Por que o HTTPS é importante

Kayce Bascos
Kayce Basques

Sempre proteja todos os sites com HTTPS, mesmo que eles não processem comunicações confidenciais. Além de oferecer segurança e integridade de dados essenciais para seus sites e as informações pessoais dos usuários, o HTTPS é um requisito para muitos novos recursos do navegador, especialmente os necessários para Progressive Web Apps.

Resumo

  • Intrusos malignos e benignos exploram todos os recursos desprotegidos entre seus sites e usuários.
  • Muitos intrusos observam comportamentos agregados para identificar seus usuários.
  • O HTTPS não apenas bloqueia o uso indevido do seu site. Ele também é um requisito para muitos recursos modernos e uma tecnologia capacitadora para recursos semelhantes a aplicativos, como os service workers.

O HTTPS protege a integridade do seu site

O HTTPS ajuda a evitar que invasores adulterem as comunicações entre os sites e os navegadores dos usuários. Os intrusos incluem invasores intencionalmente maliciosos e empresas legítimas, mas invasivas, como ISPs ou hotéis que injetam anúncios nas páginas.

Os intrusos exploram comunicações desprotegidas para induzir os usuários a fornecer informações sensíveis, instalar malware ou inserir anúncios próprios nos seus recursos. Por exemplo, alguns terceiros injetam anúncios em sites que possivelmente prejudicam a experiência do usuário e criam vulnerabilidades de segurança.

Os intrusos exploram todos os recursos desprotegidos que viajam entre seus sites e usuários. Imagens, cookies, scripts, HTML... podem ser explorados. As invasões podem ocorrer em qualquer ponto da rede, incluindo a máquina do usuário, um ponto de acesso Wi-Fi ou um ISP comprometido, por exemplo.

O HTTPS protege a privacidade e a segurança dos seus usuários

O HTTPS impede que os intrusos possam detectar passivamente as comunicações entre seus sites e os usuários.

Um equívoco comum sobre o HTTPS é achar que os únicos sites que precisam de HTTPS são os que processam comunicações confidenciais. Cada solicitação HTTP desprotegida tem o potencial de revelar informações sobre os comportamentos e as identidades dos usuários. Embora uma única visita a um dos seus sites desprotegidos possa parecer benigno, alguns invasores analisam as atividades agregadas de navegação dos usuários para deduzir os comportamentos e intenções deles e desanonimizar as identidades. Por exemplo, os funcionários podem divulgar inadvertidamente condições de saúde confidenciais para seus empregadores apenas lendo artigos médicos desprotegidos.

O HTTPS é o futuro da Web

Recursos novos e avançados da plataforma da Web, como tirar fotos ou gravar áudio com getUserMedia(), ativar experiências de app off-line com service workers ou criar Progressive Web Apps, exigem permissão explícita do usuário antes da execução. Muitas APIs mais antigas também estão sendo atualizadas para exigir permissão para serem executadas, como a API Geolocation. O HTTPS é um componente essencial dos fluxos de trabalho de permissões, tanto para esses novos recursos quanto para as APIs atualizadas.