A Cloudflare está a descontinuar o cookie __cfduid. A partir de 10 de maio de 2021, deixaremos de adicionar um cabeçalho "Set-Cookie" em todas as respostas HTTP. Os últimos cookies __cfduid expirarão 30 dias depois dessa data.
Nunca utilizámos o cookie __cfduid para qualquer fim que não o de fornecer serviços essenciais de desempenho e segurança em nome dos nossos clientes. Devemos, no entanto, admitir que nomear uma coisa com a partícula "uid" faz com que soe a algo relacionado a ID de utilizador. Não era nada disso. A Cloudflare nunca rastreia os utilizadores finais pelos sites ou vende os seus dados pessoais. No entanto, não queremos que subsista qualquer dúvida sobre a nossa utilização de cookies, nem queremos que cliente algum pense que precisa de um banner de cookies por conta do que fazemos.
Então, por que usámos o cookie __cfduid e porque é que podemos removê-lo agora?
O principal propósito desse cookie é detetar bots na web. Bots maliciosos podem ser disruptivos para um serviço que tenha sido explicitamente solicitado por um utilizador final (através de ataques DDoS) ou comprometer a segurança da conta de um utilizador (p.ex. através de busca exaustiva de palavras-chave ou de preenchimento exaustivo de credenciais, entre outros). Usamos muitos sinais para construir modelos de aprendizagem de máquina com capacidade para detetar tráfego automatizado de bots. A presença e senioridade do cookie cfduid era apenas um desses sinais nos nossos modelos. Então, para os clientes que beneficiam dos nossos produtos de gestão de bots, o cookie cfduid é uma ferramenta que lhes permite fornecer um serviço especificamente solicitado pelo utilizador final.
O valor do cookie cfduid advém do seu hash unidirecional MD5 do endereço de IP do cookie, data/hora, agente de utilizador, nome do host e site referenciador - o que significa que não podemos ligar um cookie a uma pessoa específica. Ainda assim, como empresa que preza a privacidade acima de tudo, pensámos: "Será que conseguimos encontrar uma forma melhor de detetar bots, sem que se baseie na recolha dos endereços de IP dos utilizadores finais?
Nestas últimas semanas, temos feito experiências para ver se é possível executar os nossos algoritmos de deteção de bots sem usar este cookie. Concluímos que será possível fazer a transição e afastarmo-nos deste cookie de deteção de bots. Estamos a informar acerca da descontinuação neste momento para dar aos clientes tempo de fazerem a sua transição, enquanto a nossa equipa de gestão de bots trabalha para assegurar que não existe qualquer decréscimo de qualidade nos nossos algoritmos de deteção de bots depois da remoção do cookie. (Tenha em atenção que alguns clientes de Bot Management continuarão a precisar de usar um outrocookie depois do dia 1 de abril).
Apesar de se tratar de uma mudança pequena, ficamos muito entusiasmados com qualquer oportunidade de tornar a web mais simples, mais rápida e mais privada.