Olá,
Visitante
. Por favor
entre
ou
registe-se
se ainda não for membro.
19 de Novembro de 2024, 23:02
Início
Fórum
Ajuda
Donativos
Entrar
Registe-se
Os Reformados da Investigação
»
REFORMADOS PALACE
»
Noticias diárias
»
95% dos servidores com HTTPS não são seguros
« anterior
seguinte »
Imprimir
Páginas: [
1
]
Autor
Tópico: 95% dos servidores com HTTPS não são seguros (Lida 467 vezes)
0 Membros e 1 Visitante estão a ver este tópico.
puto 22
Visitante
95% dos servidores com HTTPS não são seguros
«
em:
21 de Março de 2016, 15:07 »
95% dos servidores com HTTPS não são seguros
Nos dias que correm, é fundamental que todos os dados sensíveis, transaccionados entre um cliente (browser) e um servidor sejam cifrados de modo a que estes não possam ser entendidos por terceiros.
No caso dos servidores Web (entre outros serviços de uma rede), uma das formas de proceder à cifra dos dados é recorrendo ao protocolo SSL.
Mas sabia que 95% dos servidores HTTPS estão vulneráveis a ataques man-in-the-middle?
O que é o SSL?
O SSL é um protocolo criptográfico baseado em cifras assimétricas (chave privada + chave pública) que tem como principal objectivo providenciar segurança e integridade dos dados transmitidos em redes inseguras como é o caso da Internet.
Quando um utilizador acede a um site que recorre ao SSL, o servidor envia ao cliente a chave pública para que esta possa cifrar a informação que vai ser passada ao servidor. Quando o servidor recebe essa informação, usa a sua chave privada para decifrar a informação transmitida pelo cliente.
Existem várias aplicações para este protocolo, como por exemplo o comércio electrónico, servidores Web, servidores FTP, etc. Para identificar facilmente se estão a visualizar um site seguro basta verificar no URL que em vez de estar o normal http:// se encontra
https://-
Saber mais aqui.
Mas afinal o SSL não é seguro?
Na verdade a culpa é dos administradores que não fazem uma configuração apropriada das tecnologias. Segundo um estudo da Netcraft, 95% dos servidores com HTTPS podem ser atacados isto porque, como referido, existem configurações mal realizadas ou então o administrador não activa o protocolo de segurança HTTP Strict Transport Security (HSTS). Este protocolo ajuda a prevenir ataques man-in-the-middle, sequestro de cookies, etc.
Curiosamente os dados agora apresentados pela Netcraft são semelhantes aos apresentados há 3 anos. Isto quer dizer que os administradores de sistemas não demonstram muita preocupação na melhoria da segurança dos seus sistemas.
Como activar o HSTS?
Activar o protocolo de segurança HSTS é algo bastante simples. Para tal basta abrir a configuração do seu servidor web e inserir a seguinte linha:
Strict-Transport-Security: max-age=31536000;
Este linha força que as ligações sejam dos browsers ao servidor sejam sempre HTTPS mesmo que o utilizador tente aceder via http.
Se é responsável por um servidor Web verifique todas as configurações. Caso não tenha o HSTS é importante que o active, afinal é fácil e rápido.
Clicar aqui para ver conteúdo escondido
(Passar cursor para mostrar conteúdo)
Créditos:
pplware
Registado
Imprimir
Páginas: [
1
]
« anterior
seguinte »
Os Reformados da Investigação
»
REFORMADOS PALACE
»
Noticias diárias
»
95% dos servidores com HTTPS não são seguros
Noticias diárias 