[Owasp-brazilian] A9 – Comunicações Inseguras

Wagner Elias wagner.elias at gmail.com
Thu Jan 22 14:32:23 EST 2009


Fala pessoal,

eu vejo por outro lado, não considero a adoção de SSL em um canal como
uma responsabilidade de infra-estrutura. Uma coisa seria recomendar
IPSec, já recomendar SSL pra mim é diretamente ligado a aplicação.
Apesar dos certificados dependerem de infra-estrutura o beneficiado na
adoção de SSL é a aplicação.

Quanto a jogar a responsabilidade para infra-estrutura, o item 9 não
exime você de tratar todos os outros, é só uma das vulnerabilidades
ocasionadas por "falta de" SSL.

O Top 10 é um ranking das vulnerabilidades exploradas em app web e não
um guia de boas práticas para desenvolvimento.

Abs.

2009/1/22 Leonardo Cavallari Militelli <leonardocavallari at gmail.com>:
> Olá Nash,
>
> Só para clarificar, a OWASP é uma organização que visa a segurança de
> aplicações Web, considerando recursos de infra, outras camadas de
> hardware/software, como os firewalls de aplicação (WAF's), etc.
>
> O SSL/TLS, mesmo sendo um mecanismo implementado em uma camada inferior do
> TCP/IP, é realmente essencial para proteger os canais de comunicação contra
> a "escuta digital" e creio que isso é indiscutível. Claro que estes
> mecanismos tem suas vulnerabilidades, a maioria passível de ser explorada
> devido ao desconhecimento/imprudência do usuário, ainda mais quando se usa
> certificados auto-assinados, por exemplo.
>
> Continuando na base do desconhecimento do usuário, eu particularmente
> somente recomendo soluções de segurança baseadas no lado do cliente como
> formas adicionais de proteção, mas nunca primárias.
>
> Essa parte do texto que você ressaltou está correta sim, pois está se
> referindo ao ponto A9 - Comunicações inseguras, e não à segurança de
> aplições web de forma geral.
>
> Por fim, a OWASP é uma organização aberta e realmente tem algumas
> deficiências esperando por colaboradores para serem tratadas! :)
>
> []'s
> Leo Cavallari
>
>
>
>
>
> 2009/1/22 Nash Leon <nashleon at yahoo.com.br>
>>
>> Como vai, pessoal?
>>
>> Temos usado o top 10 da owasp como recomendação para os desenvolvedores
>> e treinamento que damos, no entanto um item em especial me tem intrigado
>> já há algum tempo.
>>
>> Pelo que sei, o objetivo da owasp e do top 10 em especial é conscientizar
>> quanto a práticas seguras de desenvolvimento, mas este item citado no
>> subject joga toda a responsabilidade de segurança para a "infra-estrutura"
>> e não para a aplicação, como deveria ser.
>>
>> Do top 10 em português temos:
>>
>> "A parte mais importante da proteção é usar o SSL em todas as conexões
>> autenticadas ou em qualquer
>> informação sensível em transmissão...."
>>
>> Isso não deveria ser a parte mais importante, pois qualquer fraqueza
>> na "infra-estrutura" iria expor a aplicação. Como exemplo cito os
>> problemas de certificados que não raro são mal gerados e fracos o
>> bastante para serem comprometidos.
>>
>> Uma sugestão melhor seria a aplicação 'criptografar' os dados, pelo
>> menos os dados críticos usando PKI. Como se trata de aplicações WEB, isso
>> pode ser facilmente implementado usando JavaScript(sim, do lado cliente),
>> num custo operacional que deve ser analisado(chaves de 2048 bits em
>> javascript pode travar qualquer navegador).
>>
>> SSL deveria ser visto como algo a parte, como uma camada secundária
>> de segurança e não como a principal.
>>
>> Mesmo sabendo que existem formas de se quebrar uma implementação de
>> criptografia a nível de navegador(o mesmo se aplica ao uso de SSL nos
>> navegadores), acredito que essa ainda seria uma melhor sugestão de solução,
>> cabendo o ônus ao desenvolvedor da aplicação e não a infra-estrutura WEB.
>>
>> Nos treinamentos que damos, nós dizemos que isso é uma deficência da
>> OWASP e que uma coisa é aplicação e segurança da aplicação e outra bem
>> diferente é infra-estrutura e consequentemente segurança de infra. E que
>> "uma aplicação pra ser segura não deve depender da segurança de infra".
>>
>> O que os senhores pensam a respeito disso?
>>
>> Um cordial abraço,
>>
>> Nash Leon.
>>
>>
>>      Veja quais são os assuntos do momento no Yahoo! +Buscados
>> http://br.maisbuscados.yahoo.com
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>



-- 
Att.
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list