Jump to content

Recentemente a equipe de desenvolvimento do Chromium relatou em seu blog que está mudando a maneira como avalia a segurança de páginas HTTP e HTTPS. Trata-se dos avisos de site "Seguro" ou "Inseguro" que o navegador emite quando um usuário acessa um site, como na imagem a seguir:

menteb.png.611e4822f81ba159a2ceb9c59e76dac6.png

Várias vezes nos deparamos com o um cadeado verde como este da imagem acima, indicando que um site utiliza HTTPS e é "seguro". Ou com um aviso em vermelho, indicando que não é seguro já que o certificado SSL pode ser inválido, o que significa que o usuário pode ser vítima de um ataque do tipo man-in-the-middle.

Ainda há os sites que utilizam HTTP puro, caso em que o Chrome os rotula de "Não seguros", como no exemplo abaixo:

naoseguro.png.013c9c5586d6c73ad2c695e316dece3d.png

Outros navegadores possuem abordagens similares, o que pode gerar confusão usuários. ?

O relato diz que a partir da versão 69 do Google Chrome não haverá mais cadeado verde indicando segurança, tendo em vista que a utilização de HTTPS não é mais algo diferenciado, mas sim essencial, com a imagem abaixo ilustra:

Tratamento de HTTPS

Fonte: Chromium Blog

Os sites HTTP continuam marcados como "Não seguros" e para a versão 70, o plano é enfatizar o risco com um aviso em vermelho quando houver entrada de dados no site (via HTTP POST por exemplo), similar ao aviso atual de certificado inválido:

certinvalido.png.3d9cd10bd36f3daaa7d5366ba3191d20.png

Fonte: badssl.com

E você, acha que HTTPS é um requisito mínimo? Um diferencial? Nosso canal Papo Binário tem um vídeo que aborda esta velha discussão. Confere lá! ?

User Feedback

Recommended Comments

gerardo-junior

Members

poderia ter "encriptado" assim não daria a ideia que só porque é https está seguro.

Lucas Rodrigues

Supporter - Nibble
  • Supporter - Nibble

Acho que o maior problema é o "marketing" que fazem com o TLS/SSL. A única segurança proporcionada pelo HTTPS é transferência dos dados de maneira encriptada e autenticada, assumindo que os CA confiados pelo cliente são honestos.

Isso não é pouca coisa, mas é muito menos do que os usuários são levados a acreditar. É comum ver artigos sobre "como comprar na internet" (e afins) onde destacam a verificação do "cadeado verde", levando a crer que isto realmente irá lhe proteger de qualquer coisa. Hoje, vários sites de phishing usam HTTPS, isso não é nenhum problema do HTTPS, isso é um problema dos usuários que sempre foram mal instruídos e a confiarem "num cadeado verde". Acho que esse mito ao redor do SSL é o problema e acho benéfico que removam o "Seguro" da barra.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Add a comment...