Segurança do navegador e conteúdo misto

O Google Chrome e o Mozilla Firefox implementaram processos de Bloqueio de conteúdo misto para proteger os computadores de ataques à segurança por meio de conteúdo não protegido referenciado por páginas protegidas.


O que é conteúdo misto e por que ele é importante?

Websites que solicitam informações confidenciais, como nomes de usuário e senhas, costumam usar conexões seguras (https) para transmitir conteúdo do/para o computador que você está utilizando. Se você estiver visitando um site por meio de uma conexão segura, tanto o Google Chrome quanto o Firefox verificarão se o conteúdo da página da Web foi transmitido com segurança. Se um desses navegadores detectar determinados tipos de conteúdo na página provenientes de canais não seguros (http), o navegador impedirá automaticamente o carregamento do conteúdo, e você verá um ícone de escudo exibido na barra de endereço.

Ao bloquear o conteúdo e possíveis brechas na segurança, o Chrome e o Firefox impedem que as suas informações presentes na página caiam nas mãos erradas.


Tipos de conteúdo misto

Dois tipos de conteúdo afetam a experiência de visualização de uma página da Web por parte do usuário. No contexto de conteúdo misto, cada um desses tipos tem diversos níveis de risco:

  • Conteúdo misto passivo ou conteúdo de exibição
  • Conteúdo misto ativo ou conteúdo de script

Conteúdo misto passivo ou conteúdo de exibição

Conteúdo misto passivo é o conteúdo HTTP em um site HTTPS que não pode alterar o Document Object Model (DOM) da página da Web. Para simplificar, o conteúdo HTTP passivo tem um efeito limitado no site HTTPS. Por exemplo, um invasor pode substituir uma imagem fornecida via HTTP por uma imagem inapropriada ou uma mensagem enganosa para o usuário. No entanto, o invasor não tem a possibilidade de afetar o resto da página da Web, somente a seção da página em que a imagem é carregada.

Um invasor pode deduzir informações sobre a atividade de navegação do usuário observando quais imagens são fornecidas para ele, descobrindo, assim, as páginas visualizadas. Além disso, ao observar cabeçalhos HTTP enviados para recuperar e fornecer a imagem, o invasor pode visualizar a cadeia de caracteres de agente de usuário e todos os cookies associados ao domínio do qual a imagem foi solicitada. Se o conteúdo for fornecido pelo mesmo domínio que a página da Web principal, as informações da sessão estarão possivelmente expostas, contornando a proteção que o HTTPS oferece à conta do usuário.

Exemplos de conteúdo passivo são carregamentos de imagens, áudio e vídeo.

Conteúdo misto ativo ou conteúdo de script

Conteúdo ativo é aquele que pode acessar e afetar o Document Object Model (DOM) (ou partes dele) de uma página HTTPS. Esse tipo de conteúdo misto pode alterar o comportamento de uma página HTTPS e, possivelmente, roubar dados confidenciais do usuário. Além dos riscos já descritos acima para o conteúdo passivo misto, o conteúdo ativo misto também é exposto a um grande número de possíveis vetores de ataque.

Exemplo: um invasor que utiliza o ataque "Man In The Middle" (MITM) pode interceptar solicitações de conteúdo ativo HTTP. O invasor pode, então, reprogramar a resposta de forma a incluir código JavaScript mal-intencionado. O script mal-intencionado pode roubar as credenciais do usuário, obter dados confidenciais sobre ele ou tentar instalar malware no sistema do usuário (aproveitando os plug-ins vulneráveis instalados no computador do usuário, por exemplo).

Exemplos de conteúdo ativo: JavaScript, CSS, objetos, solicitações xhr, iframes e fontes.


Eliminação da necessidade de controles de navegador do usuário

Para melhorar a experiência do usuário e eliminar a necessidade de os usuários ajustarem as configurações do navegador, todo o conteúdo deve ser enviado por HTTPS.


Gerenciamento de navegador de conteúdo misto

Após analisar os exemplos no site do Mozilla, você verá o impacto do conteúdo misto na experiência de navegação do usuário e entenderá como as configurações do navegador podem afetar a exibição da página.

Observe que os conceitos de bloqueio de conteúdo misto são semelhantes nos navegadores e que a gestão do acesso e os níveis de informações são as principais diferenças entre os navegadores compatíveis com o bloqueio de conteúdo misto.

Páginas da web seguras fornecidas por HTTPS podem incluir elementos inseguros que podem deixar suas informações vulneráveis a ataques. Quando uma página contém elementos seguros e inseguros, ela é chamada de Conteúdo misto.

Para proteger-se dos riscos relacionados ao Conteúdo misto, o Mozilla Firefox bloqueia a exibição de conteúdo inseguro em páginas seguras. Se você não tiver problemas em navegar por uma página que contenha elementos inseguros, escolha ver esse conteúdo em algumas etapas. Este artigo descreve como gerenciar os controles do navegador para acesso do Conteúdo misto em navegadores Mozilla Firefox v23 e mais recentes.


Gerenciamento de configurações de conteúdo bloqueado

Quando você visita uma página com Conteúdo misto no Firefox, um escudo aparece na barra de local. Isso indica que algum conteúdo foi bloqueado. Selecione o ícone para desativar temporariamente esse recurso de segurança e ver o conteúdo inseguro.

Selecione Desativar proteção por enquanto se você quiser ver esse conteúdo. A página será recarregada e dois ícones aparecerão na barra de local, um escudo com uma linha vermelha o cruzando, e um triângulo amarelo com um ponto de exclamação. Esses ícones servem para lembrar você de que algum conteúdo na página pode estar colocando suas informações em perigo.


Firefox: Bloqueio de conteúdo misto

O Mozilla Firefox usa o bloqueio de conteúdo misto para proteger suas informações, mas também permite que você escolha se quer ou não ver o Conteúdo misto ativo. Esse tipo de conteúdo pode alterar o comportamento de uma página inteira e roubar dados confidenciais de um usuário. O Conteúdo misto passivo, no entanto, não tem a habilidade de alterar todo o comportamento da página, mas somente a parte do próprio conteúdo HTTP (inseguro).

O Conteúdo misto passivo é algo comum on-line e inclui elementos de página da web, como imagens, áudio e vídeo. O Firefox não bloqueia automaticamente esse tipo de conteúdo, pois isso travaria muitas páginas da web e prejudicaria a experiência do usuário. No entanto, existe uma maneira de bloquear conteúdo passivo misto editando as configurações do seu navegador.


Outras leituras

Saiba mais sobre Conteúdo misto nos artigos a seguir no site do Mozilla: