Posts tagged segurança

Afinal o Evercookie do Samy Kamkar já pode ser removido. Todos nós que navegamos na WWW, em especial quem percebe minimamente como a mesma funciona, nos preocupamos com a forma como os sites que visitamos recolhem a nossa informação.

A forma mais simples de recolha dessa informação, é através de um mecanismo designado por cookie, que não é mais do que um pequeno ficheiro de texto que o nosso browser guarda quando visitamos um determinado site.

E para que serve? Serve essencialmente para que o site que é visitado possa ter alguma informação do visitante e para que o mesmo o possa acompanhar, oferecendo-lhe uma melhor experiência de serviço. No entanto, se por um lado, a utilização de cookies é um dos mecanismos que permite que a Web possa ser um pouco mais user-friendly, por outro, coloca em causa a privacidade do utilizador, em especial quando é usada para fins menos próprios.

O Samy Kamkar (sim esse mesmo que consegue descobrir as vossas namoradas, mesmo as que as não têm) desenvolveu um método que permite criar cookies ainda mais poderosos que ele designou por “Evercookie”. Basicamente um “Evercookie” é (ou pretende ser) um cookie ultra-persistente nas máquinas dos utilizadores, e que não possa ser simplesmente eliminado. De acordo com a própria descrição na página do Samy:

evercookie is a javascript API available that produces extremely persistent cookies in a browser. Its goal is to identify a client even after they’ve removed standard cookies, Flash cookies (Local Shared Objects or LSOs), and others.

evercookie accomplishes this by storing the cookie data in several types of storage mechanisms that are available on the local browser. Additionally, if evercookie has found the user has removed any of the types of cookies in question, it recreates them using each mechanism available.

Ao que parece, uns investigadores na África do Sul já conseguiram descobrir como acabar com a persistência deste super-cookie. No entanto descobriram outro facto importante: é que se este cookie já era persistente nos browsers que usamos no desktop, então no Mobile Safari do iOS, é muito mais difícil a sua detecção e correspondente eliminação.

Se os problemas de privacidade no mundo da Web mais voltada para o desktop já apresentava desafios muito interessantes, imaginem o que pode fazer com todo o poder computacional portátil que por aí circula – smartphones, tablets, entre outros – e a forma como pode afectar os utilizadores dos mesmos.

É sem dúvida um manancial de oportunidades tanto duma perspectiva de negócio, como pode ser um veículo de recolha de informação, de forma não autorizada, com maior qualidade e em maior quantidade.