Diferenças entre Cookie, sessionStorage e localStorage
Sites podem salvar informações dentro do navegador.
Manter o estado de login. Lembrar configurações de exibição. Manter o conteúdo do carrinho. Retomar a operação anterior. Identificar revisitamentos a partir do mesmo navegador.
Os mecanismos representativos usados para isso são Cookie, sessionStorage e localStorage.
Eles tornam a Web conveniente. No entanto, do ponto de vista do anonimato, viram pistas para identificar o mesmo navegador.
O que é Cookie
Cookie é um pequeno dado que um site salva no navegador e que é enviado ao servidor em requisições que correspondem às condições.
É usado para estado de login, ID de sessão, configurações de exibição, análise de acesso e identificação publicitária.
Por exemplo, quando você entra em um site, um Cookie que indica a sessão é salvo no navegador. Ao acessar o mesmo site depois, esse Cookie é enviado. O lado do site consegue julgar: "este navegador está em uma sessão de pessoa usuária logada".
O ponto importante para o anonimato é que Cookies permanecem mesmo quando o endereço IP muda.
Depois de acessar pela conexão de casa, mesmo que você use uma e acesse com o mesmo navegador, se o mesmo Cookie for enviado, o acesso será tratado como vindo do mesmo navegador.
O que é sessionStorage
sessionStorage são dados salvos temporariamente por aba ou janela do navegador.
Em geral, desaparecem quando essa aba é fechada. São usados para preenchimento parcial de formulários, estado da tela, informações temporárias de operação e usos semelhantes.
Diferentemente de Cookies, normalmente não são enviados automaticamente a cada requisição HTTP. São lidos e escritos por JavaScript e usados no processamento dentro da página.
No entanto, o fato de não serem enviados ao servidor não significa que não tenham relação com anonimato. Scripts da página web podem lê-los e, se necessário, enviá-los ao servidor.
O que é localStorage
localStorage são dados salvos no navegador em longo prazo.
Permanecem mesmo que a aba seja fechada. Permanecem mesmo que o navegador seja reiniciado. Podem ser usados para configurações do site, tema, salvamento de estado e identificadores.
Podem salvar dados maiores que Cookies e são manipulados por JavaScript.
No anonimato, é preciso prestar atenção ao ponto de que valores restantes em localStorage podem ser usados para identificar revisitamentos.
Mesmo que Cookies sejam apagados, se um identificador permanecer em localStorage, o mesmo navegador pode ser reconhecido.
Diferenças entre os três
Cookie, sessionStorage e localStorage diferem no período de armazenamento e na forma de envio.
| Item | Cookie | sessionStorage | localStorage |
|---|---|---|---|
| Período de armazenamento | Permanece até o prazo configurado | Até fechar a aba ou janela | Em princípio permanece sem prazo, mas pode desaparecer conforme ação da pessoa usuária, configurações do navegador, navegação privativa e tratamento da área de armazenamento |
| Envio ao servidor | É enviado automaticamente se corresponder às condições | Não é enviado automaticamente | Não é enviado automaticamente |
| Uso principal | Login, sessão, análise de acesso | Estado temporário da tela | Configurações, salvamento de estado, identificadores |
| Cuidado no anonimato | Mesmo que o IP mude, mostra que é o mesmo navegador | Usado no processamento da página | Pode permanecer após apagar Cookies |
Todos são informações que permanecem dentro do navegador. No anonimato, olhar apenas Cookies não basta.
Situações problemáticas para o anonimato
O problema aparece quando uso com nome real e uso anônimo se misturam no mesmo navegador.
Por exemplo, usar diretamente para atividade anônima um navegador em que você estava logado em uma conta de nome real. Apagar apenas Cookies e deixar localStorage. Depois de abrir um site anônimo, voltar a um serviço de nome real na mesma aba ou no mesmo navegador.
Nesse tipo de operação, informações dentro do navegador se misturam.
| Situação | O que acontece |
|---|---|
| Usar nome real e anonimato no mesmo navegador | Cookies e informações salvas se misturam |
| Apagar apenas Cookies | localStorage e outras áreas permanecem |
| Fazer atividade anônima com site logado aberto | Ações se conectam no mesmo ambiente |
| Usar várias contas no mesmo navegador | Correlação de contas fica mais provável |
No anonimato, é importante não apenas apagar dados salvos, mas separar ambientes.
Cookie, sessionStorage e localStorage às vezes são tratados em conjunto como os mesmos "dados de sites". No entanto, suas formas de armazenamento e de desaparecimento não são iguais.
Mesmo ao clicar em "apagar histórico" no navegador, dependendo dos itens escolhidos, pode desaparecer só Cookie, só cache ou só histórico de navegação, deixando uma parte dos dados do site. Por outro lado, ao apagar dados de sites em conjunto, estados de login e configurações também desaparecem.
| Operação | Ponto de atenção |
|---|---|
| Apagar apenas histórico de navegação | Cookies e localStorage podem permanecer |
| Apagar Cookies | Outras áreas de armazenamento, como localStorage, podem permanecer |
| Apagar dados de sites | Estados de login e configurações também desaparecem |
| Janela privativa | O comportamento difere do ambiente normal existente do navegador |
| Sincronização do navegador | Informações podem voltar de outro dispositivo |
No anonimato, verifique o escopo de exclusão para evitar a sensação de "achei que tinha apagado".
Separação é mais importante que exclusão
Cookies e localStorage podem ser apagados. No entanto, continuar apagando tudo perfeitamente a cada vez é difícil.
O local de armazenamento difere conforme o site. O escopo apagado difere conforme as configurações do navegador. Extensões e funções de sincronização influenciam. No momento do login, um novo identificador é criado.
Por isso, no anonimato, é mais realista separar o navegador de nome real do navegador anônimo, em vez de depender apenas da exclusão.
Em atividades de alto risco, considere separar não apenas o navegador, mas também dispositivo, OS e ambiente de rede.
A navegação privativa também pode ser útil como parte da separação. No entanto, a janela privativa não é uma tecnologia de anonimização. Ela não é um mecanismo para se esconder completamente de sites, operadoras de comunicação, redes de trabalho ou escola, nem servidores de destino.
A janela privativa é principalmente uma função para dificultar que histórico e Cookies permaneçam dentro do dispositivo. Se você entrar em uma conta de nome real, essa ação se conecta à conta.
O que verificar
Sobre informações salvas dentro do navegador, verifique os pontos abaixo.
- Se você não está usando o mesmo navegador para nome real e anonimato
- Se você não está entrando em conta de nome real no navegador anônimo
- Se está verificando não apenas Cookies, mas todos os dados de sites
- Se está pensando com a premissa de que localStorage e sessionStorage podem permanecer
- Se informações não estão se misturando com outro dispositivo pela sincronização do navegador
- Se extensões não têm informações salvas
É preciso prestar atenção especial à sincronização do navegador. Quando favoritos, histórico, extensões e senhas salvas do ambiente de nome real entram no ambiente anônimo, a separação se rompe.
Resumo
Cookie, sessionStorage e localStorage são mecanismos para sites salvarem informações dentro do navegador.
Cookie é enviado automaticamente ao servidor se corresponder às condições. sessionStorage é usado para armazenamento temporário por aba. localStorage é uma área de armazenamento que permanece em longo prazo.
Eles tornam a Web conveniente, mas no anonimato viram pistas para identificar o mesmo navegador.
Mesmo que o endereço IP mude, se Cookies ou localStorage permanecerem, o mesmo navegador pode ser reconhecido.
Para proteger o anonimato, é importante não apenas apagar informações salvas, mas separar o ambiente de navegador de nome real do ambiente anônimo.
Ferramentas relacionadas
BrowserLeaks WebRTC
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
BrowserLeaks Fingerprint
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
EFF Cover Your Tracks
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
Tor Project
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.