O que é rastreamento em URL?
O que é rastreamento por URL
Uma URL não é apenas uma sequência de caracteres que indica o local de uma página web.
Dentro de uma URL pode haver não só qual página abrir, mas também de qual anúncio a pessoa veio, de qual rede social clicou ou para qual usuário o link foi emitido.
Mesmo sem nome ou email escrito, parâmetros deixados na URL podem virar pistas sobre origem, termos de busca, campanha, ID de clique, referência ou sessão.
Ao pensar em anonimato, é perigoso revisar apenas texto e imagem e colar a URL compartilhada como está.
Este artigo explica o que é rastreamento por URL, quais partes revisar e como decidir antes de compartilhar.
O que é rastreamento por URL
Rastreamento por URL é um mecanismo que usa informações adicionadas à URL para medir origem de acesso ou comportamento de usuários.
Por exemplo, anúncios, newsletters, posts em redes sociais, links de afiliados e páginas de campanha podem adicionar informações ao fim da URL.
Essa informação extra geralmente aparece depois de ? na URL.
Exemplo:
https://example.com/article?utm_source=newsletter&utm_campaign=spring
A parte depois de ? é chamada de query string. Ela pode conter condições de busca, número de página, ID de produto, ID de clique, ID de anúncio, ID de referência e valores semelhantes.
Para operadores de sites, o rastreamento por URL é usado em analytics e medição de anúncios.
Mas, do ponto de vista do anonimato, pode virar pista sobre quem compartilhou a URL ou por qual caminho ela foi clicada.
Onde olhar em uma URL
Ao revisar uma URL, não trate tudo como um bloco único.
Uma URL contém partes com significados diferentes.
| Parte | Exemplo | Ponto de atenção para anonimato |
|---|---|---|
| Domínio | sample.test | Indica a qual site se conecta |
| Caminho | /article/network | Indica qual página ou função abre |
| Query string | ?id=123&utm_source=sns | Pode conter busca, identificadores ou rastreamento |
| Nome do parâmetro | utm_source, ref, gclid | Ajuda a inferir que informação é |
| Valor do parâmetro | newsletter, abc123 | Pode indicar origem, ID individual ou campanha |
| Fragmento | #section | Em requisições HTTP normais, muitas vezes não é enviado ao servidor |
Preste atenção especial à query string.
Nem toda query string é perigosa. Em páginas de busca ou produto, alguns valores são necessários para exibir a página corretamente.
Por outro lado, podem existir parâmetros de rastreamento desnecessários para compartilhar.
O importante é separar se a página abre sem esse valor e se o valor serve para identificar alguém.
Parâmetros de rastreamento comuns
Valores comuns no rastreamento por URL seguem certos padrões.
| Tipo | Exemplos | Significado |
|---|---|---|
| UTM | utm_source, utm_medium, utm_campaign | Mede origem, meio e campanha |
| ID de clique de anúncio | gclid, fbclid, msclkid | Identifica cliques de anúncios ou redes sociais |
| Referência | ref, referrer, source | Indica de onde veio o acesso |
| Afiliado | affiliate, aff, partner | Indica referência ou parceiro |
| ID de compartilhamento | share, invite, campaign_id | Pode indicar link compartilhado ou convite |
| Valor parecido com sessão | session, sid, token | Pode se aproximar de estado individual ou autenticação |
Alguns valores, como UTM e IDs de clique, são fáceis de reconhecer como rastreamento.
Outros, como id ou token, não podem ser julgados só pelo nome. id pode ser ID de artigo, ou um identificador emitido por usuário.
Não trate valor desconhecido como provavelmente seguro.
Falhas ao compartilhar URLs
Falhas de rastreamento por URL nem sempre vêm de ataques tecnicamente difíceis.
Muitas acontecem apenas ao colar uma URL copiada sem revisão.
| Falha | O que acontece |
|---|---|
| Compartilhar URL de anúncio como está | Ficam ID de clique e campanha |
| Colar link de email | Pode ficar identificador de envio de email |
| Compartilhar URL de resultado de busca | Termos e condições de busca podem ficar na URL |
| Compartilhar URL após login | Sessão ou tela individual podem se misturar |
| Compartilhar URL encurtada sem expandir | Não dá para verificar destino ou rastreamento intermediário |
Por exemplo, alguém apresenta um artigo por uma conta anônima.
O texto não contém dados pessoais. Mas, se a URL colada mantém ID de email ou clique de anúncio, ela mostra por qual caminho o link foi obtido.
Isso sozinho talvez não revele um nome real.
Mas, combinado com horário, conta, cookies, login e logs de acesso, fortalece os indícios de que se trata da mesma pessoa.
No anonimato, não subestime pequenas pistas assim.
Valores que podem e não podem ser removidos
Não apague todos os parâmetros de URL sem pensar.
Alguns valores são necessários para a página funcionar.
| Tipo | Tratamento | Motivo |
|---|---|---|
| utm_source e semelhantes | Muitas vezes removíveis | Geralmente são para analytics e não necessários para exibição |
| gclid, fbclid e semelhantes | Muitas vezes removíveis | Geralmente medem cliques de anúncios ou redes sociais |
| ref, affiliate e semelhantes | Revisar conteúdo | Podem se relacionar a referência ou receita |
| page, q, id e semelhantes | Revisar com cuidado | Podem ser necessários para página ou busca |
| token, sid, session e semelhantes | Priorizar não compartilhar | Podem se aproximar de estado individual ou autenticação |
A regra básica é simples.
Se a mesma página abre sem o valor, ele provavelmente não é necessário para compartilhar.
Se remover muda a página, os resultados ou informações necessárias, o valor está ligado ao conteúdo.
No entanto, URLs com token ou session geralmente não são adequadas para compartilhamento público.
Em vez de limpar essa URL, é mais seguro procurar um link oficial de compartilhamento.
Fluxo de revisão antes de compartilhar
Antes de compartilhar uma URL, revise nesta ordem.
| Passo | O que revisar | Motivo |
|---|---|---|
| 1 | Revisar a URL inteira | Ver se há informação desnecessária depois de ? |
| 2 | Procurar parâmetros de rastreamento | Ver utm, gclid, fbclid, ref e semelhantes |
| 3 | Classificar valores desconhecidos | Separar valores necessários de possíveis identificadores |
| 4 | Abrir a URL editada | Confirmar que o mesmo conteúdo aparece |
| 5 | Expandir URLs encurtadas | Confirmar destino final e intermediários |
Se possível, revise sem login ou em outro navegador.
Se revisar no navegador habitual, cookies e sessão podem fazer uma URL funcionar para você, mas não para outras pessoas.
Para uso anônimo, abrir uma vez em outro ambiente antes de compartilhar já reduz falhas.
A URL sozinha não decide o anonimato
Limpar a URL não torna você anônimo por si só.
A URL é uma pista.
A mesma publicação envolve texto, imagens, horário, conta, rota de comunicação, login e posts antigos.
Por exemplo, mesmo removendo parâmetros de rastreamento, publicar com conta de nome real logada enfraquece o anonimato.
Por outro lado, mesmo usando ou , se a URL compartilhada tiver ID individual, ela pode ser correlacionada em outro ponto.
Revisar URLs é uma etapa dentro do anonimato como um todo.
Resumo
Rastreamento por URL usa parâmetros contidos na URL para medir origem de acesso e comportamento.
UTM, IDs de clique, códigos de referência, URLs encurtadas e redirecionamentos podem virar pistas sobre origem ou rota.
Ao pensar em anonimato, revise não só texto e imagens, mas também a URL compartilhada.
O importante é separar valores que podem ser removidos dos que não devem. Parâmetros de rastreamento muitas vezes podem ser apagados, mas termos de busca e IDs de página podem ser necessários.
Se um valor desconhecido permanecer, não o trate como seguro. Considere adiar o compartilhamento, buscar outro link oficial ou revisar em outro ambiente.
Uma URL parece uma pequena sequência.
Mas, no anonimato, essa pequena sequência pode mostrar uma rota de comportamento.