3 testes simples para saber se um site não é seguro

"Hackers - peraltas de computador"

Com a descoberta de que o governo dos Estados Unidos tem espionado muitas pessoas que nunca explodiram uma bomba, o mundo da tecnologia começou a se preocupar mais com a questão da segurança. Mas saber se o Obama está lendo suas mensagens do Facebook não é a única preocupação que você deveria ter ao usar um computador. Dependendo de onde você navega pela internet pode acabar em um site que torna mais fácil a vida dos criminosos cibernéticos.

A maioria das brechas de segurança só podem ser encontradas por quem entende do assunto, mas existem muitos problemas em sites que até a sua vó pode testar. Não são problemas pequenos. Eles permitem que alguém tome sua conta, acesse sites como se fosse você, e talvez tenha até acesso a seus dados de pagamento, como número de cartão de crédito.

Login sem https

"Site com criptografia"

Todo site de banco e matéria sobre segurança online menciona o cadeado que deve aparecer em seu browser para indicar que o site é seguro. Isso indica que tudo que passa entre você e o site está sendo criptografado, mascarado para o caso de alguém interceptar sua comunicação com a internet não seja capaz de ler os dados que estão passando por ali.

Mas muitos sites só usam a criptografia depois que você já realizou o login. Se na tela de login o cadeado não existe, significa que alguém conseguiria pegar sua senha e usar como quiser, entrar em sua conta, apagar tudo ou postar que você adora cometer crimes. Não use esses sites, ou se for usar, use senhas bobas que você não usa em mais lugar nenhum.

Senha por e-mail

Hoje em dia precisamos de tantas senhas, para tantos serviços diferentes, que é inevitável esquecer uma senha. E a maioria dos sites vai possuir alguma forma de você conseguir alterar ou receber sua senha.

Mas cuidado. Se você pedir sua senha e o site te enviar a senha por e-mail, exatamente a senha que você digitou quando criou a senha, significa que no servidor essa senha não é protegida, não é criptografada, e qualquer pessoa que tenha acesso a esse banco de dados vai ter acesso a sua senha sem muito trabalho. Isso inclui um funcionário do site que esteja com más intenções até alguém que consiga invadir e roubar o banco de dados. E isso se torna ainda pior se você usa a mesma senha em outros sites, porque ao roubar sua senha a pessoa vai ter acesso a muitos outros de seus dados em outros sites.

Sem proteção a script

A maioria dos sites que você visita vai permitir que você forneça algum tipo de dado. Nomes, comentários, avaliações, normalmente texto utilizando caixas de texto. Existem muitos desses sites em que o programador não tomou o cuidado de protegê-lo contra scripts, o que permite que uma pessoa má intencionada possa roubar sua sessão, seus dados, abrir um site falso para você digitar sua senha e muitas outras coisas malignas que só esses caras poderiam pensar em fazer.

A forma mais simples de testar essa vulnerabilidade é preenchendo algumas dessas caixas de texto com o valor

<script>alert('Este site é muito inseguro!!!!!');</script>

Se ao eviar esses dados e carregar a página onde eles são mostrados, uma janela te mostrar a mensagem “Este site é muito inseguro!!!!!”, caia fora. Qualquer página em que você navegar em que isso possa ser feito te deixa vulnerável a um ataque se um hacker passou por ali e deixou o código que explore essa brecha.

Mesmo que um site passe pelos testes acima ele pode ser bem inseguro. Mas como esses são problemas de segurança não muito difíceis de explorar, e que são encontrados em muitos sites, não custa nada fazer um teste.

Image courtesy of chanpipat at FreeDigitalPhotos.net

Compartilhe:

compartilhe no Facebook compartilhe no Twitter compartilhe no LinkedIn