Como desativar os cookies do Google Analytics?

Poucos sabem, porém os cookies do Google Analytics podem ser desativados a partir do próprio código de rastreio fornecido pelo Google. O método é fácil, mas cria um problema: cada novo usuário só é “visto” pelo Analytics como sendo um novo usuário. Como não há cookies e IDs registados, não é possível diferenciar um novo visitante de um recorrente.

Ainda assim, para algumas empresas e websites pode ser uma saída interessante para zelar pela privacidade dos utilizadores e estar em consonância com o RGPD.

No código de rastreio em Javascript, determinada parte exibe o método create, seguido do número de identificação do website. Nessa linha, basta adicionar um novo argumento: storage. O argumento storage indica que tipo de armazenamento deve ocorrer no caso dos IDs gerados para os usuários. Ao colocar o storage como “none”, indica-se ao código de rastreio que IDs não devem ser armazenados e, portanto, cookies não deverão ser gerados.

ga('create', 'UA-XXXXX-Y', {
  'storage': 'none'
});

O mesmo pode ser feito em relação aos cookies gerados a partir de campanhas do AdWords, nomeadamente cookies do tipo _gac_<property-id>. Novamente, definimos o argumento como nulo, usando a mesma lógica, porém desta vez como “false”.

ga('create', 'UA-XXXXX-Y', {
  storeGac: false,
});

Como limpar os cookies de sessão após o logout?

O WordPress gera alguns cookies de sessão que, embora não armazenem dados pessoais ou sensíveis, permanecem no navegador do usuário que esteve logado ao website por qualquer razão. À luz do novo regulamento do RGPD, tal permanência de cookies é indesejável, além de tecnicamente desnecessária.

Contudo, como livrar-se desses cookies de forma automatizada? A seguir explicamos como utilizar uma solução em código simples para tal.

A solução passa por duas etapas:

  1. Primeiro, utiliza-se a “hook” wp-logout para acionar a função sempre que o usuário efetuar a saída do sistema. A função usa setcookie para deletar todos os cookies gerados a partir do domínio do website.
  2. No segundo passo, o redirecionamento é feito para a página inicial do website e não mais para o login do WordPress, que seria o redirecionamento padrão. Isto porque a página de login geraria um novo cookie.

 

add_action('wp_logout', function () {
 array_map(function ($k) {
  setcookie($k, FALSE, time()-YEAR_IN_SECONDS, '', COOKIE_DOMAIN);
 }, array_keys($_COOKIE));
  // Redireciona para o 'siteurl' ao invés do ecrã de login
  // o URL de login geraria um novo cookie
 header('Location: '.get_option('siteurl'));
 exit();
}, 99999);

 

O código pode ser utilizado em qualquer tema ou plugin para gerar o efeito. De forma mais recomendável, deve-se utilizar o código no ficheiro functions.php de um tema filho ou em um plugin customizado, para evitar que seja apagado em atualizações.

Eliminação de cookies no Internet Explorer

O Internet Explorer é um navegador em baixa. Com a ascensão do Chrome e ganho de margem do Firefox, o Internet Explorer perdeu terreno, especialmente por conta de seus recursos limitados e pouco suporte a medidas modernas de segurança e mesmo usabilidade na internet.

Ainda assim, muitos ainda possuem esse navegador, de modo que é preciso saber como remover os cookies. O Explorer permite que o façamos, embora não tenha ferramentas para que o usuário facilmente remova cookies específicos ou cookies de um único site.

Quem possui uma versão posterior ao Internet Explorer 9 encontrará facilmente nas configurações o item “Excluir o Histórico de Navegação”. É ao clicar nele que o usuário encontra as opções, dentre as quais eliminar cookies. Contudo, quem possui versões mais antigas do Explorer tem de fazer o processo no método arcaico – ao aceder o Painel de Controlo do Windows e as Opções da Internet, ou ao digitar e executar um ficheiro chamado inetcpl.cpl. Parece coisa de 20 anos atrás e de facto o é.

A Microsoft pelo menos coloca à disposição um tutorial para mostrar como proceder nessas versões desatualizadas. Porém, caso seja o seu caso, melhor atualizar ou substituir o browser o quanto antes.

Eliminação de cookies no Firefox

Todos os navegadores possuem ferramentas que permitem remover cookies que são armazenados no seu computador. Alguns têm ferramentas mais avançadas, outros apenas configurações básicas. O Firefox é um navegador poderoso e com vários recursos e o mesmo aplica-se à forma com que manipula cookies.

O Firefox permite, como todos os navegadores, efetuar uma limpeza total do histórico, o que remove cookies, páginas em cache, lembretes de palavras passe e autotextos, entre outros. Porém também tem opções mais específicas, como veremos a seguir.

Eliminação de cookies no Firefox – removendo tudo de uma vez

A primeira opção, e mais simples, é remover totalmente o histórico. Isso, contudo, além de remover cookies, irá eliminar quaisquer dados ou pesquisas que estejam guardados no seu navegador localmente. O histórico, nesse caso, inclui:

  • Histórico de navegação e transferências
  • Histórico da barra de pesquisa e formulários
  • Cookies
  • Cache
  • Inícios de sessão ativos
  • Dados offline de sites
  • Preferências dos sites

O Firefox oferece a opção e também permite que o usuário programe a eliminação do histórico de tempos em tempos. A foto mostra parte das configurações, mas o descritivo completo pode ser encontrado aqui.

Remoção de cookies

Firefox – opção para eliminação do histórico sempre que o browser é encerrado.

Eliminação de cookies no Firefox – removendo apenas cookies

Mas pode ser que o histórico lhe seja importante no sentido de guardar suas pesquisas ou mesmo informações de autotexto. Nesse caso, a saída é eliminar apenas os cookies. O Firefox oferece opções para eliminação total dos cookies armazenados, em todo e qualquer site, ou permite focar em um único site de cada vez. Em seus arquivos de suporte, o Firefox também dá instruções passo a passo de como fazê-lo, neste link.

Remoção de cookies

Firefox – eliminação individualizada de cookies.

Como determinar o uso de cookies seguros no WordPress?

Já falamos sobre ataques de sequestro de sessão e sobre como o atributo HttpOnly pode ajudar a reduzir esse risco. O WordPress é um CMS que utiliza alguns cookies de sessão, especialmente em sites que permitem o login por parte dos usuários. Por definição, os cookies configurados pelo WordPress não necessariamente possuem tal atributo, mas é possível estabelecer tal norma com relativa facilidade.

plugins a fazê-lo, porém para aqueles que têm algum conhecimento de como funciona a estrutura do WordPress, o jeito mais fácil e rápido é inserir algumas simples linhas de código no ficheiro wp-config.php, no diretório raiz do website. É bom lembrar que, antes de realizar qualquer alteração nesse ficheiro de sistema, é sempre bom guarda uma cópia de segurança do mesmo.

Após realizar uma cópia de segurança, basta abrir o ficheiro num editor de texto qualquer e inserir as seguintes linhas de código ao final:

@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);

Como dissemos anteriormente, é possível realizar tais alterações por meio de plugins de segurança, como o Shield Security for WordPress, por exemplo. Porém, a grande maioria dos plugins que realiza esse trabalho possui imensas outras funcionalidades, algumas delas dispensáveis e que podem causar problemas de desempenho num website.

O que é HttpOnly?

O chamado HttpOnly é um atributo utilizado por programadores no momento de definir um cookie de sessão. Os cookies de sessão geralmente são essenciais para que o usuário possa aceder a uma página da internet e é configurado pelo próprio servidor no qual o website está alojado. No momento em que acedemos a um endereço web, há uma comunicação do browser com o servidor que mantém o site que está ligado a esse endereço – o servidor envia então um cabeçalho com uma série de informações, entre elas uma identificação da sessão, que é guardada em um cookie.

Esses cookies geralmente expiram assim que o usuário encerra sua sessão, deixando o website. Entretanto, é possível que ocorram ataques XSS, os ataques de “sequestro de sessão” ou Cross-Site Scripting. Nesses ataques, o hacker utiliza-se dos cookies de sessão, rodando um código Javascript que interage com esse cookie. É possível, por exemplo, que hackers emulem uma tela de login dessa forma, gravando os dados ali digitados e enviando-os a outro destino.

O atributo HttpOnly lida com a permissividade, desta forma, caso esteja habilitado em determinado cookie, este não poderá ser manipulado por códigos client-side como JavaScript, VBscript, etc. Atribuir o parâmetro HttpOnly a um determinado cookie visa dificultar ataques de Cross-Site Scripting.

Cookies de Terceiros – Google Analytics

Praticamente todos os websites hoje no ar na internet utilizam os serviços do Google Analytics. Esse serviço da Google permite que, por meio da inclusão de um pequeno código no HTML de cada página, sejam rastreados dados referentes às visitas de usuários a essa página.

Apesar dos cookies gerados pelo Google Analytics serem fixados no próprio domínio do website, na maioria dos casos, a ferramenta é poderosa e permite que proprietários de websites e serviços online configurem o chamado “cross-domain tacking“. Isso significa que,  a partir de tal configuração, o código do serviço passa a poder acompanhar visitas e dados de outros domínios.

Muitos serviços online utilizam-se desse recurso para acompanhar dados de sites de clientes que instalam seus softwares, plugins, add-ons e scripts. Com isso, caso um website utilize-se de serviços como chats online, formulários renderizados ou sistemas de “push”, além de gerar cookies próprios do Google Analytics no browser do usuário também irão gerar cookies semelhantes para cada um desses serviços, ou seja, cookies de terceiros.

O próprio sistema de ajuda do Google Analytics mostra, nesta página, como aceder a tal recurso e iniciar o rastreamento de vários domínios a partir dos códigos fornecidos.

Isso faz com que websites que possuem muitas ferramentas e funcionalidades fornecidas por terceiros gerem, no navegador de cada usuários, múltiplos cookies do Google Analytics, um ou mais para cada ferramenta usada. Por essa razão, quando olhamos para os cookies configurados por um site em nosso navegador, podemos encontrar vários domínios distintos e nomes de cookies que se repetem, como _ga, _gid, _utma e outros mais.

O que são cookies de terceiros?

Chamados em inglês de “third-party cookies”, esses cookies em particular distinguem-se dos demais em um website por estarem associados a um domínio diferente, que não o da própria página.

Os cookies de terceiros são motivo especial de preocupação porque permitem, uma vez associados a domínios externos, que websites e empresas que o usuário sequer conhece monitorem ou tenham acesso aos seus dados, muitas vezes sensíveis e de caráter pessoal. A grande maioria dos cookies de terceiros possui algum nível de utilização em termos publicitários, permitindo que anúncios customizados e preferências do usuário o tornem alvo dessa propaganda não consentida.

Os cookies de terceiros possuem ainda políticas de privacidade que são aceitas, em geral, pelos donos dos websites que os utilizam, e não os usuários. Assim sendo, uma pessoa singular que esteja a navegar um site de notícias pode, ao aceitar instalar determinados cookies, estar a fornecer informações para empresas diversas, autoridades governamentais e outros.

Por essa razão, além dos termos de consentimento da lei do Regulamento Geral de Proteção de Dados, alguns usuários optam por remover ou não permitir que cookies de terceiros sejam instalados em seus navegadores. Para todo e qualquer navegador, há extensões criadas exatamente com esse fim.

O que são cookies?

Cookies são pequenos scripts ou ficheiros que são armazenados nos browsers ou navegadores do usuário, enquanto navega-se de website em website. Os cookies podem ter imensas funções e funcionalidades e alguns deles são inclusive essenciais para que o usuário possa visualizar e utilizar qualquer conteúdo digital. O objetivo primário de qualquer cookie é armazenar um pequeno trecho de informação e a questão da privacidade cerca exatamente o tipo de informação que alguns desses cookies são capazes de armazenar. Os cookies podem assumir diversas funções e podem igualmente ser classificados em algumas categorias, conforme sua função, comportamento ou domínio ao qual estão associados.

Apesar de haver subclassificações e diferentes pontos de vista em relação a como categorizar os cookies, aceita-se como mais usual a seguinte classificação de cookies:

  • Essenciais (ou Técnicos)Estes cookies estão relacionados com o funcionamento técnico do site. Permitem, entre outros, identificar e guardar a sessão do utilizador quando faz log in na sua conta, ou navegar numa loja online enquanto vai adicionando artigos a um carrinho de compras virtual. Nesse caso, também podem ser chamados de cookies de sessão.
  • De Funcionalidade (ou de Personalização): estes cookies guardam as preferências do utilizador em relação às várias funcionalidades do site. Por exemplo, é graças a eles que basta consentir uma vez a utilização de cookies — pois o consentimento permanece guardado num cookie que armazena essa concordância no navegador, evitando que posteriormente o sistema volte a requerer tal permissão. Em alguns sites, estes cookies definem também o seu idioma, assim como o dispositivo a partir do qual está a aceder a web, entre outros.
  • De Análise: esses cookies subdividem-se em muitas categorias. São eles que permitem que os proprietários do site acedam a informações que são tratadas para personalizar anúncios, estudar o comportamento do usuário ou registar visitas com variáveis mais sofisticadas. Esses cookies são o principal motivo de preocupação no que toca à privacidade, pois envolvem o processamento de dados não apenas pelos proprietários do site em questão, mas também por outros serviços e sistemas que oferecem aos donos dos sites tais ferramentas. Nesta categoria estão a maioria dos cookies de terceiros.

Todos os cookies armazenados têm uma data de vencimento e são eliminados depois dela (teoricamente). A eliminação antes desse tempo pode ser feita manualmente pelo usuário, contudo o armazenamento —e consequentemente a remoção— é diferente para cada navegador ou mesmo dispositivo.