Foi apresentado como um grande projeto. Mas dois dias depois, as falhas são muitas. Até as de segurança.

O Webcheck.pt foi uma parceria do Centro Nacional de Cibersegurança e da Associação DNS.PT. O primeiro é a entidade governamental que pretende ser o exemplo na cibersegurança e defesa digital do nosso país. A segunda, uma associação sem fins lucrativos com resultados financeiros avultadas provenientes do lucro com a sua atividade.

A plataforma foi largamente anunciada nos media tradicionais como uma plataforma para verificar se o site é seguro. E efetivamente cumpre essa função, mas podia ser melhor.

De acordo com o Press Release divulgado no site do CNCS, este é um site que “permite que qualquer cidadão ou entidade verifique, em tempo real, o nível de conformidade de um domínio de internet e de correio eletrónico com os mais recentes standards para a comunicação segura entre sistemas”

No mesmo press release, fazem o mote: “Aceda a WEBCHECK.PT, garanta a conformidade do seu domínio”.
Será que eles fizeram isso?

Os dias em que tudo não funcionou

No primeiro dia e meio todos os domínios testados pelo Tugaleaks davam registos inválidos. Mais, não fomos os únicos a dar conta disso. Na página do Centro Nacional de Cibersegurança as críticas foram unânimes: “Erro em todos os sites testados…”, diz Pedro Fernandes. “Todos os sites inseridos deram erro..”, confirmou Luís almeida.

Depois tudo pareceu começar a funcionar. A menos que, claro, queiras ver as estatísticas da aplicação: é que mesmo funcionando e fazendo testes, os números estatísticos dos testes efetuados mostram que, mesmo os testes corretamente efetuados continuam a ser marcados como “sem sucesso”.

Faz o que eu digo, não o que eu faço

Se fizermos um teste no webcheck.pt ao webcheck.pt vemos que os próprios criadores do website não seguem as melhores práticas de segurança. É um caso claro do “faz o que eu digo, mas não faças o que eu faço”.

Neste caso, a versão de SSL utilizada pelo site poderia estar melhor. Isto porque utilizar uma versão antiga pode trazer problemas de segurança. Manter apenas em uso uma versão mais recente é o mais coerente, conforme o próprio site indica:

Indicar é uma coisa. Cumprir… é outra. 

Outras pequenas (grandes?) coisas…

O Centro Nacional de Cibersegurança é uma entidade do estado. Criou uma parceria com uma associação privada. Por isso, tecnicamente e legalmente, não é obrigado a cumprir com o Decreto-lei 83/2018, de 19 de Outubro que “define os requisitos de acessibilidade dos sítios web e das aplicações móveis de organismos públicos, transpondo a Diretiva (UE) 2016/2102”.

O problema está em considerar o webcheck.pt como um sítio web “de” um organismo público. É uma parceria e está alojado nos servidores da dns.pt, pelo que a interpretação não se pode enquadrar a 100%.

De qualquer forma, é estranho para qualquer entendido em áreas de informática que, estando em 2019 possam existir formulários de contacto com captcha que impedem deficientes visuais e pessoas com outro tipo de deficiência de o preencher.

Da mesma forma, a falta de visão em termos de “social media” fez com que os criadores do site não se preocupassem com o parâmetro og:image do Facebook para efetuar uma apresentação cuidada do seu site a quem o partilha nas redes sociais.

Se ainda restarem dúvidas, podemos sempre aceder às perguntas frequentes do site… que, conforme se vê na imagem, ainda estão em “teste”. 

E por último, convém reportar que o Google Analytics não tem pedido prévio de consentimento para o seu uso, não estando por isso num efetivo cumprimento do RGPD.

O Tugaleaks tentou contactar os responsáveis do webcheck.pt, mas não obteve resposta até à publicação desta notícia.
Sendo esta uma boa ferramenta na sua vertente teórica, vamos continuar a acompanhar a sua evolução para, com o feedback dos cidadãos possam ser colmatadas estas pequenas mas evitáveis falhas.

 

O Tugaleaks existe há nove anos.
Envia uma denúncia anónima aqui.

Foto: site webcheck.pt