Skip to main content

Tipos de Cookies: Um Guia Técnico Completo

Nem todos os cookies são iguais. O tipo de cookie determina durante quanto tempo persiste, quem o pode ler, com que segurança circula e — o que é fundamental — se exige o consentimento do utilizador. Compreender estas distinções é essencial tanto para a conformidade como para a implementação.

Cookies de Sessão vs. Cookies Persistentes

A distinção mais fundamental prende-se com a duração de um cookie.

Cookies de Sessão

Um cookie de sessão existe apenas durante uma sessão de navegação. Não possui o atributo Expires nem Max-Age. Quando o utilizador fecha o navegador, o cookie é eliminado.

Set-Cookie: cart_id=xyz789; Path=/; Secure; HttpOnly

Os cookies de sessão são normalmente utilizados para:

  • Manter o estado de início de sessão durante uma visita
  • Conteúdo do carrinho de compras
  • Tokens de proteção CSRF
  • Dados de formulários com vários passos

Uma vez que os cookies de sessão não persistem, são geralmente menos invasivos do ponto de vista da privacidade. No entanto, continuam a exigir consentimento caso não sejam estritamente necessários para o serviço solicitado pelo utilizador.

Cookies Persistentes

Um cookie persistente tem uma data de expiração explícita. Sobrevive ao reinício do navegador e permanece no dispositivo do utilizador até expirar ou ser eliminado manualmente.

Set-Cookie: preferences_lang=en; Path=/; Max-Age=31536000; Secure

Este cookie persistirá durante um ano (31 536 000 segundos). Entre as utilizações mais comuns incluem-se:

  • Funcionalidade de "lembrar-me" no início de sessão
  • Preferências de idioma e de tema
  • Identificadores de análise (os cookies do Google Analytics persistem até 2 anos)
  • Rastreio publicitário (alguns cookies publicitários persistem 13 meses ou mais)

Os cookies persistentes estão sujeitos a maior escrutínio ao abrigo das regulamentações de privacidade. A CNIL (a autoridade francesa de proteção de dados) recomendou um tempo máximo de vida dos cookies de 13 meses e o consentimento deve igualmente ser renovado, no mínimo, a cada 13 meses.

Cookies Próprios (First-Party) vs. Cookies de Terceiros (Third-Party)

Esta distinção é central no debate sobre privacidade e afeta diretamente os requisitos de consentimento.

Cookies Próprios

Um cookie próprio é definido pelo domínio que o utilizador está efetivamente a visitar. Se visitar example.com, qualquer cookie definido por example.com é um cookie próprio.

Os cookies próprios são utilizados para funcionalidades essenciais do site: sessões, preferências e análises que o próprio operador do site realiza. Só podem ser lidos pelo domínio que os definiu.

Exemplo: visita shop.example.com. O servidor define um cookie chamado session_id. Este cookie é enviado apenas para shop.example.com e os seus subdomínios. Nenhum outro site lhe pode aceder.

Cookies de Terceiros

Um cookie de terceiros é definido por um domínio diferente daquele que o utilizador está a visitar. Quando example.com carrega um script publicitário de ads.tracker.com, e esse script define um cookie sob o domínio tracker.com, trata-se de um cookie de terceiros.

É assim que funciona o rastreio entre sites. O cookie de tracker.com é enviado com cada pedido a tracker.com, independentemente do site que despoletou o pedido. Se os scripts de tracker.com estiverem incorporados em 10 000 sites, podem observar o mesmo utilizador em todos esses 10 000 sites.

Os cookies de terceiros são o principal alvo tanto da aplicação regulamentar como das restrições ao nível dos navegadores:

  • O Safari bloqueia os cookies de terceiros por predefinição desde 2020 (ITP)
  • O Firefox bloqueia os rastreadores de terceiros conhecidos por predefinição (ETP)
  • O Chrome está a abandonar os cookies de terceiros com a sua iniciativa Privacy Sandbox
  • As ações de aplicação regulamentar visam esmagadoramente os cookies de rastreio de terceiros

Cookies Seguros

Um cookie com o atributo Secure é enviado apenas através de ligações HTTPS. Nunca será transmitido por HTTP não encriptado.

Set-Cookie: auth_token=secret123; Secure

Isto impede que um atacante man-in-the-middle intercete o cookie numa ligação não segura. Qualquer cookie que contenha informação sensível — identificadores de sessão, tokens de autenticação, dados pessoais — deve estar sempre marcado como Secure.

Do ponto de vista da conformidade, não utilizar a flag Secure em cookies sensíveis poderá ser considerado uma falha na implementação de medidas técnicas adequadas nos termos do Artigo 32.º do RGPD (segurança do tratamento).

Cookies HttpOnly

Um cookie com o atributo HttpOnly não pode ser acedido por JavaScript através de document.cookie. É enviado apenas com pedidos HTTP para o servidor.

Set-Cookie: session_id=abc123; HttpOnly

Esta é uma medida de segurança crítica. Os ataques de cross-site scripting (XSS) tentam frequentemente roubar cookies ao injetar JavaScript que lê document.cookie. A flag HttpOnly impede totalmente este vetor.

Os cookies de sessão e os cookies de autenticação devem quase sempre ser HttpOnly. Os cookies que precisam de ser lidos por JavaScript no lado do cliente (como os cookies de preferências que afetam a interface) não podem ser HttpOnly.

Cookies SameSite

O atributo SameSite controla se um cookie é enviado com pedidos entre sites. Foi introduzido para mitigar os ataques de cross-site request forgery (CSRF) e para dar aos sites mais controlo sobre o comportamento dos cookies entre sites.

SameSite=Strict

O cookie é enviado apenas com pedidos originados no mesmo site. Se um utilizador clicar numa hiperligação em other.com que o leve a your-site.com, o cookie não será enviado com esse pedido inicial.

Esta é a definição mais segura, mas pode comprometer funcionalidades legítimas. Por exemplo, se um utilizador clicar numa hiperligação para o seu site a partir de um e-mail, o cookie de sessão não seria enviado e ele apareceria com a sessão terminada.

SameSite=Lax

O cookie é enviado com navegações de nível superior (clicar numa hiperligação), mas não com subpedidos entre sites (carregar imagens, frames ou fazer pedidos AJAX a partir de outro site). Esta é a predefinição nos navegadores modernos caso não seja especificado nenhum atributo SameSite.

O Lax proporciona um equilíbrio razoável entre segurança e usabilidade. Impede que sites de terceiros despoletem ações autenticadas no seu site, permitindo ao mesmo tempo o funcionamento normal da navegação por hiperligações.

SameSite=None

O cookie é enviado com todos os pedidos, incluindo pedidos entre sites. Isto é necessário para que os cookies de terceiros funcionem. Um cookie definido com SameSite=None deve também ter o atributo Secure.

Set-Cookie: tracking_id=xyz; SameSite=None; Secure

Qualquer cookie que precise de funcionar num contexto entre sites (widgets incorporados, autenticação de terceiros, rastreio entre sites) tem de usar SameSite=None. Isto é cada vez mais relevante à medida que os navegadores tornam mais rigorosas as suas políticas de cookies predefinidas.

Zombie Cookies e Supercookies

Vale a pena mencioná-los, pois representam tentativas de contornar os controlos de privacidade:

  • Os zombie cookies são cookies que se recriam a si próprios depois de eliminados. Funcionam normalmente ao armazenar o mesmo identificador em vários mecanismos de armazenamento (cookies, localStorage, IndexedDB, LSOs do Flash) e ao usar aquele que sobrevive para regenerar os restantes. Esta prática é amplamente considerada enganosa e tem sido alvo de ações de aplicação regulamentar.
  • Os supercookies são mecanismos de rastreio que operam a um nível inferior ao dos cookies normais — tais como a injeção de cabeçalhos ao nível do ISP (o UIDH da Verizon) ou o fingerprinting baseado em HSTS. São extremamente difíceis de controlar ou eliminar pelos utilizadores.

Tanto os zombie cookies como os supercookies são claramente incompatíveis com os requisitos do RGPD e da ePrivacy. A sua utilização constituiria uma violação dos princípios da transparência, licitude e minimização de dados.

Tabela Comparativa

Tipo Tempo de vida Âmbito Exige normalmente consentimento? Principais casos de uso
Sessão Apenas a sessão de navegação Próprio Apenas se não essencial Estado de início de sessão, carrinho, tokens CSRF
Persistente (próprio) De dias a anos Próprio Normalmente sim Preferências, análises, "lembrar-me"
Persistente (terceiros) De dias a anos Entre sites Quase sempre sim Publicidade, retargeting, widgets sociais
Secure Varia Apenas HTTPS Depende da finalidade Qualquer cookie sensível
HttpOnly Varia Apenas no lado do servidor Depende da finalidade IDs de sessão, tokens de autenticação
SameSite=Strict Varia Apenas no mesmo site Depende da finalidade Operações sensíveis a CSRF
SameSite=Lax Varia Mesmo site + navegação de nível superior Depende da finalidade Gestão geral de sessões
SameSite=None Varia Todos os contextos (exige Secure) Quase sempre sim Incorporações de terceiros, autenticação entre sites

O Que Isto Significa para a Conformidade

O tipo de cookie afeta diretamente as suas obrigações de conformidade:

  1. Os cookies de sessão próprios que são estritamente necessários (sessões de início de sessão, carrinhos de compras, tokens CSRF) estão isentos dos requisitos de consentimento nos termos do Artigo 5.º, n.º 3, da ePrivacy.
  2. Os cookies persistentes próprios para análises, preferências ou funcionalidade exigem geralmente consentimento — embora algumas APD permitam exceções limitadas para análises próprias em condições específicas.
  3. Os cookies de terceiros de qualquer tipo exigem quase sempre consentimento explícito prévio. Existem muito poucas exceções legítimas.
  4. Os atributos de segurança (Secure, HttpOnly, SameSite) não alteram os requisitos de consentimento, mas a sua utilização demonstra boas práticas de segurança — o que constitui, em si mesmo, um requisito do RGPD.

Saber exatamente que cookies o seu site define — e de que tipo é cada um — é a base de qualquer programa de conformidade. O scanner da Passiro identifica e classifica automaticamente cada cookie no seu site, incluindo cookies de terceiros definidos por scripts incorporados de que talvez nem tenha conhecimento.

Agora que compreendemos os tipos, vejamos como os cookies são organizados em categorias de consentimento — o sistema de classificação que determina como aparecem no seu banner de cookies.

O seu website cumpre as regras de cookies?

Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.

Analise os seus cookies gratuitamente