Eu fico impressionado com o desinteresse geral de grande parte do mercado desenvolvedor em entender as bases do funcionamento da Web, deixando conceitos importantes do HTTP passarem batidos, priorizando aprender linguagens e frameworks. Mas não vou desistir de tentar mostrar para o mercado, por meio de minhas postagens e vídeos, a importância de entender a fundo as bases da Web.
Cookies
Para quem não está familiarizado com o termo, cookies são informações geradas por meio de header HTTP ou JavaScript, que armazenam localmente (no navegador dos usuários) dados que serão enviados a determinado domínio nas próximas requests. Muito utilizado para persistência de sessões de login, também são utilizados para outros objetivos, como a identificação do usuário em múltiplos pontos de acesso. Existem, inclusive, formas de identificar os navegadores de forma única, como o projeto FingerPrint.
Os cookies foram e são positivos para o ecossistema web e, ao mesmo tempo, extremamente perigosos no sentido da privacidade, já que é através deles que sistemas de retargeting conseguem montar perfis de comportamento e consumo.
Há algum tempo empresas como o Google vem definindo estratégias para acabar com os cookies, o que, no meu ponto de vista, tem a intenção de eliminar outras aplicações que vendem tráfego, mas, ao mesmo tempo, essa manobra divide opiniões e tem forçado o mercado a caminhar para outros métodos de validação de sessão, utilizando JWT e Local Storage.
Ainda, com as leis de proteção de dados, uso de sistemas IAM para login se tornaram mais populares, como é o caso do KeyCloak, projeto com certificação internacional de segurança desenvolvido pela RedHat.
CORS
Como medida paliativa, para evitar transmissão de dados por meio de pixel e cookies de terceiros nas aplicações, a W3C, com o apoio direto do Google, criou uma série de normas com relação à origem das requests, sendo necessário configurar nos servidores web dos cabeçalhos das APIs tanto quais origens tem autorização para de fato acessar as rotas, quanto quais aplicações tem autorização para criar e receber cookies.
Outros elementos integrados nas versões mais recentes dos navegadores são o Cross-Origin Read Block (CORB), que bloqueia a leitura de informações para reduzir o risco de vazamento de dados confidenciais e o Cross-Origin-Resource-Policy (CORP), que proíbe a criação de cookies de terceiros em websites cujo domínio difere da origem da request.
Para finalizar, mas não menos importante, em 2020 o Google implementou o SameSite nos cookies, para que a API que cria o cookie informe em qual ambiente este pode ou não ser gerado, batendo a última estaca em sistemas de retargeting baseados em cookies.
Retargeting
Como já falei em alguns vídeos e posts, a era dos retargeting está em seu fim e todas as empresas que dependiam diretamente de coleta de dados por meio de cookies vai precisar se reinventar, procurando novas formas de impacto e, principalmente, driblando as legislações de proteção de dados atuais. Falo mais sobre o tema no post fixado abaixo:
