Se você prioriza a segurança ao navegar na web, as configurações padrão do Chrome e de outros navegadores baseados em Chromium podem não ser suficientes. Neste artigo, exploraremos diversas configurações e “flags” ocultas do Chrome que você pode ajustar para maximizar sua segurança online.
É importante notar que muitas dessas configurações não protegerão você contra ações próprias, como clicar em um site de phishing que ainda não foi sinalizado. No entanto, para vulnerabilidades de exploração (exploits) onde a falha não é necessariamente sua, há muitas medidas que você pode tomar para melhorar a segurança.
Abordaremos primeiro as configurações padrão e, em seguida, as flags ocultas. A maioria dessas opções pode ser encontrada em Configurações > Privacidade e Segurança > Segurança. Se você usa navegadores como Edge ou outros baseados em Chromium, as configurações devem ser semelhantes, mesmo que com nomes ligeiramente diferentes.
Configurações Essenciais de Segurança
Modo de Navegação Segura
A configuração mais importante é o Modo de Navegação Segura. Por padrão, ela provavelmente está configurada como Padrão. Recomenda-se ativá-la como Aprimorada.
Ao ativar o modo Aprimorado, há uma implicação de privacidade, pois cada URL visitada é enviada ao Google para análise. Contudo, isso é necessário para a proteção em tempo real. No modo Padrão, o navegador baixa uma lista de sites maliciosos conhecidos periodicamente (talvez uma vez por dia). Se um site malicioso for criado logo após a última atualização da lista, você não estará protegido.
O modo Aprimorado garante uma resposta mais atualizada, o que é crucial, pois muitos sites de phishing e golpes são temporários, criados para durar apenas algumas horas antes de serem bloqueados. Esperar várias horas por uma atualização da lista pode ser tarde demais.
DNS Criptografado (Encrypted DNS)
Esta é uma configuração mais voltada para a privacidade. O DNS (Domain Name System) é o processo pelo qual seu computador traduz um nome de domínio (como google.com) para um endereço IP. Diferente do conteúdo de um site, que é criptografado (HTTPS), a requisição DNS geralmente não é criptografada, permitindo que seu Provedor de Serviços de Internet (ISP) espione quais domínios você está acessando.
Ao habilitar o DNS Criptografado, essa solicitação também é protegida. Você provavelmente não notará diferença na navegação, mas não há desvantagem em ativá-lo. Você pode escolher entre vários provedores, como Cloudflare ou NextDNS. Se você já possui um DNS criptografado configurado no nível do sistema operacional, o navegador pode usar essa configuração.
Usar Sempre Conexões Seguras (Always Use Secure Connections)
Recomenda-se habilitar esta opção. Ela fará com que o Chrome sempre tente atualizar a conexão de insegura para segura (HTTPS) se a opção estiver disponível. Além disso, ele apresentará um aviso mais proeminente em sites que não suportam criptografia HTTPS.
O Chrome já exibe um aviso grande se um site tentar usar criptografia com problemas (como um certificado expirado ou incorreto). Por padrão, se um site não usa qualquer tipo de criptografia, ele apenas exibe uma indicação de “não seguro” no canto superior esquerdo, mas permite a visita. Habilitar esta opção torna o aviso mais explícito.
Gerenciar Segurança do V8 (Manage V8 Security)
Esta configuração, embora pareça avançada, é bastante importante. O V8 é o motor JavaScript utilizado pelo Chrome.
Recomenda-se fortemente definir a opção para Não permitir que sites usem o otimizador do V8 (Don’t allow sites to use the V8 optimizer).
O otimizador do V8 refere-se à compilação Just-In-Time (JIT), que permite que scripts rodem mais rapidamente nos sites, mas introduz uma troca de segurança. Segundo pesquisas de segurança, mais da metade das vulnerabilidades de dia zero (zero-day) descobertas exploram a compilação JIT e o otimizador do V8.
Desabilitar isso pode protegê-lo contra mais da metade dessas vulnerabilidades não corrigidas. Embora possa haver um impacto no desempenho, muitos usuários não o notam após a ativação. Se você notar lentidão em algum aplicativo web específico, pode permitir o otimizador apenas para aquele site confiável, mas a recomendação geral é mantê-lo desabilitado.
Flags Ocultas do Chrome para Segurança e Privacidade
As flags são configurações experimentais que podem ser acessadas digitando about://flags na barra de endereço. A maioria delas deve estar disponível em navegadores baseados em Chromium.
A seguir, apresentamos flags que você provavelmente deve habilitar sem receios, seguidas por outras que exigem mais consideração.
Flags que Você Deve Habilitar
Controle de Acesso ao Menu de Extensões (Extensions Menu Access Control)
Esta flag introduz um menu de extensões melhorado ao clicar no ícone de extensões na barra de ferramentas superior direita. O novo menu exibe mais informações, incluindo um botão de alternância claro para ver quais extensões têm acesso ao site atual, permitindo desativá-las imediatamente.
Ele oferece acesso direto às configurações de permissão de cada extensão (acesso a todos os sites, sites específicos ou apenas ao clicar). Mais importante, adiciona a opção de desabilitar todas as extensões em um site específico, o que é útil para isolar um site em que você não confia ou para diagnosticar problemas de site causados por extensões.
Verificações de Integridade Baseadas em Assinatura (Signature-based Integrity Checks)
Esta configuração permite que desenvolvedores exijam um tipo de verificação para scripts e outros conteúdos incorporados em um site que referenciam recursos de uma CDN (Content Delivery Network).
Embora possa não ser amplamente utilizada por ser nova, não há desvantagem em habilitá-la, pois só é ativada se o servidor suportar e o conteúdo da web solicitar especificamente essa verificação.
Detecção de Scam no Lado do Cliente (Client-side Detection Brand and Intent for Scam Detection)
Esta flag, juntamente com a associada “Mostrar Aviso de Veredito de Golpe no Lado do Cliente” (Client-side Detection Show Scam Verdict Warning), usa uma IA local para verificar se um site é um golpe. Embora a eficácia completa não esteja totalmente clara no momento, vale a pena habilitar para uma camada extra de proteção futura.
Verificações de Acesso à Rede Local (Local Network Access Checks)
Esta flag restringe a capacidade dos sites de acessar dispositivos em sua rede local sem sua aprovação explícita. Sem essa proteção, um site malicioso poderia tentar sondar IPs de roteadores ou servidores locais (como um NAS ou Plex).
Você deve configurá-la como Bloqueio (Blocking). Se um site tentar acessar um recurso local (como redirecionar para o login do seu roteador), o navegador solicitará explicitamente sua permissão. Isso impede que um ator malicioso explore dispositivos não protegidos com senhas padrão.
Ativar Ruído para Leituras de Canvas no Modo Incógnito (Enable Noise for Canvas Readbacks in Incognito)
Recomenda-se configurar para Ativar em todos os modos de navegação. Sites usam técnicas de “fingerprinting” para rastrear você analisando as informações do seu navegador, mesmo sem cookies ou VPNs. Uma dessas técnicas envolve como seu navegador renderiza elementos gráficos, o que pode ser único para cada máquina.
Esta flag adiciona aleatoriedade a certas propriedades de renderização, garantindo que o resultado seja diferente a cada vez e dificultando o rastreamento por essa via.
Vincular Cookies às Origens do Esquema de Configuração (Bind Cookies to Their Setting Origins Scheme)
Esta é uma configuração crucial para segurança de cookies. Se um cookie for emitido quando você está conectado a um site via HTTPS criptografado, esta flag garante que o site só poderá usar esse cookie se a conexão permanecer criptografada.
Isso previne que um invasor, em um ataque “man-in-the-middle” onde a conexão se torna insegura, consiga interceptar e utilizar o cookie de sessão. Com esta flag ativada, o cookie simplesmente não será enviado em uma conexão não criptografada.
Flags Avançadas e Considerações
Vincular Cookies à Porta de Origem da Configuração (Bind Cookies to Their Setting Origins Port)
Esta flag restringe um cookie à porta exata na qual ele foi definido. Em situações normais, cookies podem ser compartilhados entre diferentes portas no mesmo domínio/IP (comum em serviços locais hospedados no seu PC, como Plex ou um NAS).
Embora teoricamente aumente a segurança ao isolar o cookie a uma porta específica, não há clareza sobre a frequência com que isso pode quebrar a funcionalidade de sites legítimos que dependem do uso de cookies através de portas diferentes. É algo para testar com cautela.
PartitionAlloc Com Verificações Avançadas (PartitionAlloc With Advanced Checks)
Esta flag está relacionada à alocação de memória. Explorações comuns envolvem ataques de estouro de buffer (buffer overflows) e outros problemas de memória. Melhorar a segurança da alocação de memória ajuda a mitigar esses riscos.
A ressalva é um potencial impacto no desempenho, que pode ser de até 20% se habilitado para todos os processos, embora testes recentes possam ter otimizado esse efeito. Se a segurança for a prioridade máxima e você não se incomodar com um possível impacto de performance, esta é uma opção recomendada.
Detecção Automática de Dispositivos Compatíveis com Web USB (Automatic Detection of Web USB Compatible Devices)
Esta flag deve ser definida como Desabilitada (Disabled). Navegadores, por padrão, podem acessar todos os seus dispositivos USB. Você quer permitir acesso a dispositivos de interface humana (webcams, teclados, YubiKey, leitores de impressão digital), mas não a todos os dispositivos conectados ao seu computador.
Desabilitar esta opção impede esse acesso geral, mas testes indicam que webcams e dispositivos básicos ainda funcionam, limitando a exposição a dispositivos especializados.
Desativar Reutilização de Processo de Subframe (Disable Subframe Process Reuse)
O Chrome já isola abas em processos separados. Esta flag, acredito, estende esse isolamento para subframes, ou seja, sites incorporados dentro de outros sites, dando a cada um seu próprio processo.
Isso oferece mais isolamento e, consequentemente, mais segurança, embora possa haver um leve custo de desempenho devido à criação de mais processos.
Bloquear Lista de Proteção Contra Fingerprinting na Navegação Regular (Enable Fingerprinting Protection Blocklist in Regular Browsing)
Esta flag desabilita ou simplifica o acesso de sites a certos recursos que podem ser usados para criar sua impressão digital de navegador. A menção a “3P” se refere a terceiros (Third Party).
A cautela aqui é que alguns sites podem depender de recursos que esta lista bloqueia para funcionar corretamente. Recomenda-se testar e verificar se há quebras na funcionalidade de sites que você usa regularmente.
Reduzir Cabeçalho Accept-Language e Linguagens do Navegador JavaScript (Reduce Accept-Language Request Header and JavaScript Navigator Languages)
Esta flag também visa o fingerprinting. Ela limita as informações de idioma que o navegador reporta, possivelmente exibindo apenas o idioma ativo atual. Esta configuração foi habilitada, pois é um método conhecido de rastreamento.
Depreciar o Evento Unload (Deprecate the Unload Event)
Esta flag foi habilitada. O evento unload é uma função JavaScript antiga, considerada não confiável e que está sendo gradualmente removida. Desabilitar a função antiga permite que o Chrome utilize alternativas mais rápidas e modernas, o que pode resultar em melhorias de desempenho.
É importante lembrar que as flags mudam com o tempo. Se você encontrar este artigo no futuro e alguma destas opções não estiver mais disponível, é provável que ela tenha sido integrada ao navegador como padrão ou removida.
