Um padrão de segurança recém aprovado como norma para a Internet pelo Internet Engineering Task Force (IET) promete tornar os sites baseados em HTTPS mais resistentes a vários tipos de ataques. O HTTP Strict Transport Security (HSTS) permite aos sites de se declararem acessíveis apenas através de HTTPS (HTTP Secure) .

O padrão foi projetado para impedir que hackers forcem as conexões dos utilizadores através de HTTP, ou tirem partido de erros nas implantações HTTPS, para comprometer a integridade do conteúdo. Apesar do suporte de alguns sites de alto tráfego, a adoção ainda está pouco disseminada.

O Internet Engineering Task Force (IETF), órgão responsável por desenvolver e promover normas para a Internet, publicou a especificação HSTS como um documento de oficial, o RFC 6797, na última segunda-feira. O grupo trabalho do IETF focado em segurança já trabalhava nele desde 2010, quando foi apresentado como por Jeff Hodges, da PayPal, Collin Jackson, da Carnegie Mellon University e Adam Barth, da Google.

A norma HSTS foi concebida para impedir que os chamados problemas de conteúdo misto afetem a segurança e a integridade de sites HTTPS. Situações de conteúdo misto ocorrem quando os “scripts” ou outros recursos incorporados às páginas de sites HTTPS são carregados a partir de um terceiro local (exterior ao site) através de uma conexão insegura. Isto pode ser o resultado de um erro de desenvolvimento, mas pode ser intencional.

Quando o browser carrega o recurso inseguro faz uma solicitação através do HTTP e também pode enviar junto “cookies” de sessão do usuário. Um atacante capaz de interceptar o pedido através de técnicas de “sniffing” pode usar o “cookie” para atacar a conta do usuário.

O mecanismo HSTS também previne ataques de interceptação de comunicações (“man-in-the-middle”). Nestes casos os atacantes estão em posição para interceptar a conexão do usuário com um site e forçam o browser a acessar a versão HTTP do site em vez da versão HTTPS. A técnica é conhecida como HTTPS ou SSL “stripping”, e há ferramentas disponíveis para automatizá-la.

Segundo alguns profissionais, o HSTS é uma das melhores coisas que aconteceram para o protocolo SSL. Corrige alguns dos erros cometidos quando o SSL foi originalmente concebido, há 18 anos. Mas também aborda as mudanças registradas desde então, referentes à forma como os browsers funcionam hoje.

O HSTS, por exemplo, não depende de avisos de certificado. Se for detectado um problema com a implementação HTTPS, o navegador simplesmente recusa a conexão e não oferece aos usuários a oportunidade mudar essa decisão.

Problemas

O padrão já é um grande avanço, mas problemas ainda existem. Mesmo com HSTS ativados em um site, ainda há uma pequena oportunidade para ataques quando o navegador visita o site pela primeira vez, quando a política HSTS implementada ainda não foi salva por ele. Nesse ponto, um invasor pode impedi-lo de chegar à versão HTTPS do site e forçar o uso da versão HTTP do site. Para resolver esta questão, navegadores como o Chrome e o Firefox vem com listas de sites populares que suportam o HSTS pré-carregadas.

Há ainda problemas de implementação entre os poucos sites que já suportam HSTS, segundo Ivan Ristic, diretor de engenharia da empresa de segurança Qualys. Alguns deles especificam um período de validade muito curto para suas políticas de HSTS. "Para o HSTS para ser útil os registros devem ser válidos por meses, não apenas por dias", diz Ristic.

Ele não acredita que HSTS se torne um padrão de fato antes de atingir melhores níveis de adoção. Operadores de sites têm sido tradicionalmente oportunistas na implementação de tecnologias que funcionem para eles, independentemente de serem um padrão ou não. "Acho que o maior problema com HSTS será a educação para o uso", afirma Ristic. "As pessoas precisam saber que ele existe".

Entre os sites populares que apoiam HSTS no momento estão o PayPal, o Twitter e vários serviços do Google. O Facebook está em processo de implantação do HTTPS em todo seu site , mas ainda não suporta HSTS.