A Mozilla decretou nesta semana que os próximos recursos do Firefox para web deverão atender a um padrão que exige que todo o tráfego entre o navegador e o servidor (e vice-versa) seja criptografado.
“A partir de agora, todos os novos recursos que sejam expostos na web serão restritos a contextos seguros”, afirmou o engenheiro da Mozilla, Anne van Kesteren, no blog da companhia. “Um recurso pode ser tudo desde uma extensão até um objeto existente definido em IDL (Linguagem de Descrição de Interface), uma nova propriedade CSS, um novo cabeçalho de resposta HTTP, até recursos maiores como WebVR.”
Contextos seguros, também chamados de “nível de segurança mínimo”, são um padrão ainda em desenvolvimento da W3 (World Wide Web Consortium), a principal organização de padrões para a web. O principal objetivo desses “contextos seguros”, segundos os documentos, é: “Código de aplicação com acesso a dados privados ou sensíveis deve ser entregue de forma confidencial por meio de canais autenticados que garantam a integridade dos dados”.
Na prática, isso significa que o tráfego deve ser criptografado para evitar ataques do tipo “man-in-the-middle”, nos quais os hackers tomam o tráfego inseguro entre navegador e servidor ao ficar entre os dois e “ouvir”.
Daqui em diante, qualquer novo recurso do Firefox que se baseie na comunicação entre navegador e servidor funcionará apenas em conexões HTTPS. Recursos e/ou tecnologias mais antigos continuarão a operar em links HTTP não criptografados em uma “base de caso a caso”, segundo Van Kesteren. Ele também afirma que a Mozilla fornecerá ferramentas aos desenvolvedores para “facilitar a transição para contextos seguros”.
Essa iniciativa não veio “do nada”: a Mozilla anunciou originalmente as suas intenções para exigir HTTPS em abril de 2015. O primeiro item do plano então era “determinar uma data depois da qual todos os novos recursos estarão disponíveis apenas para sites seguros”, o que o anúncio desta semana efetivamente fez. E a Mozilla também não está em uma jornada solo neste assunto, uma vez que outras empresas, como o Google, vêm pressionando os sites para fazer a mudança do HTTP para o HTTPS desde 2014.
A próxima oportunidade para o Firefox introduzir um novo recurso ou tecnologia que será imediatamente afetado pelo seu anúncio será em 23 de janeiro, quando a versão 58 do navegador deve ser lançada ao público.