Fonte: G1 – Altieres Rohr
A equipe de desenvolvimento do navegador Google Chrome anunciou no dia 17 de maio que pretende abandonar o “cadeado” de segurança e a marca de “seguro” (HTTPS) na web. A medida deverá ser gradual, complementando outra mudança programada que deve fazer o navegador exibir um aviso de “site não seguro” para todas as páginas que não usarem HTTPS.
Os avisos de “site não seguro” devem começar em julho e devem ser acrescidos de um ícone de alerta vermelho em outubro. No meio do caminho dessas mudanças, em setembro, o Chrome pretende abandonar a palavra “seguro” e a cor verde na barra de endereços. O cadeado ainda ficará por mais tempo e não há data para sua remoção.
As páginas HTTPS são aquelas que adotam criptografia para embaralhar os dados trafegados. Páginas HTTPS buscam garantir que apenas o internauta visitante e o site de destino vejam o conteúdo da comunicação. É um recurso indispensável para páginas que exigem senhas e dados financeiros, como cartões de crédito.
No acesso a sites comuns (HTTP, sem o “S”), qualquer sistema intermediário pode interceptar (ou “grampear”) o tráfego. Por isso, sites HTTP são impróprios para serem navegados em redes Wi-Fi públicas, pois qualquer outra pessoa conectada à rede pode ver todo o tráfego, tanto as páginas visitadas como as senhas. Se o site for HTTPS, o tráfego capturado estará embaralhado e ilegível.
Com a mudança, internautas poderão ter a expectativa de todos os sites são “seguros” — exceto quando o navegador afirmar o contrário.
“Os usuários devem ter a expectativa de que a web é segura por padrão, e eles receberão um aviso quando houver problemas. Como nós em breve marcaremos todas as páginas HTTP como ‘não seguras’, vamos avançar com a remoção das indicações positivas de segurança do Chrome para que o estado normal, sem marcação, seja o seguro”, escreveu Emily Schechter, gerente de segurança do produto do Chrome, no blog oficial do navegador.
As modificações no Chrome são justificadas com o aumento na adoção do HTTPS por todos os sites da internet, inclusive sites que tradicionalmente não o utilizavam, como blogs pessoais e sites de notícias. O Google também vem fornecendo incentivos, inclusive com posições melhores no ranking da busca, para sites que adotam a segurança.
Site seguro é ‘confiável’?
Um site possuir HTTPS não é indicativo de que ele é confiável. Por exemplo, um site fraudulento ou clonado ainda pode trazer o HTTPS e o “cadeado de segurança”, desde que use um endereço diferente do site verdadeiro.
A presença do “cadeado” pode confundir algumas pessoas que creem que o site, por ser marcado como “seguro”, também é idôneo. Mas o certificado digital necessário para o HTTPS pode ser obtido gratuitamente em minutos e não possui essa função. Na verdade, o cadeado e o HTTPS dizem respeito à segurança da conexão com o site, e não à credibilidade da página. Ao remover a indicação de página segura e marcar somente as páginas sem criptografia como “não seguras”, o Google diminui essa confusão, já que sites fraudulentos não poderão mais usar o cadeado para ganhar credibilidade de forma indevida.
Por outro lado, a falta do certificado pode acabar sendo notada por alguns internautas. A observância do cadeado é uma das principais dicas de segurança fornecidas por especialistas e instituições. Com a mudança, essa dica torna-se obsoleta, ao menos em parte: em vez de observar o cadeado, é preciso observar se a página não está marcada como “não segura”.
Embora acessos em rede Wi-Fi a sites HTTP (sem criptografia) sejam preocupantes, ataques mais sofisticados têm conseguido realizar redirecionamento e interceptação na própria internet. Em abril, um ataque desse tipo foi realizado contra o site de criptomoeda MyEtherWallet. Os hackers roubaram ao menos R$ 40 mil (em valores de criptomoeda convertidos) das vítimas. São casos como esse que levam o Google a priorizar o HTTPS como uma necessidade para o acesso a sites na web, independentemente do conteúdo.