Empresas melhoram a segurança dos browsers.
Deixe sua dúvida na seção de comentários.
A segurança teve um grande impacto na formação da internet: o Internet Explorer 6 teve sua hegemonia balançada pelo então desconhecido Firefox, em grande parte devido aos frequentes problemas de segurança do software da Microsoft. A concorrência forçou a Microsoft a voltar a investir no desenvolvimento do IE – cuja equipe teria sido até completamente dispensada numa época, segundo boatos. A atualização do IE e o avanço dos navegadores não se restringiram à segurança: novos recursos e funções para desenvolvedores de site permitiram o progresso da web.
Mesmo assim, desenvolvedores sabem que precisam cuidar da segurança. Se a Microsoft perdeu mercado por esse motivo, qualquer um pode perder. E como está a segurança dos três navegadores mais populares - Internet Explorer, Firefox e Chrome? Quais técnicas estão sendo usadas para protegê-los? É sobre isso que trata a coluna Segurança para o PC de hoje.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários, que está aberta para todos os leitores. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários, que está aberta para todos os leitores. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Na verdade, a segurança dos navegadores está boa. Apesar dos avanços significativos da Microsoft, o Internet Explorer segue sendo o navegador mais atacado, em parte porque ele, ainda, é o mais popular. Para reduzir as possibilidades de ataque, o Internet Explorer faz uso de recursos como o Modo Protegido, Prevenção de Execução de Dados (DEP) e disposição aleatória do espaço de endereços (ASLR).
Por conta desses mecanismos de defesa, algumas falhas que antes seriam críticas passaram a não representar nenhum risco real para os usuários do navegador. São tecnologias que dificultam a exploração de brechas e que levaram alguns ataques ao IE a serem considerados como “formidáveis” pela sua complexidade técnica.
O IE tem um filtro que tenta identificar e bloquear ataques de Cross-site Scripting (XSS), nos quais códigos são injetados em uma página por meio de um link. É esse tipo de falha que permite vírus em sites como Orkut e Twitter, por exemplo. É claro que o filtro não é infalível; pelo contrário, ele já teve problemas que fizeram com que sites que deveriam estar seguros ficassem vulneráveis.
Segundo a Secunia, o Internet Explorer 8 já registrou 56 vulnerabilidades. Apenas algumas falhas de baixo risco não foram eliminadas pela Microsoft.
A Mozilla faz de seu maior trunfo a rápida correção das vulnerabilidades. Enquanto a Microsoft costuma demorar ou adiar uma correção, a Mozilla cria versões atualizadas e corrigidas do Firefox com grande velocidade. É por isso que das 62 falhas encontradas no Firefox 3.6 e catalogadas pela Secunia até hoje, só uma falha de baixa gravidade, identificada no final de agosto, não foi corrigida.
A Mozilla faz de seu maior trunfo a rápida correção das vulnerabilidades. Enquanto a Microsoft costuma demorar ou adiar uma correção, a Mozilla cria versões atualizadas e corrigidas do Firefox com grande velocidade. É por isso que das 62 falhas encontradas no Firefox 3.6 e catalogadas pela Secunia até hoje, só uma falha de baixa gravidade, identificada no final de agosto, não foi corrigida.
A Mozilla também criou formas de impedir que uma das principais vantagens do Firefox – os plug-ins e add-ons – sejam usados por criminosos. Para isso, o Firefox tem a capacidade de avisar o usuário a respeito de plugins inseguros ou até desativá-los. A grande variedade de configurações do navegador permite que muitas falhas sejam amenizadas com ajustes, mesmo antes da divulgação da correção final.
O Chrome 6 já teve 10 brechas, todas elas corrigidas, segundo a Secunia. A versão 5 atinge a marca de 56. O navegador do Google adota dois comportamentos únicos. Primeiro, ele integra os plug-ins do Flash e também um para a leitura de PDF – esse último sendo um recurso ainda experimental, mas com o objetivo de proteger os usuários das falhas mais recentes no Adobe Reader.
Com os plug-ins integrados, não é preciso se preocupar em atualizá-los. Atualizar o navegador é suficiente para garantir que os plug-ins – ou pelo menos os principais – estejam também atualizados.
O segundo comportamento complementa o primeiro. A atualização do Chrome é 100% automática. Ela não pede nenhuma confirmação do usuário. Ao ser reiniciado, o navegador já estará na versão nova. O Chrome consegue isso porque ele se instala nas pastas do próprio usuário. Mesmo um usuário limitado do PC ainda poderá aproveitar as atualizações automáticas.
É comum a todos os navegadores o recurso de detecção de páginas maliciosas e clonadas.
É comum a todos os navegadores o recurso de detecção de páginas maliciosas e clonadas.
Java
Um “problema” que nenhum navegador resolve é o Java. Um recurso do Java para executar aplicativos com um único clique é especialmente popular entre os criminosos brasileiros. Eles usam essa facilidade quando infectam sites populares. Os usuários vão confiar na janela e executar o vírus, sem suspeitar do que se trata.
Um “problema” que nenhum navegador resolve é o Java. Um recurso do Java para executar aplicativos com um único clique é especialmente popular entre os criminosos brasileiros. Eles usam essa facilidade quando infectam sites populares. Os usuários vão confiar na janela e executar o vírus, sem suspeitar do que se trata.
Felizmente, todos os navegadores possuem meios de desativar o Java.
Internet Explorer: Ferramentas, Opções da Internet. Na aba “Programas”, clique no botão Gerenciar complementos. Na lista, procure o Java. Clique nele e então no botão Desabilitar.
Firefox: O uso do plugin NoScript ajuda muito a proteger o internauta durante a navegação. Em Ferramentas, Opções, Conteúdo, basta desmarcar a caixa “Permitir Java” para desativar o Java por completo.
Chrome: É preciso acessar o endereço chrome://plugins . O Java estará na lista. Basta desativar. Nessa mesma tela é possível ativar o leitor embutido de PDFs do Chrome.
Batalhando problemas internos e externos, é possível perceber que os navegadores estão tentando, de formas distintas, dar aos usuários uma experiência mais segura de navegação. Mesmo assim, há falhas sem correção – nesse exato momento, há uma falha no Flash, um plug-in que raramente está desativado e que é necessário para a exibição de muitos sites. Nesse caso, o Firefox sai na frente, com plugins como o NoScript e o Flashblock.
Apesar disso, é necessário reconhecer os avanços, tanto quanto é necessário admitir que eles ainda não são suficientes para dar a segurança que devia ser esperada durante a navegação de internet.
A coluna Segurança para o PC fica por aqui. Volto na quarta-feira (22) com o pacotão de respostas. Se você tem alguma dúvida, não deixe de escrever nos comentários. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página
Nenhum comentário:
Postar um comentário