[Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras

Nash Leon nashleon at yahoo.com.br
Fri Feb 20 17:43:33 EST 2009


Prezado Fernando Cima e colegas da lista,

Nao devemos ver minha sugestao como a solucao do problema de man-in-the-middle, longe disso.. mas apenas como uma mitigacao ao problema
reportado(envio de dados sensiveis em modo limpo, passivel de simples
captura - item 09 - communicacao insegura do top 10). Uma recomendacao
a mais do que simplesmente confiar em SSL.

Se um sistema WEB possui um esquema de pki, isso necessariamente
exigiria do atacante um skill maior e uma implementacao especifica
de qualquer ataque de mitm. Os senhores concordam comigo nesse ponto?

Eh nisso que quero tocar.. nao nos demais cenarios, como bem citado
pelo Thiago, os ataques homograficos jah seriam outro problema.

Vejamos a questao do applet.. digamos que o site do banco X implementa
um applet que criptografa os dados usando um algoritmo de pki. Um
atacante poderia sim enviar uma pagina sem nada disso e enganar o usuario
capturando em modo limpo, isso eh outro cenario.. mas ele nao poderia
implementar um simples proxy/sniff que soh redireciona trafego, pois nesse caso, mesmo sendo HTTP, os dados iriam cifrados.

Se uma ferramenta de ataque(sslproxy/sniff) for publicada, ela deverah ser generica, e seguranca por profundidade nesse caso, acredito que serah
bem vinda.

Mas concordo com os senhores, pra resolver esse problema, vamos
precisar de navegadores mais inteligentes e sistemas web mais interativos.
Quem sabe programacao dinamica nao seja um opcao futura?

Um cordial abraco,

NL.

--- Em sex, 20/2/09, Fernando Cima <fcima at microsoft.com> escreveu:

> De: Fernando Cima <fcima at microsoft.com>
> Assunto: RE: [Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras
> Para: "nashleon at yahoo.com.br" <nashleon at yahoo.com.br>, "owasp-brazilian at lists.owasp.org" <owasp-brazilian at lists.owasp.org>
> Data: Sexta-feira, 20 de Fevereiro de 2009, 18:27
> Caro Nash,
> 
> Desculpe, para mim ainda não está claro. Na sua idéia,
> como o cliente estaria recebendo e validando este applet?
> 
> Abraços,
> 
> - Fernando Cima
> 



      Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com


More information about the Owasp-brazilian mailing list