Como os navegadores informam os usuários sobre a segurança dos sites?

Computerworld / EUA
25/05/2018 - 15h10
Analisamos os métodos adotados pelo Chrome, Firefox, Safari e Edge para avisar os internautas sobre páginas HTTP e HTTPS.

O Google revelou nesta semana o seu cronograma para mudar a forma como avisa aos usuários do Chrome sobre a segurança de um site. A partir de julho, o navegador líder de mercado vai destacar as URLs inseguras - e não mais as páginas seguras. O objetivo da gigante de buscas é pressionar os donos de sites a adotarem certificados digitais e criptografarem o tráfego para todas as suas páginas. 

A decisão de marcar os sites HTTP como inseguros em vez de marcar os sites HTTPS como seguros não saiu do nada. O Google vem prometendo uma mudança neste sentido desde 2014. E essa nova abordagem provavelmente ganhará espaço no mercado por conta do domínio do Chrome, que responde por mais de 60% dos usuários atualmente.

A campanha da empresa de Mountain View foi elogiada por muitos profissionais de segurança. “Não precisarei mais pedir para a minha mãe procurar pelo cadeado (na página). Ela pode apenas usar o computador dela”, afirmou o cientista principal de pesquisas da companhia de segurança Sophos, Chester Wisniewski, sobre a novidade.

Mas o que os rivais do Chrome estão fazendo neste sentido? Seguindo a tendência e mantendo-se fieis à tradição? Neste especial, investigamos as ações dos principais browsers quanto a alertar os usuários sobre a segurança dos sites que visitam. 

Safari

O navegador da Apple atualmente usa o modelo tradicional de sinalização: coloca um pequeno ícone de cadeado na barra de endereço quando uma página é protegida por um certificado digital e o tráfego entre o Mac e o servidor do site é criptografado. Sem cadeado? Isso significa que a página não criptografa o tráfego.

Versões mais recentes do browser, no entanto, adotam medidas adicionais em determinadas circunstâncias. Se o usuário estiver em um site inseguro – sem um certificado e sem criptografia – e tentar realizar tarefas como digitar informações em campos de login ou de dados financeiros, então o Safari mostrará um texto de aviso em vermelho na barra de endereço que começa como Não Seguro (Not Secure) e então muda para Site Não Seguro (Website Not Secure). 

Esses alertas fizeram sua estreia na versão do Safari que foi liberada juntamente com o update macOS 10.13.4, liberado originalmente em 29 de março. (os usuários de Macs com o OS X 10.11 ou macOS 10.12 receberam a mesma funcionalidade com o Safari 11.1 na mesma data.)

O aviso Site Não Seguro também deverá aparecer se o certificado digital estiver desatualizado ou não for legítimo.

Firefox

O navegador da Mozilla está seguindo por um caminho parecido do Chrome: eventualmente irá marcar os sites sem criptografia. Mas o Firefox ainda não chegou a esse ponto. 

Atualmente, o browser mostra um cadeado com uma linha vermelha quando o usuário acessa uma página HTTP que possua uma combinação de login com nome de usuário e senha. Passar o cursor do mouse em um desses campos – ao clicar nele, por exemplo – adiciona um alerta textual que afirma Essa Conexão Não é Segura. Os logins digitados aqui poderão ser comprometidos. (This connection is not secure. Logins entered here could be compromised). 

Tirando isso, o modelo tradicional ainda dá as cartas no Firefox: os sites HTTPS são marcados com um cadeado verde na barra de endereços, enquanto que as páginas HTTP padrão não trazem nenhuma marcação.

Mas a Mozilla se comprometeu o formato desses avisos. “O Firefox eventualmente exibirá o ícone de cadeado para todas as páginas que não usam HTTPS para deixar claro que elas não são seguras”, afirmou a empresa em um post feito no seu blog há mais de um ano. “À medida que os nossos planos evoluem, vamos continuar a publicar atualizações, mas a nossa esperança é que todos os desenvolvedores sejam encorajados por essas mudanças para tomar as medidas necessárias para proteger os usuários web por meio do HTTPS.” 

O recurso para marcar os sites HTTP está escondido dentro do Firefox, mas não está habilitado na versão atual do navegador, o Firefox 60. No entanto, é possível acioná-lo manualmente. 

Para isso, digite “about:config” na barra de endereços. Depois faça uma busca por “security.insecure_connection_icon.enabled”. Clique duas nesse item; o falso em Valor (Value) vai mudar para verdadeiro (true). É possível testar a mudança ao acessar uma página HTTP na barra de endereços como bbc.com. 

Chrome

O Chrome ainda usa o cadeado tradicional para marcar os sites HTTPS e não chama a atenção para páginas com tráfego sem criptografia (HTTP), pelo menos à primeira vista. (Ao clicar no ícone de informações na barra de endereço – no canto superior esquerdo da tela – o browser traz um menu drop-down que chama a atenção para conexões inseguras existentes.)

E desde 2017 o Chrome marca os sites que transmitem senhas ou dados financeiros via conexões HTTP como Não Seguros (Not Secure) por meio de mensagens na barra de endereços.

Mas o Google programou para os próximos meses os passos que vão deixar o Chrome mais perto do objetivo de mudar os sinais visuais sobre a criptografia do tráfego. 

As mudanças começam em julho com o Chrome 68 – com lançamento previsto na semana de 22 a 28 de julho – que irá marcar todos os sites HTTP com mensagens de texto Não Seguro (Not Secure) antes da URL na barra de endereços. 

Os usuários já podem habilitar esse comportamento no Chrome 66 com os passos abaixo. Digite “chrome://flags” na barra de endereços. Encontre o item “Mark non-secure origins as non-secure”. Selecione Enable e reinicie o navegador. 

Além disso, as versões 69 e 70 do Chrome, com lançamentos em setembro e outubro, respectivamente, trarão os passos seguintes da alteração, como o fim do cadeado verde nas páginas HTTPS e adoção de um triângulo vermelho na barra de endereços de sites HTTP (juntamente com o texto Não Seguro).

Edge

Assim como o Safari, o navegador principal da Microsoft ainda se mantém com o modelo tradicional, em que os sites HTTPS são marcados e as páginas HTTP não trazem nenhum aviso.

O Edge exibe um ícone de cadeado na barra de endereços quando a página é protegida por um certificado digital, e o tráfego entre o PC Windows 10 e o servidor é criptografado. Caso não tenha um cadeado na barra, então o site não criptografa o tráfego, usando HTTP.

E, ao contrário do Safari, Firefox e Chrome, o Edge não mostra avisos especiais quando um usuário visita uma página HTTP com campos de entrada de informações, como aqueles voltados para senhas ou dados financeiros.

(Vale notar que a Computerworld dos EUA usou o site badssl.com para testar as funcionalidades de todos os quatro navegadores citados acima.)