Bloqueio de conteúdo misto no Firefox

Nota: Por favor, atualize a sua versão do Firefox para disfrutar estes recursos mais recentes.

Quando visita uma página da Web onde é suposto que seja completamente segura, mas que contém conteúdos inseguros, o Firefox bloqueia os conteúdos inseguros e apresenta um ícone de um escudo na barra de endereço. Iremos explicar o que são conteúdos mistos, os motivos pelos quais o Firefox os bloqueia e que opções tem.

Insecure1 34 - Win

Insecure1 39 - Lin en

O que é o conteúdo misto?

O HTTP é um sistema para transmitir informação de um servidor Web para o seu navegador. O HTTP não é seguro pelo que, quando visita uma página disponibilizada sob HTTP, a sua ligação pode ser espiada e está vulnerável a ataques de terceiros (man-in-the-middle, em referência ao atacante que interceta os dados). A maioria dos sites são disponibilizados sobre HTTP pois não envolvem troca de informações sensíveis nos dois sentidos e não necessitam de ser seguros.

Quando visita uma página completamente disponibilizada sob HTTPS, como o seu banco, irá ver o ícone de um cadeado verde na barra de endereço (consulte Como é que sei se a minha ligação a um website está protegida? para detalhes). Isto significa que a sua ligação é autenticada e encriptada e assim protegida de terceiros e de ataques man-in-the-middle.

No entanto, se a página HTTPS que visitar incluir conteúdo HTTP (não protegido), a porção HTTP pode ser lida ou modificada por atacantes, mesmo que a página seja disponibilizada sob HTTPS. Quando uma página HTTPS tem conteúdo HTTP, chamamos a isso conteúdo “misto”. A página que está a visitar é encriptada apenas parcialmente e, apesar de parecer ser segura, não é.

Nota: Para mais informações sobre conteúdo misto (ativo e passivo), consulte este artigo.

Quais são os riscos do conteúdo misto?

Um atacante pode substituir o conteúdo HTTP na página que está a visitar com o objetivo de roubar as suas credenciais, invadir a sua conta, obter informações sensíveis sobre si, alterar os conteúdos da página ou tentar instalar software malicioso no seu computador.

Que opções é que eu tenho?

A maioria dos websites continuará a funcionar normalmente sem qualquer ação da sua parte.

Se necessitar de permitir que o conteúdo misto seja carregado, apresentado ou executado, pode fazer isto facilmente:

  • Clique no ícone de escudo Mixed Content Shield na barra de endereços, clique em Opções e escolha Desativar proteção por agora.
Insecure2 34 - Win

Insecure2 39 - Lin en

  • O ícone na barra de endereços mudará para um triângulo de aviso cor de laranja Warning Identity Icon para lembrá-lo de que conteúdo inseguro está a ser apresentado.

Quando está a ser apresentado conteúdo inseguro, o ícone do escudo tem um risco vermelho por cima. Para voltar a bloquear conteúdos mistos, clique novamente no ícone do escudo, clique em Opções e escolha Ativar proteção.

Insecure3 34 - Win

Insecure3 39 - Lin en Os conteúdos serão novamente e automaticamente bloqueados quando visitar outro website no separador atual e quando retrocede ou revisita o website num novo separador.

O ícone é um triângulo cinzento

Mixed passive content

Mixed passive content fx39 Linux en Apenas a parte potencialmente prejudicial do conteúdo HTTP é bloqueada; por isso, alguns websites poderão ter ainda algum conteúdo HTTP (tais como imagens, vídeo ou áudio). Nesse caso, a ligação entre o Firefox e o website está ainda parcialmente encriptada e não deverá ser considerada segura contra espionagem; daí o ícone de triângulo cinzento.

O Firefox protege-o de ataques bloqueando conteúdo potencialmente perigoso e inseguro em páginas da Web que, supostamente, deviam ser seguras. Continue a ler para saber mais conteúdo misto e para saber se o Firefox o bloqueou.

O que é o conteúdo misto?

O HTTP é um sistema para transmitir informação de um servidor Web para o seu navegador. O HTTP não é seguro pelo que, quando visita uma página disponibilizada sob HTTP, a sua ligação pode ser espiada e está vulnerável a ataques de terceiros (man-in-the-middle, em referência ao atacante que interceta os dados). A maioria dos sites são disponibilizados sobre HTTP pois não envolvem troca de informações sensíveis nos dois sentidos e não necessitam de ser seguros.

Quando visita uma página completamente disponibilizada sob HTTPS, como o seu banco, irá ver o ícone de um cadeado verde na barra de endereço (consulte Como é que sei se a minha ligação a um website está protegida? para detalhes). Isto significa que a sua ligação é autenticada e encriptada e assim protegida de terceiros e de ataques man-in-the-middle.

No entanto, se a página HTTPS que visitar incluir conteúdo HTTP (não protegido), a porção HTTP pode ser lida ou modificada por atacantes, mesmo que a página seja disponibilizada sob HTTPS. Quando uma página HTTPS tem conteúdo HTTP, chamamos a isso conteúdo “misto”. A página que está a visitar é encriptada apenas parcialmente e, apesar de parecer ser segura, não é.

Nota: Para mais informações sobre conteúdo misto (ativo e passivo), consulte este artigo.

Quais são os riscos do conteúdo misto?

Um atacante pode substituir o conteúdo HTTP na página que está a visitar com o objetivo de roubar as suas credenciais, invadir a sua conta, obter informações sensíveis sobre si, alterar os conteúdos da página ou tentar instalar software malicioso no seu computador.

Como saber se uma página tem conteúdo misto?

Olhe para um ícone na sua barra de endereço para determinar se a página tem conteúdo misto.

mixed content icon url 42

Sem conteúdo misto: seguro

  • green lock 42 : Irá ver um cadeado verde quando está numa página totalmente segura que não tenta carregar quaisquer elementos inseguros.

Conteúdo misto bloqueado: seguro

  • blocked secure 42 : Irá ver um cadeado verde com um triângulo de aviso cinzento quando o Firefox bloqueou quaisquer elementos inseguros na página. Isto significa que a página é, agora, segura. Clique no ícone para expandir o Centro de Controlo e consulte mais detalhes de segurança acerca dessa página.

Conteúdo misto não-bloqueado: não-seguro

  • unblocked mixed content 42 : Quando estiver a ver um cadeado com uma linha vermelha sobre o mesmo, o Firefox não está a bloquear elementos inseguros e a página pode ser intercetada por terceiros e pode ser alvo de ataques onde os seus dados pessoas do site podem ser furtados. A menos que tenha desbloqueado o conteúdo misto utilizando as instruções da próxima secção, não devia ver este ícone.
  • orange triangle grey lock 42 : Um cadeado cinzento com um triângulo laranja indica que o Firefox não está a bloquear conteúdo inseguro passivo. Atacantes poderão manipular partes da página para, por exemplo, apresentarem conteúdos enganadores ou inapropriados, mas não serão capazes de roubar os seus dados pessoais do site.

Desbloquear o conteúdo misto

O desbloqueio de elementos inseguros não é recomendado, mas pode ser feito se necessário:

  1. Clique no ícone do cadeado na barra de endereço.
  2. Clique na seta no Centro de Controlo:
    unblock mixed content 42
  3. Clique em Desativar proteção por agora.
    disable protection 42

Para ativar a proteção, siga os passos anteriores e clique em Ativar proteção.

Aviso: Desbloquear o conteúdo misto pode deixá-lo vulnerável a ataques.
Programadores: Se o seu website está a gerar erros de segurança devido a conteúdos inseguros, consulte este artigo na Rede de Programadores da Mozilla sobre como corrigir um website com conteúdo misto.

Este artigo foi útil? Por favor, aguarde...

Essas pessoas maravilhosas ajudaram a escrever este artigo: cesperanc, Tagnazo, albertdecastro. Você também pode ajudar - descubra como.