Segurança: entenda os problemas de segurança

Kayce Basques
Kayce Basques

Use o painel Segurança no Chrome DevTools para garantir que o HTTPS seja implementado corretamente em uma página. Consulte Por que o HTTPS é importante para saber por que todos os sites precisam ser protegidos com HTTPS, mesmo aqueles que não lidam com dados sensíveis do usuário.

Visão geral

O painel Security é o principal lugar no DevTools para inspecionar a segurança de uma página. O painel Segurança oferece uma visão geral das origens da sua página, que inclui avisos de segurança HTTP, detalhes de origem e certificados.

Abrir o painel "Segurança"

Para abrir o painel Segurança, siga estas etapas:

  1. Abra o DevTools.
  2. Abra o Menu de comando pressionando:
    • macOS: Command+Shift+P
    • Windows, Linux e ChromeOS: Control+Shift+P

  3. Comece a digitar security, selecione Mostrar painel de segurança e pressione Enter.

    O painel "Segurança".

    Figura 1. O painel "Segurança"

Você também pode selecionar more_vert Mais opções > Mais ferramentas > Segurança no canto superior direito.

Problemas comuns

Origens principais não seguras

Quando a origem principal de uma página não é segura, a Visão geral de segurança mostra a mensagem Esta página não é segura.

Uma página não segura

Figura 2. Uma página não segura

Esse problema ocorre quando o URL que você visitou foi solicitado por HTTP. Para a segurança, é necessário solicitá-la por HTTPS. Por exemplo, se você olhar o URL na barra de endereço, ele provavelmente se parece com http://example.com. Para torná-lo seguro, o URL precisa ser https://example.com.

Se você já configurou o HTTPS no servidor, basta configurar o servidor para redirecionar todas as solicitações HTTP para HTTPS para corrigir esse problema.

Se você não tiver o HTTPS configurado no servidor, o Let's Encrypt oferece uma maneira gratuita e relativamente fácil de iniciar o processo. Ou você pode hospedar seu site em um CDN. A maioria das principais CDNs hospeda sites em HTTPS por padrão.

Conteúdo misto

Conteúdo misto significa que a origem principal de uma página é segura, mas a página solicitou recursos de origens não seguras. Páginas de conteúdo misto são apenas parcialmente protegidas porque o conteúdo HTTP é acessível a detectores e vulnerável a ataques "man-in-the-middle".

Conteúdo misto.

Figura 3. Conteúdo misto

Na Figura 3, clicar em Exibir 1 solicitação no painel Rede abre o painel Rede e aplica o filtro mixed-content:displayed para que o Registro de rede mostre apenas recursos não seguros.

Recursos mistos no registro de rede.

Figura 4. Recursos mistos no registro de rede

Ver detalhes

Mostrar certificado de origem principal

Na Visão geral de segurança, clique em Ver certificado para inspecionar rapidamente o certificado da origem principal.

Um certificado de origem principal.

Figura 5. Um certificado de origem principal

Mais detalhes da origem

Clique em uma das entradas no menu à esquerda para conferir os detalhes da origem. Na página de detalhes, é possível conferir informações de conexão e certificado. As informações de transparência do certificado também são exibidas quando disponíveis.

Principais detalhes da origem.

Figura 6. Principais detalhes da origem