[Owasp-brazilian] A9 – Comunicações Inseguras

Marcos Aurelio Rodrigues deigratia33 at gmail.com
Thu Jan 22 09:43:36 EST 2009


Eu estava concordando com você até eu ler "uma aplicação pra ser segura não
deve depender da segurança de infra".

Eu acho que apesar do desenvolvimento ser feito de forma segura, a hora que
a aplicação vai pra "hora do pau", ela irá depender de Infra. Neste caso
seria algo mais de lavar a mão e dizer. "Fiz minha parte, minha aplicação é
segura e suporta SSL, Infra é sua vez", mais o caso de ter alinhamento entre
as áreas.


[]s
Marcos



2009/1/22 Nash Leon <nashleon at yahoo.com.br>

> Como vai, pessoal?
>
> Temos usado o top 10 da owasp como recomendação para os desenvolvedores
> e treinamento que damos, no entanto um item em especial me tem intrigado
> já há algum tempo.
>
> Pelo que sei, o objetivo da owasp e do top 10 em especial é conscientizar
> quanto a práticas seguras de desenvolvimento, mas este item citado no
> subject joga toda a responsabilidade de segurança para a "infra-estrutura"
> e não para a aplicação, como deveria ser.
>
> Do top 10 em português temos:
>
> "A parte mais importante da proteção é usar o SSL em todas as conexões
> autenticadas ou em qualquer
> informação sensível em transmissão...."
>
> Isso não deveria ser a parte mais importante, pois qualquer fraqueza
> na "infra-estrutura" iria expor a aplicação. Como exemplo cito os
> problemas de certificados que não raro são mal gerados e fracos o
> bastante para serem comprometidos.
>
> Uma sugestão melhor seria a aplicação 'criptografar' os dados, pelo
> menos os dados críticos usando PKI. Como se trata de aplicações WEB, isso
> pode ser facilmente implementado usando JavaScript(sim, do lado cliente),
> num custo operacional que deve ser analisado(chaves de 2048 bits em
> javascript pode travar qualquer navegador).
>
> SSL deveria ser visto como algo a parte, como uma camada secundária
> de segurança e não como a principal.
>
> Mesmo sabendo que existem formas de se quebrar uma implementação de
> criptografia a nível de navegador(o mesmo se aplica ao uso de SSL nos
> navegadores), acredito que essa ainda seria uma melhor sugestão de solução,
> cabendo o ônus ao desenvolvedor da aplicação e não a infra-estrutura WEB.
>
> Nos treinamentos que damos, nós dizemos que isso é uma deficência da
> OWASP e que uma coisa é aplicação e segurança da aplicação e outra bem
> diferente é infra-estrutura e consequentemente segurança de infra. E que
> "uma aplicação pra ser segura não deve depender da segurança de infra".
>
> O que os senhores pensam a respeito disso?
>
> Um cordial abraço,
>
> Nash Leon.
>
>
>      Veja quais são os assuntos do momento no Yahoo! +Buscados
> http://br.maisbuscados.yahoo.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090122/a52f1e68/attachment.html 


More information about the Owasp-brazilian mailing list