HSTS torna-se padrão da Internet

Um padrão de segurança recém aprovado como norma
para a Internet pelo Internet Engineering Task Force (IET) promete tornar os sites
baseados em HTTPS mais resistentes a vários tipos de ataques. O HTTP
Strict Transport Security (HSTS) permite aos sites de se declararem acessíveis apenas através de HTTPS (HTTP Secure) .

O padrão foi projetado para impedir que hackers forcem as conexões dos
utilizadores através de HTTP, ou tirem partido de erros nas implantações
HTTPS, para comprometer a integridade do conteúdo. Apesar do suporte de
alguns sites de alto tráfego, a adoção ainda está pouco disseminada.

O Internet Engineering Task Force (IETF), órgão responsável por
desenvolver e promover normas para a Internet, publicou a especificação HSTS
como um documento de oficial, o RFC 6797, na última
segunda-feira. O grupo trabalho do IETF focado em segurança já trabalhava nele desde 2010, quando foi apresentado como por
Jeff Hodges, da PayPal, Collin Jackson, da Carnegie Mellon University e
Adam Barth, da Google.

A norma HSTS foi concebida para impedir que os chamados problemas de
conteúdo misto afetem a segurança e a integridade de sites HTTPS.
Situações de conteúdo misto ocorrem quando os “scripts” ou outros
recursos incorporados às páginas de sites HTTPS são carregados a partir de um
terceiro local (exterior ao site) através de uma conexão insegura. Isto
pode ser o resultado de um erro de desenvolvimento, mas pode ser
intencional.

Quando o browser carrega o recurso inseguro faz uma solicitação
através do HTTP e também pode enviar junto “cookies” de sessão do usuário. Um atacante capaz de interceptar o pedido através de
técnicas de “sniffing” pode usar o “cookie” para atacar a conta do usuário.

O mecanismo HSTS também previne ataques de interceptação de
comunicações (“man-in-the-middle”). Nestes casos os atacantes estão em
posição para interceptar a conexão do usuário com um site e forçam
o browser a acessar a versão HTTP do site em vez da versão HTTPS. A técnica é
conhecida como HTTPS ou SSL “stripping”, e há ferramentas disponíveis
para automatizá-la.

Segundo alguns profissionais, o HSTS é uma das
melhores coisas que aconteceram para o protocolo SSL. Corrige alguns dos erros cometidos quando o SSL foi
originalmente concebido, há 18 anos. Mas também aborda as mudanças
registradas desde então, referentes à forma como os browsers funcionam
hoje.

O HSTS, por exemplo, não depende de avisos de certificado.
Se for detectado um problema com a implementação HTTPS, o navegador
simplesmente recusa a conexão e não oferece aos usuários a
oportunidade mudar essa decisão.

Problemas

O padrão já é um grande avanço, mas problemas ainda existem. Mesmo com HSTS ativados em um site, ainda há uma pequena oportunidade para
ataques quando o navegador visita o site pela primeira vez, quando a
política HSTS implementada ainda não foi salva por ele. Nesse ponto, um invasor pode impedi-lo de chegar à versão HTTPS do site e forçar o uso da versão HTTP do site. Para resolver esta questão, navegadores como o Chrome e o Firefox
vem com listas de sites populares que suportam o HSTS pré-carregadas.

Há ainda problemas de implementação entre os poucos sites que já suportam HSTS, segundo Ivan Ristic, diretor de engenharia da empresa de segurança Qualys. Alguns deles especificam um período de validade muito
curto para suas políticas de
HSTS. “Para o HSTS para ser útil os registros devem ser válidos por meses, não apenas por dias”, diz Ristic.

Ele não acredita que HSTS se torne um padrão de fato antes de atingir melhores níveis de adoção.
Operadores de sites têm sido tradicionalmente oportunistas na implementação de tecnologias que funcionem para eles, independentemente de serem um
padrão ou não. “Acho que o maior problema com HSTS será a educação para o uso”, afirma Ristic. “As pessoas precisam saber que ele existe”.

Entre os sites populares que apoiam HSTS no momento estão o PayPal, o Twitter e vários serviços do Google. O Facebook está em processo de implantação do HTTPS em todo seu site , mas ainda não suporta HSTS.