{"id":49489,"date":"2019-12-20T10:02:53","date_gmt":"2019-12-20T13:02:53","guid":{"rendered":"https:\/\/powertic.com\/?p=49489"},"modified":"2020-05-11T00:07:23","modified_gmt":"2020-05-11T03:07:23","slug":"resolvendo-problemas-com-cookie-do-mautic","status":"publish","type":"post","link":"https:\/\/powertic.com\/pt-br\/resolvendo-problemas-com-cookie-do-mautic\/","title":{"rendered":"Resolvendo Problemas com Cookie do Mautic"},"content":{"rendered":"

Os cookies s\u00e3o um dos m\u00e9todos dispon\u00edveis para adicionar estado persistente ao Tracking do Mautic<\/a>. Ao longo dos anos, os cookies cresceram e evolu\u00edram, mas deixaram de lado alguns itens relacionados \u00e0 privacidade e seguran\u00e7a.<\/p>\n\n\n\n

Os navegadores (incluindo Chrome<\/strong>, Firefox<\/strong> e Edge<\/strong>) est\u00e3o mudando seu comportamento para impor padr\u00f5es de privacidade aos cookies e isso pode afetar completamente o modo como o Tracking do Mautic funciona.<\/p><\/blockquote>\n\n\n\n

No come\u00e7o do Ano o Google j\u00e1 havia anunciado que pretendia aumentar a seguran\u00e7a<\/a> de cookies e a vers\u00e3o do navegador Google Chrome 79<\/strong> (lan\u00e7ado oficialmente em 10 de Dezembro de 2019) apresenta uma altera\u00e7\u00e3o importante na forma como os cookies s\u00e3o manipulados. <\/p>\n\n\n\n

Embora a altera\u00e7\u00e3o tenha como objetivo desencorajar o rastreamento de cookies maliciosos, tamb\u00e9m \u00e9 esperado que ela afete severamente muitos aplicativos e servi\u00e7os baseados em padr\u00f5es abertos, incluindo o Tracking do Mautic. A Microsoft chegou at\u00e9 a lan\u00e7ar um alerta de poss\u00edvel quebra de alguns servi\u00e7os por causa dessa mudan\u00e7a<\/a>.<\/p>\n\n\n\n

Esta altera\u00e7\u00e3o ser\u00e1 o comportamento padr\u00e3o do Google Chrome 80<\/a><\/strong>, que ser\u00e1 lan\u00e7ado como uma vers\u00e3o est\u00e1vel em 4 de fevereiro de 2020.<\/p>\n\n\n\n

O Chrome implementa esses comportamentos a partir da vers\u00e3o 80, embora a vers\u00e3o atual do Chrome 79<\/a><\/strong> j\u00e1 comece a aplicar algumas regras que impedem o funcionamento do Tracking do Mautic. O Firefox tornou o comportamentos padr\u00e3o no Firefox 69<\/a> e O Edge tamb\u00e9m planeja alterar seus comportamentos padr\u00e3o.<\/p>\n\n\n\n

O que s\u00e3o cookies prim\u00e1rios e de terceiros?<\/h2>\n\n\n\n

Se voc\u00ea inspecionar os cookies do seu site provavelmente ir\u00e1 notar que existem cookies para uma variedade de dom\u00ednios, n\u00e3o apenas o dom\u00ednio do seu site.<\/p>\n\n\n\n

Os cookies que correspondem ao dom\u00ednio do site atual, ou seja, o que \u00e9 exibido na barra de endere\u00e7os do navegador, s\u00e3o chamados de cookies prim\u00e1rios.<\/strong><\/p>\n\n\n\n

Da mesma forma, os cookies de dom\u00ednios que n\u00e3o sejam o site atual s\u00e3o chamados de cookies de terceiros<\/strong>. <\/p>\n\n\n\n

O cookie \u00e9 relativo ao contexto do usu\u00e1rio. Por exemplo, o mesmo cookie pode ser de terceiro ou prim\u00e1rio, dependendo do site em que o usu\u00e1rio estiver no momento.<\/p>\n\n\n\n

O uso obrigat\u00f3rio de cookies com o atributo SameSite<\/em><\/h2>\n\n\n\n

A introdu\u00e7\u00e3o do atributo SameSite<\/em><\/strong> permite que voc\u00ea declare se seu cookie deve ser restrito a um contexto prim\u00e1rio ou terceiro.<\/p>\n\n\n\n

\u00c9 importante entender exatamente o que ‘site' significa:<\/p>\n\n\n\n

O site \u00e9 a combina\u00e7\u00e3o do sufixo do dom\u00ednio e a parte do dom\u00ednio imediatamente antes dele. Por exemplo, o dom\u00ednio www.powertic.com<\/em><\/strong> faz parte do site powertic.com<\/em><\/strong>.<\/p><\/blockquote>\n\n\n\n

A introdu\u00e7\u00e3o do atributo SameSite em um cookie fornece tr\u00eas maneiras diferentes de controlar esse comportamento. Voc\u00ea pode optar por n\u00e3o especificar o atributo ou usar Strict <\/em><\/strong>ou Lax<\/strong><\/em> para limitar o cookie a solicita\u00e7\u00f5es no mesmo site.<\/p>\n\n\n\n

Se voc\u00ea definir SameSite=Strict<\/em><\/strong>, isso significa que seu cookie ser\u00e1 enviado apenas em um contexto prim\u00e1rio. Em termos de usu\u00e1rio, o cookie s\u00f3 ser\u00e1 enviado se o site corresponder ao site atualmente exibido na barra de URL do navegador. Por exemplo, se o cookie foi criado em powertic.com, ele s\u00f3 ser\u00e1 visto em powertic.com.<\/strong><\/p>\n\n\n\n

Mas existem cookies que podem ser usados entre subdom\u00ednios e \u00e9 a\u00ed que entra o SameSite=Lax<\/em><\/strong>, permitindo que o cookie seja enviado com as navega\u00e7\u00f5es de n\u00edvel superior. Sendo assim, um cookie criado em mkt.powertic.com<\/em> poder\u00e1 ser visto em powertic.com<\/em>, <\/strong>por\u00e9m um cookie criado em powertic.com<\/em> n\u00e3o ser\u00e1 visto em mkt.powertic.com<\/em>.<\/strong> E \u00e9 a\u00ed que come\u00e7a o problema com o Tracking do Mautic.<\/p>\n\n\n\n

Nem Strict <\/em><\/strong>nem Lax <\/em><\/strong>s\u00e3o uma solu\u00e7\u00e3o completa para a seguran\u00e7a do seu site. Os cookies s\u00e3o enviados como parte da solicita\u00e7\u00e3o do usu\u00e1rio e voc\u00ea deve trat\u00e1-los da mesma forma que qualquer outra entrada do usu\u00e1rio.<\/p>\n\n\n\n

Para nossa sorte existe a op\u00e7\u00e3o de n\u00e3o especificar nenhum valor ao SameSite, que anteriormente era o modo de afirmar implicitamente que voc\u00ea deseja que o cookie seja enviado em todos os contextos.<\/p>\n\n\n\n

No \u00faltimo rascunho do RFC6265bis<\/a>, isso est\u00e1 sendo explicitado pela introdu\u00e7\u00e3o de um novo valor, o SameSite=None<\/em><\/strong>.<\/p>\n\n\n\n

Isso significa que voc\u00ea pode usar SameSite=None<\/em><\/strong> para comunicar claramente que deseja intencionalmente que o cookie<\/em> seja enviado em um contexto de terceiros.<\/p>\n\n\n\n

Se voc\u00ea fornecer um servi\u00e7o que outros sites consomem, como widgets, Tracking do Mautic, Focus, conte\u00fado incorporado, ou programas afiliados use SameSite=None<\/em><\/strong> para garantir que sua inten\u00e7\u00e3o seja clara.<\/p>\n\n\n\n

Sendo assim, os tr\u00eas tipos de par\u00e2metros SameSite<\/strong> ficam definidos como:<\/p>\n\n\n\n

Par\u00e2metro<\/strong><\/td>A\u00e7\u00e3o<\/strong><\/td><\/tr>
Strict<\/em><\/strong><\/td>Bloqueia o cookie para dom\u00ednios terceiros<\/td><\/tr>
Lax<\/em><\/strong><\/td>Bloqueia o cookie para dom\u00ednios terceiros e libera para o dom\u00ednio raiz<\/td><\/tr>
None<\/em><\/strong><\/td>Libera o cookie para todos os dom\u00ednios<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Altera\u00e7\u00f5es no comportamento padr\u00e3o sem SameSite<\/h2>\n\n\n\n

Embora o atributo SameSite<\/strong> seja amplamente suportado pelos navegadores, ele n\u00e3o foi amplamente adotado pelos desenvolvedores.<\/p>\n\n\n\n

O padr\u00e3o aberto de envio de cookies para qualquer lugar significa que todos os casos de uso funcionam, mas deixa o usu\u00e1rio vulner\u00e1vel a CSRF <\/em>e vazamento n\u00e3o intencional de informa\u00e7\u00f5es.<\/p>\n\n\n\n

Para incentivar os desenvolvedores a declarar suas inten\u00e7\u00f5es e fornecer aos usu\u00e1rios uma experi\u00eancia mais segura, a proposta da IETF, Incrementally Better Cookies<\/a>, estabelece duas altera\u00e7\u00f5es principais:<\/p>\n\n\n\n