P3P é importante para sites que dependem de cookies

Sites de comércio, bancos e acesso restrito dependem de cookies. Por outro lado muitos usuários ajustam o navegador para bloqueá-los. O P3P é uma forma de fazer o site e o usuário se entenderem.

Por Rogério Coelho

P3P é a sigla para Platform for Privacy Preferences, um padrão desenvolvido para comunicar de forma rápida e automática a política de privacidade de um site ao usuário e permitir que ele a compare com suas preferências e acesso aos cookies.

É comum os sites terem páginas com políticas de privacidade, porém muitas vezes elas mais parecem contratos e assim acabam por não cumprir o objetivo e nem impedem o bloqueio de cookies.

Não existe no mercado brasileiro nenhum estudo que informe a penetração deste padrão, porém temos observado que muitos desenvolvedores e administradores de sites não conhecem o P3P e seu impacto para as aplicações web.

O P3P existe desde 2001 e é muito importante no mercado de internet, onde cada vez mais surgem discussões sobre privacidade e os usuários se tornam mais informados.

Basicamente, o P3P cobre oito itens principais. Quatro detalham os dados coletados pelo site. São eles:

• O que está sendo coletado?
• Como esta informação é coletada?
• Qual o propósito desta coleta?
• Se a informação é compartilhada com terceiros e quem são eles.

Os outros quatro detalham as políticas internas de privacidade do site.

• Os usuários podem selecionar como estes dados serão usados?
• Como o usuário pode remover o cookie?
• Por quanto tempo estes dados ficam na base do site?
• onde as informações detalhadas sobre a política podem ser encontradas?.

Estes itens “respondem” estas perguntas e dão ao usuário a capacidade de decidir o que será feito (ou não) das informações.

Como isso chega ao usuário?

Se um usuário configurar seu navegador (vamos usar como exemplo o Internet Explorer) para um nível de privacidade Alto, todos os cookies serão bloqueados se a requisição não incluir o header P3P.

O usuário é informado do bloqueio com um ícone sutil na barra de status do navegador conforme a imagem abaixo.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

Ao dar um duplo clique no ícone, é possível ver a lista de cookies que foram bloqueados e verificar as informações de privacidade do site, se existirem.

É importante destacar que opções de privacidade não são relacionadas diretamente às opções de segurança do navegador. O correto uso dos cookies não é inseguro; pelo contrário, ele fornece valiosas funções para o desenvolvedor e o usuário, por isso a importância do P3P.

.

Repare que neste exemplo o usuário tem as configurações para bloquear todos os cookies sem uma política de privacidade definida. Não há nada que possa ser feito no lado do servidor para evitar este comportamento, a não ser criar o P3P e configurar seu site para enviar estas informações ao usuário, que poderá prevenir o bloqueio.

Afeta o desempenho do site?

Na maioria dos casos, na primeira visita do usuário o navegador irá realizar uma requisição para localizar as configurações P3P do site. Esta requisição gera uma latência mínima, bem menor do que acessar uma imagem em uma página. Ela não se repetirá durante a navegação do usuário pelas demais páginas, uma vez que a política já foi identificada pelo navegador.

O suporte a este padrão existe desde a versão 6 do Internet Explorer e está presente também no Netscape e Firefox.

Sites que dependem explicitamente de cookies (como comércio eletrônico, internet banking ou acesso a áreas restritas) sem uma política de privacidade definida podem perder usuários, pois eles não conseguirão acessar todos os recursos se têm os cookies bloqueados.

Como implementar

A implementação é feita em duas etapas. A primeira é configurar dois arquivos em formato XML e hospedá-los nos servidores. Estes arquivos terão as informações sobre a política de privacidade do site, que serão interpretados pelo navegador. Se o site não tem uma política de privacidade, obviamente terá antes que definir esta política, pois ela é diretamente referenciada no P3P.

A segunda etapa é a configuração de um header (trecho contendo comandos gerais e/ou comentários dentro da estrutura de um
site) que inclui a referência aos arquivos com as configurações. Neste endereço do W3.org há informações sobre como configurar este header em diferentes ambientes.

Existem diversas ferramentas com interfaces amigáveis para auxiliar na configuração dos arquivos P3P. Uma delas é a P3Pedit.

Você pode validar a conformidade do site com a política gerada usando o verificador online da W3C.

Também há uma documentação detalhada para todo o processo de implementação. [Webinsider]

.

1 pessoa comentou o artigo "P3P é importante para sites que dependem de cookies"

Avisos

Os ítens com asterisco ( * ) são campos de preenchimento obrigatório.

Todos os links inseridos nos comentários possuem o atributo rel="nofollow" para impedir com que user agents (como os mecanismos de busca) sigam os links inseridos para desestimular spammers.

Todos devem se identificar através de e-mail válido.

Os e-mails dos usuários não serão divulgados no site.