[Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras

• Previous message: [Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras
• Next message: [Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras
• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Como vai?

Realmente é o fim da segurança para quem confiou 'apenas' naquele
recurso, infra SSL.. quem implementou algo a  mais, vai exigir do
atacante que implemente algo a mais no seu ataque(sem ataques
genéricos para uma equipe de desenvolvedores competentes que
não confia apenas na infra).

Não estou falando de soluções, mas de segurança em profundidade,
que apenas o uso de SSL nesse caso não provê.

Voce não está mantendo o foco, mas devagando para outros cenários,
analise apenas sob o ponto de vista da 'captura de tráfego'. Nesse
caso, específico, não vejo nenhum motivo para não se usar algo a mais que 
SSL, pelo contrário, seria mais inteligente o uso de pki.

No entanto, pra mim seria negligência o desenvolvedor jogar toda a 
segurança dos  dados sensíveis para a infra-estrutura, pra não dizer irresponsabilidade.

E nós que trabalhamos com auditoria e damos treinamento, penso que devemos
sim, sugerir aos desenvolvedores que implementem seus códigos da
maneira mais segura, inclusive antecipando cenários como os citados,
e nesse caso acredito que seja inteligente dar uma sugestão nesse sentido.

Um cordial abraço,

NL.


--- Em sex, 20/2/09, Myke <mykesh at gmail.com> escreveu:

> De: Myke <mykesh at gmail.com>
> Assunto: Re: [Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras
> Para: "owasp-brazilian at lists.owasp.org" <owasp-brazilian at lists.owasp.org>
> Data: Sexta-feira, 20 de Fevereiro de 2009, 21:41
> Nash,
> 
> Se a comunicação for subvertida, de que adianta ter
> criptografia no cliente?
> 
> Não vai ajudar em nada a criptografia no cliente, no lugar
> do "applet
> do bem" pode-se simplesmente injetar um "applet
> do mal" e o cliente
> vai pensar que todos os dados estão sendo criptografados.
> 
> Não consigo ver segurança no cenário proposto. O
> problema aqui é o
> canal inseguro (Internet) que está sendo subvertido (DNS,
> SSL, url
> spoofing). Se um dos pontos for subvertido (browser,
> servidor ou canal
> de comunicação) é o fim da segurança.
> 
> sds
> 
> Myke



      Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com

• Previous message: [Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras
• Next message: [Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras
• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]