Google e Mozilla declaram guerra ao HTTP

Cada vez mais vemos ataques a bases de dados de sites e serviços e não são raras as vezes em que os mesmos estavam armazenados ou são coletados de forma bastante insegura. A utilização de HTTP para a coleta de dados sensíveis como senhas e números de cartões de crédito é uma velha prática das mais vulneráveis, e por isso mesmo há um esforço para forçar os desenvolvedores a migrarem para o HTTPS, criptografado.

Só que como nem todo mundo dá ouvidos à razão a Mozilla e o Google decidiram que farão isso da pior maneira possível: avisando ao usuário quando um site é inseguro.

O Google já vinha alertando há tempos que introduziria meios no Chrome de modo a alertar o usuário quando está acessando um formulário vulnerável. Ela e outras empresas estão em uma campanha justa mas um pouco tardia para promover o protocolo HTTPS, que permite a troca de informações com o servidor de forma totalmente protegida. Hoje é comum vermos diversos sites que fazem login ou que realizam vendas online através do HTTP ou que entregam um formulário protegido, mas a comunicação não o é. Isso é um convite a ataques Man-in-the-Middle (MitM), onde um hacker pode se posicionar entre o usuário e o site e capturar as informações que desejar.

Só que o Google não mais levará isso em banho-maria; a partir da versão 56 do Chrome, que deverá ser lançada na próxima semana o navegador avisará explicitamente quando o usuário estiver entrando com seus dados sensíveis em um site com conexão insegura. Além do aviso no campo de preenchimento ele emitirá um aviso na barra de endereços de modo a ser impossível de ser notado. Dessa forma, só darão sequência no login ou nas compras quem tiver desprendimento social o suficiente.

A meta é expor todos os sites que ainda não migraram para HTTPS e força-los a se emendarem na marra, sob pena de perda de visitas e consequentemente menor rendimento com vendas e/ou ads. E não para por aí: com o tempo o Chrome passará a exibir o aviso de “site inseguro” para TODOS os domínios que mantiverem conexões HTTP, independente destes coletarem dados ou não. quem der preferência à criptografia passará incólume.

Já a Mozilla saiu na frente: o Firefox 51, lançado ontem já avisa aos usuários quando ele estiver entrando em um site com coleta de informações sensíveis desprotegida. A empresa não esclareceu se com o tempo fará o mesmo com o Google de modo a banir o HTTP de vez, mas a ideia é de fato forçar todos os desenvolvedores a migrarem de vez para o HTTPS, de modo a manter os dados de seus usuários e os de seus serviços protegidos e longe dos olhos de bisbilhoteiros. Todos ganham.

Fonte: Ars Technica.

Relacionados: , , , , , , , , , , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis