Executando verificação de segurança...
8
nauva
2 min de leitura ·

Posso ser processado por causa do http!

Olá a todos, é bom estar aqui. Pessoal eu escrevo esta na busca por aprender mais e saber de vocês que são muito mais experientes, o que eu deveria fazer em casos como esse. Peço desculpas desde já, se este não for o local apropriado para tal assunto.

Recentemente, comecei a criar um site para uma empresa. O cliente ansioso abriu a página principal antes que eu pudesse ter configurado o SSL, e viu aquela tela abençoada:

"Esta conexão não é privada. Este site pode estar se passando por ... para roubar suas informações pessoais ou financeiras."

Foi quando começou uma chuva de mensagens contendo cancelamento do serviço, ameaças de processo, delegacia e tudo o que puder se imaginar. Eu confesso que, como nunca tinha passado por algo assim antes, fiquei até sem saber como explicar a situação para o cliente, de maneira que ele entendesse mesmo sendo leigo.

Minha dúvida é: Se acontecer de novo, como explicar esse tipo de mensagem para um cliente leigo?

E pensando mais além, uma dúvida sincera de quem nunca esteve perante um juiz na vida. Se um caso desse ou algo parecido vai a julgamento, como é que a gente faz? Chama um perito imparcial que vai explicar tudo como se fosse numa série de TV? 😆

Por favor, sejam gentis com minha falta de conhecimento. Muito obrigado desde já.

Edit: Contextualizando um pouco mais o assunto.
Nas últimas semanas eu criei 15 sites, a maioria estáticos, institucional para pequenas empresas da região. Um desses clientes já tinha o domínio registrado (por isso não pude impedir ele de acessar o próprio site por curiosidade) e pedi somente pra ele mudar os NS.

Esperei aquele tempinho de sempre até que tudo fosse propagado, para então registrar o SSL. Mas entre uma coisa e outra o cliente abriu o site (como eu disse, por curiosidade) e se deparou com a mensagem ja mencionada. Ele pensou que eu havia feito algo para roubar as informações dele, e foi isso que causou o alvoroço. Eu entendo que o cliente que não conhece, pode se assustar com um aviso desse. Eu tentei explicar basicamente a mesma coisa que todos citaram aqui, mas a verdade é que quando a pessoa não quer entender, ela não vai entender. E a minha barreira na verdade é que eu sei lidar com o serviço, mas descobri que nem sempre sei lidar com quem pediu o serviço.

Embora eu trabalhe com isso há um tempo e conheça os caminhos e termos técnicos, por mais simples que pareça a situação eu descobri que não sei explicar coisas técnicas dessa natureza pra alguém que desconhece totalmente do assunto. Talvez vocês já tenham passado por algo assim, por isso achei que poderia tentar pegar algumas dicas aqui.

Carregando publicação patrocinada...
5
silvestrini

Cara, é só explicar como funciona o ssl. Que QUALQUER site que não tenha um certificado de segurança habilitado ou em dia, o navegador vai mostrar essa mensagem, pois os dados trafegados ali estão sem criptografia e PODEM ser capturados por um hacker. Mas assim que for estabelecido o certificado, os dados estarão seguramente criptografados.

Simples assim, se ele não entender, você diz pra ele fazer a denúncia então se ele acha que está certo, e diz que assim que for demonstrado que não há ilicitude, você vai requerer ao ministério público que o acione por denunciação caluniosa + danos morais. Pouca paciência com gente que não quer entender, o pior burro é aquele que não quer aprender.

3
ronaldoarauj

O que vc pode responde ao cliente é o seguinte:
Informe que você está trabalhando para resolver a situação e que a instalação do SSL é uma prioridade. Diga que, uma vez instalado, essa mensagem não aparecerá mais.
Diga que a segurança é uma prioridade e que você está comprometido em garantir que o site seja seguro para os usuários.Explique que o HTTPS ajuda a proteger informações sensíveis, como senhas e dados pessoais, de serem interceptadas por terceiros.

Referente a Responsabilidade: Em geral, a responsabilidade por um site é compartilhada entre o desenvolvedor e o proprietário do site. Se o cliente pediu para abrir o site antes que você tivesse configurado o SSL, isso pode ser um fator atenuante.

3
Oletros

Confesso que nao entendi direito: se o site ainda estava em desenvolvimento e o cliente testou o site ANTES da entrega, entao eh normal ver elementos problematicos, basta ser claro: "o site esta em desenvolvimento, o que voce viu foi uma mensagem indicando que um dos elementos de seguranca ainda nao esta ativado".

Mas enfim, meus 2 cents:

  1. Esqueci de colocar um SSL ou o SSL venceu (p.ex. letsencrypt): eh avisar o cliente que existe um "porteiro" que controla o trafego de quem acessa o site e que uma das funcoes dele eh permitir a privacidade de cada pessoa que passa por ali - colocando tudo que a pessoa usa dentro de uma mala com chave - para minguem mais abrir, mas que as vezes ocorre da guarita ficar vazia (quando esquecemos de ativar o SSL) ou que o "porteiro" nao vai mais trabalhar e esquecemos de contratar outro no lugar a tempo (SSL vencido) - nestas situacoes, nao significa que alguem mal intencionado passou pela guarita, eh apenas um aviso que a portaria esta desguarnecida e o navegador esta enviando este aviso.

Como voce nao explicou muito a situacao, nao da para extrapolar os cenarios possiveis, mas eh mais ou menos como apontado acima.

Agora, de boa, um cliente que da chilique numa situacao destas - o melhor eh manter a maior distancia possivel, o cara esta emitindo sinais de que no primeiro dissabor vai dar dor de cabeca, das feias.

1
nauva
Autor
Autor

Lendo agora, realmente faltou um pouco de contexto.
Nas últimas semanas eu criei 15 sites, a maioria estáticos, institucional para pequenas empresas da região. Um desses clientes já tinha o domínio registrado (por isso não pude impedir ele de acessar o próprio site por curiosidade) e pedi somente pra ele mudar os NS. Esperei aquele tempinho de sempre até que tudo fosse propagado, para então registrar o SSL. Mas entre uma coisa e outra o cliente abriu o site (como eu disse, por curiosidade) e se deparou com a mensagem ja mencionada. Ele pensou que eu havia feito algo para roubar as informações dele, e foi isso que causou o alvoroço. Eu entendo que o cliente que não conhece, pode se assustar com um aviso desse. Eu tentei explicar basicamente a mesma coisa que todos citaram aqui, mas a verdade é que quando a pessoa não quer entender, ela não vai entender. E a minha barreira na verdade é que eu sei lidar com o serviço, mas descobri que nem sempre sei lidar com quem pediu o serviço. Embora eu trabalhe com isso há um tempo e conheça os caminhos e termos técnicos, por mais simples que pareça a situação eu descobri que não sei explicar coisas técnicas dessa natureza pra alguém que desconhece totalmente do assunto. Talvez vocês já tenham passado por algo assim, por isso achei que poderia tentar pegar algumas dicas aqui.

1
Oletros

Bem, faz parte.

Treine alguns discursos "nao-tecnicos" (como o acima, "o porteiro que fica na guarita e procura dar privacidade a cada pessoa que passa colocando tudo numa mala fechada") para este tipo de situacao.

P.ex como explico direcionamento de portas, vlan e semelhante (port forward/nat): um porteiro que diferencia os carros pela cor e indica onde cada um deles deve estacionar.

Se ja passamos por situacoes semelhantes ? Depois de alguns anos de estrada vai ser dificil voce dizer o que NAO PASSOU !!!

Cliente dificil, cliente chato, cliente picareta - escolha no menu e sirva-se.

Tem algum segredo ? Nao que me lembre agora - mas o que falei acima funciona: procure ensair discursos nao tecnicos, tentando utilizar linguagem coloquial para explicar algo bem tecnico.

Como treinar ? Alugue um conhecido (familia/amigo/conjugue/etc) - e tente explicar algo complicado (dica: VPN, SSL) com palavras faceis ate que a pessoa de sinais que entendeu - e repita o processo algumas vezes ao longo de algumas semanas (as vezes com a mesma pessoa, para ver se o conceito base se instalou).

Se eles nao te mandarem a m.rda depois de um tempo, eh provavel que voce pegue o jeito.

No mais - respire fundo, conte ate 1001 e siga em frente.

2
Pilati

O cliente ansioso abriu a página principal antes que eu pudesse ter configurado o SSL

A dica é, se for sem SSL Não ponha no ar.

Antes de tudo configure o SSL, somente após disponibilize para o cliente.

Você gerou um atrito gigante e desnecessário por não separar 30 minutinhos para configurar isso.

2
welovetech

Hoje em dia não existe mais nada sem SSL, então, é sempre bom ser a primeira coisa a ser configurada, mesmo em ambientes de testes ou desenvolvimento. Eu nunca tinha pensando por esse lado, mas, essa mensagem mostrada pelo Chrome é realmente bastante agressiva e se o cliente provar que fez mal ao negocio dele, certamente poderá processar e tem chances de ganhar.

1
GabRF

E pensando mais além, uma dúvida sincera de quem nunca esteve perante um juiz na vida. Se um caso desse ou algo parecido vai a julgamento, como é que a gente faz? Chama um perito imparcial que vai explicar tudo como se fosse numa série de TV?

Não precisa ter medo de juízes não. Nas audiências você vai lá e fala o que aconteceu. Não costuma ser nada demais. Provavelmente você terá que levar um advogado, então menos um motivo para se preocupar, pois o seu adv vai estar ali para te auxiliar.

Sobre a perícia, o juíz que escolhe se vai ter ou não e é também o juíz quem define quem será o perito.

Foi quando começou uma chuva de mensagens contendo cancelamento do serviço, ameaças de processo, delegacia e tudo o que puder se imaginar. Eu confesso que, como nunca tinha passado por algo assim antes, fiquei até sem saber como explicar a situação para o cliente, de maneira que ele entendesse mesmo sendo leigo.

Cliente ruim. Provavelmente buscava motivo para não ter que te pagar ou para pagar o mínimo possível. Ele queria cancelar antes do prazo? Tudo bem. Vamos ler a cláusula de cancelamento do contrato e seguir a partir daí. De resto, ele só latiu mesmo. Duvido que vá (morder) fazer algo.

1
luiztux

Pede pro seu cliente entrar em sites de prefeitura, serviços do governo, etc., que vai se deparar com a mesma mensagem. A grande maioria destes sites possuem certificado inválido e coisas do tipo.
Sinceramente, isto não seria levado pra frente em um processo. Não tem nem como sustentar algo assim.
Espero que você tenha explicado pro seu cliente e este tenha entendido, pra que não gere dor de cabeça pra ninguém.

1
valkhantech

Eu li a sua edição, achei bem pertinente as adições que foram feitas, e o que eu posso contribuir aqui é dizendo que:

em situações de alta tensão, a primeira coisa que você deve fazer é quebrar o gelo.

Então, quando a pessoa começar a despejar a preocupação, acusações e tudo mais, você, com a câmera aberta na reunião ou presencialmente, você para, pede para a pessoa respirar um pouquinho, abre um sorrisão, dá algumas gargalhadas de leve e explica de forma bem casual o que é, como que funciona, e aí, como o clima já vai estar mais neutralizado, você conseguirá explicar de forma racional para que a pessoa possa entender caso ela queira.

Caso contrário, se a pessoa não tiver interesse na sua explicação e quiser elevar isso para qualquer outro tipo de formalidade, isso vai ser desmentido com características técnicas, que qualquer perito, quando chega numa situação como essa, é convocado no tribunal para explicar questões mais técnicas. Então, lá vai ser explicado que isso se trata de um protocolo que funciona da maneira X, Y ou Z, e que aquela mensagem não necessariamente tem a ver com o que a pessoa está te acusando. E aí, você, munido no código, vai apresentar também que você não tem nenhuma intenção, não teve nenhuma prática maliciosa ali, então eu não me preocuparia com isso.

De qualquer forma, a melhor alternativa é sempre ir num clima mais ameno e agradável, você explicar. Hoje a gente tem chat GPT, Gemini e outros mais aí que você pode simplesmente colocar a pergunta na frente da pessoa e provar que não é você que está falando, mas que sim, é um padrão da internet, e que se a pessoa entrar, aí você até simula, entrando no endereço com HTTPS e tirando o S, aquela mensagem aparece. É um comportamento de navegador.

É assim que se prova para um cliente leigo como coisas técnicas funcionam. Você tem que trazer para o mundo do cliente e nem se preocupar tanto com a parte técnica, a não ser que você seja indagado por alguém técnico e você entre no mérito dos termos específicos.