A boa notícia é que os cookies zumbis – cookies HTTP deletados que podem ser ressuscitados através do Adobe Flash Local Shared Objects (LSOs) – são raros. A má notícia é que a falta de visibilidade nas práticas de marketing tornam a autorregulação uma estratégia dúbia para evitar problemas de privacidade.
Um estudo publicado pelas pesquisadoras da Carnegie Mellon Aleecia M. McDonald e Lorrie Faith Cranor: “A Survey of the Use of Adobe Flash Local Shared Objects to Respawn HTTP Cookies,” constatou que o mau uso da tecnologia Flash da Adobe para reconstruir cookies HTTP não são freqüentes.
O LSOs são as versões HTTP de cookies do Flash. Poucos usuários de computadores estão familiarizados com eles, que apresentam ainda maiores problemas potenciais de privacidade. Isso porque podem ser lidos a partir de qualquer navegador, uma vez que não expiram, e porque podem armazenar mais dados e mais tipos de dados complexos do que o cookie HTTP.
Saiba mais sobre gestão de segurança. Visite o espaço de Gilberto Mota, blogueiro do IT Web.
Por serem identificados de forma exclusiva, o LSOs apresentam problemas de privacidade semelhantes aos cookies, porém menos afetados pelas escolhas dos usuários. Como o estudo explica, os comerciantes se voltaram para o LSOs para resolver os problemas de qualidade de dados criados pela eliminação dos cookies da internet pelos usuários. Mas fazer isso desrespeita o desejo expresso de privacidade do usuário.
As pesquisadoras não acharam evidências de cookies recriados em 500 sites escolhidos aleatoriamente e somente duas instâncias de ressurreição de cookies nos cem sites mais populares. Elas também descobriram que o LSO estava sendo usado como identificador único em 9% dos cem endereços mais populares e em 3,4% nos 500 selecionados aleatoriamente.
“Nós descobrimos que recriações são raras, mas os sites ainda usam o LSOs como identificadores persistentes… o que pode ou não ter implicações de privacidade…”, o estudo relata.
Papel pró-ativo
As pesquisadoras sugerem que a Adobe deveria assumir um papel mais pró-ativo na questão de deixar claro que o LSOs não deve ser usado para unicamente identificar computadores e no fornecimento de desenvolvedores com forte guia e ferramentas de privacidade. As pesquisadoras alegam que somente 40% dos sites salvam dados LSO, o que elas interpretam como um sinal de que os desenvolvedores Flash podem não entender as implicações de privacidade.
Elas também expressam seu ceticismo sobre o a viabilidade contínua da autorregulação. “É difícil achar chamados para uma abordagem de autorregulação da indústria para a privacidade na internet, quando a indústria demonstra disposição em violar a intenção de privacidade do usuário, como demonstrado ao usar o LSOs para recriar cookies HTTP ou, individualmente identificar os computadores”, afirmam.
Com a Comissão Federal de Comércio ponderando as regras de privacidade após anos de política de abstenção, sem mencionar uma série de recentes ações judiciais a respeito da suposta violação de privacidade relacionadas ao tráfego, a era da leve regulamentação online pode estar chegando ao fim.
Saiba mais:
As top 10 histórias de segurança de 2010
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
