Uma página pouco segura na internet é qualquer site cujo início do endereço tenha apenas a um HTTP. Sigla em inglês para Protocolo de Transferência de Hipertexto, o HTTP é um dos componentes básicos da troca de dados na web, realizando a comunicação entre o seu navegador e os servidores onde estão o sites que você acessa. O problema do HTTP é que, quando se trata de informação sensível, ele não é seguro: hackers podem capturar as senhas de uma pessoa, e governos autoritários podem usar as brechas no protocolo para espionar seus cidadãos.
Isso não significa que é preciso desistir de fazer aquelas compras online ou de acessar sua conta bancária enquanto estiver no shopping. Só tenha certeza de que o endereço do site começa com HTTPS, a forma criptografada e mais segura do HTTP. O “S” a mais significa exatamente isso: secure, ou seguro, em português. O HTTPS adiciona criptografia ao protocolo padrão com o uso do Transport Layer Security (TLS) e de seu predecessor, o Secure Sockets Layer (SSL), tecnologias que permitem a comunicação segura na internet.
DE OLHO
Informações no Chrome sobre a segurança da página criptografada do Google. Firefox e IE 9 também têm funcionalidades para saber em quem confiar
Quando você acessa um site com HTTPS, o navegador pede as credenciais do servidor e valida essa informação através de bancos de dados próprios ou disponíveis no sistema operacional. Se o navegador aceitar as credencias, ele troca com o servidor uma chave de criptografia. Essas credenciais são emitidas por uma autoridade certificadora considerada confiável por outras companhias, como o Google ou a Microsoft. Navegadores modernos demonstram que um site é seguro no canto esquerdo da barra de endereços.
O SSL e o HTTPS existem há mais de 15 anos. Foram criados pela Netscape, uma das mais importantes empresas do começo da web, em 1995. Desde então, se tornaram bastante seguros (as primeiras versões tinham falhas), mas não foram adotados por toda a internet. Sites de banco e de comércio eletrônico normalmente usam o HTTPS, por lidarem com informações mais sensíveis, como números de cartão de crédito. Redes sociais, por outro lado, não se preocupavam muito com isso até recentemente.
O Twitter só apresentou uma opção oficial para usar o site sempre em HTTPS no dia 15 de março. Antes, era possível forçar a navegação segura digitando https:// na barra de endereços ou com o uso de extensões. O Facebook introduziu o HTTPS em janeiro: primeiro apenas na Tunísia, para proteger os usuários de um código malicioso que gravava todas as comunicações no site, e depois para o mundo todo. O Google possuiu uma versão beta criptografada do seu buscador que impede provedores de saberem quais buscas um usuário fez.
No começo de fevereiro o senador americano Charles Schumer disse à Reuters que para evitar o roubo de dados, os “principais sites devem mudar para endereços seguros em HTTPS em vez do menos seguro HTTP”. Isso até está acontecendo, mas de forma ainda opcional: tanto no Twitter quanto no Facebook é preciso ativar o HTTPS. Em alguns sites de compras e bancos o protocolo seguro só é ativado na hora de digitar a senha. No Gmail, no Google Docs, no PayPal e em outros endereços, por outro lado, a criptografia é padrão.
Mas enquanto o uso do HTTPS cresce, uma nova ameaça à segurança dos usuários de internet apareceu. Na metade de março, certificados para nove sites falsos foram roubados da Comodo, uma das maiores empresas que emite credenciais para sites. As credenciais foram usadas para atacar usuários de Gmail, Skype e outros serviços populares que usam HTTPS. Um hacker iraniano afirmou ter sido o responsável pelo roubo das licenças e pelos ataques. Mesmo redes criptografadas têm seus perigos e essas preocupações só devem aumentar.
