diff --git a/files/pt-br/web/security/index.html b/files/pt-br/web/security/index.html deleted file mode 100644 index e3ac4ffee7b985..00000000000000 --- a/files/pt-br/web/security/index.html +++ /dev/null @@ -1,13 +0,0 @@ ---- -title: Segurança Web -slug: Web/Security -tags: - - Segurança - - Web -translation_of: Web/Security ---- -

Assegurar-se de que seu website ou sua aplicação web aberta esteja segura é um ponto crucial. Até pequenos bugs no seu código podem resultar em vazamento de informações privadas e há muita gente mal intencionada por aí tentando encontrar meios de roubar dados. Estes artigos contêm informações que podem ajudá-lo a manter seu código seguro.

- -

{{LandingPageListSubpages}}

- -

{{QuickLinksWithSubpages}}

diff --git a/files/pt-br/web/security/index.md b/files/pt-br/web/security/index.md new file mode 100644 index 00000000000000..3e32c2d0a6f0c5 --- /dev/null +++ b/files/pt-br/web/security/index.md @@ -0,0 +1,13 @@ +--- +title: Segurança Web +slug: Web/Security +tags: + - Segurança + - Web +translation_of: Web/Security +--- +Assegurar-se de que seu website ou sua aplicação web aberta esteja segura é um ponto crucial. Até pequenos bugs no seu código podem resultar em vazamento de informações privadas e há muita gente mal intencionada por aí tentando encontrar meios de roubar dados. Estes artigos contêm informações que podem ajudá-lo a manter seu código seguro. + +{{LandingPageListSubpages}} + +{{QuickLinksWithSubpages}} diff --git a/files/pt-br/web/security/securing_your_site/index.html b/files/pt-br/web/security/securing_your_site/index.html deleted file mode 100644 index 3b72ab649578c5..00000000000000 --- a/files/pt-br/web/security/securing_your_site/index.html +++ /dev/null @@ -1,49 +0,0 @@ ---- -title: Deixando seu site seguro -slug: Web/Security/Securing_your_site -tags: - - Desenvolvimento Web - - HTTP - - Segurança - - TopicStub -translation_of: Web/Security/Securing_your_site ---- -

Há várias coisas que você pode fazer para ajudar na segurança do seu site. Esse artigo oferece uma série de sugestões, bem como links para outros artigos fornecendo informações mais úteis.

- -
Nota: Esse artigo é um trabalho em progresso e não está nem completo nem as sugestões a seguir irão garantir que seu site será completamente seguro.
- -

Segurança da informação do usuário

- -
-
Como desligar o formulário de preenchimento automático
-
Campos de formulário têm preenchimento automático no Gecko, isto é, seus valores podem ser lembrados e automaticamente trazidos de volta na próxima vez que o usuário visitar seu site. Para certos tipos de dados, você pode querer desativar essa funcionalidade.
-
Privacidade e o seletor :visited
-
Esse artigo discute mudanças feitas no método getComputedStyle() que eliminam a habilidade de sites maliciosos de descobrir o histórico do navegador de usuários.
-
- -

Segurança de conteúdo

- -
-
Configurar corretamente os tipos de MIME do servidor
-
Há várias formas para que tipos incorretos de MIME causem potenciais problemas de segurança no seu site. Esse artigo explica alguns deles e mostra como configurar seu servidor para fornecer arquivos com os tipos corretos de MIME.
-
HTTP Strict Transport Security
-
-

O cabeçalho HTTP Strict-Transport-Security: permite a um site especificar que somente pode ser acessado usando HTTPS.

-
-
Controle de acesso HTTP
-
O padrão Cross-Origin Resource Sharing fornece uma forma de especificar qual conteúdo pode ser carregado de outros domínios. Você pode usar isso para prevenir seu site de ser usado impropriamente; além disso, você pode usá-lo para estabelecer recursos que outros sites são expressamente permitidos de usar.
-
Política de Segurança de Conteúdo
-
Uma camada de segurança adicionada que ajuda a detectar e evitar certos tipos de ataques, incluindo Cross Site Scripting (XSS) e ataques de injeção de dados. Esses ataques são usado para tudo, desde roubo de dados até desfiguração de página ou distribuição de malware.
-
O cabeçalho de resposta X-FRAME-OPTIONS
-
-

O cabeçalho de resposta HTTP X-Frame-Options: pode ser usado para indicar se um navegador deve ser autorizado a renderizar uma página ou não em um elemento {{ HTMLElement("frame") }}. Sites podem usar isso para evitar ataques do tipo clickjacking, garantindo que seus conteúdos não estão embutidos em outros sites.

-
-
Deixando seu site seguro usando o Htaccess
-
Aprenda a melhor maneira e quase todos os truques para deixar seu site seguro usando o arquivo .htaccess. Você pode colocar endereços IPs em blacklists, restringir o acesso a certas áreas do website, proteger diferentes arquivos, proteger contra hotlink de imagens e muito mais.
-
- -

Veja também

- - diff --git a/files/pt-br/web/security/securing_your_site/index.md b/files/pt-br/web/security/securing_your_site/index.md new file mode 100644 index 00000000000000..7e3a6b4c3a375a --- /dev/null +++ b/files/pt-br/web/security/securing_your_site/index.md @@ -0,0 +1,39 @@ +--- +title: Deixando seu site seguro +slug: Web/Security/Securing_your_site +tags: + - Desenvolvimento Web + - HTTP + - Segurança + - TopicStub +translation_of: Web/Security/Securing_your_site +--- +Há várias coisas que você pode fazer para ajudar na segurança do seu site. Esse artigo oferece uma série de sugestões, bem como links para outros artigos fornecendo informações mais úteis. + +> **Nota:** Esse artigo é um trabalho em progresso e não está nem completo nem as sugestões a seguir irão garantir que seu site será completamente seguro. + +## Segurança da informação do usuário + +- [Como desligar o formulário de preenchimento automático](/en/How_to_Turn_Off_Form_Autocompletion "en/How to Turn Off Form Autocompletion") + - : Campos de formulário têm preenchimento automático no Gecko, isto é, seus valores podem ser lembrados e automaticamente trazidos de volta na próxima vez que o usuário visitar seu site. Para certos tipos de dados, você pode querer desativar essa funcionalidade. +- [Privacidade e o seletor :visited](/en/CSS/Privacy_and_the_:visited_selector "en/CSS/Privacy and the :visited selector") + - : Esse artigo discute mudanças feitas no método `getComputedStyle()` que eliminam a habilidade de sites maliciosos de descobrir o histórico do navegador de usuários. + +## Segurança de conteúdo + +- [Configurar corretamente os tipos de MIME do servidor](/en/Properly_Configuring_Server_MIME_Types "en/Properly Configuring Server MIME Types") + - : Há várias formas para que tipos incorretos de MIME causem potenciais problemas de segurança no seu site. Esse artigo explica alguns deles e mostra como configurar seu servidor para fornecer arquivos com os tipos corretos de MIME. +- [HTTP Strict Transport Security](/en/Security/HTTP_Strict_Transport_Security "en/Security/HTTP Strict Transport Security") + - : O cabeçalho [HTTP](/en/HTTP "en/HTTP") `Strict-Transport-Security:` permite a um site especificar que somente pode ser acessado usando HTTPS. +- [Controle de acesso HTTP](/En/HTTP_access_control "En/HTTP access control") + - : O padrão _Cross-Origin Resource Sharing_ fornece uma forma de especificar qual conteúdo pode ser carregado de outros domínios. Você pode usar isso para prevenir seu site de ser usado impropriamente; além disso, você pode usá-lo para estabelecer recursos que outros sites são expressamente permitidos de usar. +- [Política de Segurança de Conteúdo](/en/Security/CSP "en/Security/CSP") + - : Uma camada de segurança adicionada que ajuda a detectar e evitar certos tipos de ataques, incluindo _Cross Site Scripting_ (XSS) e ataques de injeção de dados. Esses ataques são usado para tudo, desde roubo de dados até desfiguração de página ou distribuição de malware. +- [O cabeçalho de resposta X-FRAME-OPTIONS](/pt-BR/docs/Web/HTTP/X-Frame-Options "en/The X-FRAME-OPTIONS response header") + - : O cabeçalho de resposta [HTTP](/en/HTTP "en/HTTP") `X-Frame-Options:` pode ser usado para indicar se um navegador deve ser autorizado a renderizar uma página ou não em um elemento {{ HTMLElement("frame") }}. Sites podem usar isso para evitar ataques do tipo _clickjacking_, garantindo que seus conteúdos não estão embutidos em outros sites. +- [Deixando seu site seguro usando o Htaccess](https://wparena.com/how-to-secure-and-protect-wordpress-website-through-htaccess-file/ "en/Security/CSP") + - : Aprenda a melhor maneira e quase todos os truques para deixar seu site seguro usando o arquivo .htaccess. Você pode colocar endereços IPs em _blacklists_, restringir o acesso a certas áreas do website, proteger diferentes arquivos, proteger contra _hotlink_ de imagens e muito mais. + +## Veja também + +- [Projeto Open Web Application Security (OWASP)](http://www.owasp.org/) diff --git a/files/pt-br/web/security/securing_your_site/turning_off_form_autocompletion/index.html b/files/pt-br/web/security/securing_your_site/turning_off_form_autocompletion/index.html deleted file mode 100644 index 70e6e28f3c9c96..00000000000000 --- a/files/pt-br/web/security/securing_your_site/turning_off_form_autocompletion/index.html +++ /dev/null @@ -1,58 +0,0 @@ ---- -title: How to Turn Off Form Autocompletion -slug: Web/Security/Securing_your_site/Turning_off_form_autocompletion -tags: - - Desenvolvimento Web - - Formulário - - Seguranca(2) -translation_of: Web/Security/Securing_your_site/Turning_off_form_autocompletion ---- -

Este artigo explica como um Site da Web pode desabilitar a função autocompletar de campos de formulário.

- -

Por padrão, navegadores lembram da informação que o usuário envia através de campos de formulário em Sites da Web. Isto habilita o navegador a oferecer termos para autocompletar (ao usuário iniciar a digitação o navegador oferece sugestões para campos que o usuário tenha iniciado a digitação) ou auto preenchimento (o navegador pré popula os campos ao carregar a página.

- -

Estas funcionalidades de autocompletar podem gerar para os usuários preocupações quanto à privacidade. Por isso os navegadores permitem aos usuários que desabilitem essas funcionalidades, embora, por padrão, elas estejam habilitadas. Entretanto, alguns dados enviados em formulários não serão úteis no futuro (um número PIN, por exemplo), ou mesmo contém informações sensíveis (um número de documento ou um código de segurança de cartão de crédito, por exemplo). Um website deverá preferir que o navegador não se lembre de valores para estes tipos de campos, mesmo que a funcionalidade de autocompletar dos navegadores esteja ativa.

- -

Desabilitando o auto completar

- -

Para desabilitar o auto completar nos formulários, o Web Site precisa setar o atributo autocomplete para "off":

- -
autocomplete="off"
- -

O site pode fazer isso para um formulário inteiro ou para elementos input especificos do formulário:

- -
<form method="post" action="/form"  autocomplete="off">
-[...]
-</form>
- -
<form method="post" action="/form">
-  [...]
-  <div>
-    <label for="cc">Credit card:</label>
-    <input type="text" id="cc" name="cc" autocomplete="off">
-  </div>
-</form>
- -

O atributo autocomplete="off" tem dois efeitos:

- - - -

O atributo autocomplete e campos de login

- -

Navegadores modernos implementam gerenciamento de senhas integrado: quando o usuário preenche um usuário e senha para um site, o navegador se oferece para lembrar dos dados para o usuário. Quando o usuário visita o site novamente, o navegador preenche os campos de login automaticamente conforme os valores salvos por ele..

- -

Os navegadores também permitem ao usuário selecionar uma senha mestra para que os dados salvos sejam criptografados.

- -

Mesmo sem uma senha mestra, o gerenciamento de senhas dentro do navegador é geralmente vista como um ganho de segurança. Como os usuários não precisam se lembrar das senhas que o navegador salva para eles, eles podem escolher senhas mais fortes do que geralmente escolheriam.

- -

Por esta razão, muitos navegadores modernos não suportam autocomplete="off" para campos de login.

- - - -

Este comportamento existe no Firefox (desde a versão 38), Google Chrome (desde a versão 34), e Internet Explorer (desde a versão 11).

diff --git a/files/pt-br/web/security/securing_your_site/turning_off_form_autocompletion/index.md b/files/pt-br/web/security/securing_your_site/turning_off_form_autocompletion/index.md new file mode 100644 index 00000000000000..7c0514705879d1 --- /dev/null +++ b/files/pt-br/web/security/securing_your_site/turning_off_form_autocompletion/index.md @@ -0,0 +1,60 @@ +--- +title: How to Turn Off Form Autocompletion +slug: Web/Security/Securing_your_site/Turning_off_form_autocompletion +tags: + - Desenvolvimento Web + - Formulário + - Seguranca(2) +translation_of: Web/Security/Securing_your_site/Turning_off_form_autocompletion +--- +Este artigo explica como um Site da Web pode desabilitar a função autocompletar de campos de formulário. + +Por padrão, navegadores lembram da informação que o usuário envia através de campos de formulário em Sites da Web. Isto habilita o navegador a oferecer termos para autocompletar (ao usuário iniciar a digitação o navegador oferece sugestões para campos que o usuário tenha iniciado a digitação) ou auto preenchimento (o navegador pré popula os campos ao carregar a página. + +Estas funcionalidades de autocompletar podem gerar para os usuários preocupações quanto à privacidade. Por isso os navegadores permitem aos usuários que desabilitem essas funcionalidades, embora, por padrão, elas estejam habilitadas. Entretanto, alguns dados enviados em formulários não serão úteis no futuro (um número PIN, por exemplo), ou mesmo contém informações sensíveis (um número de documento ou um código de segurança de cartão de crédito, por exemplo). Um website deverá preferir que o navegador não se lembre de valores para estes tipos de campos, mesmo que a funcionalidade de autocompletar dos navegadores esteja ativa. + +## Desabilitando o auto completar + +Para desabilitar o auto completar nos formulários, o Web Site precisa setar o atributo `autocomplete` para "off": + +```html +autocomplete="off" +``` + +O site pode fazer isso para um formulário inteiro ou para elementos input especificos do formulário: + +```html +
+[...] +
+``` + +```html +
+ [...] +
+ + +
+
+``` + +O atributo `autocomplete="off"` tem dois efeitos: + +- Dirá para o navegador parar de salvar dados inseridos pelo usuário em formulários para um futuro _autocomplete_ (Isso varia de navegador para navegador). +- Isso fará o navegador parar de fazer caching dos dados do formulário na _session history_ do navegador. Quando um dado é armazenado no _cache_ no _session history_, os dados preenchidos pelo usuário serão mostrados para ele no caso dele submeter o formulário e clicar no botão Voltar e retornar à página original do formulário. + +## O atributo autocomplete e campos de login + +Navegadores modernos implementam gerenciamento de senhas integrado: quando o usuário preenche um usuário e senha para um site, o navegador se oferece para lembrar dos dados para o usuário. Quando o usuário visita o site novamente, o navegador preenche os campos de login automaticamente conforme os valores salvos por ele.. + +Os navegadores também permitem ao usuário selecionar uma senha mestra para que os dados salvos sejam criptografados. + +Mesmo sem uma senha mestra, o gerenciamento de senhas dentro do navegador é geralmente vista como um ganho de segurança. Como os usuários não precisam se lembrar das senhas que o navegador salva para eles, eles podem escolher senhas mais fortes do que geralmente escolheriam. + +Por esta razão, muitos navegadores modernos não suportam `autocomplete="off"` para campos de login. + +- se um site utiliza `autocomplete="off"` para um [`form`](/en-US/docs/Web/HTML/Element/form), e o formulário inclui campos de usuário e senha, então o navegador ainda assim se oferece para salvar os dados de login, e se o usuário aceitar, o navegador vai preencher estes dados automaticamente na próxima vez que o usuário visita a página. +- se um site utiliza `autocomplete="off"` para campos `input de usuário e senha` , então o navegador ainda assim se oferece para salvar os dados de login, e se o usuário aceitar, o navegador vai preencher estes dados automaticamente na próxima vez que o usuário visitar a página. + +Este comportamento existe no Firefox (desde a versão 38), Google Chrome (desde a versão 34), e Internet Explorer (desde a versão 11).