O modo de navegação privada presente na maioria dos navegadores modernos é uma ótima forma de esconder, ainda que parcialmente, seus hábitos na web. Mas uma safra de super cookies consegue, aparentemente, burlar esse modo e manter um registro de todas as páginas que você acessa.
O Ars Technica diz que uma lacuna no protocolo HTTP Strict Transport Security (HSTS) torna possível identificar usuários que acessam sites mesmo quando eles estão usando o modo de privacidade (o nome desse varia; no Chrome, por exemplo, é a “janela/navegação anônima”). O HSTS geralmente é usado para garantir que os usuários interajam apenas com os servidores corretos quando estiverem usando conexões seguras (HTTPS), sinalizando como um tipo de criprografia deve ser usado em todas as interações seguintes.
O pesquisador de segurança Sam Greenhalgh usou esse recurso para criar uma ferramenta chamada HSTS Super Cookies. Da mesma forma que cookies normais, esses anabolizados identificam um usuário quando ele navega sem o recurso de privacidade estar ativado, de modo que se torna possível identificá-lo em um momento posterior. O ponto é que esses novos cookies são visíveis mesmo quando o modo de navegação privada está ativo e também pode ser lido por sites de vários domínios, não apenas o que provê o cookie original. Combinados, isso significa que os super cookies permitem a qualquer site monitorar seus movimentos na web, independente do modo privado. A matéria do Ars Technica tem os detalhes técnicos.
A vulnerabilidade afeta todas as versões do Chrome e do Safari, e algumas antigas do Firefox (da 33 para trás). Em alguns navegadores é possível contornar a falha apagando todos os cookies antes de iniciar uma sessão privada. Infelizmente, isso parece não funcionar no iOS. De qualquer forma, é um triste exemplo de como soluções criadas para aumentar a segurança podem ser deturpadas e, quase que paradoxalmente, comprometer a nossa privacidade. [Ars Technica]
Imagm por Alejandro C sob licença Creative Commons.