• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Google

Https

8 mensagens neste tópico

Boas Pessoal ;)

Tenho visto os sites cada vez mais a utilizarem SSL e decidi estudar isto.

Pelo que percebi, é um protocolo que mantém o utilizador seguro por exemplo em compras online.

Funciona mesmo? Tem vulnerabilidades?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

É que vou comprar um host que tem SSL e quero usufruir de todas as funcionalidades :P

Obrigado! ;)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O SSL é muito mais seguro.

Mas tb é mais lento pq implica codificação/descodificação com algoritmos pesados. E pior de tudo, não é feito cache de https.

Se a tua aplicação for um banco online, é imperativo q prejudiques a performance para teres segurança.

Caso contrário não vale a pena. Sites como record e a bola têm os seus logins, mas n precisam de segurança a esse ponto.

Claro q se o objectivo for aprendizagem, implementa á vontade, força nisso.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Pois, mas é que fazia-me imenso jeito ter segurança no site uma vez que também envolve compra/venda

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Nesse caso o q eu recomendo é teres um painel de pesquisa e comparação de produtos em http.

E em caso de compra, redireccionares para uma página segura, onde é feita a transacção via https.

Assim a parte pesada do site, com imagens e pesquisas fica em http.

A parte critica q envolve dados importantes fica em https, onde são só trocados os dados essenciais p a compra.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

vou dar a minha perspectiva técnica do que acho sobre SSL

antes demais aproveito para citar

Secure Sockets Layer (SSL), are cryptographic protocols that provide security for communications over networks such as the Internet. TLS and SSL encrypt the segments of network connections at the Transport Layer end-to-end.

Several versions of the protocols are in wide-spread use in applications like web browsing, electronic mail, Internet faxing, instant messaging and voice-over-IP (VoIP).

TLS is an IETF standards track protocol, last updated in RFC 5246, that was based on the earlier SSL specifications developed by Netscape Corporation.[1]

is usually implemented on top of any of the Transport Layer protocols, encapsulating the application specific protocols such as HTTP, FTP, SMTP, NNTP, and XMPP.

SSL, predecessor do TLS e é como o layer de apoio a outros... vejam o caso do SSH

SSL é a melhor (por ser pratica) forma de proteger a informação que transita entre o website e o browser do cliente. falo recorrendo a encriptação e estando informado posso dizer que não há problemas na encriptação em si. pode-se considerar a encriptação segura

o problema é o tal Man in The Midle (MITM).. ou o Homem No Meio... poix e até há diversas formas eficazes ou não tanto de o conseguir

nem falaria no enganar pelo nome DNS como esses emaisl que temos no SPAM com links para sites que parecem pelo nome ser uma coisa mas afinal e reparando num caracter apenas, vemos que não é o real...

o  problema é na possibilidade de redirecionar o trafego forçozamente recorrendo a DNS Poisining, ARP spoofing... etc, etc

é possivel, mesmo usanda a melhor técnica esta forma de DNS poisning nunca é muito eficaz diversos a varios pontos. mas vamos focar e pode-se afirmar que é possivel através de DNS poisning (consiste em inundar o serviço de DNS e replicações de servidors DNS pra estarem cnstantemente actualizados com informação falsa sobre um nome DNS... tens o teu DNS (ex: ze.pt)direcionado para um ip e é possivel que recorrendo a esta técnica, se consiga que um numero interssante de PC´s ligados à Net pense que afinal esse nome de ze.pt pertence a outro IP... há estudos estatisticos sobre as probalidades)

ora... aqui entra o MITM... alguem cria um servidor falso com SSL e recebe a comunicaçao HTTPS do cliente que pensa estar seguro... o admin do servidor falso consegue descodificar o trafego pois é dono do certificado do servidor... basta que redireciione o trafego depois de analisado para o servidor verdadeiro e ninguem nota o que se passa... para o servidor verdadeiro o servidor falso é o cliente verdadeiro e para o cliente pensa qeu o servidor falso é o verdadeiro...

mas cada vex mais esta tecnica é dficil e por mts consideradaa  inutil

a não ser que estajamos a falar de lan partys e feiras e coisas assim onde alguem consegue ter o controle total sobre a rede... mesmo n

ao estando autorizado... mas ai ha tantas outras simples tecnicas como o keystroke, packet sniffing e tal que bla bla

NUNCA VEJA O VOSSO EMAIL (ou acedam a locais em que requeiram dados de conta) EM LOCAIS DE ACESSO PUBLICO (é tao simples serem vitimas que nao vale mesmo a pena tentar truques de defesa)

quantas historias destas por ai?????? é possivel criar uma linux box que corre numa PEN que ligada a um PC pela sombra e tudo pode aconter

apesar de já haver produtos completos "out of the box"... alguem distrai a pessoa de um stand e...

obviamente é tudo lendas e mitos urbanos

mas sobre o SSL... eu confio no SSL e é a minha opção pessoal para assegurar dados, MAS...

hoje com a evoluçao das RIA (rich internet aplications) em que o site é uma aplicação em sandbox que comunica por WebServices remotos... pahh... ai podes criar todo o tipo de mecanismos de segurança na transmição de dados

FLEX da adobe, claro

mas o SSL têm feito muito pela segurança e é de longe o metodo mais usado para garantir a codificaç

ao dos dados...

mas nao garante autenticação... isso é outra historia

acho que tenho posts especificos sobre Man in the medle e remote exploitation, que claro... pode anular a confiança do teu servidor a todos os niveis

explora mais por ai

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

vejam neste filme, uma técnica de DNS Spoofing que fará com que a todos os pedidos de DNS da box vitima se dirigam ao serviço/servidor com o exploit

com determinado código que explora uma vulnerabilidade no IE7 e cria um canal (configuravel podendo passar por firewalls) entre o host e a vitima, recorrendo a diversos payloads cmo por exemplo uma shell pode-se afirmar de todo que é um owNED

http://www.milw0rm.com/video/watch.php?id=96

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora