Passei algum tempo explicando a um repórter como anunciantes rastreiam as pessoas na internet. Nós nos divertimos muito olhando juntos as ferramentas de desenvolvimento do Firefox (não sou especialista em privacidade na internet, mas sei como usar a aba de rede nas ferramentas de desenvolvimento!) e aprendi algumas coisas sobre como o rastreamento de pixels funciona na prática!

A pergunta: como o Facebook sabe que eu acessei tal loja?

Ouço muito falar dessa experiência um pouco assustadora na internet: você está olhando um produto online, e um dia depois vê um anúncio do mesmo sapato ou qualquer outra coisa que estava vendo no dia anterior. Esse fenômeno é chamado de “retargeting”. Mas como ele funciona exatamente na prática?

Neste post, vamos fazer alguns experimentos e ver exatamente como o Facebook pode saber quais produtos você já viu online. Estou usando o Facebook como exemplo só porque é fácil encontrar sites com o pixel de rastreamento no Facebook, mas é evidente que quase todas as empresas de publicidade online fazem esse tipo de rastreamento.

Apoie o Manual do Usuário.

Você ajuda a manter o projeto no ar e ainda recebe recompensas exclusivas. Saiba mais »

A configuração: permitir rastreadores de terceiros, desativar meu bloqueador de anúncios

Eu uso o Firefox, e por padrão o Firefox bloqueia muito esse tipo de rastreamento. Por isso, precisei modificar minhas configurações de privacidade no Firefox para que o rastreamento funcionasse.

Mudei as minhas preferências de privacidade do padrão (imagem) para uma personalizada que permite rastreadores de terceiros (imagem). Também desabilitei algumas extensões de privacidade que normalmente deixo rodando.

Pixels de rastreamento: não é o GIF, é a URL + os parâmetros de consulta

Um pixel de rastreamento é um GIF transparente com dimensão de 1×1 que os sites usam para rastreá-lo. Por si só, obviamente um pequeno GIF de 1×1 não faz muita coisa. Então, como os pixels de rastreamento monitoram você? De duas maneiras:

Sites usam a URL (o endereço da página) e parâmetros de consulta no pixel de rastreamento para adicionar informações extras, como a URL da página que você está visitando. Assim, em vez de apenas solicitar https://www.facebook.com/tr/ (que é um GIF de 44 bytes de 1×1), ele irá solicitar https://www.facebook.com/tr/?the_website_you're_on . (Empresas que disparam e-mail marketing usam truques semelhantes para descobrir se você abriu um e-mail, dando ao pixel de rastreamento uma URL única.) Sites enviam cookies com o pixel de rastreamento para que eles possam dizer que a pessoa que visitou a lojax.com é a mesma que está usando o Facebook no mesmo computador.

O pixel do Facebook em uma loja virtual

Para testar isto, abri a página de um produto no site da Old Navy1 com a URL https://oldnavy.gap.com/browse/product.do?pid=504753002&cid=1125694&pcid=1135640&vid=1&grid=pds_0_109_1 (um “sobretudo em xadrez macio para homens”).

Quando eu fiz isso, o JavaScript rodando naquela página (presumivelmente este código) enviou um pedido ao facebook.com que se apresenta como na imagem abaixo nas ferramentas de desenvolvimento (ocultei a maioria dos valores dos cookies porque alguns deles são meus cookies de login):

Vejamos, no detalhe, o que está acontecendo:

Meu navegador envia uma requisição a https://www.facebook.com/tr/?id=937725046402747&ev=PageView&dl=https%3A%2F%2Foldnavy.gap.com%2Fbrowse%2Fproduct.do%3Fpid%3D504753002%26cid%3D1125694%26pcid%3Dxxxxxx0%26vid%3D1%26grid%3Dpds_0_109_1%23pdp-page-content&rl=https%3A%2F%2Foldnavy.gap.com%2Fbrowse%2Fcategory.do%3Fcid%3D1135640%26mlink%3D5155%2Cm_mts_a&if=false&ts=1576684838096&sw=1920&sh=1080&v=2.9.15&r=stable&a=tmtealium&ec=0&o=30&fbp=fb.1.1576684798512.1946041422&it=15xxxxxxxxxx4&coo=false&rqm=GET Com essa requisição, ele envia um cookie chamado fr definido para 10oGXEcKfGekg67iy.AWVdJq5MG3VLYaNjz4MTNRaU1zg.Bd-kxt.KU.F36.0.0.Bd-kx6. , que, imagino, é a minha ID de rastreamento de publicidade no Facebook.

Assim, as três coisas mais notáveis que estão sendo enviadas na string (no código) de consulta do pixel de rastreamento são:

A página que eu visitei: https://oldnavy.gap.com/browse/product.do?pid=504753002&cid=1125694&pcid=1135640&vid=1&grid=pds_0_109_1#pdp-page-content

A página que me levou àquela página (“referrer”): https://oldnavy.gap.com/browse/category.do?cid=1135640&mlink=5155,m_mts_a

Um cookie identificador para mim: 10oGXEcKfGekg67iy.AWVdJq5MG3VLYaNjz4MTNRaU1zg.Bd-kxt.KU.F36.0.0.Bd-kx6.

Agora, vamos visitar o Facebook!

A seguir, vamos visitar o Facebook, onde eu já estou logada. Que cookies meu navegador está enviando para o Facebook?

Sem surpresa, é o mesmo cookie fr de antes: 10oGXEcKfGekg67iy.AWVdJq5MG3VLYaNjz4MTNRaU1zg.Bd-kxt.KU.F36.0.0.Bd-kx6. . Então, o Facebook agora definitivamente sabe que eu (Julia Evans, a pessoa com esta conta no Facebook) visitei o site da Old Navy alguns minutos atrás e olhei para um “sobretudo em xadrez macio para homens”, porque eles podem usar esse identificador para combinar os dados.

Esses cookies são cookies de terceiros

O cookie fr que o Facebook está usando para rastrear quais sites eu visito é chamado de “cookie de terceiro”, porque o site da Old Navy o está usando para me identificar a um terceiro (facebook.com). Isso é diferente dos cookies do próprio site, que são usados para mantê-lo logado no site da Old Navy.

Tanto o Safari como o Firefox bloqueiam por padrão muitos cookies de terceiros (razão pela qual tive de alterar as definições de privacidade do Firefox para que esta experiência funcionasse). Na data em que escrevo isto, o Chrome não tem esse comportamento (presumivelmente porque o Chrome é de propriedade de uma empresa de publicidade).

Sites têm muitos pixels de rastreamento

Como eu esperava, sites têm muitos pixels de rastreamento. Por exemplo, o da wrangler.com carregou 19 pixels de rastreamento diferentes no meu navegador vindos de um monte de domínios diferentes. Os pixels de rastreamento na wrangler.com vieram de: ct.pinterest.com , af.monetate.net , csm.va.us.criteo.net , google-analytics.com , dpm.demdex.net , google.ca , a.tribalfusion.com , data.photorank.me , stats.g.doubleclick.net , vfcorp.dl.sc.omtrdc.net , ib.adnxs.com , idsync.rlcdn.com , p.brsrvr.com e adservice.google.com .

Na maioria dos casos, o Firefox apontou de forma útil que os teria bloqueado se eu estivesse usando as configurações de privacidade padrões:

Por que navegadores são importantes

O motivo pelo qual navegadores são tão importantes é que o seu navegador tem a palavra final sobre quais informações ele envia sobre você para quais sites. O JavaScript no site da Old Navy pode pedir ao seu navegador para enviar informações de rastreamento de você mesmo(a) para o Facebook, mas o seu navegador não tem que obedecer! Ele pode decidir “opa, eu sei que o facebook.com/tr/ é um pixel de rastreamento, eu não quero que meus usuários sejam rastreados, eu só não vou enviar este pedido”. Ele pode tornar esse comportamento configurável alterando as definições do browser ou instalando extensões, e é por isso que existem muitas extensões de privacidade.

É divertido ver como isto funciona!

Acho divertido ver como os cookies e pixels de rastreamento são usados para rastrear você na prática, mesmo que seja meio assustador. Eu meio que sabia como isso funcionava antes, mas nunca tinha olhado os cookies em um pixel de rastreamento ou que tipo de informação exatamente ele estava enviando em seus parâmetros de consulta.

E se você souber como funciona, é mais fácil descobrir como ser menos monitorado.

O que eu posso fazer?

Eu faço algumas pequenas coisas para ser um pouquinho menos monitorada na internet:

Instale um bloqueador de anúncios (como a o uBlock Origin ou algo assim), que irá bloquear muitos domínios de rastreamento.

Use o Firefox ou o Safari em vez de Chrome (que, neste momento, têm definições de privacidade predefinidas mais fortes que o navegador do Google).

Use a extensão Facebook Container no Firefox, que toma medidas extras para evitar especificamente que o Facebook o rastreie.

Ainda há muitas outras maneiras de ser rastreado na internet (especialmente quando se usa aplicativos de celulares, que não dão o mesmo nível de controle de um navegador), mas gosto de entender como o método de rastreamento funciona e acho que é bom ser rastreada um pouco menos.

Publicado originalmente no blog da Julia Evans em 18/12/2019.