O que é uma Splash Page de WiFi?

O que é uma WiFi Splash Page? — Um Informativo de Inteligência da Purple [INTRODUÇÃO — aproximadamente 1 minuto] Bem-vindo ao Informativo de Inteligência da Purple. Eu sou o seu anfitrião e hoje vamos abordar algo que fica exatamente na interseção entre a infraestrutura de rede e a experiência do cliente: a WiFi splash page. Se você é um gerente de TI, um arquiteto de rede ou um diretor de operações de locais físicos, com certeza já implantou uma dessas — ou está prestes a implantar. Mas há uma quantidade surpreendente de confusão no mercado sobre o que realmente é uma splash page, como ela se diferencia de um Captive Portal e, crucialmente, o que separa uma página bem projetada de outra que destrói silenciosamente a experiência do seu convidado e deixa riscos de conformidade em aberto. Então, vamos ao que interessa. Nos próximos dez minutos, vou guiar você pela arquitetura técnica, pelas principais decisões de design, por cenários reais de implantação em hotelaria e varejo, e pelos erros específicos que pegam até equipes experientes de surpresa. Ao final, você terá uma estrutura clara para avaliar ou reprojetar sua própria implantação. [APROFUNDAMENTO TÉCNICO — aproximadamente 5 minutos] Vamos começar com os fundamentos. Uma WiFi splash page — às vezes chamada de página de destino de WiFi para convidados ou página de login de WiFi — é a interface baseada na web que o usuário visualiza quando se conecta pela primeira vez a uma rede sem fio de convidados e abre um navegador. Ela é a porta de entrada para a sua experiência de WiFi para convidados. Mas é aqui que a terminologia se confunde. Uma splash page não é a mesma coisa que um Captive Portal, embora os dois termos sejam usados de forma intercambiável em conversas informais. Deixe-me ser preciso sobre isso, porque é algo que importa do ponto de vista arquitetônico. Um Captive Portal é o mecanismo de camada de rede — o componente de infraestrutura que intercepta o tráfego HTTP não autenticado, realiza um redirecionamento de DNS e mantém o dispositivo em um estado de rede restrito até que a autenticação seja concluída. Ele opera nas camadas dois e três do modelo OSI. Envolve seu controlador de acesso, seu servidor RADIUS se você estiver executando 802.1X, sua configuração de VLAN e seu resolvedor de DNS. O Captive Portal é o guardião. A splash page, por outro lado, é a camada de apresentação — a página da web que o Captive Portal exibe para o usuário. É o HTML, CSS e JavaScript com o qual o convidado realmente interage e visualiza. Ela contém sua identidade visual, suas opções de autenticação, seu formulário de captura de dados, seu mecanismo de consentimento da GDPR e seus termos de serviço. Para simplificar: o Captive Portal é a fechadura; a splash page é a porta. Você precisa de ambos, mas eles desempenham funções fundamentalmente diferentes e são gerenciados por equipes diferentes — os engenheiros de rede são responsáveis pela infraestrutura do portal, enquanto o marketing e a TI gerenciam juntos a experiência da splash page.Agora, como isso funciona tecnicamente? Quando um dispositivo se conecta ao seu SSID de visitante, ele é colocado em uma VLAN restrita — vamos chamá-la de VLAN de pré-autenticação. As consultas de DNS são interceptadas e resolvidas para o endereço IP do controlador do seu Captive Portal. Qualquer solicitação HTTP — e note que é por isso que a navegação apenas por HTTPS criou alguns desafios interessantes para a detecção de Captive Portal — é redirecionada por meio de uma resposta 302 para a URL da splash page. O sistema operacional do dispositivo, seja iOS, Android ou Windows, possui um mecanismo de detecção de Captive Portal integrado. Dispositivos Apple fazem ping em captivenetwork.apple.com; dispositivos Android acessam connectivitycheck.gstatic.com. Quando essas solicitações retornam uma resposta inesperada, o SO sabe que está atrás de um Captive Portal e exibe a tela de login automaticamente. Assim que o usuário conclui o fluxo da splash page — seja inserindo um endereço de e-mail, autenticando-se via login social, aceitando os termos ou inserindo um código de voucher —, o controlador do Captive Portal atualiza o endereço MAC ou o endereço IP do dispositivo em sua tabela de autenticação, move-o para la VLAN pós-autenticação e concede acesso total à internet. A sessão é rastreada, normalmente com um tempo limite configurável e uma política de largura de banda aplicada. Agora vamos falar sobre os métodos de autenticação, porque é aqui que o valor comercial realmente começa a se diferenciar. Você tem várias opções. A mais simples é o clique único (click-through) — o usuário apenas aceita os termos e obtém acesso. Nenhum dado é capturado, o atrito é mínimo, mas o valor para a empresa também é mínimo. Um passo acima é o registro por e-mail, onde você captura um endereço de e-mail verificado. Depois, há o login social — Facebook, Google, Apple ID —, que oferece um perfil mais rico e uma identidade verificada, embora você dependa de fluxos OAuth de terceiros e das políticas de compartilhamento de dados dessas plataformas. E, no extremo mais sofisticado, você tem o registro baseado em formulários com campos personalizados, integração com programas de fidelidade e sincronização com CRM. A escolha do método de autenticação tem um impacto direto na qualidade dos seus dados, na sua taxa de conversão e na sua postura de conformidade. O clique único garante taxas de conexão próximas a 100%, mas zero dados primários (first-party data). Um formulário de registro detalhado pode reduzir sua taxa de conexão para 60 ou 70 por cento, mas fornece dados de marketing acionáveis. O ponto ideal para a maioria das implantações corporativas é o login social ou o registro por e-mail com uma única caixa de seleção de consentimento de marketing — atrito baixo o suficiente para manter uma alta conversão e qualidade de dados alta o suficiente para ser comercialmente útil. No lado da conformidade, isso é inegociável. Se você opera no Reino Unido ou na UE, o GDPR se aplica. Sua splash page deve apresentar um mecanismo de consentimento claro e afirmativo para quaisquer comunicações de marketing. Caixas pré-marcadas não são consideradas consentimento válido sob o Artigo 7 do GDPR. Seu aviso de privacidade deve ser acessível — não escondido em um PDF de 40 páginas — e você deve ser capaz de demonstrar que o consentimento foi dado livremente, de forma específica, informada e inequívoca. Se você estiver em um ambiente de saúde, também precisará considerar se os dados capturados podem constituir dados de categoria especial sob o Artigo 9. E se a sua rede de WiFi para convidados trafegar quaisquer dados de cartão de pagamento — mesmo que indiretamente — a expansão do escopo do PCI DSS é um risco real que precisa ser abordado por meio de uma segmentação de rede adequada. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS — aproximadamente 2 minutos] Certo, vamos falar sobre implantação. Quer você esteja implementando em um hotel de 200 quartos, em uma rede de varejo de 50 filiais ou em um estádio de 40.000 assentos, as decisões de arquitetura que você tomar no início determinarão quanta dor de cabeça você terá em escala. Primeiro: gerenciado na nuvem versus local (on-premise). Para implantações em múltiplos locais, soluções de Captive Portal gerenciadas na nuvem são quase sempre a resposta certa. Elas oferecem gerenciamento centralizado de splash pages, branding consistente em todos os locais, análises em tempo real e a capacidade de enviar atualizações sem tocar nos controladores de acesso individuais. As soluções locais têm seu espaço — ambientes de alta segurança, locais com conectividade WAN ruim ou organizações com requisitos rígidos de residência de dados — mas a sobrecarga operacional é significativamente maior. A plataforma da Purple, por exemplo, opera como uma solução gerenciada na nuvem que se integra à sua infraestrutura de access points existente, independentemente do fornecedor, o que é uma vantagem significativa em ambientes multifornecedores. Segundo: não subestime o problema da latência de redirecionamento. Uma das reclamações mais comuns sobre os captive portals é que a splash page demora muito para aparecer. Isso geralmente é causado por uma de três coisas: tempos de resposta lentos de redirecionamento de DNS, a própria splash page hospedada em um servidor de baixo desempenho ou — e isso é cada vez mais comum — a navegação apenas em HTTPS impedindo que o redirecionamento HTTP inicial seja acionado. Os sistemas operacionais modernos lidam razoavelmente bem com a detecção de Captive Portal, mas você deve testar sua implantação no iOS, Android, Windows e macOS antes do lançamento, pois o comportamento varia. Terceiro: gerenciamento de sessão. Decida com antecedência quanto tempo dura uma sessão, o que acontece quando ela expira e se os usuários que retornam precisam se autenticar novamente. Para o setor de hotelaria, uma sessão de 24 horas vinculada a uma reserva de quarto faz sentido. Para um ambiente de varejo, você pode preferir uma sessão mais curta com uma solicitação de reautenticação que exiba uma nova mensagem promocional. Para um estádio ou local de eventos, uma sessão de um único dia geralmente é apropriada. Essas não são apenas decisões de UX — elas afetam a carga do seu servidor RADIUS e a qualidade dos seus dados analíticos. Agora, os erros comuns. O maior que vejo em implantações corporativas é tratar a splash page como um recurso estático que você configura e esquece. Sua splash page é um canal de marketing ativo. Ela deve ser atualizada sazonalmente, testada para taxa de conversão e revisada para mudanças de conformidade — especialmente à medida que as diretrizes do GDPR evoluem. O segundo erro é a otimização móvel deficiente. Mais de 80% das conexões de WiFi de visitantes são feitas a partir de smartphones. Se a sua splash page não for totalmente responsiva e não carregar em menos de três segundos em uma conexão 4G, você está perdendo conexões. O terceiro erro é negligenciar a experiência pós-autenticação. O que acontece depois que o usuário se conecta? Ele cai em uma página de boas-vindas personalizada com uma oferta promocional? Ou é simplesmente direcionado para o site que estava tentando acessar? Esse momento pós-conexão é um ponto de contato de alta atenção que a maioria dos operadores desperdiça totalmente. [PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto] Deixe-me responder rapidamente a algumas perguntas que ouço regularmente de equipes de TI e operações. "Podemos usar nossos pontos de acesso existentes?" — Na maioria dos casos, sim. Plataformas de Captive Portal gerenciadas na nuvem, como a Purple, integram-se com Cisco Meraki, Aruba, Ruckus, Ubiquiti e a maioria dos outros fornecedores de AP corporativos via RADIUS padrão ou integração de API. "Como lidamos com dispositivos que não suportam detecção de Captive Portal?" — Você configura um walled garden: uma lista de permissões (whitelist) de endereços IP e domínios que são acessíveis antes da autenticação. Isso garante que a sua própria splash page esteja sempre acessível. "Precisamos de um SSID separado para visitantes?" — Sim, sempre. O tráfego de visitantes deve ser isolado da sua rede corporativa. O requisito mínimo é a segmentação por VLAN; a melhor prática é uma rede física ou lógica completamente separada com sua própria saída de internet. "E quanto ao WPA3?" — O WPA3 é o padrão atual para segurança sem fio e deve ser o seu padrão para qualquer nova implantação. Observe que o WPA3 usa Simultaneous Authentication of Equals, o que altera o comportamento do handshake — certifique-se de que o controlador do seu Captive Portal ofereça suporte a isso. [RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto] Para resumir: uma splash page de WiFi é a interface web interativa e personalizada que fica à frente da sua rede de WiFi de visitantes. É o componente voltado para o usuário de um sistema de Captive Portal e é, simultaneamente, um mecanismo de controle de acesso à rede, uma ferramenta de captura de dados, um ponto de verificação de conformidade e um canal de marketing. As principais decisões são: método de autenticação, campos de dados, mecanismo de consentimento, duração da sessão e experiência pós-conexão. Acerte nesses pontos e o seu WiFi de convidados se tornará um ativo de dados primários que gera um ROI de marketing mensurável. Erre e você terá um passivo de conformidade e uma experiência de convidado frustrante. Se você está avaliando ou redesenhando sua implantação, recomendo começar com a plataforma de WiFi de convidados da Purple — ela lida com a infraestrutura de Captive Portal, o construtor de splash pages, as análises e as integrações de CRM em uma única solução gerenciada na nuvem. Há um link nas notas do episódio para a página do produto de WiFi de convidados da Purple e para o guia deles sobre implantações de Captive Portal na nuvem versus locais. Obrigado por ouvir. Até a próxima.