ARLA/CLUSTER: Off Topic:Diferença entre HTTP e HTTPS, não há regras absolutas.

[João Costa > CT1FBF]

Atenção que não há uma regra absoluta em informática, exemplos;

- Os servidores D-Star, todos eles por serem particulares e porque
ninguém está interessado em despender entre 15 a 350 € num registo CSR
(ver http://www.digitalsign.pt/cert_servidores2.jsp) dão o tão
famigerado erro de "Site não Seguro".

- Mas ainda há mais, os sites governamentais que trabalhem com ligação
segura (há algumas excepções). O nosso governo como tem um gabinete de
informática resolveu (e bem) poupar uns tostões nos variadíssimos
registos e assim criou a sua própria chave de servidor, ou seja a
chave CA, ela é empregue por exemplo no site da segurança social e em
todos os documentos PDF para certificação electrónica, para isso tens
que instalar essa chave de certificação.

Quero então com isto dizer que embora o alerta seja em tudo
proveitoso, temos que analisar quem são os receptores da mensagem e
convenhamos, que existem colegas que ao lerem esta mensagem nunca mais
entram num site que diga que não é seguro, por exemplo nos nossos
servidores de D-Star, hehehe.

Fonte: Jorge Santos (CT1JIB)


FW: ARLA/CLUSTER: Off Topic: Você sabe a diferença entre HTTP e HTTPS?
João Gonçalves Costa joao.a.costa ctt.pt
Terça-Feira, 25 de Janeiro de 2011 - 18:34:26 WET


--------------------------------------------------------------------------------

Uma nota importante a acrescentar neste tópico, dada por um conhecido
que trabalha com estes assuntos ...

NUNCA, NUNCA dizer que se aceita a ligação se se está a aceder a um
"site" seguro (HTTPS) e se vai fazer operações que irão implicar a
transferência de dados críticos como dados pessoais, palavras-chave,
etc.

Estes avisos (como o que se anexa) ocorrem quando o nosso "browser"
não consegue confirmar se o certificado digital que o servidor lhe
enviou é legítimo, tal pode ocorrer porque o certificado necessário
para esta confirmação não foi ainda instalado no nosso sistema ou
porque um terceiro gerou um certificado falso muito semelhante ao
original para enganar os utilizadores do "site". Se aceitarmos a
ligação, apesar das comunicações saírem da nossa máquina (PC, MAC,
PDA. etc.) cifradas e chegarem ao servidor legítimo cifradas, o
"atacante" tem acesso a elas em claro pelo meio. A isto chama-se um
ataque MITM (Man-In-The-Middle).

Associado a este problema está o de se aceitar a instalação
indiscriminada de "certificados raíz" nos nossos sistemas, se o
fizermos e se o certificado tiver sido gerado por um "atacante", ele
poderá gerar os certificados falsos que quiser que o nosso sistema
acreditará neles porque o tal certificado forjado previamente
instalado no nosso sistema confirma (erroneamente) a sua idoneidade.

No grupo de trabalho do "conhecido que trabalha com estes assuntos"
foram feitos testes de prova de conceito e conseguiu-se sem grandes
problemas reproduzir a tarefa de um atacante neste processo, incluindo
a obtenção de palavras-chave de sites importantes ...

73!

Fonte: Pedro Ribeiro (CR7ABP)

On 25-01-2011 18:06, João Gonçalves Costa wrote:

	Você pode navegar na internet sem imaginar a diferença que uma letra
do endereço do browser pode fazer. Um ‘s’ separa os protocolos de
navegação HTTP do HTTPS. A mudança parece, mas não é nada pequena. O
"S" significa security ou segurança, em português.
	
	O HTTPS é o protocolo ou conjunto de regras e códigos com uma camada
de segurança que torna a navegação mais segura.
	
	O HTTP não oferece a mesma segurança do HTTPS porque as informações
navegam na rede de uma forma muito parecida com a apresentada na tela
ou digitadas pelo utilizador. Por exemplo, se o utilizador digita um
login "xxx" e uma senha "1234", isso é colocado dentro de pacotes de
dados que são enviados da mesma maneira pela rede. Alguém pode
interceptar esses dados no meio do caminho, contendo exatamente o
digitado. Com essas informações, o interceptador pode acessar um site
na internet.
	
	"Interceptar pacotes entre a origem e o destino não é muito
complicado na internet. Eles passam por diversas redes de uma ponta
até a outra, como a rede de nossa casa ou empresa, a rede do nosso
provedor, a rede do provedor do sítio web de destino e a rede onde
está o servidor que esse sítio, por exemplo. Em qualquer desses pontos
um indivíduo mal-intencionado pode encontrar meios de visualizar os
pacotes de dados que circulam na Internet. Não é uma tarefa trivial,
mas não chega a ser difícil", segundo António Moreiras, supervisor de
projetos do NIC.br (Núcleo de Informação e Coordenação do Ponto BR).
	
	O HTTP tem vulnerabilidades que acabam por prejudicar os
utilizadores. O HTTP não oferece certeza absoluta de que o site
acessado é realmente quem diz ser. Um cracker pode interceptar os
dados que circulam na Internet e criar um falso sítio de destino,
respondendo às requisições do navegador na web. Por exemplo, o
utilizador pode pensar que está navegando numa loja virtual, mas está,
na verdade, interagindo com uma quadrilha que roubará seus dados
pessoais, como senhas e números de cartão de crédito.
	
	A função básica entre os http e https é igual, ou seja, é usado para
permitir que os navegadores na internet dialoguem com os servidores,
mas fornece mais segurança em dois aspectos: encripta os dados que
circulam na Internet, embaralha-os de forma que somente o destinatário
pode entendê-los. Esses dados podem ser interceptados, mas não são
legíveis para as pessoas ou computadores. "É muito, muito difícil que
possam ser desencriptados e entendidos por alguma entidade que os
intercepte a meio do caminho", aponta o supervisor.
	
	O HTTPS também garante que o site que o utilizador está visualizando
é quem diz ser. O dono do local na web cria um certificado, dizendo
quem é e submete isso a uma empresa certificadora, que verifica a
autenticidade do mesmo e o assina, o endossando. Os navegadores
reconhecem as principais empresas certificadoras e aceitam
automaticamente os certificados assinados por ela, reconhecendo sua
autenticidade e a da página correspondente.
	
	É importante entender que o HTTPS só protege o caminho, não protege
as pontas. Ou seja, se o computador ou o servidor da loja virtual
forem invadidos ou estiverem comprometidos por ataques de vírus ou
outros softwares maliciosos, as informações podem ser comprometidas.
"É como contratar um “carro blindado” para levar dinheiro de uma loja
até o banco: isso não garante que a loja não será assaltada, nem
garante que o dinheiro não será roubado do cofre do banco", explica
António Moreiras.
	
	Outro ponto importante a ser considerado é a efetividade dos nomes de
utilizador e senhas utilizadas. É preciso desenvolver senhas pouco
previsíveis. Uma senha "1234", ou com a data de aniversário do
utilizador, por exemplo, é facilmente descoberta, sem a necessidade do
cracker interceptar os dados no meio do caminho.
	
	Em conjunto com o uso do HTTPS, o utilizador precisa estar atento à
segurança de seu computador principal, com a utilização de antivírus,
firewalls, antispywares e outros softwares de proteção. Também é
preciso ter cuidado com os sites acessados e e-mails suspeitos, sem
contar a criação de senhas fortes, dificultando sua descoberta.
	
	Fonte: Wnews