Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Verificador de transparência de sites

Uma ferramenta afirma que seus dados «ficam no seu navegador» — será verdade? Informe uma URL para descobrir, por meio de análise estática, para onde a página poderia enviar dados: origens externas, rastreadores e formulários. Pistas, não um veredito.

O servidor deste site busca a URL de destino uma única vez e a analisa estaticamente (apenas a URL que você informa é enviada, não o seu código nem a sua entrada). O acesso a endereços internos / privados está bloqueado.
Testar um exemplo (analisar este próprio site)

Nenhum sinal claro de que sua entrada seja enviada para fora (sem formulário externo, sem script de terceiros desconhecido). As tags de analytics/anúncios abaixo são rastreamento, um assunto separado do envio da entrada. Confirme com segurança no DevTools.

Analisado: https://itdef.net/ja

Scripts de terceiros desconhecidos (poderiam ler a entrada)
nenhum
Formulários que enviam para fora
nenhum
Tags de analytics / anúncios (rastreamento)
  • Google AdSense
  • Google Tag Manager
Origens de scripts/recursos externos
  • pagead2.googlesyndication.com
  • www.googletagmanager.com

As «tags de analytics/anúncios» e as «origens de recursos externos» são em sua maioria para rastreamento: um eixo separado de se a SUA entrada é enviada para fora (a maioria dos sites as usa).

Define um cookie: sim

⚠️ A análise estática pode mostrar que uma página PODERIA enviar dados para fora, mas não pode provar que ela não envia (ofuscação, envio ao clicar, etc. passam despercebidos). A única verificação segura é a aba DevTools → Network do seu navegador enquanto você usa a ferramenta de verdade.

Como verificar de verdade (DevTools)

  1. 1Abra a página e então abra o DevTools com F12 (ou clique com o botão direito → Inspecionar).
  2. 2Abra a aba «Network» e certifique-se de que está gravando.
  3. 3Use a ferramenta de verdade e observe se novas solicitações (Fetch/XHR/WS) vão para domínios externos.
  4. 4Se não houver envios externos, a página é do lado do cliente para essa ação.

SSRF

Como usar

  1. 1

    Cole a URL de uma ferramenta que afirma funcionar somente no navegador.

  2. 2

    Ela analisa estaticamente os destinos externos, os rastreadores, os formulários externos e o código de envio dessa página.

  3. 3

    Os resultados são pistas. Faça a verificação final na aba Network do seu DevTools (abaixo).

Por que importa

Se uma ferramenta «de privacidade» é mesmo privada não pode ser totalmente provado de fora (o CORS do navegador oculta o comportamento em tempo de execução de outros sites, e a análise estática não pode mostrar a ausência de um envio). Por isso esta ferramenta não emite um veredito: ela descobre por onde os dados poderiam fluir e te entrega o método de verificação real (DevTools). Este site não é exceção: analise-o e você verá tags de anúncios/analytics; não escondê-las é o honesto.

Perguntas frequentes

Q«Zero destinos externos» significa que é seguro?
A

Não. A análise estática deixa passar os envios ofuscados, dinâmicos ou ao clicar. Zero significa «não encontrado estaticamente», não uma prova. A verificação segura é a aba Network do seu DevTools.

QPor que não dá para fazer só no navegador (sem servidor)?
A

O CORS do navegador impede que uma página observe as solicitações em tempo de execução de outra origem, então a URL de destino é buscada e analisada no lado do servidor (apenas a URL é enviada).

QTudo bem verificar o site de outra pessoa?
A

A ferramenta busca a página de destino uma vez e a analisa estaticamente: sem varredura ativa nem ataque (o mesmo escopo de abri-la em um navegador). Endereços internos/privados estão bloqueados.

Páginas relacionadas