[Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras

Wagner Elias wagner.elias at gmail.com
Sun Feb 22 11:31:23 EST 2009


Oi Nash,

nenhum o momento o Top 10 coloca o SSL como a panacéia, bala de prata,
é apenas uma recomendação.

E mais uma vez eu torno a lembrar, o Top 10 não é um guia de boas
práticas e/ou implementação de controles.

Se analisar o Development Guide irá verificar que é sugerido inúmeros
controles (defesa em profundidade) para se garantir a segurança de uma
app.

http://www.owasp.org/index.php/Guide_Table_of_Contents

Abs.

2009/2/21 Nash Leon <nashleon at yahoo.com.br>:
>
> Como vai?
>
> Realmente é o fim da segurança para quem confiou 'apenas' naquele
> recurso, infra SSL.. quem implementou algo a  mais, vai exigir do
> atacante que implemente algo a mais no seu ataque(sem ataques
> genéricos para uma equipe de desenvolvedores competentes que
> não confia apenas na infra).
>
> Não estou falando de soluções, mas de segurança em profundidade,
> que apenas o uso de SSL nesse caso não provê.
>
> Voce não está mantendo o foco, mas devagando para outros cenários,
> analise apenas sob o ponto de vista da 'captura de tráfego'. Nesse
> caso, específico, não vejo nenhum motivo para não se usar algo a mais que
> SSL, pelo contrário, seria mais inteligente o uso de pki.
>
> No entanto, pra mim seria negligência o desenvolvedor jogar toda a
> segurança dos  dados sensíveis para a infra-estrutura, pra não dizer irresponsabilidade.
>
> E nós que trabalhamos com auditoria e damos treinamento, penso que devemos
> sim, sugerir aos desenvolvedores que implementem seus códigos da
> maneira mais segura, inclusive antecipando cenários como os citados,
> e nesse caso acredito que seja inteligente dar uma sugestão nesse sentido.
>
> Um cordial abraço,
>
> NL.
>
>
> --- Em sex, 20/2/09, Myke <mykesh at gmail.com> escreveu:
>
>> De: Myke <mykesh at gmail.com>
>> Assunto: Re: [Owasp-brazilian] retomando a discussao sobre comunicacoes inseguras
>> Para: "owasp-brazilian at lists.owasp.org" <owasp-brazilian at lists.owasp.org>
>> Data: Sexta-feira, 20 de Fevereiro de 2009, 21:41
>> Nash,
>>
>> Se a comunicação for subvertida, de que adianta ter
>> criptografia no cliente?
>>
>> Não vai ajudar em nada a criptografia no cliente, no lugar
>> do "applet
>> do bem" pode-se simplesmente injetar um "applet
>> do mal" e o cliente
>> vai pensar que todos os dados estão sendo criptografados.
>>
>> Não consigo ver segurança no cenário proposto. O
>> problema aqui é o
>> canal inseguro (Internet) que está sendo subvertido (DNS,
>> SSL, url
>> spoofing). Se um dos pontos for subvertido (browser,
>> servidor ou canal
>> de comunicação) é o fim da segurança.
>>
>> sds
>>
>> Myke
>
>
>
>      Veja quais são os assuntos do momento no Yahoo! +Buscados
> http://br.maisbuscados.yahoo.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Att.
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list