Google e Mozilla declaram guerra ao HTTP

Cada vez mais vemos ataques a bases de dados de sites e serviços e não são raras as vezes em que os mesmos estavam armazenados ou são coletados de forma bastante insegura. A utilização de HTTP para a coleta de dados sensíveis como senhas e números de cartões de crédito é uma velha prática das mais vulneráveis, e por isso mesmo há um esforço para forçar os desenvolvedores a migrarem para o HTTPS, criptografado.

Só que como nem todo mundo dá ouvidos à razão a Mozilla e o Google decidiram que farão isso da pior maneira possível: avisando ao usuário quando um site é inseguro.

O Google já vinha alertando há tempos que introduziria meios no Chrome de modo a alertar o usuário quando está acessando um formulário vulnerável. Ela e outras empresas estão em uma campanha justa mas um pouco tardia para promover o protocolo HTTPS, que permite a troca de informações com o servidor de forma totalmente protegida. Hoje é comum vermos diversos sites que fazem login ou que realizam vendas online através do HTTP ou que entregam um formulário protegido, mas a comunicação não o é. Isso é um convite a ataques Man-in-the-Middle (MitM), onde um hacker pode se posicionar entre o usuário e o site e capturar as informações que desejar.

Só que o Google não mais levará isso em banho-maria; a partir da versão 56 do Chrome, que deverá ser lançada na próxima semana o navegador avisará explicitamente quando o usuário estiver entrando com seus dados sensíveis em um site com conexão insegura. Além do aviso no campo de preenchimento ele emitirá um aviso na barra de endereços de modo a ser impossível de ser notado. Dessa forma, só darão sequência no login ou nas compras quem tiver desprendimento social o suficiente.

A meta é expor todos os sites que ainda não migraram para HTTPS e força-los a se emendarem na marra, sob pena de perda de visitas e consequentemente menor rendimento com vendas e/ou ads. E não para por aí: com o tempo o Chrome passará a exibir o aviso de “site inseguro” para TODOS os domínios que mantiverem conexões HTTP, independente destes coletarem dados ou não. quem der preferência à criptografia passará incólume.

Já a Mozilla saiu na frente: o Firefox 51, lançado ontem já avisa aos usuários quando ele estiver entrando em um site com coleta de informações sensíveis desprotegida. A empresa não esclareceu se com o tempo fará o mesmo com o Google de modo a banir o HTTP de vez, mas a ideia é de fato forçar todos os desenvolvedores a migrarem de vez para o HTTPS, de modo a manter os dados de seus usuários e os de seus serviços protegidos e longe dos olhos de bisbilhoteiros. Todos ganham.

Fonte: Ars Technica.

Relacionados: , , , , , , , , , , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar
  • Antes tarde…

  • Ghostery resolve algo?

    • ochateador

      Só impede as redes sociais de coletar seus dados 😛

  • Vamos trabalhar então equipe meiobit 🙂

    • Abraão Caldas

      Um simples cloudflare já resolvia o problema.

    • Lucas Ambrosio

      O mais legal ainda é que fazem uma piadinha: “Só que como nem todo mundo dá ouvidos à razão…”

    • DiMais

      meiobit é excelente no conteúdo, mas dá muito vacilo na forma.. os ~testes~ de design que aparecem na página de vez em quando são de gosto pra lá de duvidosos, da mesma forma que bugs aparecem e levam tempos pra serem solucionados (a imperdoável página 2 que voltava sempre para a 1 e levaram dias para resolver).

      • c1c3ru

        Eles são parte do domínio do Diário do nordeste,este mesmo veículo de comunicação é da família Queiroz que mantêm toda sua infra estrutura de desenvolvimento e segurança centralizado na holding,assim como todas as outras empresas o DN/MB deve abrir chamados lá e aguardar na fila,rs…acho que é por este motivo.

  • Mateus Azevedo

    Ter um site com suporte a HTTPS uns tempos atrás custava dinheiro, já que era necessário adquirir um certificado que era caro e válido por no máximo 3 anos. Por isso muitos nunca deram suporte pra isso.
    Atualmente existe um serviço chamado Let’s Encrypt, que é uma certificadora oficial e gratuita, reconhecida por todos os navegadores. Segundo a página deles, a meta é disponibilizar HTTPS para qualquer site/sistema de forma simples e gratuita. Fica a dica pra quem mantém algo na web.

    • Eu uso e recomendo também.
      E quem hospeda na DreamHost consegue colocar o Let’s Encrypt facilmente… Literalmente, é só “ativar um checkbox”.

      • Alvaro Carneiro

        Quem tem hospedagem em servidor CPANEL também está beneficiado, porque CPANEL já oferece certificados COMODO gratuitamente para todos os dominios hospedados no servidor. Gradualmente as empresas de hospedagem estão ativando este recurso.

        • Alberto Prado

          Não tinha dado um problema com os certificados da Comodo uns tempos atrás? Acho que hackers roubaram ou coisa assim.

        • Unfear

          Me conte mais sobre isso jovem kkk.

    • Gustave Dupré

      Bacana. Vou dar uma pesquisada sobre.

    • SacoCheio

      Valeu pela dica!

    • É bem interessante, mas não pude usar ainda porque teria que abrir mão do Cloudflare, que não suporta HTTPS na versão gratuita.

      • Thiago dos Santos Nunes

        Cloudflare faz isso na versão gratuita por ele mesmo, não precisa instalar certificado no seu site. É mais simples do que usar Let´s Encrypt.

        • Pra mim não funciona, apesar de estar configurado.

        • Não recomendo usar SSL apenas no Cloudflare o certo e usar também no site, se você usar apenas no Cloudflare a conexão do cloudflare com seu site não será segura, você pode colocar um certificado auto assinado no site se for o caso e mandar o cloudflare ignorar os erros do certificados

          • O contato entre o CloudFlare e o servidor precisa ser ssl por qual motivo? O usuário não tem acesso a ele (ou não deveria).

            SSL se coloca na ponta onde o usuário acessa. Não?

          • Porque o site está no datacenter A e o cloudflare no datacenter B, a comunicação entre ambos datacenter não será protegida, e ambos os datacenter podem estar a milhares de quilômetros de distancias passando por vários pontos sem proteção

            Se não tiver SSL entre o Cloudflare e o servidor a informação vai perder a proteção quando entrar no cloudflare e for ir para o servidor

    • Na verdade o SSL custa praticamente nada o que complica um pouco ainda e o IP único, o certo e a hospedagem fornecer um Wirdcard SSL que todos os clientes possam usar com o mesmo IP

      • Felipe Braz

        Faz um bom tempo que não precisa de IP unico/dedicado, ja fazem alguns anos que o openssl implementou SNI (Server Name Indication) pra suportar vhost em cima de SSL.
        Do lado do client, todos ss browser modernos também suportam, só fica de fora coisas muito velhas como IE6, browser nativo do android 2.x ou inferior e browser as versões velhonas do windos phone (de antes da compra da nokia e tal)

        • Android 2.x ainda e muito usado no Brasil, dependendo do seu ramo não e correto ignorar-lo

          • Felipe Braz

            Kra, sinceramente eu tenho minhas reservas quanto a essa informação, tem alguma fonte que embase isto?

    • Valewzão pela dica.

  • As AC e as AR agradecem! $$$$

    • Thiago dos Santos Nunes

      Não necessariamente, startssl é 0800 por um ano, let´s encrypt é grátis forever, cloudflare já insere o certificado deles no seu site, etc. Temos muitas excelentes opções grátis hoje.

  • ochateador

    De que adianta usar https se o resto do sistema tem brechas até demais?

    • Thiago dos Santos Nunes

      MUITA COISA. HTTPS ajuda não apenas em MitM. E além do que é uma coisa a menos.

  • kenji

    Excelente, principalmente para a imensa maioria de usuários com mentalidade plug’n’play.

    P.S: Acho que quis dizer que o aviso na barra de endereços será “impossível de ser ignorado”.

    • O aviso não mostra somente na barra de endereço, acabei de ver um aviso no formulário quando cliquei no campo para digitar no chrome

      • kenji

        [sigh]
        “(…) Além do aviso no campo de preenchimento ele emitirá um aviso na barra de endereços de modo a ser impossível de ser notado. (…)”

  • A iniciativa é boa, mas de boas iniciativas o inferno está cheio.

    Adicione um certificado root na máquina do usuário e faça Man-in-the-Middle com HTTPS, sem que o navegador dê qualquer alerta.

  • Alem do SSL o DNSSEC também tinha que ser obrigatório, a maioria dos sites (incluindo esse) ignora a maioria das recomendações de seguranças, ah e apenas um blog, mesmo assim devia ter mais segurança

  • um aviso na barra de endereços de modo a SER IMPOSSIVEL de ser notado.
    Olha aí produção!

  • 640k is enough
  • Unfear

    É fiquei sabendo, fim de semana cancelada para ficar instalando certificados, problema é quando o cliente não quer pagar, não consegui configurar nenhum certificado free, nem a mamata do CloudFlare, o universo não está colaborando.

  • Alexandre

    Em Campo Grande-MS, o maravilhoso site da prefeitura para emissão de NFs de serviços não é criptografado. Tenta reclamar…
    Depois reclamam quando falo do serviço público…

  • Fui uma vez tentar usar o HTTPS no blogger (sim o blogger tem essa opção), porém começou a dar problema com o Disqus.

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis