1.

Segurana em conexes Web: Ao navegar na Internet, muito provvel que a grande maioria dos acessos que voc realiza no envolva o trfego de informaes sigilosas, como quando voc acessa sites de pesquisa ou de notcias. Esses acessos so geralmente realizados pelo protocolo HTTP, onde as informaes trafegam em texto claro, ou seja, sem o uso de criptografia. O protocolo HTTP, alm de no oferecer criptografia, tambm no garante que os dados no possam ser interceptados, coletados, modificados ou retransmitidos e nem que voc esteja se comunicando exatamente com o site desejado. Por estas caractersticas, ele no indicado para transmisses que envolvem informaes sigilosas, como senhas, nmeros de carto de crdito e dados bancrios, e deve ser substitudo pelo HTTPS, que oferece conexes seguras. O protocolo HTTPS utiliza certificados digitais para assegurar a identidade, tanto do site de destino como a sua prpria, caso voc possua um. Tambm utiliza mtodos criptogrficos e outros protocolos, como o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security), para assegurar a confidencialidade e a integridade das informaes. Sempre que um acesso envolver a transmisso de informaes sigilosas, importante certificar-se do uso de conexes seguras. Para isso, voc deve saber como identificar o tipo de conexo sendo realizada pelo seu navegador Web e ficar atento aos alertas apresentados durante a navegao, para que possa, se necessrio, tomar decises apropriadas. Dicas para ajud-lo nestas tarefas so apresentadas nas Sees 10.1.1 e 10.1.2. 2.1 Tipos de Conexo: Conexo padro: a usada na maioria dos acessos realizados. No prov requisitos de segurana. Alguns indicadores deste tipo de conexo, ilustrados na Figura 10.1, so:

o endereo do site comea com "http://"; em alguns navegadores, o tipo de protocolo usado (HTTP), por ser o padro das conexes, pode ser omitido na barra de endereos; um smbolo do site (logotipo) apresentado prximo barra de endereo e, ao passar o mouse sobre ele, no possvel obter detalhes sobre a identidade do site.

Figura 10.1: Conexo no segura em diversos navegadores. Conexo segura: a que deve ser utilizada quando dados sensveis so transmitidos, geralmente usada para acesso a sites de Internet

Banking e de comrcio eletrnico. Prov autenticao, integridade e confidencialidade, como requisitos de segurana. Alguns indicadores deste tipo de conexo, ilustrados na Figura 10.2, so: o endereo do site comea com "https://"; o desenho de um "cadeado fechado" mostrado na barra de endereo e, ao clicar sobre ele, detalhes sobre a conexo e sobre o certificado digital em uso so exibidos; um recorte colorido (branco ou azul) com o nome do domnio do site mostrado ao lado da barra de endereo ( esquerda ou direita) e, ao passar o mouse ou clicar sobre ele, so exibidos detalhes sobre conexo e certificado digital em uso2.

Figura 10.2: Conexo segura em diversos navegadores. Conexo segura com EV SSL: prov os mesmos requisitos de segurana que a conexo segura anterior, porm com maior grau de confiabilidade quanto identidade do sitee de seu dono, pois utiliza certificados EV SSL (mais detalhes na Seo 9.4 do Captulo Criptografia). Alm de apresentar indicadores similares aos apresentados na conexo segura sem o uso de EV SSL, tambm introduz um indicador prprio, ilustrado na Figura 10.3, que :

a barra de endereo e/ou o recorte so apresentados na cor verde e no recorte colocado o nome da instituio dona do site3.

Figura 10.3: Conexo segura usando EV SSL em diversos navegadores.

Outro nvel de proteo de conexo usada na Internet envolve o uso de certificados autoassinados e/ou cuja cadeia de certificao no foi reconhecida. Este tipo de conexo no pode ser caracterizado como sendo totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e confidencialidade, no prov autenticao, j que no h garantias relativas ao certificado em uso. Quando voc acessa um site utilizando o protocolo HTTPS, mas seu navegador no reconhece a cadeia de certificao, ele emite avisos como os descritos na Seo 10.1.2 e ilustrados na Figura 10.6. Caso voc, apesar dos riscos, opte por aceitar o certificado, a simbologia mostrada pelo seu navegador ser a ilustrada na Figura 10.4. Alguns indicadores deste tipo de conexo so: um cadeado com um "X" vermelho apresentado na barra de endereo; a identificao do protocolo "https" apresentado em vermelho e riscado; a barra de endereo muda de cor, ficando totalmente vermelha; um indicativo de erro do certificado apresentado na barra de endereo; um recorte colorido com o nome do domnio do site ou da instituio (dona do certificado) mostrado ao lado da barra de endereo e, ao passar o mouse sobre ele, informado que uma exceo foi adicionada.

Figura 10.4: Conexo HTTPS com cadeia de certificao no reconhecida. Certos sites fazem uso combinado, na mesma pgina Web, de conexo segura e no segura. Neste caso, pode ser que o cadeado desaparea, que seja exibido um cone modificado (por exemplo, um cadeado com tringulo amarelo), que o recorte contendo informaes sobre o site deixe de ser exibido ou ainda haja mudana de cor na barra de endereo, como ilustrado na Figura 10.5.

Figura 10.5: Uso combinado de conexo segura e no segura. Mais detalhes sobre como reconhecer o tipo de conexo em uso podem ser obtidos em:

Chrome - Como funcionam os indicadores de segurana do website (em portugus) http://support.google.com/chrome/bin/answer.py?hl=ptBR&answer=95617 Mozilla Firefox - How do I tell if my connection to a website is secure? (em ingls) http://support.mozilla.org/en-US/kb/Site Identity Button Internet Explorer - Dicas para fazer transaes online seguras (em portugus) http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secureonline-transaction-in-Internet-Explorer-9 Safari - Using encryption and secure connections (em ingls) http://support.apple.com/kb/HT2573