From 2c2df5ea01eb5cd8b9ea226b2869337e59c5fe3e Mon Sep 17 00:00:00 2001 From: Florian Merz Date: Thu, 11 Feb 2021 14:50:24 +0100 Subject: unslug pt-pt: move --- files/pt-pt/web/seguranca/index.html | 16 -- .../seguranca/palavras-passe_inseguras/index.html | 157 ------------ .../web/seguranca/same-origin_policy/index.html | 263 --------------------- 3 files changed, 436 deletions(-) delete mode 100644 files/pt-pt/web/seguranca/index.html delete mode 100644 files/pt-pt/web/seguranca/palavras-passe_inseguras/index.html delete mode 100644 files/pt-pt/web/seguranca/same-origin_policy/index.html (limited to 'files/pt-pt/web/seguranca') diff --git a/files/pt-pt/web/seguranca/index.html b/files/pt-pt/web/seguranca/index.html deleted file mode 100644 index 4a555a18f6..0000000000 --- a/files/pt-pt/web/seguranca/index.html +++ /dev/null @@ -1,16 +0,0 @@ ---- -title: Segurança da Web -slug: Web/Seguranca -tags: - - Landing - - Segurança - - Web -translation_of: Web/Security ---- -
-

É crítico assegurar que o seu site da Web ou aplicação da Web aberta é segura. Até erros simples no seu código podem resultar na divulgação de informação privada, e as pessoas más estão por aí a tentar encontrar meios para roubar dados. Estes articgos proporcionam informação que poderá ajudá-lo a proteger o seu código code.

-
- -

{{LandingPageListSubpages}}

- -

{{QuickLinksWithSubpages}}

diff --git a/files/pt-pt/web/seguranca/palavras-passe_inseguras/index.html b/files/pt-pt/web/seguranca/palavras-passe_inseguras/index.html deleted file mode 100644 index 239618d225..0000000000 --- a/files/pt-pt/web/seguranca/palavras-passe_inseguras/index.html +++ /dev/null @@ -1,157 +0,0 @@ ---- -title: Palavras-passe inseguras -slug: Web/Seguranca/Palavras-passe_inseguras -tags: - - Insegura - - Intermediária - - Segurança - - Web - - palavra-passe - - palavras-passe -translation_of: Web/Security/Insecure_passwords ---- -

Apresentar formulários de sessão usando protocolo HTTP é especialmente perigoso por causa da grande variedade de ataques que podem ser utilizados ​​contra os mesmos para extrair a palavra-passe de um utilizador. As escutas ocultas de rede podem roubar a palavra-passe de um utilizador ao "farejar" a rede ou modificar a página servida no tráfego. Esta página detalha os mecanismos de segurança que o Firefox criou para alertar os utilizadores e programadores dos riscos que envolvem as palavras-passe inseguras e o roubo da mesma.

- -

O protocolo HTTPS foi desenhado para proteger os dados dos utilizadores de escutas (confidencialidade) e modificação (integridade) na rede. As páginas que lidam com dados de utilizador, deveriam idealmente usar HTTPS para proteger os utilizadores de ataques. Caso uma página use HTTP em vez de HTTPS, roubar informação acerca do utilizador (como os dados de autenticação) é um processo trivial. Esta técnica ficou famosamente demonstrada por Firesheep.

- -

Para resolver este problema, é necessário instalar e configurar um certificado SSL/TLS no servidor onde está alojada a página. Existem vários emissores deste tipo de certificados sendo que uns são grátis e outros pagos. Se está a usar uma plataforma cloud, é possível que a mesma tenha as suas próprias maneiras de ativar o protocolo HTTPS.

- -

Indicadores de segurança de palavra-passe do Firefox

- -

Para o informar do perigo descrito acima, o Firefox implementa vários mecanismos de aviso:

- -
    -
  1. -

    Firefox 51+ mostrará o símbolo de um cadeado com um traço vermelho na barra de endereços sempre que uma página de autenticação não tenha uma ligação segura, como demonstrado abaixo.

    - -

    Lock Icon

    -
    2. -
  2. -

    Firefox 52+ mostrará um aviso claro na barra de endereço e mais abaixo, focará o campo de introdução da password em qualquer formulário inseguro:

    - -

    Warning

    -
    3. -
  3. -

    Firefox 52+ também desabilita o preenchimento automático em formulários inseguros. No entanto, a partir da caixa de seleção, os utilizadores continuam a poder utilizar o preenchimento automático caso tenham os seus dados de autenticação gravados.

    -
    4. -
  4. -

    Avisos acerca de formulários inseguros também podem ser encontrados no separador "Segurança" da consola de programador em todas as versões distribuídas de Firefox, como demonstrado na próxima secção.

    -
    5. -
- -

Mensagens da Consola da Web

- -

Esta secção descreve as mensagens de segurança mostradas pela consola de programador das Firefox DevTools (ferramentas de desenvolvimento), acerca de passwords inseguras.

- -

Apresentando o formulário de sessão usando protocolo HTTP

- -

Mesmo que a acção do formulário seja um endereço HTTPS, a informação introduzida no formulário pelo utilizador não está protegida porque um possível atacante pode modificar a própria página que o utilizador consulta (por exemplo, os atacantes podem mudar o destino do formulário de forma a que os dados sensíveis sejam enviados para um servidor por eles controlados, ou inserir um script de leitura de teclas que desenha a password enquanto o utilizador a escreve). O separador de segurança da consola de programador web avisará os programadores e utilizadores acerca desta preocupação de segurança:

- -

Insecure login form shown with the Web Console and contextual warning on the password field.

- -
-

Nota: Também não é seguro incluir uma página de autenticação recorrendo a HTTPS numa página HTTP - um atacante pode alterar a frame e respetivo endereço para apontar para um outro endereço, possivelmente malicioso.

-
- -

Utilizar um URL HTTP na acção do formulário

- -

Neste caso, quaisquer dados que o utilizador introduza é enviado pela rede como sendo apenas texto básico. A password do utilizador é claramente visível para qualquer pessoa que "fareje" a rede desde o momento em que deixa o computador do utilizador até ao momento em que chega ao servidor onde se encontra alojado o website de destino.

- -

Insecure login form action shown with the Web Console and contextual warning on the password field.

- -

Nota sobre a reutilização de palavra-passe

- -

Por vezes, as páginas requerem nomes de utilizador e palavras-passe, mas não guardam dados que sejam particularmente sensíveis. Por exemplo, uma página de notícias pode gravar quais os anúncios que um utilizador queira voltar a rever e ler, sem guardar quaisquer dados acerca deste utilizador. Os programadores web deste tipo de páginas poderão estar menos preocupados a promover a segurança desta página e dos dados dos seus utilizadores.

- -

Infelizmente, a reutilização de palavras-passe é um grande problema. Os utilizadores tendem a utilizar a mesma palavra-passe para aceder a múltiplas páginas (seja de notícias, redes sociais, serviços de email, bancos, etc.). Por essa razão, mesmo que o acesso ao utilizador e palavra-passe do seu site não lhe pareça um enorme risco, é um grande risco para utilizadores que usem esse mesmo nome de utilizador e palavra-passe para aceder, por exemplo, às suas contas bancárias. Os atacantes estão a tornar-se cada vez mais espertos; roubam pares de nomes de utilizador/palavra-passe de um site, e tentam reusá-los em sites mais lucrativos.

- -

Consulte também

- - - -

{{QuickLinksWithSubpages("/en-US/docs/Web/Security")}}

- -
- - - - - -
diff --git a/files/pt-pt/web/seguranca/same-origin_policy/index.html b/files/pt-pt/web/seguranca/same-origin_policy/index.html deleted file mode 100644 index a6ebc31ad6..0000000000 --- a/files/pt-pt/web/seguranca/same-origin_policy/index.html +++ /dev/null @@ -1,263 +0,0 @@ ---- -title: Same-origin policy -slug: Web/Seguranca/Same-origin_policy -translation_of: Web/Security/Same-origin_policy ---- -
{{QuickLinksWithSubpages("/en-US/docs/Web/Security")}}
- -

The same-origin policy is a critical security mechanism that restricts how a document or script loaded from one {{Glossary("origin")}} can interact with a resource from another origin. It helps isolate potentially malicious documents, reducing possible attack vectors.

- -

Definição de uma Origem

- -

Duas URL tem a  mesma origem se o {{Glossary("protocol")}}, {{Glossary("port")}} (if specified), and {{Glossary("host")}} are the same for both. You may see this referenced as the "scheme/host/port tuple", or just "tuple". (A "tuple" is a set of items that together comprise a whole — a generic form for double/triple/quadruple/quintuple/etc.)

- -

The following table gives examples of origin comparisons with the URL http://store.company.com/dir/page.html:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
URLOutcomeReason
http://store.company.com/dir2/other.htmlSame originOnly the path differs
http://store.company.com/dir/inner/another.htmlSame originOnly the path differs
https://store.company.com/page.htmlFailureDifferent protocol
http://store.company.com:81/dir/page.htmlFailureDifferent port (http:// is port 80 by default)
http://news.company.com/dir/page.htmlFailureDifferent host
- -

Inherited origins

- -

Scripts executed from pages with an about:blank or javascript: URL inherit the origin of the document containing that URL, since these types of URLs do not contain information about an origin server.

- -
-

For example, about:blank is often used as a URL of new, empty popup windows into which the parent script writes content (e.g. via the {{domxref("Window.open()")}} mechanism). If this popup also contains JavaScript, that script would inherit the same origin as the script that created it.

-
- -
-

data: URLs get a new, empty, security context.

-
- -

Exceptions in Internet Explorer

- -

Internet Explorer has two major exceptions to the same-origin policy:

- -
-
Trust Zones
-
If both domains are in the highly trusted zone (e.g. corporate intranet domains), then the same-origin limitations are not applied.
-
Port
-
IE doesn't include port into same-origin checks. Therefore, https://company.com:81/index.html and https://company.com/index.html are considered the same origin and no restrictions are applied.
-
- -

These exceptions are nonstandard and unsupported in any other browser.

- -

Changing origin

- -

A page may change its own origin, with some limitations. A script can set the value of {{domxref("document.domain")}} to its current domain or a superdomain of its current domain. If set to a superdomain of the current domain, the shorter superdomain is used for same-origin checks.

- -

For example, assume a script from the document at http://store.company.com/dir/other.html executes the following:

- -
document.domain = "company.com";
-
- -

Afterward, the page can pass the same-origin check with http://company.com/dir/page.html (assuming http://company.com/dir/page.html sets its document.domain to "company.com" to indicate that it wishes to allow that - see {{domxref("document.domain")}} for more). However, company.com could not set document.domain to othercompany.com, since that is not a superdomain of company.com.

- -

The port number is checked separately by the browser. Any call to document.domain, including document.domain = document.domain, causes the port number to be overwritten with null. Therefore, one cannot make company.com:8080 talk to company.com by only setting document.domain = "company.com" in the first. It has to be set in both so their port numbers are both null.

- -
-

Note: When using document.domain to allow a subdomain to access its parent securely, you need to set document.domain to the same value in both the parent domain and the subdomain. This is necessary even if doing so is simply setting the parent domain back to its original value. Failure to do this may result in permission errors.

-
- -

Cross-origin network access

- -

The same-origin policy controls interactions between two different origins, such as when you use {{domxref("XMLHttpRequest")}} or an {{htmlelement("img")}} element. These interactions are typically placed into three categories:

- - - -

Here are some examples of resources which may be embedded cross-origin:

- - - -

How to allow cross-origin access

- -

Use CORS to allow cross-origin access. CORS is a part of {{Glossary("HTTP")}} that lets servers specify what hosts are permitted to load content from that server.

- -

How to block cross-origin access

- - - -

Cross-origin script API access

- -

JavaScript APIs like {{domxref("HTMLIFrameElement.contentWindow", "iframe.contentWindow")}}, {{domxref("window.parent")}}, {{domxref("window.open")}}, and {{domxref("window.opener")}} allow documents to directly reference each other. When two documents do not have the same origin, these references provide very limited access to {{domxref("Window")}} and {{domxref("Location")}} objects, as described in the next two sections.

- -

To communicate between documents from different origins, use {{domxref("window.postMessage")}}.

- -

Specification: HTML Living Standard § Cross-origin objects.

- -

Window

- -

The following cross-origin access to these Window properties is allowed:

- - - - - - - - - - - - - - - - - - - - - -
Methods
{{domxref("window.blur")}}
{{domxref("window.close")}}
{{domxref("window.focus")}}
{{domxref("window.postMessage")}}
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Attributes
{{domxref("window.closed")}}Read only.
{{domxref("window.frames")}}Read only.
{{domxref("window.length")}}Read only.
{{domxref("window.location")}}Read/Write.
{{domxref("window.opener")}}Read only.
{{domxref("window.parent")}}Read only.
{{domxref("window.self")}}Read only.
{{domxref("window.top")}}Read only.
{{domxref("window.window")}}Read only.
- -

Some browsers allow access to more properties than the above.

- -

Location

- -

The following cross-origin access to Location properties is allowed:

- - - - - - - - - - - - -
Methods
{{domxref("location.replace")}}
- - - - - - - - - - - - - - -
Attributes
{{domxref("URLUtils.href")}}Write-only.
- -

Some browsers allow access to more properties than the above.

- -

Cross-origin data storage access

- -

Access to data stored in the browser such as Web Storage and IndexedDB are separated by origin. Each origin gets its own separate storage, and JavaScript in one origin cannot read from or write to the storage belonging to another origin.

- -

{{glossary("Cookie", "Cookies")}} use a separate definition of origins. A page can set a cookie for its own domain or any parent domain, as long as the parent domain is not a public suffix. Firefox and Chrome use the Public Suffix List to determine if a domain is a public suffix. Internet Explorer uses its own internal method to determine if a domain is a public suffix. The browser will make a cookie available to the given domain including any sub-domains, no matter which protocol (HTTP/HTTPS) or port is used. When you set a cookie, you can limit its availability using the Domain, Path, Secure, and HttpOnly flags. When you read a cookie, you cannot see from where it was set. Even if you use only secure https connections, any cookie you see may have been set using an insecure connection.

- -

See also

- - - -
-

Original Document Information

- - -
-- cgit v1.2.3-54-g00ecf