Novos avisos de segurança em navegadores web
Por forma a tornar a experiência de navegação dos utilizadores cada vez mais segura, os navegadores como o Google Chrome ou Firefox começaram a identificar os sites inseguros, ou seja, aqueles que não possuem um Certificado Digital SSL.
Desde Janeiro que os dois principais navegadores de internet, Google Chrome e Mozilla Firefox (clique nos links para ver a ajuda de cada um dos navegadores), assinalam explicitamente ligações “não seguras” caso haja pedido de password a partir de ligações HTTP não encriptadas, mesmo que a password seja depois enviada para um site seguro (HTTPS). Este aviso faz todo o sentido, uma vez que um invasor poderá modificar o formulário HTTP não seguro e direcionar as credenciais do utilizador para outro local.
A mensagem “Inseguro” fica assim visível na barra de endereço, ao lado do URL, indicando ao visitante que se trata de um site sem comunicações encriptadas em que a troca de informações é vulnerável e está sujeita a fraudes.
Porque estão os navegadores a fazer isto?
Esta forma de aviso foi projetada para ajudar os utilizadores a reconhecer o risco de ataques “man-in-the-middle” em tráfego não encriptado. Se um invasor puder alterar o conteúdo da página quando esta é servida por meio de uma conexão HTTP não encriptada, consegue de forma muito fácil roubar informações confidenciais do utilizador, como por exemplo, alterando o URL de envio do formulário, ou injetando JavaScript que silenciosamente transmite uma cópia das credenciais para um servidor sob o seu controle.
Tais ataques são plausíveis, especialmente na computação móvel. O atacante não precisa de grande trabalho para obter o tráfego de rede de uma vítima, basta simplesmente aceder a uma rede Wi-Fi de um café ou centro comercial e usar seu telefone ou laptop. Isto permitir-lhe-á ver e alterar o conteúdo de qualquer formulário HTTP sem que seja detetado.
O que necessita fazer se o seu site está nesta situação?
O Chrome e o Firefox apenas exibirão os avisos quando encontrarem campos de senha em ligações servidas por HTTP não encriptadas, portanto a correção é bastante fácil: garanta que tem um certificado SSL instalado no seu domínio e que essas páginas (e todos os seus elementos) sejam veiculadas por HTTPS.
Os Certificados são geralmente usados em lojas online, mas podem também ser usados em qualquer site que troque informação sensível, como por exemplo a autenticação de utilizadores com login e password, formulários de contacto, chat online, etc. Tem a vantagem adicional de aumentar o ranking do site nos motores de busca.
Por que precisa de SSL para classificar melhor o seu site nas pesquisas?
Desde 2014 que o HTTPS se vem tornando um fator cada vez mais relevante para o ranking de classificação de pesquisa nos motores de busca. Desde essa altura que a obtenção e correta implementação de um certificado SSL são um imperativo para o destaque do site.
Para as empresas que estão cientes da importância de proteger os dados dos clientes, isto não representa um problema, é até uma oportunidade e um passo lógico no processo de melhoria da experiência do utilizador. No entanto, a questão dos custos adicionais parece ser uma preocupação justificada para algumas empresas, que esquecem que compensar mais tarde a segurança pode vir a ser mais caro do que obter um certificado SSL se ocorrer uma violação de dados importante. Portanto, o SSL representa uma estratégia de proteção de dados a longo prazo e, como tal, deve ser um foco para webmasters nos próximos tempos.