HSTS: a tecnologia de segurança que deveria ser usada por todos os sites

4 min de leitura
Imagem de: HSTS: a tecnologia de segurança que deveria ser usada por todos os sites

A internet é vasta e pode não ser um lugar exatamente seguro a todo instante. E segurança aqui não inclui conteúdos impróprios que podem chegar aos olhos de uma criança, por exemplo, mas sim a garantia de que os dados que vão e vêm entre o seu computador e a rede não são interceptados por gente mal intencionada.

Nesse sentido, quem pensa em transformar a web em um local mais seguro para centenas de milhões de usuários acaba desenvolvendo recursos capazes de cuidar de alguns aspectos desse cenário. O uso do protocolo seguro HTTPS é, por exemplo, um dos mecanismos úteis para fortalecer a segurança da transferência de dados entre a internet e o navegador.

Porém, ele por si só não garante muita coisa, visto que hackers podem “enganar” o seu navegador e, com isso, interceptar uma conexão aberta na qual você está ligado — em um café, aeroporto, shopping etc. — para enganar seu browser. E é justamente aí que entra o HSTS, uma tecnologia capaz de contar ao navegador que uma conexão entre ele e uma página só deve ser feita de forma segura, ajudando a evitar ataques.

O bom e velho HTTPS

As transferências de dados ocorridas entre o seu computador e a internet são intermediadas pelo protocolo HTTP. Para garantir a segurança e a privacidade das informações, ele conta com uma versão segura, com a utilização do protocolo SSL/TLS, conhecida como HTTPS.

Você pode identificar se um site oferece essa conexão segura por meio do ícone de um cadeado que aparece na barra de endereço dos principais navegadores da atualidade. Sites com informações sensíveis, como bancos e emails, são os mais convencionais quando o assunto é oferecer esse tipo de recurso.

Atualmente, porém, redes sociais como Twitter e Facebook e até mesmo o buscador da Google também utilizam o protocolo HTTPS para garantir a segurança da transferência de dados entre seus usuários e seus servidores. Mas, apesar da tecnologia, o seu PC ainda pode ser alvo de ações indevidas.

Enganando o navegador

Quando você se conecta ao site do seu banco em uma rede aberta em um local público, nota que o navegador indica o ícone em forma de cadeado e fica tranquilo, pensando que está tudo seguro — mas isso pode não ser verdade. Nesse processo, alguém mal intencionado pode ter usado um laptop como ponto de acesso WiFi para interceptar suas informações.

Além disso, alguém mais desatento pode não perceber que o ícone em forma de cadeado, típico de conexões seguras, pode não passar de um favicon definido pelo atacante para uma página falsa. Assim, ele intercepta os dados e você, antes de acessar o site real do seu banco, é levado para uma página falsa e exatamente igual à original.

Assim, quando você digita seus dados, eles não são repassados ao servidor da instituição bancária, mas sim a alguém que pode usá-los para prejudicar você — e então começam os transtornos. O cenário pode parecer assustador e até meio bizarro, daqueles só vistos em filmes, mas isso pode sim ocorrer na vida real, inclusive com métodos automáticos para tornar mais prática a vida dos invasores.

HSTS: contando ao navegador que a conexão deve ser segura

Normalmente, o atacante utiliza uma conexão convencional, então seu navegador não identifica nada de errado — os browsers normalmente notificam o usuário quando identificam alguma ameaça de segurança, mas a ação nesse caso é interpretada como legal e você cai na armadilha sem perceber.

Se o site utilizasse o método HSTS, abreviação para HTTP Strict Transport Security, o servidor informaria ao navegador que a conexão entre ambos só pode ser feita de forma segura. Assim, no início do processo, o browser faria a ligação com o site do banco, receberia as informações e emitiria uma notificação de que a conexão não é segura e, portanto, não pode ser completada, evitando a interceptação dos seus dados.

A ideia parece simples e genial, afinal você não precisa fazer nada: o navegador trabalha em conjunto com a página para evitar ações mal intencionadas. Entretanto, apenas FirefoxChromeOpera têm suporte para HSTS — o Internet Explorer, navegador mais usado no mundo, não trabalha com esse tipo de recurso.

Informação e cuidado

A Electronict Frontier Foundation (EFF), organização sem fins lucrativos que defende as liberdades civis na internet, aponta que um dos principais motivos para a ausência do recurso em um maior número de sites é o desconhecimento dos programadores.

Para combater esse o desconhecimento, as equipes de desenvolvimento por trás dos navegadores da Mozilla e da Google oferecem informação: ambas mantêm páginas com instruções sobre como um programador deve proceder para ativar a HSTS em sua página (aqui e aqui). Já a EFF conta inclusive com uma extensão “HTTPS everywhere” para Firefox, Chrome, Opera e Android, que força a conexão segura sempre que ela é possível e ajuda a proteger o usuário.

Entretanto, como muita gente ainda utiliza o Internet Explorer e também como muitos sites ainda não trabalham com a tecnologia HSTS, a maior ferramenta para evitar cair em uma armadilha dessas é ficar atento. Inspecione bem as páginas que visita quando acessa a web a partir de uma rede aberta, pois por mais improváveis que possam parecer, as ameaças existem.

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.