Chrome irá ocultar https da barra de endereços

O alerta de “Seguro” na barra de navegação para indicar sites com o protocolo HTTPS será abandonado ao longo do tempo. Agora, parece que a Google também vai retirar a exibição desse protocolo da mesma barra, segundo o MSPowerUser.

A mudança aparece na versão 70.0.3538.4 do Google Chrome. Como o site nota, essa mudança serve apenas para domínios HTTP, e não endereços FTP. Ainda não é uma certeza de que isso chegará ao usuário final, contudo, se vier, espere algo para outubro.

Fonte: Tecmundo

HTTPS (cadeado verde) não é garantia de segurança

Sejamos honestos, quando a maioria das pessoas veem um cadeado verde com a palavra seguro à esquerda de uma URL, pensam que realmente estão em um ambiente protegido. O mesmo vale para “esse site usa uma conexão segura” ou URLs que começam com as letras “https”. Cada vez mais sites passam para HTTPSL. A maioria não tem escolha. Mas afinal, qual o problema? Quanto mais medidas de segurança melhor, não é mesmo?

Estamos prestes a revelar um pequeno segredo: aqueles símbolos de “segurança” não garantem que um endereço está seguro. Um site de phishing, por exemplo, pode de forma legítima exibir esse cadeado verde reconfortante ao lado do endereço https. Então o que está acontecendo? Vamos descobrir.

Conexão segura não significa um site idem

O cadeado verde significa que o site recebeu um certificado e que um par de senhas criptografadas foram geradas. Esses sites criptografam a informação transmitida entre você e a página. Nesse caso, a URL começa com HTTPS, com o último “S” significando “Seguro”.

Claro, dados transmitidos criptografados são ótimas premissas. Significam que a informação trocada entre seu navegador e o site não está ao alcance de terceiros – provedores, administradores de rede, cibercriminosos, entre outros. Isso permite a inserção de senhas e detalhes de cartão de crédito sem olhos curiosos.

O problema é que cadeados verdes e os certificados não dizem nada sobre o site em si. Uma página de phishing pode simplesmente obter esse certificado e criptografar todo o fluxo com você.

De forma simples, o cadeado simplesmente garante que ninguém mais pode espionar os dados inseridos. No entanto, sua senha ainda pode ser roubada pelo site, caso seja falso.

Phishers usam e abusam disso: de acordo com a Phishlabs, um quarto dos ataques desse tipo são executados por sites HTTPS (há dois anos, eram menos de 1%). Além disso, mais de 80% dos usuários acreditam que a mera presença do símbolo significa que o site é seguro, o que os leva a não pensar duas vezes antes de inserir seus dados.

Mas e se o cadeado verde não estiver onde deveria?

Se a barra de endereço não tiver cadeado, significa que o site não usa criptografia, ou seja, troca informação com seu navegador por meio de HTTP comum. O Google Chrome começou a rotular tais páginas como inseguras. Embora possam ser legítimas, não criptografam tráfego entre você e o servidor. A maioria dos proprietários não querem que o Google classifique seus sites como inseguros, de forma que a migração para HTTPS é questão de tempo. De qualquer forma, digitar dados sensíveis em qualquer ambiente sem o “s”é má ideia – qualquer pessoa mal-intencionada pode estar de olho.

A segunda variante se trata de uma fechadura cruzada com linhas vermelhas acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas está vencido. Ou seja, a conexão entre você e o servidor é criptografada, mas não há garantia que o domínio de fato pertence a empresa indicada no site. Esse é o caso mais suspeito -normalmente tais certificados são usados apenas para testes.

De maneira alternativa, se o certificado expirou e o proprietário não foi atrás de renová-lo, navegadores trataram a página como insegura, o que visualmente, reflete em um aviso com uma fechadura vermelha. Nesse caso, considere esse alerta como indicação para evitá-los -a preocupação deve ser duplicada se pensar em digitar dados pessoais.

Como não cair em uma armadilha?

Para resumir, a presença do certificado e do cadeado verde significam apenas que a transmissão entre você e o site está criptografada, e o certificado foi emitido por uma autoridade confiável. Entretanto, isso não previne que sites HTTPS sejam maliciosos, fato que pode ser facilmente manipulado por cibercriminosos.

Portanto, fique ligado, não importa se a primeira impressão sobre o site parece segura.

  • Nunca digite informações de login, senhas, credenciais bancárias, ou outra informação pessoal em sites sobre os quais você não tem certeza acerca da autenticidade. Para isso, verifique o nome do domínio – e com bastante cautela. Os nomes de sites falsos podem diferir do original, até mesmo por apenas simples letra. Certifique-se que links são confiáveis antes de clicar.
  • Sempre leve em conta o que um site em particular oferece, caso pareça suspeito e se você realmente precisa se registrar.
  • Faça uma verificação do link em um site como o Virus Total.
Fonte: Kaspersky

45% dos sites ainda não contam com uma URL segura

Uma pesquisa da SEMRush, coletando informações de mais de 100 mil sites, indica que apenas 45% dos domínios pesquisados já migraram os endereços para HTTPS. Atualmente, não possuir o protocolo significa que um certo “descomprometimento” com a segurança do domínio.

De acordo com a pesquisa, entre os que já adotaram os novos endereços, também foram encontrados alguns erros na implantação. Entre os mais frequentes, estão desde protocolos de segurança desatualizados até erros de arquitetura dos sites, passando por links que direcionam para páginas não seguras.

Para quem tem uma loja online, isso pode significar o fim do site a curto prazo

“Não importa se um site traz URL com protocolo de segurança HTTPS se as páginas contidas dentro dele ainda não estão linkando para sites não seguros. Isso vai prejudicar o SEO e a própria credibilidade do site da mesma forma”, comentou Maria Chizhikova Marques, coordenadora de mercado brasileiro na SEMRush.

“Desde o início do ano todas as páginas que solicitam dados confidenciais, como número de cartão de crédito e documento, e tem apenas HTTP na URL estão sendo marcadas como inseguras. Para quem tem uma loja online, isso pode significar o fim do site a curto prazo”, ressalta Marques.

Fonte: Tecmundo

Chrome e Firefox já alertam usuários sobre envio de dados sensíveis sem HTTPS

alert_connectionSeguindo um movimento geral da indústria de navegadores web, o Google Chrome e o Mozilla Firefox começaram nesta semana a avisar usuários com um novo tipo de alerta no momento em que eles tentam inserir dados sensíveis em sites sem criptografia. Ou seja, sempre que o internauta tentar fazer login ou inserir dados de cartão de crédito em um site que não seja HTTPS, ele receberá um popup avisando de que essa ação não é segura naquele site.

Até então, ambos os browsers apenas mostravam um ícone de alerta ao lado da URL do site acessado no momento, mas agora devem alertar para o perigo de forma mais incisiva. Essa novidade já estava presente nas versões de testes do Chrome e do Firefox, mas agora chegou às versões estáveis, aquelas que a grande maioria do público usa.

Diferentes

No caso do Navegador da Raposa, sempre que a pessoa tentar fazer login em algum site HTTP simples, sem criptografia, verá um popup se expandido a partir da barra de endereços. No caso do Chrome, o aviso será emitido nos momentos de login e também quando o usuário for inserir dados sensíveis, como informações de cartão de crédito, nessas páginas.

O protocolo HTTP transmite os dados das páginas web de forma plana, sem criptografia

Isso está acontecendo porque o protocolo HTTP transmite os dados das páginas web de forma plana, sem criptografia. Assim, se algum criminoso estiver de olho na sua navegação e interceptar o que você acessa na web, ele não terá trabalho algum para ver todos os dados que você inseriu na página. Isso inclui emails, senhas, nomes, endereços e números de cartões de crédito.

O protocolo HTTPS, por sua vez, é seguro, como o “S” no final indica, e já é usado pelos maiores serviços e lojas online.

Para saber se o site que você está navegando é ou não HTTPS, basta olhar a barra de endereços e verificar se essa sigla aparece na frente do endereço e se o Chrome mostra essa marcação de “Seguro”. Contudo, pode haver sites em HTTPS que ficam sem o marcador, pois não cumprem todas as exigências do navegador, mesmo sendo mais seguros que os HTTP comuns.

Fonte: Tecmundo

As diferenças entre HTTP e HTTPS

httpsVocê já deve ter se deparado com sites HTTPS, a exemplo, este que agora lê. Pois bem, qual a diferença entre navegar em um site HTTP e um site HTTPS? É isto que agora vamos abordar neste post.

O que é HTTP?

Hypertext Transfer Protocol, ou simplesmente HTTP, é um protocolo de comunicação, utilizado pela internet para transferir dados entre o computador do usuário e servidores de hipermedia. Ou seja, é através deste protocolo, que cada byte de informação navega entre seu computador/smartphone e os servidores de internet. Normalmente o protocolo HTTP usa a porta 80 do seu dispositivo para transferir os dados.

O que é HTTPS?

Hypertext Transfer Protocol Secure, ou simplesmente HTTPS, é uma versão idêntica do protocolo HTTP sobre uma camada SSL. Essa camada adicional permite que os dados sejam transmitidos através de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente através de certificados digitais. A porta TCP usada por norma para o protocolo HTTPS é a 443.

Quando você acessa o site do seu banco, por exemplo, seu navegador identifica que está sendo usado o protocolo HTTPS, assim ele cria uma chave, negociada com o servidor do banco, todo e qualquer byte de informação que trafega entre seu dispositivo e esse servidor é criptografado através desta chave. Quando os dados chegarem no servidor da Instituição, ele identifica esta criptografia, com a chave ele descriptografa, identifica as informações, processa-as, criptografa novamente e devolve ao seu navegador.

O HTTP não envia estas informações criptografadas, portanto, qualquer monitorador de rede pode identificar os dados que transitam entre seu computador e o servidor web, o que não ocorre com o HTTPS.

HTTPS é tendência na internet

Infelizmente nem todos os sites, aliás, a grande maioria deles sequer pensa em usar este protocolo seguro. Mas o próprio Google sugere que os webmasters troquem seus sites para HTTPS, e alerta que vai começar a usar este fator como um sinal de ranking em suas buscas.

Lojas virtuais que não tiverem HTTPS como protocolo padrão não são aconselhadas para a realização de compras. Pelo menos quando você entrar no carrinho de compras, ela deve possuir HTTPS. Se não houver, sugerimos fortemente a não comprar nestas lojas.

Vale lemrar que o HTTPS não é perfeito. Mesmo que tenha uma conexão desse tipo ativa, fique atento para tentativas de fraude. Há casos de phishing que levam o usuário para sites com HTTPS mas, na verdade, é uma página errada – eles criam uma conexão segura entre você e um servidor falso. Em outras situações, alguns sites imitam o símbolo de cadeado para atrair desavisados, ou mesmo mudam o ícone do site para que você acredite que está seguro.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Oficina da Net

Google aumenta relevância de páginas https

google_httpsPouco mais de um ano atrás o Google botou em prática um esquema que privilegia páginas com protocolos de segurança em seu buscador. Agora, a empresa anunciou ter dado um passo além.

O Google avisou que páginas que contenham equivalentes em HTTPS terão preferência sobre suas versões HTTP, mesmo que não haja links entre elas.

Por ora, não haverá qualquer mudança para sites que rodem unicamente em HTTP, eles continuam sendo listados com a mesma relevância. Só será afetado o site que contenha uma mesma versão com mais segurança, porque nos resultados será essa versão que terá destaque.

Como explica o The Next Web, uma das técnicas usadas pelos donos de sites para melhorar o rankeamento no Google tem sido justamente a posse de vários links relevantes, mas com a mudança esse esquema perde um pouco de força.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Como identificar se uma página HTTPS é phishing

phishing_preventO número de sites de phishing está aumentando e a expectativa é que dobre nos últimos meses do ano, devido à temporada de feriados, segundo análise realizada pela Trend Micro. De acordo com a empresa especializada em segurança, o Brasil é o segundo maior alvo de phishing com Https, logo atrás dos Estados Unidos.

Para detectar se um site é phishing, os usuários precisam verificar a validade do certificado e procurar pelo nome para o qual ele é emitido, normalmente o mesmo nome do domínio, ensina a Trend Micro. No ataque de phishing em dispositivos móveis, buscar o “Https” e o ícone do cadeado na barra de endereços antes de fornecer qualquer tipo de credenciais, não é o suficiente.

Isso porque, alguns dos navegadores em dispositivos móveis não necessariamente mostram o cadeado que representa o SSL facilmente. Por exemplo, o navegador do Windows para dispositivos móveis (Internet Explorer), mostra o ícone do cadeado, mas os usuários não podem clicar sobre ele para ver os detalhes do certificado, informa a empresa.

O cadeado do Https não é mais um sinal de que estão visitando um site seguro. Por essa razão, sempre verifique a validade do certificado, antes de prosseguir para a inserção de credenciais e informações de identificação pessoal. Além disso, também é recomendável que não sejam realizadas transações, a não ser em aplicativos autorizados e de fontes legítimas em dispositivos móveis.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: iforum