Pillar 2 of 4
Find the cookie set before the consent banner showed up
We load your page in a clean browser, capture every cookie set in the first 2.5 seconds, and tell you which ones are tracking users without consent.
The pre-consent problem regulators care about
GDPR and ePrivacy require that any non-essential cookie or tracker is blocked until the user actively opts in. A surprising number of sites get this wrong because their tag manager fires Google Analytics or Meta Pixel before the consent banner has rendered. Even with a Cookiebot or OneTrust banner installed, the underlying scripts are often loaded with the page rather than gated behind the consent decision. We simulate a fresh visitor with no prior consent state. Anything in the cookie jar after page load — that isn't strictly necessary — is a finding.
Security flags that quietly fail in production
Modern browsers reject cookies with SameSite=None unless the Secure flag is present. We flag these because they break silently — your auth might appear to work locally and fail for a percentage of users in the wild. Long-expiry cookies (over a year) are a soft GDPR signal: regulators have written guidance suggesting cookie lifetimes should be proportionate to purpose, and 13 months is the de-facto retention cap most DPAs accept.
Classification you can trust
Every cookie name is checked against an exact-match dictionary first, then a prefix list (so _ga_XXXX inherits Google Analytics's classification). Cookies we can't classify get a minor severity finding so a human can confirm them — better to surface the unknown than to silently call it 'necessary'.
Exemplos de achados
Rastreamento antes do consentimento detectado
O cookie "_fbp" (Meta Pixel, marketing) foi configurado antes de o usuário dar consentimento. O cookie foi emitido 1,2 segundos após o carregamento da página, enquanto o banner de consentimento ainda estava sendo renderizado. Para resolver, condicione o script do Meta Pixel ao toggle "marketing" da sua plataforma de gerenciamento de consentimento.
Cookie : _fbp Domínio : .example.com Categoria : marketing Definido em: t=1.2s (banner ainda não interagiu) Validade : 90 dias
SameSite=None sem flag Secure
O cookie de sessão "sid" é definido com SameSite=None, mas sem flag Secure. O Chromium moderno e o Firefox rejeitam silenciosamente essa combinação, então uma parcela dos seus usuários — qualquer pessoa com atualização de navegador nos últimos três anos — perderá o estado de forma intermitente. Desenvolvimento local esconde o problema porque localhost é tratado como Secure.
Set-Cookie: sid=abc123; Path=/; SameSite=None; HttpOnly Correção: adicione a flag Secure e garanta que o cookie só seja definido via HTTPS: Set-Cookie: sid=abc123; Path=/; SameSite=None; Secure; HttpOnly
Validade do cookie excede 13 meses
O cookie "_ga" (Google Analytics, analytics) é definido com validade de 24 meses. A maioria das autoridades europeias de proteção de dados publicou orientações tratando 13 meses como o limite máximo de fato para cookies de analytics, citando proporcionalidade do ePrivacy. Uma auditoria regulatória sinalizaria isso como retenção excessiva.
Cookie : _ga Validade : 24 meses (730 dias) Teto DPA : 13 meses (CNIL, ICO, AEPD) Correção: no admin do GA4, defina "Data retention" para 14 meses ou menos, ou hospede você mesmo com uma expiração customizada.
Faça o scan do seu site em 60 segundos
25 créditos grátis. Sem cartão de crédito. Achados reais na página que importa para você.