Segurança na Transmissão da Informação

A comunicação entre os programas cliente e servidor deve ser feita de modo a garantir a privacidade do usuário. Apenas o usuário e a aplicação podem ter acesso aos dados enviados e recebidos pelos programas.

Aplicações para web que utilizam os protocolos HTTP e Websocket (WS) são inseguros e os dados podem muito facilmente serem interceptados e/ou alterados.

Nos protocolos HTTP e WS as informações são transmitidas no mesmo formato que foram geradas. Assim terceiros podem, literalmente, ler e compreender o conteúdo das informações. A solução, portanto, significa tentar fazer com que o terceiro não consiga compreender o significado do texto que estiver lendo. Para isso, os dados precisam ser criptografados.

HTTPS

O procolo HTTP se torna seguro se ele for utilizado em conjunto com o protocolo TLS (Transport Layer Security), sucessor do protocolo SSL (Secure Socket Layer). Neste caso utiliza-se o acrônimo HTTPS (Hyper Text Transfer Protocol Secure), como se ele fosse uma versão segura do HTTP.

Em uma aplicação para web onde a comunicação utiliza HTTPS, ou seja, a aplicação é acessada por URLs que sempre iniciam com https://..., o usuário pode inspecionar o certificado de autenticação enviado pelo servidor para ter certeza que este seja quem ele diz ser. O certificado, para ser considerado válido, deve ter sido emitido por uma autoridade certificadora que vem previamente instalada nos navegadores.

As conexões HTTPS normalmente utilizam as portas 443 ou 8443 no lugar das portas 80 ou 8080 utilizadas com HTTP.

Os certificados, que são instalados no servidores, normalmente são pagos (à autoridade certificadora) . Mas há a possibilidade de se obter certificados graduitos, como os gerados por https://letsencrypt.org/.

WSS

O protocolo Websocket também, como o HTTP, possui a sua "versão segura". Conexões iniciadas com "ws://..." não são seguras e as iniciadas com "wws://..." são seguras.