Painel de privacidade e segurança

Kayce Basques
Kayce Basques
X GitHub Falha
Sofia Emelianova
Sofia Emelianova
GitHub

Use o painel Privacidade e segurança no Chrome DevTools para inspecionar e controlar cookies de terceiros e verificar a proteção HTTPS.

Visão geral

O painel Privacidade e segurança é dividido em duas seções correspondentes:

  • Privacidade, onde você pode:
    • Enquanto o DevTools estiver aberto, limite temporariamente os cookies de terceiros com ou sem exceções e teste o comportamento de um site.
    • Confira uma tabela com informações sobre cookies de terceiros, incluindo se eles foram bloqueados ou dispensados pelo modo de limite temporário e que tipo de cookies podem ser afetados.

  • Segurança, onde você pode conferir as origens da sua página, incluindo avisos de segurança HTTP, detalhes da origem e certificados.

    Consulte Por que o HTTPS é importante para saber por que todos os sites precisam ser protegidos com HTTPS, mesmo aqueles que não lidam com dados sensíveis do usuário.

Abra o painel "Privacidade e segurança"

Para abrir o painel Segurança, siga estas etapas:

  1. Abra o DevTools.
  2. Abra o menu de comando pressionando:
    • macOS: Command+Shift+P
    • Windows, Linux e ChromeOS: Ctrl+Shift+P

  3. Comece a digitar privacy, selecione Mostrar privacidade e segurança e pressione Enter.

    Painel "Privacidade e segurança".

Como alternativa, no canto superior direito, selecione Personalizar e controlar as Ferramentas do desenvolvedor > Mais ferramentas > Privacidade e segurança.

Privacidade: controlar e inspecionar cookies de terceiros

A seção Privacidade permite inspecionar e limitar cookies de terceiros enquanto as Ferramentas do desenvolvedor estão abertas.

Limitar cookies de terceiros

Para testar o comportamento de um site quando os cookies de terceiros são limitados no Chrome, faça o seguinte:

  1. Em Privacidade > Controles, ative a opção Limitar temporariamente os cookies de terceiros.

  2. Ative as seguintes exceções, se necessário:

    • Período de carência de cookies de terceiros. Para usar essa opção, registre um site ou um site incorporado a ele no período de carência.
    • Exceção baseada em heurísticas. Em cenários predefinidos, como pop-ups ou redirecionamentos, um site incorporado neste pode acessar cookies de terceiros.

    Limitação temporária dos cookies de terceiros com as duas exceções ativadas.

  3. Para aplicar as mudanças, clique em Reload em um comando na parte de cima do DevTools.

Agora você pode testar como o site se comporta e inspecionar cookies de terceiros e os problemas deles, conforme descrito a seguir.

Inspecionar cookies de terceiros

Com os cookies de terceiros temporariamente limitados (com ou sem exceções), inspecione-os na seção Privacidade > Cookies de terceiros.

Quando nenhum cookie de terceiros for encontrado, a mensagem Not a crumb left vai aparecer.

A mensagem "Não sobrou nem uma migalha".

Como alternativa, dependendo das exceções, alguns cookies de terceiros podem ser permitidos e outros bloqueados. A seção Cookies de terceiros os lista em uma tabela que inclui informações sobre o status do cookie e uma recomendação.

Uma tabela que lista os cookies de terceiros permitidos e bloqueados.

Para filtrar a tabela, selecione um valor de status na parte de cima: Todos, Permitido ou Bloqueado. Para classificar a tabela, clique no nome de uma coluna.

Segurança: encontrar problemas comuns

A seção Segurança do painel pode mostrar os problemas descritos a seguir.

Origens principais não seguras

Quando a origem principal de uma página não é segura, a página Segurança > Visão geral mostra a mensagem Esta página não é segura.

Uma página não segura.

Esse problema ocorre quando o URL visitado foi solicitado por HTTP. Para garantir a segurança, é necessário fazer a solicitação por HTTPS. Por exemplo, se você olhar o URL na barra de endereço, ele provavelmente se parece com http://example.com. Para garantir a segurança, o URL precisa ser https://example.com.

Se você já tiver configurado o HTTPS no servidor, basta configurar o servidor para redirecionar todas as solicitações HTTP para HTTPS.

Se você não tiver o HTTPS configurado no servidor, o Let's Encrypt oferece uma maneira sem custo financeiro e relativamente fácil de iniciar o processo. Ou você pode hospedar seu site em um CDN. A maioria das principais CDNs hospeda sites em HTTPS por padrão.

HTTPS corrompido

Se houver um problema com o HTTPS, a página Segurança > Visão geral vai informar o que deu errado.

Uma página com HTTPS incorreto.

Nesse caso, a página não tem um certificado válido porque ele expirou.

Conteúdo misto

Conteúdo misto significa que a origem principal de uma página é segura, mas a página interage com recursos de origens não seguras. As páginas de conteúdo misto são protegidas apenas parcialmente porque o conteúdo HTTP é acessível para sniffers e vulnerável a ataques man-in-the-middle.

Conteúdo misto.

Abra a seção Segurança > Origens não seguras e clique em Ver solicitações no painel "Network".

O botão "Ver solicitações no painel de rede".

O DevTools leva você ao painel Network e aplica filtros relevantes para que o registro de rede mostre apenas recursos não seguros.

Recursos mistos no registro de rede.

Veja mais detalhes sobre segurança

Confira os detalhes do certificado e da origem, conforme descrito a seguir.

Conferir certificado de origem principal

Em Segurança > Visão geral, clique em Ver certificado para inspecionar rapidamente o certificado da origem principal.

Um certificado de origem principal.

Conferir detalhes da origem

Clique em uma das entradas na seção Segurança para conferir os detalhes da origem. Na página de detalhes, é possível conferir informações de conexão e certificado. As informações de transparência do certificado também são exibidas quando disponíveis.

Detalhes principais da origem.