Nesta edição do InCuca News falamos sobre os problemas de segurança de ambientes digitais para sites sem HTTPS configurado corretamente. Assista!

A segurança de ambientes digitais é uma preocupação constante para quem trabalha ou utiliza a internet. O principal protocolo de segurança é o SSL.

Mas afinal, vc sabe o que é o protocolo de segurança e sabe se seu ambiente digital tem ele regulado?

No InCuca News de hoje vamos falar sobre segurança digital no Chrome navegador utilizado por 70% dos usuários de internet..

A novidade veio da Google essa semana que deve até fevereiro de 2020 aprimorar os recursos de segurança do Chrome para que todas as páginas exibidas pelo browser estejam dentro do protocolo de segurança HTTPS, uma versão aprimorada do padrão HTTP conhecido pela maioria dos internautas.

O impacto dessa decisão obriga vários ambientes digitais que ainda não apresentam o certificado de segurança SSL busquem seus desenvolvedores ou suporte para configurar o HTTPS nas páginas.

Nos últimos anos, a Internet fez um grande progresso na transição para o HTTPS: os usuários do Chrome hoje gastam mais de 90% do seu tempo de navegação em páginas e ambientes com o protocolo de segurança HTTP.

O objetivo agora é garantir que as configurações de HTTPS já realizadas até então sejam seguras e atualizadas. Isso por que as páginas HTTPS geralmente sofrem de um problema chamado conteúdo misto, algumas partes de conteúdo das páginas ou seções da página são carregados de maneira insegura por http: //.
Os navegadores bloqueiam muitos tipos de conteúdo misto por padrão, como scripts e iframes, mas ainda é permitido carregar imagens, áudio e vídeo, o que ameaça a privacidade e a segurança dos usuários.

Por exemplo, um invasor pode adulterar uma imagem mista de um gráfico de ações para enganar os investidores ou injetar um cookie de rastreamento em uma carga mista de recursos.

O carregamento de conteúdo misto também confunde a leitura de UX (usabilidade) de segurança do navegador, onde a página não é apresentada como segura nem como insegura, mas fica em um ponto intermediário.

Em uma série de upgrades iniciados no Chrome 79 ele passará gradualmente a bloquear todo o conteúdo misto por padrão. Para minimizar a quebra, agruparemos automaticamente os recursos mistos em https: //, para que os sites continuem funcionando apenas se seus conteúdos já estiverem disponíveis em https: //.

Os usuários poderão ativar uma configuração para desativar o bloqueio de conteúdo misto em sites específicos.

Qual o plano da Google para bloquear conteúdo HTTP?

Em vez de bloquear todo o conteúdo misto de uma só vez, lançaremos essa alteração em uma série de etapas.

No Chrome 79, que terá sua versão estável em dezembro de 2019, apresentaremos uma nova configuração para desbloquear conteúdo misto em sites específicos. Essa configuração se aplica a scripts mistos, iframes e outros tipos de conteúdo que o Chrome atualmente bloqueia por padrão.

Os usuários podem alternar essa configuração clicando no ícone de cadeado em qualquer página https: // e clicando em Configurações do site. Isso substituirá o ícone de escudo que aparece no lado direito da omnibox para desbloquear conteúdo misto nas versões anteriores do Chrome da área de trabalho.

No Chrome 80, os recursos mistos de áudio e vídeo serão atualizados automaticamente para https: //, e o Chrome os bloqueará por padrão se não conseguirem carregar sobre https: //.

O Chrome 80 será lançado em janeiro de 2020, nesta versão as imagens mistas ainda poderão carregar, mas farão com que o Chrome mostre um chip “Não Seguro” na omnibox.

Com esses alertas de segurança gráficos a Google acredita que motivará os sites a migrarem suas imagens para HTTPS.
Os desenvolvedores podem usar as diretivas de política de segurança de conteúdo para atualizar inseguros-solicitações ou bloquear todo o conteúdo misto para evitar esse aviso.
No Chrome 81, as imagens mistas serão classificadas automaticamente para https: // e o Chrome as bloqueará por padrão se não conseguirem carregar sobre https: //. O Chrome 81 será lançado nos canais de lançamento antecipado em fevereiro de 2020.

Mas calma, temos algumas dicas para os editores web

A vc editor web responsável por algum site na internet o ideal é migrar o conteúdo misto das páginas para https: // o quanto antes para evitar avisos e falhas. Faça o seguinte:

Primeira dica: Vejam na descrição desse vídeo o link para a Política de segurança de conteúdo e tbmo guia da auditoria de conteúdo misto da Lighthouse para descobrir e corrigir conteúdo misto no seu site.

Segunda dica: Consulte este guia para obter conselhos gerais sobre a migração de servidores para HTTPS.

Terceira dica: Verifique o CDN, host da web ou sistema de gerenciamento de conteúdo para ver se eles possuem ferramentas especiais para depurar conteúdo misto. Por exemplo, o Cloudflare oferece uma ferramenta para reescrever conteúdo misto em https: //, e para quem usa WordPress separamos um plugin para tratar conteúdo misto. Confira os links na descrição do vídeo.

Por fim, todos devem até fevereiro de 2020 configurar e rodar seus ambientes em HTTPS para não ser bloqueado pelo Chrome.

 

Material complementar

Saiba a importância do certificado SSL
https://incuca.net/saiba-a-importancia-do-certificado-ssl/

Anúncio sobre a mudança de HTTPS
https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html 

 

Dicas para editores web

Como evitar conteúdo misto
https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content 

Como usar o HTTPS nos servidores
https://developers.google.com/web/fundamentals/security/encrypt-in-transit/enable-https 

Alguns recursos não seguros podem ser atualizados para HTTPS (inglês)
https://developers.google.com/web/tools/lighthouse/audits/mixed-content 

[WordPress] Fixador de conteúdo inseguro SSL
https://en-gb.wordpress.org/plugins/ssl-insecure-content-fixer/ 

 

Enviar sugestões de assuntos e votar em tópicos para próxima semana

Acesse @incucaviva em https://www.instagram.com/incucaviva/