O browser storage fingerprinting (impressão digital por armazenamento do navegador) é uma técnica de rastreamento que planta identificadores persistentes no próprio armazenamento do seu navegador — localStorage, sessionStorage, IndexedDB e cookies — e os lê de volta em cada visita de retorno. Ao contrário do fingerprinting no nível de hardware, o storage fingerprinting sobrevive à exclusão de cookies ao se espalhar por múltiplas camadas de armazenamento simultaneamente. Você pode verificar o que seu navegador expõe atualmente no whatsmy.fyi.
Resumo
O browser storage fingerprinting funciona gravando um identificador único em localStorage, sessionStorage, IndexedDB e cookies simultaneamente. Quando você exclui um, o rastreador o reconstrói a partir dos outros. Técnicas como o Evercookie estendem isso por 16 ou mais vetores de armazenamento, tornando o identificador quase impossível de apagar sem ferramentas especializadas. Navegadores modernos combatem isso com particionamento de armazenamento — isolando cada bucket de armazenamento por domínio de nível superior para que o rastreamento entre sites se torne estruturalmente impossível.
O que é Browser Storage Fingerprinting?
O browser storage fingerprinting é uma categoria de browser fingerprinting que explora as APIs de armazenamento integradas do navegador em vez de sinais de hardware como renderização de GPU ou processamento de áudio. O objetivo é o mesmo — identificar unicamente seu dispositivo entre sessões e sites — mas o mecanismo é diferente: rastreadores gravam dados no próprio armazenamento do seu navegador e os leem de volta em visitas subsequentes.
O que separa o storage fingerprinting de um simples cookie de rastreamento é a redundância. Um cookie tradicional é um único slot de armazenamento. O storage fingerprinting grava o mesmo identificador em uma dúzia de mecanismos de armazenamento diferentes simultaneamente. Quando você limpa os cookies, o identificador sobrevive no localStorage. Quando você limpa o localStorage, sobrevive no IndexedDB. O rastreador lê qualquer vetor que ainda contém dados e reescreve todos os outros. A ferramenta Cover Your Tracks da EFF identifica a ressurreição baseada em armazenamento como uma das técnicas de rastreamento mais difíceis para usuários comuns neutralizarem.
Como Funciona o Browser Storage Fingerprinting?
O storage fingerprinting segue um loop de leitura-escrita em quatro mecanismos primários de armazenamento do navegador, cada um com características de persistência diferentes.
Etapa 1 — Gerando o Identificador
Na primeira visita, um script JavaScript gera um identificador único — tipicamente um UUID aleatório ou um hash de sinais de hardware coletados ao mesmo tempo. Esse identificador é então gravado simultaneamente em todo vetor de armazenamento disponível.
Etapa 2 — Gravando em Múltiplas Camadas de Armazenamento
O mesmo ID é armazenado em localStorage (persistente, com escopo de origem), sessionStorage (com escopo de aba, limpa ao fechar a aba), IndexedDB (banco de dados estruturado, cota maior) e cookies HTTP (enviados com cada requisição, acessíveis no servidor). Implementações avançadas também gravam em ETags, entradas HSTS, cache do navegador e window.name — que persiste entre navegações de página dentro da mesma aba.
// Simplified multi-vector storage write
const trackingId = crypto.randomUUID();
// Persistent — survives browser restarts, cookie deletion
localStorage.setItem('_tid', trackingId);
// Tab-scoped — survives navigation within the tab
sessionStorage.setItem('_tid', trackingId);
// IndexedDB — structured, larger storage quota
const db = await openDB('tracker', 1, {
upgrade(db) { db.createObjectStore('ids'); }
});
await db.put('ids', trackingId, 'primary');
// HTTP cookie — server-readable, cross-request
document.cookie = `_tid=${trackingId}; max-age=31536000; SameSite=Lax`;Etapa 3 — Lendo de Volta em Visitas de Retorno
Na próxima visita, o script lê todas as quatro camadas de armazenamento. Se qualquer uma delas ainda contiver o ID, o usuário é reconhecido. Se alguns vetores foram limpos, eles são imediatamente reescritos a partir dos valores sobreviventes — uma técnica chamada ressurreição de cookies.
Etapa 4 — O Canal Lateral de Ordenação do IndexedDB
Além do rastreamento simples de leitura-escrita, uma vulnerabilidade mais sutil foi descoberta em 2025 e documentada por pesquisadores da Fingerprint.com. A API indexedDB.databases() no Firefox retornava nomes de banco de dados em uma ordem não aleatória determinada por uma tabela hash interna — um canal lateral com escopo de processo. Sites não relacionados podiam chamar essa API independentemente e observar a mesma ordenação, vinculando um usuário entre diferentes origens sem ler ou gravar quaisquer dados de armazenamento reais. A vulnerabilidade (CVE-2026-6770) foi corrigida no Firefox 150 e no Tor Browser 15.0.10.
Evercookie: O Caso Extremo
O Evercookie é uma biblioteca de prova de conceito criada pelo pesquisador de segurança Samy Kamkar que demonstra toda a extensão da ressurreição baseada em armazenamento. Ela armazena simultaneamente um identificador em 16 ou mais vetores: cookies HTTP, localStorage, sessionStorage, IndexedDB, Web SQL Database, Flash Local Shared Objects, armazenamento isolado Silverlight, histórico CSS, ETags, cache do navegador, cabeçalhos HSTS, window.name, codificação de pixel PNG e armazenamento de applet Java. Quando qualquer subconjunto desses for excluído, a biblioteca reconstrói o identificador completo a partir dos vetores sobreviventes.
Estatísticas de Storage Fingerprinting
| Descoberta | Valor | Fonte |
|---|---|---|
| Top 1.000 sites compartilhando dados via fingerprinting | 60%+ | Princeton University Web Census |
| Sites populares usando fingerprinting explicitamente | 3,5% | Estudo de telemetria da Mozilla |
| Taxa de identificação única em grandes conjuntos de dados | 94%+ | EFF Cover Your Tracks |
| Precisão de fingerprinting em desktop | 91,45% | ACM Internet Measurement Conference, 2025 |
| Precisão de fingerprinting em mobile | 37,16% | ACM Internet Measurement Conference, 2025 |
Quem Usa Browser Storage Fingerprinting no Mundo Real?
Redes de Publicidade e Retargeting
Empresas de ad-tech usam identificadores baseados em armazenamento para vincular a atividade de navegação de um usuário em diferentes sites sem depender de cookies de terceiros, que são bloqueados por padrão no Firefox e Safari e foram depreciados no Chrome.
Detecção de Fraudes e Segurança de Contas
Plataformas de prevenção de fraudes usam armazenamento multi-vetor para criar uma impressão digital estável do dispositivo para reconhecer clientes que retornam e sinalizar mudanças de dispositivo. Este caso de uso é tipicamente permitido sob a base de interesse legítimo do GDPR sem exigir consentimento explícito.
Aplicação de Paywall e Conteúdo Medido
Editoras de notícias que oferecem limites de artigos gratuitos usam storage fingerprinting para impedir que usuários contornem seu medidor limpando cookies. Como o identificador de contagem de artigos é gravado em localStorage e IndexedDB simultaneamente, limpar apenas os cookies não redefine o contador.
O Browser Storage Fingerprinting é Legal?
Sob o GDPR na Europa, qualquer dado que possa ser usado para identificar um indivíduo — incluindo identificadores de dispositivo armazenados em localStorage ou IndexedDB — constitui dados pessoais. A orientação preliminar do ICO do Reino Unido de janeiro de 2025 confirmou explicitamente que localStorage, sessionStorage e IndexedDB se enquadram nas mesmas regras PECR que os cookies, exigindo consentimento informado ou uma justificativa estreita de interesse legítimo. No Brasil, a LGPD (Lei Geral de Proteção de Dados) trata identificadores de dispositivos armazenados em APIs do navegador como dados pessoais, exigindo base legal adequada para seu tratamento — equiparando-os, na prática, ao tratamento de cookies.
Como se Proteger do Browser Storage Fingerprinting
Ao contrário do hardware fingerprinting, o storage fingerprinting pode ser estruturalmente derrotado — mas apenas com controles no nível do navegador, não apenas limpando o histórico.
- Ativar Total Cookie Protection (Firefox): A Proteção Aprimorada contra Rastreamento do Firefox no modo Estrito ativa o particionamento de estado — cada site obtém seu próprio bucket de armazenamento isolado. Uma entrada de localStorage de rastreador definida dentro de foo.com não pode ser lida quando o mesmo rastreador carregar dentro de bar.com.
- Usar Safari (qualquer versão com ITP): A Prevenção Inteligente de Rastreamento do Safari particiona localStorage, IndexedDB, Cache API e armazenamento de URL Blob por site de nível superior, e desaloca proativamente dados de armazenamento de origens sem interação do usuário por 7 dias.
- Usar Brave Browser: O Brave bloqueia fingerprinting por padrão, aplica particionamento de armazenamento e permite personalização por site.
- Limpar Todos os Dados do Site, Não Apenas os Cookies: A exclusão do histórico do navegador normalmente limpa cookies, mas deixa localStorage e IndexedDB intactos. Use as ferramentas de desenvolvedor (aba Application → Storage → Clear site data) para limpar todo o armazenamento de uma vez.
- Tor Browser (proteção mais forte): O Tor Browser limpa todo o armazenamento em cada ação de "Nova Identidade", aplica particionamento de armazenamento e usa um perfil de navegador uniforme compartilhado por todos os usuários Tor. Atualize para a versão mais recente se usar Tor (a vulnerabilidade CVE-2026-6770 foi corrigida no Tor Browser 15.0.10).
Perguntas Frequentes
Limpar cookies é suficiente para prevenir o storage fingerprinting?
Não. Limpar cookies é o passo mínimo, não uma solução completa. O storage fingerprinting deliberadamente espalha o identificador em localStorage, sessionStorage, IndexedDB e cookies simultaneamente. Limpar apenas os cookies deixa o identificador intacto nos outros três vetores.
O modo incógnito ou privado protege contra storage fingerprinting?
Parcialmente. O modo privado cria um contexto de armazenamento novo e isolado que é completamente apagado quando a janela privada fecha. Qualquer localStorage, IndexedDB ou cookie gravado durante uma sessão privada não persiste no seu perfil principal. No entanto, dentro de uma única sessão privada, o storage fingerprinting funciona normalmente. Veja o guia de canvas fingerprinting para saber por que os sinais de hardware são mais difíceis de derrotar.
Uma VPN pode prevenir o browser storage fingerprinting?
Não. Uma VPN roteia seu tráfego através de um túnel criptografado e muda seu endereço IP visível, mas não tem acesso ao armazenamento do seu navegador. O JavaScript rodando no seu navegador lê e grava localStorage e IndexedDB inteiramente de forma local. Verifique se sua VPN está funcionando corretamente no whatsmy.fyi.
Artigos Relacionados
- O que é Browser Fingerprinting? Como Sites Rastreiam Você Sem Cookies — o guia completo de todos os sinais de fingerprinting combinados, incluindo vetores de armazenamento e hardware
- O que é Canvas Fingerprinting? Como Sites Rastreiam Você Sem Cookies — como a API HTML5 Canvas produz um hash de pixel único do dispositivo a partir da sua GPU
- O que é WebGL Fingerprinting? Como Sua GPU Identifica Seu Navegador — como a API de gráficos 3D expõe o nome do fornecedor, modelo e versão do driver da sua GPU
- O que é Áudio Fingerprinting? Como o AudioContext Rastreia Seu Navegador — como a pilha de processamento de áudio do seu dispositivo produz um identificador no nível de hardware
