Se você depende das configurações de privacidade do Internet Explorer da Microsoft para controlar os cookies no seu computador, talvez tenha de reformular sua estratégia. Inúmeros sites, inclusive enormes, como o Facebook, estariam usando uma brecha que lhes permite driblar a capacidade do IE de bloquear os cookies, afirmam pesquisadores do CyLab da Faculdade de Engenharia da Universidade Carnegie Mellon.
—- • Siga o ‘Link’ no Twitter e no Facebook
Um estudo (nota: clicando no link, iniciará um download de pdf) publicado pelos pesquisadores afirma que um terço dos mais de 33 mil sites por eles analisados contém erros técnicos que fazem com que o IE permitam que os cookies se instalem, mesmo que o navegador tenha sido configurado para rejeitá-los. Dos 100 destinos mais visitados na Internet, 21 sites tinham erros, inclusive o Facebook, vários sites da Microsoft, Amazon, IMDB, AOL, Mapquest, GoDaddy e Hulu. Erros de digitação e falhas honestas provavelmente explicam muitos destes erros, afirma Lorrie Faith Cranor, diretora do CyLab Usable Privacy and Security Laboratory e coautora do estudo. Mas ela calcula que mais da metade representa tentativas deliberadas de impedir que o IE bloqueie certos tipos de cookies de terceiros com base em políticas de privacidade.
Os cookies são usados para armazenar informações sobre um usuário ou o uso da rede e, portanto, os sites podem personalizar a experiência daquele usuário, inclusive os anúncios que ele costuma ver. Os chamados cookies persistentes ou tracking cookies são dados colocados não pelos sites visitados, mas por sites de terceiros na Internet, que colocaram conteúdo ou publicidade nas páginas visitadas da rede. Estes cookies podem permanecer no computador por muito tempo e coligir informações sobre hábitos de navegação, e há muito vêm despertando temores nas pessoas preocupadas com a privacidade online.
A brecha está na troca de informações entre o navegador e o site. Em geral, o IE verifica a política de privacidade de um site para saber se ela complementa as configurações de segurança do navegador. Esta verificação é feita por meio de “políticas de privacidade em sua versão compacta”: linhas de código de computador (neste caso, códigos de três ou quatro letras) que se referem ao conteúdo das extensas explicações sobre políticas de privacidade que os sites apresentam ao usuário. Para exemplificar, imaginem a seguinte conversa entre navegador e site:
Browser: Eu não permito os cookies que armazenam informações identificáveis que podem ser usados para entrar em contato comigo sem permissão.Site: Tenho uns cookies para colocar aqui, mas nenhum deles faria isto.Browser: Ótimo. Então pode vir.
As políticas de privacidade são voluntárias e fazem parte de uma norma da internet chamada Plataforma para Preferências de Privacidade, ou P3P, que foi desenvolvida na década de 90; a dra. Cranor fazia parte da comissão de normas que desenvolveu o P3P. O objetivo da política de privacidade era criar uma maneira de descrever as práticas de privacidade dos sites a respeito de cookies que os computadores leem e usam.
O navegador IE da Microsoft é o único navegador importante que usa de maneira significativa a P3P; quando configurado para nível intermediário de segurança, ele usa diretivas de compactação para bloquear e controlar determinados cookies como padrão. (Acesse as configurações na Versão 8 do IE clicando em Ferramentas, depois Opções de Internet e em Privacidade. Mude sua configuração usando o slider.) E foi este o poder da parcela de mercado do IE – 60%, segundo a NetMarketshare – que levou sites que querem instalar cookies em PCs a usar políticas de privacidade, afirmam especialistas como a dra. Cranor e Ari Schwartz, vice-presidente do Centro de Democracia e Tecnologia até ingressar no governo Obama, no mês passado.
Navegadores como Chrome, Firefox e Safari têm configurações de segurança mais simples. Em vez de verificar a política de privacidade de um computador, estes navegadores permitem que as pessoas bloqueiem todos os cookies, apenas os cookies de terceiras partes ou permitam todos os cookies.
A brecha que os sites estão usando para driblar o bloqueador de cookies do IE aparece no processo que o navegador utiliza para verificar as políticas de privacidade. O IE verifica apenas códigos que indicam que um site não dispõe de proteções de privacidade corretas, segundo a dra. Cranor. Se ele encontra falhas – por exemplo, os códigos estão errados (há combinações de três e quatro letras) ou não existem códigos suficientes para completar uma política adequada (pelo menos cinco) – simplesmente deixa que os cookies se instalem. Quando os estudantes da Carnegie Mellon começaram a investigar estes códigos falhos, perceberam que exatamente a mesma combinação insuficiente de três códigos aparecia em mais de 2.700 sites.
Curiosamente todos cometiam o mesmo erro, eles procuravam o código no Google e encontraram surpreendentemente, uma página de suporte da Microsoft. A Microsoft diz que agora “aposentou” a página citada elo CyLab (ela pode ser vista em cache aqui), e que os códigos mostrados eram apenas um exemplo, e não uma recomendação. Ela observa que também oferece um artigo para orientar os desenvolvedores de Internet sobre como configurar adequadamente P3P para que ela se coadune com sua política de privacidade contida nos contratos.
O CyLab constatou que alguns dos sites maiores da Internet usam a brecha, e por outros meios que não os códigos pouco precisos da Microsoft. Por exemplo, o Facebook no ano passado tinha uma política de privacidade com a insolente entrada “HONK” (o barulho da buzina), conta a dra. Cranor. (“Honk” não é um código válido de política de privacidade, nem se parece com algum código válido, o que explica os códigos digitados errados.) Agora, o Facebook tem uma política com dois códigos corretos, que não pode ser utilizada porque deve haver pelo menos cinco códigos.
Um porta-voz do Facebook disse em um comunicado divulgado por e-mail: “Nós nos comprometemos a fornecer políticas claras e transparentes, bem como acesso abrangente a estas políticas. Estamos esperando as conclusões dos estudos para saber quais são as mudanças que podemos introduzir”. Segundo Ben Maurer, um engenheiro de software do Facebook, o site utilizava apenas dois códigos em vez de cinco porque os códigos da política de privacidade não “permitem uma descrição suficientemente completa para representar detalhadamente nossa política de privacidade”. Maurer afirmou que não sabia como o Honk conseguiu penetrar na política de privacidade.
O estudo observa também que 134 sites com (seals) selos da TRUSTe, que deveriam garantir aos consumidores que foram adotadas rigorosas medidas de proteção da privacidade em um site, têm políticas de privacidade falhas. Somente 391 de mais de 3 mil sites com o selo tinham uma política de privacidade.
A presidente da TRUSTe, Fran Maier, disse em uma postagem num blog que o grupo está investigando o caso e contactando os clientes mencionados no estudo. Ela observou que os clientes confirmam a precisão de suas políticas, embora a TRUSTe deva ajudá-los a cumpri-las. E acrescentou que a adoção da P3P tem sido fraca em toda a Internet porque sua implementação é difícil e os consumidores não veem nenhum valor nela.
Cranor acha que o verdadeiro problema está na falta de uma regulamentação da utilização da P3P, observando que poucos consumidores sabem o que seja P3P. “Espero que as companhias façam a coisa certa, e é possível que seja necessária alguma pressão para que as autoridades reguladoras façam com que ela aconteça de fato”, afirma. “Além das companhias que tentam basicamente fazer bonito em matéria de proteção da privacidade, não há nenhum incentivo, porque não existe uma obrigatoriedade neste sentido”.
/RIVA RICHMOND (THE NEW YORK TIMES)