[Owasp-portuguese] Fwd: A mighty fortress is our PKI

Bruno Morisson morisson at genhex.org
Fri Jul 23 13:28:38 EDT 2010


Eu quando digo isso, refiro-me tipicamente em ambiente Web, i.e. que requer
alguma intervenção (ou no mínimo atenção) do utilizador.
Noutros âmbitos, embora também existam fragilidades, é menos complicada esta
problemática. As pessoas são sempre o elo mais fraco...

--
Bruno Morisson <morisson at genhex.org>


2010/7/23 Carlos Serrão <carlos.j.serrao at gmail.com>

> Viva,
>
> tb concordo que o SSL/TLS hoje em dia tende para ser um pouco irrelevante,
> embora tenha reconhecidamente tido um papel muito importante no comércio
> electrónico.
>
> Não se esqueçam, que inclusive, é sempre um utilizador (muitas vezes sem
> saber o que está a fazer) que tem que tomar a decisão de aceitar ou não uma
> ligação SSL/TLS, mesmo quando confrontado com um certificado X.509 inválido.
>
> Ou seja, o principal problema com o SSL/TLS é mesmo a parte da
> autenticação.
>
> Cps,
>
> On 2010/07/23, at 17:36, Bruno Morisson wrote:
>
> 2010/7/23 Nuno Loureiro <nuno at sig9.net>
>
>>
>>
>> O que eu disse foi que é um pouco extremo dizer que SSL não serve para
>> nada. Apesar de todos os problemas, continua a oferecer um certo número de
>> protecções para um determinado número de ataques . Os ataques referenciados
>> pelo Moxie têm certos pré-requisitos e há muitos outros tipos de ataques que
>> deixam de ser possíveis se usarmos SSL, que não têm pre-requisitos nenhuns e
>> que são faceis de concretizar. That's it. :)
>>
>>
> Sim, é extremo, mas...
>
>
> Ajudava que todos os browsers tivessem uma forma standard, comum e que
>> sobretudo não mudasse a cada ano, de mostrar ao user que o site está seguro
>> com SSL e que o certificado é valido.
>>
>
> ...enquanto isso não acontecer, não acho assim tão extremo qt isso ;)
>
>
> Bruno Morisson <morisson at genhex.org>
>
>
> _______________________________________________
> Owasp-portuguese mailing list
> Owasp-portuguese at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-portuguese
>
>
>     --
> Carlos Serrão
> ISCTE-IUL/SoTA/DCTI | ADETTI-IUL/NetMuST | OWASP.PT
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-portuguese/attachments/20100723/ed77df4f/attachment.html 


More information about the Owasp-portuguese mailing list