente.

Cookies no Internet Explorer

Tomando como ponto de referncia a verso 8 do browser Internet Explorer, instalado num
sistema operativo Windows XP, seguem-se os passos que um utilizador deve seguir para poder
adicionar, gerir, conferir e remover cookies no seu computador.
Se o utilizador optar pela forma mais rpida de eliminar os cookies do browser, dever clicar
sobre o cone do mesmo e posteriormente na opo Segurana, que se encontra numa barra superior
do lado esquerdo da interface (cf. janela 4). De seguida, clicar sobre a opo Eliminar histrico de
navegao e selecionar o item Cookies (cf. janela 5). Neste caso, poder ocorrer a remoo no s
dos cookies, mas tambm dos arquivos temporrios da Internet, do histrico, entre outros itens (cf.
janela 5).

Janela 4

Janela 5

12 / 24
Cookies: uma ameaa privacidade

Contudo, outros passos podem ser dados no sentido de gerir a incidncia dos cookies no
computador. Neste caso, na interface do browser Internet Explorer clica-se no menu Ferramentas
(que se encontra numa barra superior do lado direito) e seleciona-se o item Opes da Internet (cf.
janela 6).

Janela 6

Surgir uma janela com separadores. O utilizador dever selecionar aquele que diz respeito a
Privacidade, clicando sobre ele, e assim ter acesso seguinte janela de dilogo:

Janela 7

Como se pode observar atravs da janela 7, possvel controlar o nvel de manipulao dos
cookies na zona da Internet movendo o boto das definies para o nvel de proteo desejado. No
caso do nvel da imagem, o nvel de proteo satisfatrio, embora ainda possibilite o
armazenamento de cookies de terceiros que no tenham uma poltica de privacidade compacta, o que

13 / 24
Cookies: uma ameaa privacidade

pode futuramente afigurar-se um risco para o utilizador. No entanto, este utilizador bloqueou os
cookies de terceiros e os cookies diretos que guardam informaes que podem ser utilizadas para
contact-lo sem o seu consentimento explcito, que representam medidas que protegem a privacidade
do utilizador.
No mesmo quadro de dilogo, o utilizador poder clicar sobre o boto Avanadas, a partir do
qual aceder a uma outra janela de dilogo (cf. janela 8), que diz respeito a definies de privacidade
avanadas, onde poder escolher como que os cookies sero manipulados. Assim, se selecionar a
opo Ignorar manipulao automtica de cookies ser autnomo em aceitar, bloquear ou pedir
cookies de origem ou cookies de terceiros, caso contrrio, manter-se- por defeito a manipulao
automtica de cookies.

Janela 8

Em sntese:
1. Clicar em Ferramentas > Opes da Internet;
2. Selecionar Privacidade > Avanadas.
A ttulo de curiosidade, acrescente-se que possvel aceder aos mesmos quadros atravs de
outro menu, que no o de Ferramentas. Na interface do Internet Explorer, na mesma barra em que se
encontra o menu Ferramentas, tambm est localizado o menu Segurana. Seguem-se os passos
alternativos para a execuo das mesmas tarefas anteriormente descritas:
1. Segurana (janela 9) > Poltica de privacidade da pgina Web (d acesso janela 10);
2. Definies (d acesso janela 11, Opes da Internet) > Privacidade.

14 / 24
Cookies: uma ameaa privacidade

Janela 9

Janela 10

Janela 11

Cookies no Google Chrome

Tomando como ponto de referncia o Google Chrome instalado num sistema operativo
Windows XP, seguem-se os passos que um utilizador deve seguir para poder adicionar, gerir, conferir
e remover cookies no seu computador.
Na pgina inicial da interface do respetivo browser, clica-se no cone Ferramentas (que se
encontra no lado direito do topo da interface, logo aps a caixa de endereos URL) e seleciona-se o
item Opes (cf. quadro 12). Surgir um menu do lado esquerdo da interface e o utilizador dever
clicar sobre o item Definies avanadas, tendo assim acesso a um quadro de Definies de contedo
onde poder permitir ou bloquear cookies, bem como gerir excees, clicando no boto com esta
indicao (cf. janela 12).

15 / 24
Cookies: uma ameaa privacidade

Janela 12

Em sntese:
1. Clicar no cone Ferramentas > Opes;
2. Seleccionar o item Definies avanadas > Privacidade;
3. Clicar em Definies de contedo;
4. Cookies (selecionar/tirar seleo) / boto Todos os cookies e dados do site.

Por outro lado, o utilizador poder verificar quantos e quais os cookies armazenados no seu
computador (cf. janela 13), bem como observar alguma informao sobre os mesmos (cf. janela 14) e
remover manualmente o(s) que pretender.

Janela 13

16 / 24
Cookies: uma ameaa privacidade

Janela 14

Cookies na FEUP

Tal como j foi clarificado no incio deste trabalho, cookies so ficheiros armazenados no
computador por websites para guardar preferncias, como por exemplo informaes de incio de
sesso (username e password).
Para exemplificar, tenham-se em conta as autenticaes (login) a realizar por um estudante
da FEUP. Se ele pretender aceder pgina inicial desta instituio de ensino (www.fe.up.pt) para se
autenticar e aceder aos seus dados pessoais (como por exemplo s notas) ou aos contedos das
disciplinas, ou ento se pretender aceder pgina twiki ou ao site do Moodle, atravs de qualquer
browser, tem de digitar o seu nome de utilizador (username) e a palavra-passe (password) que lhe
est associada. No entanto, esta tarefa estar facilitada se houver um cookie permanente associado.
Neste caso, ao aceder ao site pretendido, por defeito surge preenchido o campo do username (cf.
janela 15), pelo que o utilizador apenas digitar a password, ou, no caso de ele ter selecionado a
opo para guardar a password, no momento do acesso ao site, basta clicar no boto Entrar.

Janela 15

17 / 24
Cookies: uma ameaa privacidade

. Protocolo HTTP

Os cookies fazem parte das especificaes do protocolo HTTP (Hypertext Transfer Protocol),
que consiste no protocolo que permite a navegao nas pginas Web. Basicamente so grupos de
dados trocados entre o servidor de pginas e o navegador colocado num ficheiro criado no
computador do utilizador. Serve para manter a persistncia das sesses HTTP.
A World Wide Web facilita o comrcio eletrnico na Internet atravs do protocolo de
hipertexto subjacente, que carrega as interaes entre os servidores Web e os browsers (Park 2000).
O protocolo HTTP permite a troca de mensagens entre o servidor e o chamado client atravs de
pedidos de respostas HTTP. Estes contm rubricas que possibilitam enviar informaes especficas de
maneira bilateral. Uma dessas rubricas est reservada para a escrita de ficheiros no disco do
computador: os cookies. Acrescente-se que a rubrica HTTP reservada utilizao dos cookies chama-
se Set-Cookie e tem a seguinte apresentao:
Set-Cookie : NOM=VALEUR; domain=NOM_DE_DOMAINE; expires=DATE

Segundo o referido protocolo, sempre que um navegador solicita uma URL a um servidor
Web, envia apenas os campos relevantes: Cookie_Name e Cookie_Value. Estes cookies recebidos pelo
servidor so usados durante aquela comunicao browser-servidor. Contudo, se o servidor no
receber nenhum cookie provavelmente criar cookies para comunicaes subsequentes entre
browser-servidor (Park 2000). Por outro lado, um servidor Web pode atualizar o contedo de cookies
sempre que o utilizador visitar o servidor.
Note-se que o protocolo HTTP no conserva o estado dos clientes e responde a cada novo
pedido de forma independente dos pedidos anteriores. No entanto, til que o servidor mantenha um
registo de cada sesso por parte dos seus clientes de forma a guardar as informaes entretanto
introduzidas por este nas diferentes pginas visitadas. J houve oportunidade de explorar algumas
das razes para isso, mas convm recordar:
oferecer ao utilizador diferentes contedos consoante as pginas do site que ele
visitou;
mostrar publicidade ao cliente mas sem repetir os spots j vistos;
armazenar a informao introduzida pelo utilizador ao longo da sesso, como no caso
de comrcio electrnico;
saber como que um utilizador chegou a determinada pgina: se seguiu uma ligao
ou chegou pgina a partir dos seus stios favoritos.

18 / 24
Cookies: uma ameaa privacidade

. Lei europeia de regulao

Toda a informao exposta referente aos cookies prova a sua legitimidade, mas tambm o
risco que representa. A Internet um lugar que ainda se baseia em princpios e normas que esto
em vigor desde os primeiros dias.
Assim, numa tentativa de monitorizar os cookies, assim como diminuir as prevaricaes, foi
promovida nos pases da Unio Europeia uma diretiva, DIRECTIVE 2009/136/EC OF THE EUROPEAN
PARLIAMENT AND OF THE COUNCIL of 25 November 2009, que visava alterar duas outras diretivas:
Directive 2002/22/EC on universal service and users rights relating to electronic communications
networks and services, Directive 2002/58/EC. Segundo esta nova lei, um cookie s podia ser
armazenado no computador de um utilizador aps o seu consentimento explcito, tal como est
exposto no artigo 66. (European Parliament 2009):
Third parties may wish to store information on the equipment of a user, or gain access to
information already stored, for a number of purposes, ranging from the legitimate (such as
certain types of cookies) to those involving unwarranted intrusion into the private sphere (such
as spyware or viruses). It is therefore of paramount importance that users be provided with
clear and comprehensive information when engaging in any activity which could result in such
storage or gaining of access. The methods of providing information and offering the right to
refuse should be as user-friendly as possible. Exceptions to the obligation to provide
information and offer the right to refuse should be limited to those situations where the
technical storage or access is strictly necessary for the legitimate purpose of enabling the use of
a specific service explicitly requested by the subscriber or user. Where it is technically possible
and effective, in accordance with the relevant provisions of Directive 95/46/EC, the users
consent to processing may be expressed by using the appropriate settings of a browser or other
application. The enforcement of these requirements should be made more effective by way of
enhanced powers granted to the relevant national authorities.

Tal como est indicado no artigo 7. da Diretiva 2009/136/EC, esta visa refinar alguns aspetos
que dizem respeito diretiva das comunicaes privadas e eletrnicas (European Parliament 2009).
H naturalmente procedimentos que requerem o uso de cookies. Uma forma de aplicar as
diretrizes desta lei colocar uma opo necessria como parte do formulrio de inscrio que permite
ao utilizador dar o seu consentimento explcito para o armazenamento de cookies no computador.
Leia-se a propsito o artigo 67. (European Parliament 2009):
Safeguards provided for subscribers against intrusion into their privacy by unsolicited
communications for direct marketing purposes by means of electronic mail should also be
applicable to SMS, MMS and other kinds of similar applications.
No entanto, tal como observou Collins (2011), muitos Estados europeus tm dado pouca
ateno directiva.

19 / 24
Cookies: uma ameaa privacidade

Aplicaes futuras

Tm surgido vrias propostas no sentido de aumentar a confidencialidade e a eficincia dos


cookies. As aplicaes Web so, sem dvida, alvos de ataque e muitas delas usam cookies para
manter o estado do utilizador. Ora, muitos desses ataques so sobre esses cookies, a fim de
comprometer a segurana da rede (Ayadi 2011). Da a quantidade de estudos realizados para tornar
mais segura a rede, sem prescindir da utilidade dos cookies. Seguem-se algumas propostas
interessantes, com datas compreendidas entre 2005 e 2011.
Os cookies seguros oferecem trs tipos de servios de segurana: autenticao (que verifica o
proprietrio do cookie), integridade (que protege contra modificaes no autorizadas)
e confidencialidade (que protege contra os valores do cookie, sendo revelados a uma entidade no
autorizada). Sendo assim, uma das propostas apresenta como alternativa o uso de cookies de
autenticao, com base num endereo (IP_Cookie) ou numa senha (Pswd_Cookie), ou o uso de
cookies de assinatura digital (Sign_Cookie) (Park 2000).
No entanto, a proposta acima mencionada, que prima pelo uso do protocolo SSL, apresenta
algumas fragilidades. Quanto ao mecanismo para autenticao, usando o endereo baseado em
autenticao, cada conjunto cookie tem um cookie de IP que contm o endereo IP do cliente. Um
servidor autentica um cookie recebido, verificando se o set-cookie a partir do endereo IP no cookie
IP. Contudo, este mecanismo de autenticao vulnervel a spoofing de IP, por outro lado o
endereo de IP de um cliente pode ser dinmico e ainda um cliente pode usar um NAT (Network
Address Translator) ou um servidor proxy e, portanto, pode compartilhar o mesmo endereo IP com
outros clientes no mesmo domnio.
Usando a autenticao de assinatura digital baseada em cada vez que um cliente deseja fazer
uma solicitao HTTP para um servidor, o primeiro cliente gera uma assinatura cookie que contm um
carimbo do tempo e assinatura do cliente do carimbo de tempo. Em segundo lugar, o cliente envia
a solicitao HTTP juntamente com o cookie emitido pelo servidor para o cliente e a assinatura do
cookie criado pelo cliente. O servidor autentica que recebeu o cookie, verificando a assinatura do
cookie. Esse mecanismo de autenticao difcil de implementar porque ele assume que cada cliente
tem uma chave pblica e uma privada chave. Alm disso, este mecanismo de autenticao caro
porque exige pesquisas de banco de dados (por chave pblica de um cliente) e encriptao de chave
pblica.
Alguns autores descobriram que um protocolo de cookies "state-of-the-art, apresentado por
outros investigadores (K.Fu, E. Sit, K. Smith, and N.Feamster. Dos and donts of client authentication
on theweb. In Proceedings of the10th USENIX Security Symposium, August 2001.), no tinha um
mecanismo para fornecer alto nvel de confidencialidade, era vulnervel a ataques de repetio de um
cookie e tinha um ineficiente mecanismo de defesa conta ataques em massa (Liu 2005). Assim, para
colmatar estas lacunas, propuseram um novo protocolo de cookies que oferecia maior segurana,
contendo os quatro servios que consideravam imprescindveis entre um browser e um servidor:
autenticao, confidencialidade, integridade e anti-replay.

20 / 24
Cookies: uma ameaa privacidade

Em aplicaes Web segura, uma sesso tpica entre um cliente e um servidor composto
por duas fases. A primeira fase chamada a fase de login e a segunda fase chamada de solicitaes
subsequentes. Na primeira fase, o cliente e o servidor autenticam-se mutuamente . O cliente
autentica o servidor usando o Certificado PKI (Public Key Infrastructure) do servidor depois
de estabelecer uma conexo SSL (Secure Sockets Layer) com o servidor. O servidor autentica
o cliente usando o username e a password do cliente e envia um cookie seguro (que tambm
chamado de autenticao "token") para o cliente. Na fase de solicitaes subsequentes, o cliente
enviava o cookie seguro, juntamente com todos os pedidos para o servidor e este verificava se o
cookie era vlido.
O protocolo de cookies proposto gere cookies especficos com chaves criptogrficas da
seguinte maneira: quando um servidor cria um cookie de alto nvel de confidencialidade, o servidor
gera uma chave aleatria, encripta a chave com uma chave pblica e armazena a chave criptogrfica
num cookie. A desvantagem desta soluo que a verificao de cada cookie envolve encriptao da
chave pblica, o que torna o protocolo de cookies complexo e ineficiente.
Em termos de eficincia, o protocolo referido no envolve qualquer pesquisa em banco de
dados ou encriptao de chave pblica. Segundo os seus criadores, implementa-se o protocolo cookie
seguro usando PHP (Liu 2005).
Em suma, na literatura anterior tm surgido propostas de vrios protocolos para o uso seguro
de cookies, mas nenhum deles completamente satisfatrio (Liu 2005). Por isso, em 2006 surgiu a
proposta de uma ferramenta denominada cache cookie para ajudar a restaurar usabilidade e
convenincia aos utilizadores, mantendo um bom nvel de privacidade (Juels 2006). As tcnicas que
explora tambm podem ajudar a combater ameaas de segurana online, tal como phishing, que os
cookies comuns no podem.
Outra das propostas partiu de outro grupo de investigao, cujo projeto consistia numa nova
abordagem gesto de cookies (Masone 2007). Segundo este, um browser s iria retornar um cookie
depois de autenticar-se atravs do protocolo SSL.
Tambm Tappenden (2008) faz referncia garantia de fiabilidade atravs do uso de um par
de chaves. Esta proposta apresentou uma estratgia de teste para cookies, baseada na
definio gramatical de um cookie aplicada a partir de trs perspectivas: coleo de cookies,
transformao de cookies individuais e aplicaes especficas.
Ren (2010) prope uma nova poltica de segurana baseada em cookies num chaveiro num
endereo MAC (endereo fixo de equipamento de rede) criptogrfico. Tambm Murdoch partilha desta
viso, mencionando uma chave MAC simtrica (chave partilhada).
Em inmeros websites, a autenticao de um utilizador realizada atravs do username
(nome de utilizador) e da password. Por isso, Putthacharoen (2011) apresenta uma nova tcnica
denominada " Dynamic Cookies Rewriting ", que visa visa tornar os cookies inteis para ataques XSS
(Cross Site Scripting attack) usados para roubar cookies da base de dados de um browser. Esta
tcnica implementada numa Web proxy, onde sero automaticamente reescritos os cookies que so
enviados entre o utilizador e as aplicaes Web. Com esta tcnica, o cookie no banco de dados do
browser deixa de ser vlido para as aplicaes Web.

21 / 24
Cookies: uma ameaa privacidade

Concluso

As aplicaes Web representam, sem dvida, ameaas segurana e privacidade de um


utilizador. A maioria destas aplicaes fazem uso de cookies, que foram objeto de estudo, para
manter o estado do utilizador e por vezes os ataques ocorrem sobre os cookies unicamente para
comprometer a segurana da rede (Ayadi 2011).
No obstante as vrias tentativas para solucionar estas questes, atravs de sugestes de
arquiteturas e mtodos, atualmente esta batalha para conceder aos cookies servios com integridade
e confidencialidade continua.

22 / 24
Cookies: uma ameaa privacidade

Bibliografia

Barros, Tiago. 2011. Facebook diz que no h violao de segurana ou privacidade de dados dos usurios
- Notcias - TechTudo. A tecnologia descomplicada. Setembro 28.
http://www.techtudo.com.br/noticias/noticia/2011/09/facebook-confirma-que-botao-curtir-repassa-
dados-dos-usuarios-e-promete-correcao-dos-cookies.html. (consultado em 5 de Outubro de 2011).

Bishop, Matt. 2004. Introduction to Computer Security. Addison-Wesley Professional.


http://my.safaribooksonline.com/book/networking/security/0321247442/an-overview-of-computer-
security/ch01lev1sec2#X2ludGVybmFsX0ZsYXNoUmVhZGVyP3htbGlkPTAzMjEyNDc0NDIvMjIy.
(consultado em 29 de outubro de 2011).

Bough, B. Bo nin. 2011. Facebooks New Features and The Cookies of Our Lives - Forbes. Forbes.
http://www.forbes.com/sites/boninbough/2011/09/26/the-cookies-of-our-lives/. (consultado em 5 de
outubro de 2011).

Collins, Jon. 2011. Cloud Society: Cookies and SaaS - where corporate gets personal. CloudPro. Setembro
27. http://www.cloudpro.co.uk/cloud-essentials/cloud-security/1799/cloud-society-cookies-and-saas-
where-corporate-gets-personal. (consultado em 5 de Outubro de 2011).

Computerworld. 2011. O Facebook sabe muito sobre si. Computerworld.com.pt. Setembro 30.
http://www.computerworld.com.pt/2011/09/30/o-facebook-sabe-muito-sobre-si/. (acedido em 05 de
outubro de 2011).

European Parliament, e Council of The European Union. 2009. DIRECTIVE 2009/136/EC OF THE
EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2009. Official Journal of the
European Union. http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:En:PDF. (consultado em 23 de
novembro de 2011).

JM. 2011. Falhas no Google comprometem utilizadores. Jornal da Madeira, Setembro 14.
http://www.jornaldamadeira.pt/not2008.php?Seccao=10&id=195131&sdata=2011-09-14. (consultado
em 5 de outubro de 2011).

Juels, A., M. Jakobsson, e T.N. Jagatic. 2006. Cache cookies for browser authentication. Security and
Privacy. http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=1624020. (consultado em 26 de
outubro de 2011).

Liu, A. X., J. M. Kovacs, C. T. Huang, e M. G. Gouda. 2005. A secure cookie protocol. Em Computer
Communications and Networks, 2005. ICCCN 2005. Proceedings. 14th International Conference, 333-
338. http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=1523880. (consultado em 26 de outubro
de 2011).

23 / 24
Cookies: uma ameaa privacidade

Masone, Chris, Kwang-Hyun Baek, e Sean Smith. 2007. WSKE: Web Server Key Enabled Cookies. Em
Financial Cryptography and Data Security, 4886:294-306. Lecture Notes in Computer Science.
http://www.metapress.com/content/5j6mt91701286305/. (consultado em 26 de outubro de 2011).

Murdoch, Steven J. 2011. Hardened Stateless Session Cookies. Em Security Protocols XVI. Vol. 6615.
http://www.metapress.com/content/c504574509661k70/. (consultado em 26 de outubro de 2011).

Netscape.com. Persistent Client State HTTP Cookies. About.com.


http://webdesign.about.com/gi/o.htm?zi=1/XJ&zTi=1&sdn=webdesign&cdn=compute&tm=91&f=00&
su=p284.13.342.ip_p504.6.342.ip_&tt=2&bt=1&bts=1&st=11&zu=http%3A//curl.haxx.se/rfc/cookie_
spec.html. (acedido em 26 de novembro de 2011).

Park, J. S., e R. Sandhu. 2000. Secure cookies on the Web. Internet Computing, IEEE.

Pujolle, G., A. Serhrouchni, e I. Ayadi. 2009. Secure session management with cookies. Em
Communications and Signal Processing, 2009. ICICS 2009. 7th International Conference, 1-6.
doi:10.1109/ICICS.2009.5397550. http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=5397550.
(consultado em 26 de outubro de 2011).
Putthacharoen, R. Bunyatnoparat. 2011. Protecting cookies from Cross Site Script attacks using Dynamic
Cookies Rewriting technique. Em , 1090-1094.
http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=5745998. (consultado em 26 de outubro de
2011).

Ren, Heng Wu Weiting Chen Zhongjie. 2010. Securing Cookies with a MAC Adress Encrypted Key. Em
Networks Security Wireless Communications and Trusted Computing (NSWCTC), 2010 Second
International Conference on, 2:62-65. doi:10.1109/NSWCTC.2010.151.
http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=5480333. (consultado em 26 de outubro de
2011).

Tappenden, A., e J. Miller. 2008. A Three-Tiered Testing Strategy for Cookies. Em Software Testing,
Verification, and Validation, 2008 1st International Conference, 131-140. doi:10.1109/ICST.2008.18.
http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=4539540. (consultado em 26 de outubro de
2011).

24 / 24