Rascunho do W3C TAG: “Cookies de terceiros devem ser removidos da web”

 (w3ctag.github.io)
4 pontos por GN⁺ 2025-05-03 | 1 comentários | Compartilhar no WhatsApp
  • Cookies de terceiros (third-party) são considerados uma tecnologia que viola gravemente a privacidade individual e devem ser removidos da plataforma web
  • Seguindo os princípios de design de uma web centrada em privacidade, vários navegadores passaram a bloquear cookies de terceiros, e todos os navegadores devem aderir
  • Funcionalidades úteis existentes, como login, autenticação e rastreamento publicitário baseados em cookies, devem ser substituídas por novas tecnologias orientadas a propósitos específicos
  • É essencial avaliar as tecnologias substitutas individualmente e também considerando suas interações em todo o ecossistema da web
  • Os padrões web devem manter neutralidade, reforçando a privacidade sem ficarem subordinados a um modelo de negócios específico

Third Party Cookies Must Be Removed

  • Cookies de terceiros rastreiam informações de usuários da web entre diferentes sites e funcionam como um elemento de violação de privacidade
  • Este documento é um texto de consenso do W3C Technical Architecture Group (TAG) que explica por que os cookies de terceiros devem ser removidos e por que tecnologias substitutas são necessárias

1. Introduction

  • A privacidade na web é um princípio central de design, e vários documentos e ferramentas buscam garanti-la
  • Alguns navegadores já bloqueiam cookies de terceiros, mas é necessária uma resposta consistente de todos os navegadores
  • A remoção não é simples, e exige considerações técnicas para preservar funcionalidades existentes

2. Why remove third party cookies?

  • Os cookies foram originalmente projetados para reconhecer visitantes de sites, mas depois seu uso se expandiu para rastreamento, publicidade e prevenção a fraudes, entre outros
  • Cookies de terceiros são uma tecnologia central das redes de rastreamento e coletam e compartilham dados sem que o usuário perceba
  • Essa centralização pode causar problemas de bloqueio à inovação e fuga de responsabilidade
  • Violações de privacidade também estão ligadas à liberdade de expressão, à saúde das comunidades e à redução do controle do usuário

3. Use cases previously met by third-party cookies

  • Login, single sign-on, concessão de acesso a recursos entre sites e detecção de fraudes atualmente dependem de cookies de terceiros
  • O mesmo vale para mensuração e segmentação de anúncios, e as tecnologias substitutas precisam atender a essas demandas
  • Novas APIs podem permitir rastreamento quando combinadas, portanto exigem design cuidadoso e monitoramento

4. Leaving the web better than we found it

  • Novas propostas de tecnologia devem demonstrar claramente que não prejudicam a privacidade
  • Em especial, propostas relacionadas a profiling, reconhecimento de usuários e compartilhamento de dados entre contextos devem passar por revisão independente
  • Navegadores e sites não devem contornar nem enfraquecer essas melhorias
  • O ecossistema da web deve ser neutro em relação a modelos de negócios e não deve incorporar estruturalmente um modelo específico de receita
  • Em conclusão, é necessário adotar tecnologias substitutas com cautela, para que não se tornem um novo meio de manter tecnologias de vigilância existentes

Leituras relacionadas

1 comentários

 
GN⁺ 2025-05-03
Comentários do Hacker News

  • Este texto parece muito estranho, e fica a dúvida se faz parte do processo de trabalho do W3C

    • Capítulo 2: aponta que os cookies de terceiros se tornaram um problema
    • Capítulo 3: diz que existem casos de uso legítimos para cookies de terceiros e alerta que novas tecnologias podem ser combinadas para rastrear usuários
    • Capítulo 4: argumenta que novas tecnologias da plataforma web podem agravar o problema dos cookies de terceiros, então isso precisa ser resolvido rapidamente
    • Como não conhece bem o contexto cultural do W3C, especula que este documento talvez seja um rascunho que será reorganizado depois

  • As "tecnologias alternativas" já estão sendo elaboradas, e serão adicionadas aos cookies de terceiros

    • Segundo a pesquisa do Google, remover cookies de terceiros reduz a receita, enquanto o rastreamento "com proteção de privacidade" aumenta a receita
    • Portanto, usarão os dois métodos

  • Um caso de uso legítimo para cookies de terceiros é manter a sessão em um único site lógico distribuído por vários domínios

    • Pergunta se existem outros casos
    • Pessoalmente, gostaria que nem mesmo cookies primários fossem usados em contexto de terceiros
    • Preferiria eliminar completamente os cookies e usar certificados de cliente para rastrear estado

  • Se os cookies de terceiros forem removidos, os rastreadores pedirão que sites incluam scripts para tornar os cookies "primários"

    • São necessárias proteções que impeçam o rastreamento em si, e não apenas um método específico de rastreamento

  • A questão dos cookies é só perfumaria; se o JavaScript estiver ativado, ainda é possível rastrear mesmo sem cookies

    • As especificações da web precisam se esforçar mais para garantir que não seja possível rastrear usuários mesmo com JavaScript ativado
    • Navegadores como Brave e Firefox não fazem nada a respeito
    • Fica a dúvida se, para ter privacidade real, é preciso usar um navegador com JavaScript desativado

  • O Google não vai implementar esta especificação

    • Hoje isso não é legalmente permitido, e os anunciantes dizem que não conseguem competir sem cookies de terceiros
    • O Google vai expandir o Privacy Sandbox e abandonar o plano de bloqueio

  • Casos de uso que exigem soluções específicas incluem identidade federada, concessão de acesso a recursos entre sites e prevenção a fraudes

    • Afirma que não existe forma de garantir privacidade na prevenção a fraudes
    • Ou se aceita a fraude como custo do negócio, ou se abre mão da privacidade

  • Enquanto o Google controlar o Chrome, essa discussão é vazia

    • Se os reguladores obrigarem o Google a vender o Chrome, não espera que o novo proprietário traga resultados melhores

  • Sempre bloqueou cookies de terceiros, e o único problema é que alguns vídeos incorporados em páginas da web não reproduzem

  • Remover cookies de terceiros sem uma forma de substituí-los fará com que a identificação por fingerprinting agressivo se torne universal