FW: ARLA/CLUSTER: Off Topic: Você sabe a diferença entre HTTP e HTTPS?

João Gonçalves Costa joao.a.costa ctt.pt
Terça-Feira, 25 de Janeiro de 2011 - 18:34:26 WET


Uma nota importante a acrescentar neste tópico, dada por um conhecido que trabalha com estes assuntos ...

NUNCA, NUNCA dizer que se aceita a ligação se se está a aceder a um "site" seguro (HTTPS) e se vai fazer operações que irão implicar a transferência de dados críticos como dados pessoais, palavras-chave, etc.

Estes avisos (como o que se anexa) ocorrem quando o nosso "browser" não consegue confirmar se o certificado digital que o servidor lhe enviou é legítimo, tal pode ocorrer porque o certificado necessário para esta confirmação não foi ainda instalado no nosso sistema ou porque um terceiro gerou um certificado falso muito semelhante ao original para enganar os utilizadores do "site". Se aceitarmos a ligação, apesar das comunicações saírem da nossa máquina (PC, MAC, PDA. etc.) cifradas e chegarem ao servidor legítimo cifradas, o "atacante" tem acesso a elas em claro pelo meio. A isto chama-se um ataque MITM (Man-In-The-Middle).

Associado a este problema está o de se aceitar a instalação indiscriminada de "certificados raíz" nos nossos sistemas, se o fizermos e se o certificado tiver sido gerado por um "atacante", ele poderá gerar os certificados falsos que quiser que o nosso sistema acreditará neles porque o tal certificado forjado previamente instalado no nosso sistema confirma (erroneamente) a sua idoneidade.

No grupo de trabalho do "conhecido que trabalha com estes assuntos" foram feitos testes de prova de conceito e conseguiu-se sem grandes problemas reproduzir a tarefa de um atacante neste processo, incluindo a obtenção de palavras-chave de sites importantes ...

73!

Fonte: Pedro Ribeiro (CR7ABP)

On 25-01-2011 18:06, João Gonçalves Costa wrote: 

	Você pode navegar na internet sem imaginar a diferença que uma letra do endereço do browser pode fazer. Um ‘s’ separa os protocolos de navegação HTTP do HTTPS. A mudança parece, mas não é nada pequena. O "S" significa security ou segurança, em português. 
	
	O HTTPS é o protocolo ou conjunto de regras e códigos com uma camada de segurança que torna a navegação mais segura.
	
	O HTTP não oferece a mesma segurança do HTTPS porque as informações navegam na rede de uma forma muito parecida com a apresentada na tela ou digitadas pelo utilizador. Por exemplo, se o utilizador digita um login "xxx" e uma senha "1234", isso é colocado dentro de pacotes de dados que são enviados da mesma maneira pela rede. Alguém pode interceptar esses dados no meio do caminho, contendo exatamente o digitado. Com essas informações, o interceptador pode acessar um site na internet.
	
	"Interceptar pacotes entre a origem e o destino não é muito complicado na internet. Eles passam por diversas redes de uma ponta até a outra, como a rede de nossa casa ou empresa, a rede do nosso provedor, a rede do provedor do sítio web de destino e a rede onde está o servidor que esse sítio, por exemplo. Em qualquer desses pontos um indivíduo mal-intencionado pode encontrar meios de visualizar os pacotes de dados que circulam na Internet. Não é uma tarefa trivial, mas não chega a ser difícil", segundo António Moreiras, supervisor de projetos do NIC.br (Núcleo de Informação e Coordenação do Ponto BR).
	
	O HTTP tem vulnerabilidades que acabam por prejudicar os utilizadores. O HTTP não oferece certeza absoluta de que o site acessado é realmente quem diz ser. Um cracker pode interceptar os dados que circulam na Internet e criar um falso sítio de destino, respondendo às requisições do navegador na web. Por exemplo, o utilizador pode pensar que está navegando numa loja virtual, mas está, na verdade, interagindo com uma quadrilha que roubará seus dados pessoais, como senhas e números de cartão de crédito.
	
	A função básica entre os http e https é igual, ou seja, é usado para permitir que os navegadores na internet dialoguem com os servidores, mas fornece mais segurança em dois aspectos: encripta os dados que circulam na Internet, embaralha-os de forma que somente o destinatário pode entendê-los. Esses dados podem ser interceptados, mas não são legíveis para as pessoas ou computadores. "É muito, muito difícil que possam ser desencriptados e entendidos por alguma entidade que os intercepte a meio do caminho", aponta o supervisor.
	
	O HTTPS também garante que o site que o utilizador está visualizando é quem diz ser. O dono do local na web cria um certificado, dizendo quem é e submete isso a uma empresa certificadora, que verifica a autenticidade do mesmo e o assina, o endossando. Os navegadores reconhecem as principais empresas certificadoras e aceitam automaticamente os certificados assinados por ela, reconhecendo sua autenticidade e a da página correspondente.
	
	É importante entender que o HTTPS só protege o caminho, não protege as pontas. Ou seja, se o computador ou o servidor da loja virtual forem invadidos ou estiverem comprometidos por ataques de vírus ou outros softwares maliciosos, as informações podem ser comprometidas. "É como contratar um “carro blindado” para levar dinheiro de uma loja até o banco: isso não garante que a loja não será assaltada, nem garante que o dinheiro não será roubado do cofre do banco", explica António Moreiras.
	
	Outro ponto importante a ser considerado é a efetividade dos nomes de utilizador e senhas utilizadas. É preciso desenvolver senhas pouco previsíveis. Uma senha "1234", ou com a data de aniversário do utilizador, por exemplo, é facilmente descoberta, sem a necessidade do cracker interceptar os dados no meio do caminho.
	
	Em conjunto com o uso do HTTPS, o utilizador precisa estar atento à segurança de seu computador principal, com a utilização de antivírus, firewalls, antispywares e outros softwares de proteção. Também é preciso ter cuidado com os sites acessados e e-mails suspeitos, sem contar a criação de senhas fortes, dificultando sua descoberta.
	
	Fonte: Wnews
	
	
	
	_______________________________________________
	CLUSTER mailing list
	CLUSTER  radio-amador.net
	http://radio-amador.net/cgi-bin/mailman/listinfo/cluster
	



-- 
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Pedro Ribeiro
Indicativo: CR7ABP
QTH: São Francisco, Alcochete
GRID LOC: IM58MR
** Limitado a RX em Categ. 3 até 31/03/2012 **
( Decreto-Lei 53/2009, Art 8, 2a e Art 5, 3a )
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- 
-------------- próxima parte ----------
Um anexo que não estava em formato texto não está incluído...
Nome : ca_01.png
Tipo : image/png
Tam  : 10546 bytes
Descr: ca_01.png
Url  : http://radio-amador.net/pipermail/cluster/attachments/20110125/0b4ac5c0/ca_01.png


Mais informações acerca da lista CLUSTER