O meu site é mais seguro que o site do teu banco

Rui Cruz
Criado a

Todos os sites que não tenham certificados SSL são inseguros, diz o Google. Mas será que só um certificado SSL chega? Não.

Há coisas mais importantes que um certificado SSL. Por exemplo, que o certificado te proteja contra ataques informáticos e que mantenha as coisas realmente seguras, sem tretas. Só o SSL por si só é mandar areia para os olhos da malta.

Em termos técnicos, existem 7 cabeçalhos (headers) que devem ser enviados num pedido ao servidor (request) que determinam a segurança de um website. Alias, são mais até, mas os  principais 7 são os seguintes: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options,  Referrer-Polic e Feature-Policy. Uma pesquisa no Google por estas palavras-chave dá-vos uma explicação do que são.

Agora vejamos, o meu site é um blog de um simples gajo dono de um órgão de comunicação social. Não sou mais que ninguém. Não tem pagamentos online, não mexe com dinheiros, enfim, é apenas um blog pessoal.  Mas será que os bancos, aqueles que mexem com o teu dinheiro, estão seguros ?

Recebe novos posts por e-mail

Como vocês podem ver, o meu site tem um A (o máximo è A+). E só não tem um A+ porque algumas funcionalidades não devemos ativar por estar num servidor partilhado (que é meu, mas partilhado com outros sites). Mas num banco um servidor próprio é o mínimo que podem fazer.

Portanto, como é que estão os bancos em Portugal a  proteger os dados dos cidadãos ? Vamos ver:

 

Caixa Geral de Depósitos

Até nem está mal, mas podia estar muito melhor… é pena há umas semanas ter ficado insegura por desleixo dos seus sysadmins. Será “isto” o top que andamos a pagar do nosso bolso ao banco público?

 

Banco BIC

Bancos pequenos, segurança mais pequena ainda. Este site até permite ataques XSS e tudo… que medo.

 

Millennium BCP

O BCP está melhor que a CGD, mas ainda permite alegados ataques XSS. Banco privado com segurança melhor que banco público. Não há surpresas aqui, certo? 🙂

 

Caixa de Crédito Agrícola

Já ouviram falar deste banco? Pela falta de segurança, mais vale nem terem ouvido falar…

 

Banco Santander Totta

Seguranaça razoável mas que podia sempre melhorar, como todos os outros desta lista.

 

Banco CTT

O banco é novo, mas a segurança é da antiga… ou seja, má.

 

Banco Best

Best começa por B,  este banco tem uma segurança acima de outros bancos com muito mais “capital”.

 

Novo Banco

O banco pode ser novo, há lesados do BES que ainda não receberam nada mas… a segurança deste banco torna-o num dos bancos mais seguros de Portugal

 

Como faço estes testes? O que significam estes testes?

Utilizo o site SecurityHeaders (cabeçalhos de segurança) para efetuar testes básicos. Um teste mais avançado pode ainda ser feito pelo Qualsys SSL Labs mas já sabem qual vai ser o resultado.

Como podem ver, o meu site é mais seguro que o dos bancos (menos o Novo Banco). O BPI não foi testado porque dá um erro de redirecionamentos, mas todos os outros exepto o NB são uns piores que os outros.

Alguns sites têm um SSL com um nome do lado esquerdo (chamado de EV SSL) e  isso continua a não querer dizer nada . Não basta ter uma “porta” bonita, a “fechadura” tem também que ser forte.
E a fechadura dos bancos é fraca. Muito fraca. Mas se calhar tiraram o exemplo do Banco de Portugal porque esse também não está famoso:

 

Quando fizerem a próxima transação online, lembrem-se disto.

PS: para se fazer estes ajustes são apenas precisos 10 a 15 minutos…