Visão Geral dos Checkers
HSTS Header Presence
Verifica se o seu site tem a “trava de segurança” (HTTP Strict Transport Security - HSTS) ativada. Basicamente, confere se o servidor está gritando para o navegador: “Aqui só entra via HTTPS, não aceite conexões inseguras!”.
HSTS Secure Max-Age Value
Confere se a “trava de segurança” (HTTP Strict Transport Security - HSTS) tem um prazo de validade longo o suficiente para ser levado a sério.
HSTS Preload Property Presence
Verifica se o seu site pede para entrar em um acordo de confiança permanente com os navegadores. Após essa solicitação ser aceita, o endereço do seu site passa a fazer parte de uma “lista VIP” mantida pelos próprios navegadores. A partir daí, novas versões dos navegadores já sabem que o seu site só pode ser acessado via HTTPS, mesmo no primeiro acesso.
HSTS IncludeSubDomains Property Presence
Verifica se a “trava de segurança” (HTTP Strict Transport Security - HSTS) vale para a “família toda” (subdomínios) ou só para o site principal.
CSP Header Presence
Verifica se você criou a “Lista de Convidados” (Content Security Policy - CSP) do seu site.
CSP Default-Src Value
Confere se a regra “Mãe” do Content Security Policy (CSP) está definida. O default-src é o chefe: se uma regra específica (como imagens ou scripts) não for definida, é ele quem decide quem entra e quem sai.
CSP Object-Src Value
Verifica se o “segurança da balada” (Content Security Policy - CSP) está impedindo a entrada de tecnologias jurássicas e perigosas (Flash, Java Applets).
CSP Base-Uri Value
Garante que o “segurança da balada” (Content Security Policy - CSP) não deixará ninguém mudar o endereço base dos seus links (a tag <base>).
CSP Form-Action Value
Define para onde os formulários do seu site (login, contato, newsletter) podem enviar dados quando o usuário clica em “Enviar”.
CSP Frame-Ancestors Value
A regra do “Quem pode me colocar numa moldura?”. Define quais sites podem exibir o seu site dentro de um <iframe>.
CSP Upgrade-Insecure-Requests Value
Esse é o “corretor automático” de segurança, que instrui o navegador a converter automaticamente todos os links HTTP em HTTPS antes de carregá-los.
CSP Script-Src Value
Controla quem pode executar Scripts (JavaScript) no navegador do usuário. É a principal defesa contra XSS (injeção de código malicioso).
X-Content-Type-Options Value
Essa diretiva instrui o navegador a não tentar “adivinhar” o tipo de um arquivo, devendo respeitar exclusivamente o tipo declarado pelo servidor.
X-Frame-Options Value
A versão clássica da proteção contra Clickjacking, mantida para garantir compatibilidade com navegadores mais antigos.
CORS Access-Control-Allow-Origin Value
Essa é a regra que funciona como o “porteiro” do seu servidor, definindo quais origens (sites/aplicações) têm permissão para solicitar dados a ele.
CORS Access-Control-Allow-Methods Values
Define quais ações (verbos HTTP) os visitantes autorizados podem realizar na sua API.
CSP Style-Src Value
Define quem tem permissão para “vestir” o site (arquivos CSS e estilos).
CSP Media-Src Value
Controla de onde arquivos de áudio e vídeo (tags <audio> e <video>) podem ser carregados.
CSP Frame-Src Value
A regra do “O que eu posso exibir na minha tela?”. Define quais sites podem ser carregados dentro de iframes no seu site.
CSP Font-Src Value
Controla de onde as fontes de texto (tipografia) podem ser baixadas.
CSP Connect-Src Value
Define para onde o seu site pode “telefonar” — ou seja, fazer requisições de dados em segundo plano via AJAX, Fetch, XMLHttpRequest e WebSockets.
Sensitive Files Exposed
Verifica se o seu servidor está deixando arquivos confidenciais acessíveis para qualquer pessoa na internet. Pense nesses arquivos como as chaves do seu cofre — eles contêm senhas, tokens de acesso, chaves de criptografia e cópias completas do seu banco de dados. Se alguém de fora conseguir abrir esses arquivos, é como se você tivesse deixado a porta do cofre aberta na calçada.
Configuration File Information Leakage
Alguns arquivos precisam existir no servidor — como documentação, configurações e arquivos de log. O problema não é tê-los, é o que está escrito dentro deles. Este checker abre cada um desses arquivos e verifica se eles contêm informações que não deveriam estar visíveis: senhas esquecidas, modo de depuração ativado, rotas internas expostas ou documentação de API sem proteção.
SPF Policy
Verifica se o seu domínio tem uma regra que define quais servidores têm permissão para enviar e-mails em seu nome. Pense no SPF como uma lista de convidados para uma festa — sem ela, qualquer pessoa pode chegar na porta dizendo que foi convidada por você, e o segurança não tem como confirmar se é verdade.
Obsolete TLS Protocol
Verifica se o seu site usa versões antigas e inseguras do protocolo que protege a comunicação entre o navegador do seu usuário e o seu servidor. Pense no TLS como o envelope lacrado que protege as mensagens trocadas entre os dois lados. Versões antigas desse envelope possuem falhas conhecidas — qualquer pessoa com o conhecimento certo consegue abrir e ler o conteúdo sem que ninguém perceba.
Os Checkers são os “olhos atentos” da CarameloSec. Cada um deles é responsável por verificar um ponto específico de segurança da sua aplicação, como se fossem auditores especializados, cada um olhando para um detalhe diferente.
Abaixo você encontra a lista completa dos 26 checkers ativos. Cada card representa uma dessas verificações e mostra a versão mais recente do checker. Ao clicar, você pode ver o histórico de mudanças, exemplos práticos do que é analisado e quais boas práticas de segurança são esperadas naquele ponto.