segunda-feira, 20 de setembro de 2010

Desenvolvedores correm para consertar falhas de navegadores


Empresas melhoram a segurança dos browsers.
Deixe sua dúvida na seção de comentários.


A segurança teve um grande impacto na formação da internet: o Internet Explorer 6 teve sua hegemonia balançada pelo então desconhecido Firefox, em grande parte devido aos frequentes problemas de segurança do software da Microsoft. A concorrência forçou a Microsoft a voltar a investir no desenvolvimento do IE – cuja equipe teria sido até completamente dispensada numa época, segundo boatos. A atualização do IE e o avanço dos navegadores não se restringiram à segurança: novos recursos e funções para desenvolvedores de site permitiram o progresso da web.
Mesmo assim, desenvolvedores sabem que precisam cuidar da segurança. Se a Microsoft perdeu mercado por esse motivo, qualquer um pode perder. E como está a segurança dos três navegadores mais populares - Internet Explorer, Firefox e Chrome? Quais técnicas estão sendo usadas para protegê-los? É sobre isso que trata a coluna Segurança para o PC de hoje.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários, que está aberta para todos os leitores. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Configurações de segurança do IE são divididas em “zonas”. Há muitas opções de configuração. Útil para administradores; confuso para usuários. Configurações de segurança do IE são divididas em
“zonas”. Há muitas opções de configuração. Útil
para administradores; confuso para usuários.
(Foto: Reprodução)
Na verdade, a segurança dos navegadores está boa. Apesar dos avanços significativos da Microsoft, o Internet Explorer segue sendo o navegador mais atacado, em parte porque ele, ainda, é o mais popular. Para reduzir as possibilidades de ataque, o Internet Explorer faz uso de recursos como o Modo Protegido, Prevenção de Execução de Dados (DEP) e disposição aleatória do espaço de endereços (ASLR).
Por conta desses mecanismos de defesa, algumas falhas que antes seriam críticas passaram a não representar nenhum risco real para os usuários do navegador. São tecnologias que dificultam a exploração de brechas e que levaram alguns ataques ao IE a serem considerados como “formidáveis” pela sua complexidade técnica.
O IE tem um filtro que tenta identificar e bloquear ataques de Cross-site Scripting (XSS), nos quais códigos são injetados em uma página por meio de um link. É esse tipo de falha que permite vírus em sites como Orkut e Twitter, por exemplo. É claro que o filtro não é infalível; pelo contrário, ele já teve problemas que fizeram com que sites que deveriam estar seguros ficassem vulneráveis.
Segundo a Secunia, o Internet Explorer 8 já registrou 56 vulnerabilidades. Apenas algumas falhas de baixo risco não foram eliminadas pela Microsoft.

A Mozilla faz de seu maior trunfo a rápida correção das vulnerabilidades. Enquanto a Microsoft costuma demorar ou adiar uma correção, a Mozilla cria versões atualizadas e corrigidas do Firefox com grande velocidade. É por isso que das 62 falhas encontradas no Firefox 3.6 e catalogadas pela Secunia até hoje, só uma falha de baixa gravidade, identificada no final de agosto, não foi corrigida.
Plugins do Firefox permitem ataques diferenciados, mas também dão opções exclusivas de proteção. Plug-ins do Firefox permitem ataques diferenciados, mas também dão opções exclusivas de proteção.
(Foto: Reprodução)
A Mozilla também criou formas de impedir que uma das principais vantagens do Firefox – os plug-ins e add-ons – sejam usados por criminosos. Para isso, o Firefox tem a capacidade de avisar o usuário a respeito de plugins inseguros ou até desativá-los. A grande variedade de configurações do navegador permite que muitas falhas sejam amenizadas com ajustes, mesmo antes da divulgação da correção final.
O Chrome 6 já teve 10 brechas, todas elas corrigidas, segundo a Secunia. A versão 5 atinge a marca de 56. O navegador do Google adota dois comportamentos únicos. Primeiro, ele integra os plug-ins do Flash e também um para a leitura de PDF – esse último sendo um recurso ainda experimental, mas com o objetivo de proteger os usuários das falhas mais recentes no Adobe Reader.
Com os plug-ins integrados, não é preciso se preocupar em atualizá-los. Atualizar o navegador é suficiente para garantir que os plug-ins – ou pelo menos os principais – estejam também atualizados.
O segundo comportamento complementa o primeiro. A atualização do Chrome é 100% automática. Ela não pede nenhuma confirmação do usuário. Ao ser reiniciado, o navegador já estará na versão nova. O Chrome consegue isso porque ele se instala nas pastas do próprio usuário. Mesmo um usuário limitado do PC ainda poderá aproveitar as atualizações automáticas.
É comum a todos os navegadores o recurso de detecção de páginas maliciosas e clonadas.
'Recurso' do Java permite execução de aplicativo em um clique, quando download normal de arquivo executável exige no mínimo dois.'Recurso' do Java permite execução de aplicativo em
um clique, quando download normal de arquivo
executável exige no mínimo dois. (Foto: Reprodução)
Java
Um “problema” que nenhum navegador resolve é o Java. Um recurso do Java para executar aplicativos com um único clique é especialmente popular entre os criminosos brasileiros. Eles usam essa facilidade quando infectam sites populares. Os usuários vão confiar na janela e executar o vírus, sem suspeitar do que se trata.
Felizmente, todos os navegadores possuem meios de desativar o Java.
Internet Explorer: Ferramentas, Opções da Internet. Na aba “Programas”, clique no botão Gerenciar complementos. Na lista, procure o Java. Clique nele e então no botão Desabilitar.
Firefox: O uso do plugin NoScript ajuda muito a proteger o internauta durante a navegação. Em Ferramentas, Opções, Conteúdo, basta desmarcar a caixa “Permitir Java” para desativar o Java por completo.
Chrome: É preciso acessar o endereço chrome://plugins . O Java estará na lista. Basta desativar. Nessa mesma tela é possível ativar o leitor embutido de PDFs do Chrome.
Batalhando problemas internos e externos, é possível perceber que os navegadores estão tentando, de formas distintas, dar aos usuários uma experiência mais segura de navegação. Mesmo assim, há falhas sem correção – nesse exato momento, há uma falha no Flash, um plug-in que raramente está desativado e que é necessário para a exibição de muitos sites. Nesse caso, o Firefox sai na frente, com plugins como o NoScript e o Flashblock.
Apesar disso, é necessário reconhecer os avanços, tanto quanto é necessário admitir que eles ainda não são suficientes para dar a segurança que devia ser esperada durante a navegação de internet.
A coluna Segurança para o PC fica por aqui. Volto na quarta-feira (22) com o pacotão de respostas. Se você tem alguma dúvida, não deixe de escrever nos comentários. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página

Nenhum comentário:

Postar um comentário