CEVIU Logo
Voltar
Análise do Tranco Top 1 milhão revela uma década de evolução e gargalos na segurança da web

Unsafe-eval e a ilusão de progresso: análise de 1 milhão de sites revela riscos estruturais na segurança da web

Aprofundamento CEVIU

Aprofundamento

A adoção do unsafe-eval em políticas de Content Security Policy (CSP) expõe uma falha crítica na segurança web atual. Apesar do aumento na implementação de CSP, observado por Scott Helme em sua análise do Tranco Top 1 Million, quase metade das políticas (46,8%) ainda inclui essa diretiva e 41,9% usa unsafe-inline. Isso enfraquece a proteção contra ataques de cross-site scripting (XSS), pois permite a execução de código JavaScript arbitrário. Em 2026, um relatório da Statvoo mostrava que 68% dos sites implementavam CSP, mas 43% dessas implementações estavam falhas, frequentemente devido a regras permissivas como default-src 'self' 'unsafe-inline'. Outro exemplo da Statvoo aponta que 43% das implementações de CSP com falha em 2026 utilizavam regras permissivas, anulando a proteção XSS. Empresas como GitHub, por outro lado, adotavam políticas restritas bloqueando 99,6% dos vetores XSS através de script-src 'self' e allowlists baseadas em hash.

A preocupação se amplia quando consideramos que 9.264 sites ainda anunciam uma versão exata e sem suporte do PHP (7.4), um presente para invasores que buscam vulnerabilidades. Enquanto o HTTPS é quase universal em 98% dos sites, e o TLS 1.3 atinge 86% de adoção entre os top 10.000 sites em 2026, o grande desafio é aprofundar a qualidade da configuração. A simples presença de um cabeçalho não garante segurança. É preciso ir além, eliminando comandos legados e priorizando implementações robustas de CSP, HSTS e outros cabeçalhos de segurança essenciais.

O que mudou

A evolução da segurança web, ao longo da última década, mostra um paradoxo. Componentes fundamentais como HTTPS, HSTS e CSP tiveram forte crescimento na adoção, mas não na qualidade. Em 2026, o mesmo Scott Helme apontou 98% de uso de HTTPS nos top sites, um salto em relação aos 40% de 2016. Na mesma época, 62% adotavam CSP. Ou seja, a massificação da tecnologia foi alcançada para algumas práticas. Contudo, enquanto a análise de 2026 já mencionava que 43% das CSPs eram quebradas por falhas de implementação, agora, em 2026, a nova análise detalha que 46,8% utilizam unsafe-inline ou unsafe-eval. Isso escancara que um problema já conhecido se agravou, consolidando um gargalo na proteção contra XSS. Antes rumorejava-se que a adoção de TLS 1.3 era gradual, mas agora se confirma 86% de adoção entre os 10.000 principais sites em 2026, com os 14% restantes ainda usando TLS mais antigos, como 1.0/1.1.

Por que isso importa

A superficialidade na configuração de segurança transforma tecnologias essenciais em falsas promessas de proteção. A Cloudflare, ao atuar como intermediária para mais de um terço dos sites, centraliza o progresso em HTTP/3, NEL e isolamento cross-origin. Isso pode ser um ponto de conveniência mas também um risco de concentração, onde a infraestrutura de segurança de vasta porção da web depende de poucas decisões. Outro ponto crítico é a dependência de scripts de terceiros: 61% dos sites carregavam scripts de domínios com presença em listas de malware desde 2023, exigindo uma análise mais profunda das cadeias de suprimento de código. A análise ressalta que a segurança de um site moderno é tão forte quanto o elo mais fraco em sua configuração, e a prevalência de práticas como unsafe-eval e DMARC com p=none em 51,4% dos domínios da pesquisa anterior, mostra que a vigilância precisa ser contínua e detalhada.

Linha do tempo

  1. Início da medição de segurança web por Scott Helme, com <7% de sites usando HTTPS (Statvoo).

  2. Apenas 40% dos top sites usavam HTTPS. Google passa a marcar HTTP como 'Not Secure' (Statvoo).

  3. Padrões PCI banem TLS 1.0/1.1 (Statvoo).

  4. Experiência de uso de Certificados EV é removida dos navegadores (artigo fonte).

  5. Início do declínio do HPKP e X-XSS-Protection (artigo fonte).

  6. Scott Helme publica a análise 'Top 1 Million Analysis, June 2022'.

  7. Fim do suporte de segurança para PHP 7.4 (artigo fonte).

  8. Google cancela tecnologia FLoC (artigo fonte).

  9. TLS 1.3 tinha 62% de adoção entre os 10.000 sites principais (Statvoo).

  10. 49% dos sites implementavam CSP. Short-lived SSL certificates (90-day validity) tinham 41% de adoção (Statvoo).

  11. 61% dos domínios de terceiros apareciam em blocklists de malware (Statvoo).

  12. Mandatos do CA/Browser Forum da Apple para certificados de 90 dias (Statvoo).

  13. Vazamento de dados da Okta por exploração de certificados de 1 ano (Statvoo).

  14. Vazamento de dados do Shopify por falta de diretiva script-src em CSP (Statvoo).

  15. Vazamento de 2.1 milhões de sessões de usuário do Reddit devido a TLS 1.0 (Statvoo).

  16. CEVIU aponta que 57,1% dos domínios publicam DMARC, mas somente 26% aplicam p=reject ou p=quarantine.

  17. CEVIU destaca adoção de segurança pós-quântica em protocolos como OpenSSH.

  18. Scott Helme publica análise de uma década da segurança web, focado na qualidade de implementação.

Perguntas frequentes

O que é <code>unsafe-eval</code> em Content Security Policy (CSP)?

unsafe-eval é uma diretiva da CSP que permite a execução de strings como código JavaScript. Embora possa ser útil para algumas aplicações legadas, ela enfraquece significativamente a proteção contra ataques XSS, permitindo que scripts injetados maliciosamente sejam executados.

Por que a adoção de DMARC com <code>p=none</code> não é suficiente para segurança de e-mail?

A política DMARC configurada com p=none apenas monitora e coleta relatórios de falhas de autenticação de e-mail sem tomar nenhuma ação contra mensagens não autenticadas. Para proteção efetiva contra spoofing e phishing, é necessário configurar o DMARC com p=quarantine ou p=reject, bloqueando ou enviando e-mails suspeitos para a quarentena. Como o CEVIU já noticiou, em junho, 51,4% dos domínios ainda estavam com p=none.

Como a Cloudflare afeta a segurança na web?

A Cloudflare impulsiona a adoção de várias tecnologias de segurança, como NEL e HTTP/3, devido à sua ampla utilização. Contudo, essa concentração também gera um risco: a segurança de uma parte significativa da web passa a depender das configurações padrão de um único provedor, não permitindo ou estimulando que operadores de sites independentes implementem e configurem manualmente as ferramentas.

Qual a diferença entre a presença e a força de um cabeçalho de segurança como HSTS?

A presença de um cabeçalho como HSTS indica que ele está implementado, mas a força se refere à sua configuração correta e robusta. Por exemplo, apenas 21% das implementações de HSTS incluem includeSubDomains, max-age de pelo menos um ano e a diretiva preload, que são essenciais para uma proteção completa.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
01 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser