Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

A web está passando por uma importante e positiva mudança: os chamados "plug-ins" - programas criados para "aumentar" as funcionalidades dos navegadores - estão, aos poucos, entrando em extinção. A lista de tecnologias que se tornarão obsoletas em um futuro próximo engordou na semana passada com o anúncio da aposentadoria do plug-in do Java.



Plug-ins são, por natureza, uma gambiarra. Eles foram criados para que sites de internet pudessem realizar funções que os navegadores não eram capazes de realizar apenas com tecnologia própria. Isso tem um impacto direto na segurança, pois a segurança de um programa tem a ver com a sua capacidade de limitar sua funcionalidade. É mais difícil deixar um programa seguro quando ele realiza muitas ações e não há muito que um navegador pode fazer para manter os plug-ins seguros.

Muitos ataques têm se aproveitado disso. Plug-ins como o Flash e Java funcionam em praticamente todos os navegadores. Um ataque contra eles funciona contra quase qualquer internauta. E eles têm sido o principal alvo dos criminosos.



É importante esclarecer que um plug-in é diferente de uma extensão de navegador. A extensão tem como objetivo principal oferecer recursos ao usuário. Os plug-ins oferecerem recursos aos sites.



Quando navegadores não eram capazes de exibir animações, criou-se um plug-in para animações. O mesmo aconteceu com vídeo e áudio. Depois apareceram concorrentes nessas categorias - programas para fazer mais ou menos a mesma coisa, mas de outro jeito. Microsoft e a Sun Microsystems tiveram a ideia de integrar melhor o navegador ao sistema operacional, de onde nasceram os plug-ins do Java e do ActiveX, ambos altamente inseguros e explorados frequentemente para a instalação de programas indesejados ou até vírus.



Mesmo fora da área de segurança, essa bagunça teve inúmeras consequências negativas. Sites deixavam de ser compatíveis com todos os navegadores quando determinados plug-ins não estavam disponíveis.



Os plug-ins, claro, tiveram alguma razão de existir. Navegadores web não tinham atualizações constantes pelo menos até a metade da década de 2000. Hoje, eles têm atualizações tão frequentes que quase não se fala mais em número de versão. Quem quer saber que estamos no Chrome 48 ou no Firefox 43?



As coisas mudaram. Navegadores evoluem em um ritmo acelerado, trazendo ainda avançados recursos de segurança e isolamento em suas próprias funções - e esses recursos nem sempre são compatíveis com os plug-ins que, além de desempenhar suas funções, precisam manter funcionando o canal de comunicação com o navegador, o que nem sempre é trivial.



Os retardatários passaram a ser os plug-ins. Os mecanismos de atualização deles tendem a ser inferiores aos utilizados pelos navegadores. Tanto usuários como equipes de TI de empresas têm mil dores de cabeça para gerenciar tantas atualizações: atualizar o navegador não basta, pois, se um único plug-in não for atualizado, o computador continua vulnerável. A situação piora ainda mais quando uma versão nova de um plug-in é incompatível com o site que precisa dele, levando alguns internautas a se arriscarem com versões antigas.



Uma web livre de plug-ins pode permitir que os navegadores utilizem melhor seus recursos de segurança. Também viabiliza um ambiente mais previsível para os internautas - plug-ins não usam elementos de interface iguais aos dos navegadores e, portanto, tendem a ser pouco intuitivos. Quantas fraudes na web fizeram uso da ideia de que "você precisa instalar um plug-in para exibir este conteúdo"? A ausência de influência de um programa externo também tende a deixar o navegador mais estável, o que significa menos travamentos.



Mensagem fraudulenta exibida por site infectado para download do plug-in do Flash. (Foto: Reprodução)

Finalmente, uma web sem plug-ins pode facilitar a compatibilidade de sites para uso em qualquer dispositivo, seja PC, tablet ou celular. E não temos nada a perder - os navegadores hoje já são capazes de reproduzir áudio e vídeo e de processar animações. É difícil pensar, nesta altura, em algo negativo.



Que venha a web sem plug-ins.

Imagem: Logo do Java e Flash (Reprodução)



Siga a coluna no Twitter em @g1seguranca.