.
O Google aprimorou seu serviço Navegação segura para permitir proteção em tempo real no Chrome para desktop, iOS e, em breve, Android contra sites arriscados, sem enviar dados do histórico de navegação para o setor de publicidade.
A Navegação segura é uma API não comercial do Google que permite que aplicativos clientes pesquisem sites em um banco de dados para ver se eles representam um risco conhecido. Está disponível em dois sabores, Standard e Enhanced.
Até o momento, a versão Padrão funcionou a partir de uma lista de sites suspeitos armazenada localmente, o que limita a abrangência dos dados à data da última atualização da lista.
A versão aprimorada oferece proteção mais ampla usando pesquisas de URL em tempo real e aprendizado de máquina, embora envie informações ao Google – que o titã da tecnologia diz “só são usadas para fins de segurança”.
Doravante, a versão padrão da Navegação segura oferecerá suporte à pesquisa de dados em tempo real, mas sem enviar dados do histórico de navegação de volta ao Google. Graças às regras de privacidade na Europa e noutros lugares, os protocolos de preservação da privacidade são agora apostas de mesa.
Em uma postagem no blog, Jasika Bawa, Google Chrome Security, Xinghui Lu, Google Chrome Security, Jonathan Li, Google Safe Browsing, e Alex Wozniak, Google Safe Browsing, explicam que a lista armazenada localmente de sites suspeitos é atualizada a cada 30 a 60 minutos. usando verificações baseadas em hash, mas isso não é mais adequado.
“Os sites inseguros adaptaram-se – hoje, a maioria deles existe durante menos de 10 minutos, o que significa que, no momento em que a lista armazenada localmente de sites inseguros conhecidos é atualizada, muitos já escaparam e tiveram a oportunidade de causar danos se os utilizadores por acaso visitá-los durante esta janela de oportunidade”, dizem eles.
Além disso, observam os Googlers, o tamanho da lista local e a necessidade de manter a conectividade para atualizações podem representar um desafio para dispositivos com recursos limitados ou com acesso intermitente à rede.
Portanto, no Chrome para desktop e iOS, e no Android no final deste mês, o nível Padrão de Navegação Segura receberá proteção em tempo real que preserva a privacidade. Isso requer algumas melhorias técnicas, como a implementação de um mecanismo assíncrono para evitar que chamadas de rede bloqueiem o carregamento de páginas e prejudiquem a experiência do usuário.
O sistema funciona primeiro examinando um arquivo de cache local para ver se o URL do site a ser visitado é seguro. Caso não seja encontrado, é feita uma verificação em tempo real. O Chrome então cria um hash de 32 bytes do URL que é dividido em prefixos de hash de 4 bytes. Eles são criptografados e enviados para um servidor de privacidade Oblivious HTTP (OHTTP) operado pela Fastly (sim, vai para Fastly como um hash) que remove quaisquer identificadores de usuário em potencial e encaminha o resultado limpo para o servidor Google Safe Browsing. Este acordo nega ao Google dados que poderiam ser usados para correlacionar o comportamento de navegação com as verificações do site.
O servidor Navegação segura retorna hashes que correspondem ao seu banco de dados de hashes de sites inseguros e mostra um aviso ao usuário do Chrome, se necessário.
“Em última análise, a Navegação segura vê os prefixos de hash do seu URL, mas não o seu endereço IP, e o servidor de privacidade vê o seu endereço IP, mas não os prefixos de hash”, explicam Bawa, Lu, Li e Wozniak. “Nenhuma parte tem acesso à sua identidade e aos prefixos de hash. Como tal, sua atividade de navegação permanece privada.”
Além disso, o Google afirma que o Password Checkup no iOS agora sinalizará senhas fracas e reutilizadas, além de apontar senhas comprometidas. ®
.
