Parâmetros de URL desconhecidos
Uma URL não contém apenas parâmetros com significado fácil de entender.
Há parâmetros cujo objetivo de rastreamento é relativamente fácil de inferir, como utm_source e gclid, mas também há valores difíceis de julgar só pelo olhar, como id, token, cid, source, ref e session.
Ao encontrar um parâmetro desconhecido, é perigoso pensar tanto "não conheço, então posso apagar" quanto "não conheço, então posso deixar como está".
O importante para o anonimato é separar se aquele valor é necessário para exibir a página ou se serve para identificar pessoa usuária ou rota.
Este artigo organiza como ler e julgar parâmetros de URL desconhecidos.
O que é um parâmetro desconhecido
Parâmetro desconhecido é um valor dentro da URL cujo uso é difícil de julgar apenas pelo nome.
Por exemplo, uma string como esta:
sample.test/page?id=123&cid=abc&token=xyz
Aqui, sample.test é uma string explicativa.
id=123 pode ser um ID de artigo. Pode ser um ID de produto. Pode ser um ID por pessoa usuária.
cid=abc pode ser um ID de campanha. Pode ser um ID de cliente.
token=xyz pode ser um valor próximo de permissão temporária de acesso ou sessão.
Não dá para decidir apenas pelo nome.
Por isso, trate parâmetros desconhecidos como algo cujo significado deve ser inferido, cujo comportamento deve ser verificado e que, se necessário, não deve ser compartilhado.
Classificar ajuda a pensar
Parâmetros desconhecidos ficam mais fáceis de julgar quando são observados por alguns tipos.
| Tipo | Exemplo | Tratamento |
|---|---|---|
| Valor necessário para exibição | id, page, q, category | remover pode mudar o conteúdo |
| Valor com aparência de rastreamento | cid, campaign, source, ref | pode ser desnecessário para compartilhar |
| Valor com aparência de identificação individual | uid, user, visitor, client | vira pista próxima da pessoa usuária ou do dispositivo |
| Valor com aparência de autenticação ou link temporário | token, session, sid, key | priorizar a decisão de não compartilhar publicamente |
| Valor longo sem significado claro | letras e números aleatórios | tratar com cautela por poder ser emitido individualmente |
Essa classificação não é uma decisão perfeita.
Mas é mais segura que colar sem pensar.
Em especial, trate com cautela valores como token, session, sid e key. A URL pode não ser uma URL de compartilhamento, mas uma URL relacionada a estado de login ou acesso temporário.
Verificar se pode remover
Parâmetros desconhecidos devem ser testados removendo-os de fato.
Mas, se você verificar apenas no navegador habitual já logado, pode julgar errado.
| Ordem | O que verificar | Motivo |
|---|---|---|
| 1 | olhar o nome do parâmetro | inferir se está mais perto de rastreamento, exibição ou autenticação |
| 2 | remover um por vez | separar quais valores são necessários para exibir a página |
| 3 | abrir em outro navegador | reduzir influência de e estado de login |
| 4 | abrir em estado deslogado | confirmar se a URL também é visível para outras pessoas |
| 5 | não compartilhar se ainda restar valor longo desconhecido | evitar possibilidade de link individual |
Se apagar tudo de uma vez, não dá para saber qual valor era necessário.
Ao remover um por vez, fica mais fácil separar valores necessários para exibição de valores desnecessários.
Situações em que valores desconhecidos ficam perigosos
Parâmetros desconhecidos são problemáticos não só quando o próprio valor contém informação pessoal legível.
Mesmo letras e números que parecem aleatórios podem estar ligados, dentro do serviço, a pessoa usuária, entrega, convite, clique ou sessão específicos.
| Situação | O que acontece |
|---|---|
| Link individual de e-mail | pode conter valor que indica a quem o e-mail foi enviado |
| Link de convite | quem convidou ou quem foi convidado pode ser registrado |
| Link de publicação limitada | só quem conhece a URL consegue ver |
| Página pós-compra ou pós-inscrição | informações próximas de pedido ou inscrição podem permanecer na URL |
| Tela administrativa ou prévia | uma tela que não era para publicação pode ser compartilhada |
Se esse tipo de URL for compartilhado por uma conta anônima, a correlação nasce do lado da URL mesmo que a rede esteja oculta.
e não removem identificadores incluídos dentro da URL.
Sinais de que não se deve compartilhar
Entre parâmetros desconhecidos, há casos em que o compartilhamento deve ser evitado antes mesmo de tentar remover.
Nos casos abaixo, em vez de forçar uma limpeza e compartilhar, procure outra URL em uma página pública ou por um botão oficial de compartilhamento.
| Sinal | Motivo |
|---|---|
| Contém token, session ou sid | pode estar próximo de estado temporário ou autenticação |
| URL extremamente longa | pode conter muitas informações individuais ou de rastreamento |
| Abre apenas quando está logado | pode ser página pessoal invisível para outras pessoas |
| Há palavras que indicam administração, edição ou prévia | pode não ser URL pública |
| Ao remover, o conteúdo muda muito | o valor está fortemente relacionado ao conteúdo da página |
Em anonimato, é importante não tratar como seguro algo que você não entende.
"Não entendi bem, mas provavelmente está tudo bem" é um julgamento perigoso.
Mal-entendidos comuns
Há mal-entendidos comuns sobre parâmetros desconhecidos.
O primeiro é achar que "se é um valor aleatório de letras e números, não significa nada".
Na prática, quanto mais aleatório o valor parece, mais pode estar sendo usado internamente como identificador individual.
O segundo é achar que "se meu nome não aparece, não há problema".
Em anonimato, o problema não é só o nome. Links emitidos individualmente, IDs de campanha de e-mail, IDs de convite e IDs de sessão se conectam aos logs do serviço.
Por fim, há o mal-entendido de que "encurtar a URL torna seguro".
Uma URL encurtada só reduz a aparência. Se o destino expandido ainda contém parâmetros desconhecidos, o problema não desapareceu.
Julgamento prático
Ao ver um parâmetro desconhecido, julgue assim:
- Verifique se o valor parece necessário para exibição
- Trate valores com aparência de rastreamento, indicação ou campanha como candidatos a remoção
- Priorize não compartilhar valores como token, session, sid e key
- Depois de remover, abra novamente em outro navegador
- Se ainda restar valor desconhecido, procure uma URL oficial de compartilhamento
Esse julgamento pode parecer trabalhoso.
Mas uma URL compartilhada anonimamente faz parte do texto da postagem.
Se você relê o texto, também precisa reler a URL.
Resumo
Parâmetros de URL desconhecidos são valores dentro da URL cujo uso é difícil de julgar apenas pelo nome.
Valores como id, cid, ref, token e session precisam ser verificados para saber se se relacionam a exibição da página, rastreamento, identificação individual ou autenticação.
Não decida imediatamente que um valor desconhecido pode ser apagado ou deixado como está.
Remova um por vez, verifique em outro navegador ou em estado deslogado e reduza valores desnecessários para compartilhamento.
Em especial, se houver valores como token, session, sid ou key, priorize a decisão de não compartilhar.
Pequenos valores que ficam dentro da URL podem se conectar aos logs do serviço e ao horário de acesso.
Em anonimato, é importante não deixar valores desconhecidos sem revisão.