[Owasp-brazilian] A9 – Comunicações Inseguras

Leonardo Cavallari Militelli leonardocavallari at gmail.com
Thu Jan 22 10:11:45 EST 2009


Olá Nash,

Só para clarificar, a OWASP é uma organização que visa a segurança de
aplicações Web, considerando recursos de infra, outras camadas de
hardware/software, como os firewalls de aplicação (WAF's), etc.

O SSL/TLS, mesmo sendo um mecanismo implementado em uma camada inferior do
TCP/IP, é realmente essencial para proteger os canais de comunicação contra
a "escuta digital" e creio que isso é indiscutível. Claro que estes
mecanismos tem suas vulnerabilidades, a maioria passível de ser explorada
devido ao desconhecimento/imprudência do usuário, ainda mais quando se usa
certificados auto-assinados, por exemplo.

Continuando na base do desconhecimento do usuário, eu particularmente
somente recomendo soluções de segurança baseadas no lado do cliente como
formas adicionais de proteção, mas nunca primárias.

Essa parte do texto que você ressaltou está correta sim, pois está se
referindo ao ponto A9 - Comunicações inseguras, e não à segurança de
aplições web de forma geral.

Por fim, a OWASP é uma organização aberta e realmente tem algumas
deficiências esperando por colaboradores para serem tratadas! :)

[]'s
Leo Cavallari





2009/1/22 Nash Leon <nashleon at yahoo.com.br>

> Como vai, pessoal?
>
> Temos usado o top 10 da owasp como recomendação para os desenvolvedores
> e treinamento que damos, no entanto um item em especial me tem intrigado
> já há algum tempo.
>
> Pelo que sei, o objetivo da owasp e do top 10 em especial é conscientizar
> quanto a práticas seguras de desenvolvimento, mas este item citado no
> subject joga toda a responsabilidade de segurança para a "infra-estrutura"
> e não para a aplicação, como deveria ser.
>
> Do top 10 em português temos:
>
> "A parte mais importante da proteção é usar o SSL em todas as conexões
> autenticadas ou em qualquer
> informação sensível em transmissão...."
>
> Isso não deveria ser a parte mais importante, pois qualquer fraqueza
> na "infra-estrutura" iria expor a aplicação. Como exemplo cito os
> problemas de certificados que não raro são mal gerados e fracos o
> bastante para serem comprometidos.
>
> Uma sugestão melhor seria a aplicação 'criptografar' os dados, pelo
> menos os dados críticos usando PKI. Como se trata de aplicações WEB, isso
> pode ser facilmente implementado usando JavaScript(sim, do lado cliente),
> num custo operacional que deve ser analisado(chaves de 2048 bits em
> javascript pode travar qualquer navegador).
>
> SSL deveria ser visto como algo a parte, como uma camada secundária
> de segurança e não como a principal.
>
> Mesmo sabendo que existem formas de se quebrar uma implementação de
> criptografia a nível de navegador(o mesmo se aplica ao uso de SSL nos
> navegadores), acredito que essa ainda seria uma melhor sugestão de solução,
> cabendo o ônus ao desenvolvedor da aplicação e não a infra-estrutura WEB.
>
> Nos treinamentos que damos, nós dizemos que isso é uma deficência da
> OWASP e que uma coisa é aplicação e segurança da aplicação e outra bem
> diferente é infra-estrutura e consequentemente segurança de infra. E que
> "uma aplicação pra ser segura não deve depender da segurança de infra".
>
> O que os senhores pensam a respeito disso?
>
> Um cordial abraço,
>
> Nash Leon.
>
>
>      Veja quais são os assuntos do momento no Yahoo! +Buscados
> http://br.maisbuscados.yahoo.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090122/365257bd/attachment-0001.html 


More information about the Owasp-brazilian mailing list