ARLA/CLUSTER: Off Topic: Você sabe a diferença entre HTTP e HTTPS?

[João Gonçalves Costa]

Você pode navegar na internet sem imaginar a diferença que uma letra do endereço do browser pode fazer. Um ‘s’ separa os protocolos de navegação HTTP do HTTPS. A mudança parece, mas não é nada pequena. O "S" significa security ou segurança, em português. 

O HTTPS é o protocolo ou conjunto de regras e códigos com uma camada de segurança que torna a navegação mais segura.

O HTTP não oferece a mesma segurança do HTTPS porque as informações navegam na rede de uma forma muito parecida com a apresentada na tela ou digitadas pelo utilizador. Por exemplo, se o utilizador digita um login "xxx" e uma senha "1234", isso é colocado dentro de pacotes de dados que são enviados da mesma maneira pela rede. Alguém pode interceptar esses dados no meio do caminho, contendo exatamente o digitado. Com essas informações, o interceptador pode acessar um site na internet.

"Interceptar pacotes entre a origem e o destino não é muito complicado na internet. Eles passam por diversas redes de uma ponta até a outra, como a rede de nossa casa ou empresa, a rede do nosso provedor, a rede do provedor do sítio web de destino e a rede onde está o servidor que esse sítio, por exemplo. Em qualquer desses pontos um indivíduo mal-intencionado pode encontrar meios de visualizar os pacotes de dados que circulam na Internet. Não é uma tarefa trivial, mas não chega a ser difícil", segundo António Moreiras, supervisor de projetos do NIC.br (Núcleo de Informação e Coordenação do Ponto BR).

O HTTP tem vulnerabilidades que acabam por prejudicar os utilizadores. O HTTP não oferece certeza absoluta de que o site acessado é realmente quem diz ser. Um cracker pode interceptar os dados que circulam na Internet e criar um falso sítio de destino, respondendo às requisições do navegador na web. Por exemplo, o utilizador pode pensar que está navegando numa loja virtual, mas está, na verdade, interagindo com uma quadrilha que roubará seus dados pessoais, como senhas e números de cartão de crédito.

A função básica entre os http e https é igual, ou seja, é usado para permitir que os navegadores na internet dialoguem com os servidores, mas fornece mais segurança em dois aspectos: encripta os dados que circulam na Internet, embaralha-os de forma que somente o destinatário pode entendê-los. Esses dados podem ser interceptados, mas não são legíveis para as pessoas ou computadores. "É muito, muito difícil que possam ser desencriptados e entendidos por alguma entidade que os intercepte a meio do caminho", aponta o supervisor.

O HTTPS também garante que o site que o utilizador está visualizando é quem diz ser. O dono do local na web cria um certificado, dizendo quem é e submete isso a uma empresa certificadora, que verifica a autenticidade do mesmo e o assina, o endossando. Os navegadores reconhecem as principais empresas certificadoras e aceitam automaticamente os certificados assinados por ela, reconhecendo sua autenticidade e a da página correspondente.

É importante entender que o HTTPS só protege o caminho, não protege as pontas. Ou seja, se o computador ou o servidor da loja virtual forem invadidos ou estiverem comprometidos por ataques de vírus ou outros softwares maliciosos, as informações podem ser comprometidas. "É como contratar um “carro blindado” para levar dinheiro de uma loja até o banco: isso não garante que a loja não será assaltada, nem garante que o dinheiro não será roubado do cofre do banco", explica António Moreiras.

Outro ponto importante a ser considerado é a efetividade dos nomes de utilizador e senhas utilizadas. É preciso desenvolver senhas pouco previsíveis. Uma senha "1234", ou com a data de aniversário do utilizador, por exemplo, é facilmente descoberta, sem a necessidade do cracker interceptar os dados no meio do caminho.

Em conjunto com o uso do HTTPS, o utilizador precisa estar atento à segurança de seu computador principal, com a utilização de antivírus, firewalls, antispywares e outros softwares de proteção. Também é preciso ter cuidado com os sites acessados e e-mails suspeitos, sem contar a criação de senhas fortes, dificultando sua descoberta.

Fonte: Wnews