Aprenda sobre a proteção do histórico de navegação

Os perigos ocultos na mudança de cores de links visitados

A mudança de cor dos links para sites visitados (normalmente de azul para roxo) foi introduzida há 32 anos no navegador NCSA Mosaic. Depois disso, essa prática amigável foi adotada por quase todos os navegadores na década de 1990. E mais tarde, isso se tornou o padrão para a Cascading Style Sheets (CSS), uma linguagem usada para estilizar as páginas da Web. Essa mudança de cor ocorre por padrão em todos os navegadores populares atualmente.

No entanto, já em 2002, os pesquisadores notaram que esse recurso poderia ser usado de forma abusiva. Centenas ou milhares de links invisíveis poderiam ser colocados em uma página e, em seguida, o JavaScript detectaria qual deles o navegador interpretaria como visitado. Dessa forma, um site não autorizado pode descobrir parcialmente o histórico de navegação de um internauta.

Em 2010, os pesquisadores descobriram que essa técnica estava sendo usada por alguns sites importantes para bisbilhotar os visitantes, entre os quais YouPorn, TwinCities e 480 outros sites populares na época. Também foi descoberto que plataformas como Tealium e Beencounter ofereciam serviços de detecção de histórico. A Interclick também usava essa tecnologia para análises, o que resultou em um processo contra ela. Embora tenha vencido o processo, os principais navegadores modificaram o código para processar links e tornar impossível a leitura para saber se um link foi visitado ou não.

No entanto, os avanços nas tecnologias da Web criaram novas soluções alternativas para bisbilhotar o histórico de navegação. Um estudo de 2018 descreveu quatro novas formas de verificar o estado dos links, sendo que duas entre as quais afetaram todos os navegadores testados, exceto o Navegador Tor. Uma das vulnerabilidades, CVE-2018-6137, possibilitou a verificação de sites visitados em até 3 mil links por segundo. Enquanto isso, novos ataques cada vez mais sofisticados para extrair o histórico de navegação continuam a aparecer.

Por que o roubo de histórico é perigoso

Expor o histórico de navegação, mesmo que parcialmente, representa várias ameaças aos internautas.

A vida se torna muito mais exposta. Ao descobrir quais sites um internauta visita, especialmente os relacionados a saúde, política, namoro, jogos de azar, pornografia ou temas semelhantes, invasores podem usar essas informações contra ele. Eles poderão, então, adaptar um golpe ou isca para cada caso, como extorsão, uma instituição de caridade falsa, a promessa de um novo medicamento ou algo semelhante.

Verificações direcionadas. Um site de detecção de histórico pode, por exemplo, percorrer todos os sites dos principais bancos para determinar qual deles é usado. Essas informações podem ser úteis tanto para criminosos virtuais, que criam formulários de pagamento falsos para enganar pessoas, quanto para empresas legítimas, que desejam saber quais sites de concorrentes você consultou.

Análise de perfil e desanonimização. Escrevemos muitas vezes sobre como as empresas de publicidade e análise usam cookies e impressões digitais para rastrear movimentos e cliques de internautas na Web. O histórico de navegação serve como uma impressão digital eficaz, especialmente quando combinado com outras tecnologias de rastreamento. Se o site de uma empresa de análise pode ver quais e quando outros sites foram visitados, ele funciona essencialmente como um supercookie.

Proteção contra roubo do histórico do navegador

A proteção básica apareceu em 2010 quase simultaneamente nos mecanismos dos navegadores Gecko (Firefox) e WebKit (Chrome e Safari). Isso evita o uso de código básico para ler o estado dos links.

Na mesma época, o Firefox 3.5 passou a permitir desativar totalmente a mudança de cor dos links visitados. No Tor Browser baseado no Firefox, essa opção está ativada por padrão, mas a opção de salvar o histórico de navegação está desativada. Isso fornece uma defesa robusta contra toda a classe de ataques, mas afeta muito a conveniência.

No entanto, a menos que um elemento de conforto seja sacrificado, ataques sofisticados ainda serão capazes de detectar o histórico de navegação.

Estão em andamento tentativas no Google para alterar significativamente o status quo: a partir da versão 136, o Chrome terá o particionamento de links visitados ativado por padrão. Em resumo, funciona assim: os links só mudam de cor se forem clicados dentro do próprio sitee, ao fazer uma verificação, um site só consegue “enxergar” os cliques que ele mesmo gerou.

O banco de dados de visitas ao site (e links clicados) será mantido separadamente para cada domínio. Por exemplo, suponha que Banco.com incorpore um widget que exibe informações de Banco-suporte.com e esse widget contém um link para Banco-Central.com. Se o internauta clicar no link Banco-Central.comele será marcado como visitado, mas somente dentro do widget Banco-suporte.com exibido em Banco.com. Se o mesmo widget Banco-suporte.com aparecer em algum outro site, o link Banco-Central.com aparecerá como não visitado. Os desenvolvedores do Chrome estão tão confiantes de que o particionamento é a solução aguardada há anos que já consideram, provisoriamente, desativar as mitigações implementadas em 2010.

Mas, e quanto aos internautas?

Se o internauta não usa o Chrome, que, aliás, tem muitos outros problemas de privacidade, basta tomar algumas precauções simples para evitar a ameaça roxa.

• Atualize o navegador regularmente para se manter protegido contra vulnerabilidades recém-descobertas.
• Use a navegação anônima ou privada se não quiser que outras pessoas saibam quais sites você visita. Mas leia este post primeiro, pois os modos privados não são uma solução completa.
• Limpe periodicamente os cookies e o histórico de navegação em seu navegador.
• Desative a mudança de cor dos links visitados nas configurações.
• Use ferramentas para bloquear rastreadores e spyware, como a Navegação Particular do Kaspersky Premium ou uma extensão de navegador especializada.