P3P é importante para sites que dependem de cookies

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

P3P é a sigla para Platform for Privacy Preferences, um padrão desenvolvido para comunicar de forma rápida e automática a política de privacidade de um site ao usuário e permitir que ele a compare com suas preferências e acesso aos cookies.

É comum os sites terem páginas com políticas de privacidade, porém muitas vezes elas mais parecem contratos e assim acabam por não cumprir o objetivo e nem impedem o bloqueio de cookies.

Não existe no mercado brasileiro nenhum estudo que informe a penetração deste padrão, porém temos observado que muitos desenvolvedores e administradores de sites não conhecem o P3P e seu impacto para as aplicações web.

O P3P existe desde 2001 e é muito importante no mercado de internet, onde cada vez mais surgem discussões sobre privacidade e os usuários se tornam mais informados.

Basicamente, o P3P cobre oito itens principais. Quatro detalham os dados coletados pelo site. São eles:

  • O que está sendo coletado?
  • Como esta informação é coletada?
  • Qual o propósito desta coleta?
  • Se a informação é compartilhada com terceiros e quem são eles.

Os outros quatro detalham as políticas internas de privacidade do site.

  • Os usuários podem selecionar como estes dados serão usados?
  • Como o usuário pode remover o cookie?
  • Por quanto tempo estes dados ficam na base do site?
  • onde as informações detalhadas sobre a política podem ser encontradas?.

Estes itens ?respondem? estas perguntas e dão ao usuário a capacidade de decidir o que será feito (ou não) das informações.

Como isso chega ao usuário?

Se um usuário configurar seu navegador (vamos usar como exemplo o Internet Explorer) para um nível de privacidade Alto, todos os cookies serão bloqueados se a requisição não incluir o header P3P.

O usuário é informado do bloqueio com um ícone sutil na barra de status do navegador conforme a imagem abaixo.

p3p_cookie_bloqueado_02.jpg

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Ao dar um duplo clique no ícone, é possível ver a lista de cookies que foram bloqueados e verificar as informações de privacidade do site, se existirem.

É importante destacar que opções de privacidade não são relacionadas diretamente às opções de segurança do navegador. O correto uso dos cookies não é inseguro; pelo contrário, ele fornece valiosas funções para o desenvolvedor e o usuário, por isso a importância do P3P.

p3p_segurança_alta.jpg

.

Repare que neste exemplo o usuário tem as configurações para bloquear todos os cookies sem uma política de privacidade definida. Não há nada que possa ser feito no lado do servidor para evitar este comportamento, a não ser criar o P3P e configurar seu site para enviar estas informações ao usuário, que poderá prevenir o bloqueio.

Afeta o desempenho do site?

Na maioria dos casos, na primeira visita do usuário o navegador irá realizar uma requisição para localizar as configurações P3P do site. Esta requisição gera uma latência mínima, bem menor do que acessar uma imagem em uma página. Ela não se repetirá durante a navegação do usuário pelas demais páginas, uma vez que a política já foi identificada pelo navegador.

O suporte a este padrão existe desde a versão 6 do Internet Explorer e está presente também no Netscape e Firefox.

Sites que dependem explicitamente de cookies (como comércio eletrônico, internet banking ou acesso a áreas restritas) sem uma política de privacidade definida podem perder usuários, pois eles não conseguirão acessar todos os recursos se têm os cookies bloqueados.

Como implementar

A implementação é feita em duas etapas. A primeira é configurar dois arquivos em formato XML e hospedá-los nos servidores. Estes arquivos terão as informações sobre a política de privacidade do site, que serão interpretados pelo navegador. Se o site não tem uma política de privacidade, obviamente terá antes que definir esta política, pois ela é diretamente referenciada no P3P.

A segunda etapa é a configuração de um header (trecho contendo comandos gerais e/ou comentários dentro da estrutura de um
site) que inclui a referência aos arquivos com as configurações. Neste endereço do W3.org há informações sobre como configurar este header em diferentes ambientes.

Existem diversas ferramentas com interfaces amigáveis para auxiliar na configuração dos arquivos P3P. Uma delas é a P3Pedit.

Você pode validar a conformidade do site com a política gerada usando o verificador online da W3C.

Também há uma documentação detalhada para todo o processo de implementação. [Webinsider]

.

<strong>Rogério Coelho</strong> (rogerio@predicta.com.br) é desenvolvedor junto à <strong><a href="http://www.predicta.com.br" rel="externo">Predicta</a></strong> e colabora para o blog corporativo <strong><a href="http://namedida.blog.br/" rel="externo">Na Medida</a></strong>

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Mais lidas

Uma resposta

  1. Matéria muito útil, pois cada vez mais os navegadores desenvolvem bloqueios de pop-ups, cookies, alerts, entre outras funções, e o P3P vem para ajudar o desenvolvedor e o usuário a ter um acesso mais rápido e uma experiência agradável ao entrar em sites que usam cookies.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *