Segurança










         HTTPS – QUE INFORMAÇÃO É PROTEGIDA




              Atualmente o tráfego web começa a adotar um proto-
         colo padrão e generalizado — o HTTPs.
              No  passado  era  comum  associar  ligações  seguras
         (HTTPSecure)  a  transações  financeiras,  compras  online,
         páginas de autenticação, acima de tudo usado em operações
         desta natureza.

              Na época os web-designers defendiam que não exis-
         tia  a  necessidade  de  sobrecarregar  uma  ligação  TCP  com
         criptografia quando “a informação trocada” apenas consistia
         numa página baseada em HTML e sem qualquer tipo de in-
         formação sensível.
              À medida em que os websites se foram tornando mais      O modelo TCP/IP, de quatro camadas, possui a cama-
         funcionais,  dinâmicos  e  complexos,  essa  realidade  mudou   da  de  mais  baixo  nível  chamada  Network  Interface,  onde
         rapidamente.  Os  consumidores  sentiram  que,  não  só  eles   são executados protocolos como o Ethernet e similares.
         queriam os seus dados financeiros protegidos, mas que tam-
         bém queriam que outras coisas fossem mantidas em sigilo.      Mais  acima,  existe  uma  camada  chamada  Network.
         Coisas como p.ex., o que escrevem num post do Facebook,   Aqui operam protocolos como o ARP, ICMP (ping), e o Inter-
         o conteúdo enviado através de um e-mail, entre outras coi-  net  Protocolo  (IP). Em seguida o modelo é composto pela
         sas “normais” que um utilizador faz no seu dia a dia na Inter-  camada de Transport  (TCP e UDP) e por fim a camada Ap-
         net.                                                 plication, aquela com que interagimos todos os dias!

              Este foi o ponto de viragem. Hoje temos mais websi-  É na camada aplicacional que o HTTP e o TLS são usa-
         tes com HTTPS. Esta mudança tem sido tão rápida, que a   dos!
         Google  irá  marcar  todos  os  websites  HTTP  como  não      No protocolo HTTPS, o TLS é executado  logo  abai-
         seguros a partir de julho 2018.
                                                              xo  do  HTTP, e todas as comunicações HTTP são assim ci-
              Voltando a 2014, à conferência E/S, onde o protocolo   fradas. Essas comunicações são p.ex., URLs, cookies, conte-
         HTTPs foi referido como uma uma nova prioridade para todo   údo web, atributos — basicamente => tudo.
         o tipo de tráfego que circula na Internet. Uma medida imedia-  Mas é importante perceber que tudo  abaixo  da  camada  de
         ta foi tomada no ano seguinte, 2015, pela Google. A empresa   aplicação  TCP/IP  não  está  encriptado. P.ex., os portos do
         começou a priorizar todo o tipo de resultados HTTPs resul-  servidor, endereços de IP, endereços ethernet, i.e., qualquer
         tante das pesquisas via o seu motor de pesquisa (google.pt).
                                                              tipo de informação necessária ao funcionamento de uma liga-
              Um ano depois, os websites que tivessem módulos de   ção entre dois hosts.
         autenticação  insegura,  ou  informações  de  pagamento  via      O protocolo HTTPS apenas cifra todo o conteúdo de
         cartões de crédito através do protocolo HTTP, passariam a   um pedido  HTTP (mensagens, cookies, o corpo de uma pá-
         ser “identificados” como not secure.
                                                              gina  web)    —  a  informação  trocada  entre  o  computador  de
              Em  julho  de  2018 entrará em vigor outra medida da   um utilizador (cliente) e o Facebook (servidor).
         Google — A empresa confirmou que com o lançamento do       O  tráfego  é  cifrado  de  ponta-a-ponta,  e  isso  permite
         Chrome 68, agendado para julho,  todos  os  websites  que   obter  privacidade  e  confidencialidade  na  sua  transmissão.
         não usem HTTPs serão identificados como “not secure”.
                                                              Mas o que impede de alguém reivindicar  ser  o  Facebok  e
         Mas o que é está realmente protegido numa ligação com   roubar os dados dos utilizadores p.ex., na rede wireless de
         HTTPS?                                               um cibercafé? — O certificado.
              O HTTPS é apenas HTTP sobre SSL (ou hoje, TLS)        O HTTPs pode ser usado em dois modos, simples e
         — HTTP + Secure => HTTPS.                            mútuo.
              Existem dois modelos de rede, o modelo OSI e o mo-     Na maior parte das vezes é usado no modo simples,
         delo TCP/IP. O TCP/IP é um mapeamento redutivo do OSI   onde  o  servidor  apenas  autentica  o  cliente.  Para  que  isso
         para  redes  modernas,  onde  as  sete  camadas  originais  são   aconteça,  o  cliente  deve  ter  um  certificado  e  que  é  usado
         reduzidas para quatro.                               para validar o certificado de um servidor (p.ex., o Facebook).

                                                                    Esses  certificados  de  validação  são  fornecidos  junto
                                                              de todos os navegadores de Internet, e identificam as autori-





                                                           67