Ressurreição de cookies pode comprometer segurança

A boa notícia é que os cookies zumbis –  cookies HTTP deletados que podem ser ressuscitados através do Adobe Flash Local Shared Objects (LSOs) – são raros. A má notícia é que a falta de visibilidade nas práticas de marketing tornam a autorregulação uma estratégia dúbia para evitar problemas de privacidade.

Um estudo publicado pelas pesquisadoras da Carnegie Mellon Aleecia M. McDonald e Lorrie Faith Cranor: “A Survey of the Use of Adobe Flash Local Shared Objects to Respawn HTTP Cookies,” constatou que o mau uso da tecnologia Flash da Adobe para reconstruir cookies HTTP não são freqüentes.

Saiba mais sobre internet e direito digital. Visite o espaço de Patrícia Peck Pinheiro, blogueira do IT Web.

O LSOs são as versões HTTP de cookies do Flash. Poucos usuários de computadores estão familiarizados com eles, que apresentam ainda maiores problemas potenciais de privacidade. Isso porque podem ser lidos a partir de qualquer navegador, uma vez que não expiram, e porque podem armazenar mais dados e mais  tipos de dados complexos do que o cookie HTTP.

Saiba mais sobre gestão de segurança. Visite o espaço de Gilberto Mota, blogueiro do IT Web.

Por serem identificados de forma exclusiva, o LSOs  apresentam problemas de privacidade semelhantes aos cookies, porém menos afetados pelas escolhas dos usuários. Como o estudo explica, os comerciantes se voltaram para o LSOs para resolver os problemas de qualidade de dados criados pela eliminação dos cookies da internet pelos usuários. Mas fazer isso desrespeita o desejo expresso de privacidade do usuário.

As pesquisadoras não acharam evidências de cookies recriados em 500 sites escolhidos aleatoriamente e somente duas instâncias de ressurreição de cookies nos cem sites mais populares. Elas também descobriram que o LSO estava sendo usado como identificador único em 9% dos cem endereços mais populares e em 3,4% nos 500 selecionados aleatoriamente.

“Nós descobrimos que recriações são raras, mas os sites ainda usam o LSOs como identificadores persistentes… o que pode ou não ter implicações de privacidade…”, o estudo relata.

Papel pró-ativo

As pesquisadoras sugerem que a Adobe deveria assumir um papel mais pró-ativo na questão de deixar claro que o LSOs não deve ser usado para unicamente identificar computadores e no fornecimento de desenvolvedores com forte guia e ferramentas de privacidade. As pesquisadoras alegam que somente 40% dos sites salvam dados LSO, o que elas interpretam como um sinal de que os desenvolvedores Flash podem não entender as implicações de privacidade.

Elas também expressam seu ceticismo sobre o a viabilidade contínua da autorregulação. “É difícil achar chamados para uma abordagem de autorregulação da indústria para a privacidade na internet, quando a indústria demonstra disposição em violar a intenção de privacidade do usuário, como demonstrado ao usar o LSOs para recriar cookies HTTP ou, individualmente identificar os computadores”, afirmam.

Com a Comissão Federal de Comércio ponderando as regras de privacidade após anos de política de abstenção, sem mencionar uma série de recentes ações judiciais a respeito da suposta violação de privacidade relacionadas ao tráfego, a era da leve regulamentação online pode estar chegando ao fim.

Saiba mais:

As top 10 histórias de segurança de 2010

ð        Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.