PplWare Mobile

Google descobriu falha no SSL e a Web voltou a não estar segura

                                    
                                

Este artigo tem mais de um ano


Autor: Maria Inês Coelho


  1. João Reis says:

    Vai melhorar a segurança para TSL.
    Estes avanços são importantes porque os melhores hackers já estão a tirar proveito disto a algum tempo.

    venha o próximo alvo a segurar

  2. Zé Povinho says:

    Não consigo perceber como é que o Android ainda domina o mundo dos dispositivos móveis.
    S.O. mais inseguro e mais instável não há. E dá provas disso quase todas as semanas.
    O Windows Phone 8.1 é muito mais seguro, para além de muito mais fluido e eficiente.
    Foi uma excelente evolução deixar o Android e começar a usar o Windows Phone 8.1, ainda que, com um smartphone com hardware ligeiramente inferior.

    • Rudi says:

      O mesmo se pode dizer da ignorância 🙂

    • Carlos says:

      Mas que raio tem isso a ver pah?!
      Oh santa ignorância.

      Falam-se de alhos e ele traz bugalhos.

      O teu WP 8.1 deve ser mais seguro sem dúvida.. tendo em conta o número baixo de utilizadores (comparando com android e iphone), quem é que quer atacar isso neh?!

      Caladinho és poeta.

    • um gajo says:

      epá mas tu caíste de alguma nuvem ou comes mrd às colheres?!o k é k o android é praki chamado?!

    • zzz says:

      Pela hora a que fez comentário, o filho do Columbano Bordal Pinheiro, fez este comentário durante uma crise de sonambulismo ou, enganou-se no tema, ou não sabe do que fala os as três coisas juntas.
      Este comentário está totalmente desenquadrado.
      De todo o modo, não me parece que o uso de certa linguagem ajude o “Povinho” Português a ser mais informado sobre tecnologia.

    • zzz says:

      Descupem a gafe. De facto o pai do Zé Povinho é o Rafael Bordalo Pinheiro e não o Columbano. Mas não consta que um ou outro tivessem problemas devidos a falhas no SSL…

  3. dajosova says:

    E também no contexto de segurança vejam o que disse recentemente Edward Snowden:

    http://www.noticiasaominuto.com/tech/289867/afastem-se-do-dropbox-facebook-e-google-diz-snowden

  4. JJ says:

    A questão é que o SSL continua a ser o certificado mais utilizado do mundo. Mesmo que o browser tente utilizar o TLS, se o servidor só estiver a utilizar SSL, nada a fazer.

    Qualquer das formas, as maiores empresas/serviços web, normalmente já utilizam TLS.

  5. joao says:

    e como é desativamos o SS3 no chrome por exemplo?

  6. Abílio says:

    O Google planeia retirar completamente o suporte ao SSL 3.0 nos próximos meses, sendo que isso poderá causar alguns problemas em sites mais antigos, que terão que se actualizar; e também a Mozilla vai fazer o mesmo no seu Firefox. O fim anunciado do SSL? Acho que sim.

    • Mota says:

      os bancos não usam SSL 3? Pergunto.

      Pq se usam.. dúvido que seja mesmo o fim.
      Mas obviamente que a última palavra pertence aos browsers.

      • Bahh says:

        Se o banco ainda usa SSL3 no seu web site, não o deveria utilizar… a menos que use por exemplo o Firefox (“about:config” > “security.tls.version.min” meter no valor: “1”) ou o Internet Explorer e altere nas opções para só usar TLS 1.0 para cima (TLS 1.0, TLS 1.1 e TLS 1.2… preferencialmente deveria ser só TLS 1.2 nesta altura, mas 90% dos web sites seguros deixavam de estar acessíveis infelizmente).
        Os web sites bancários que só usem SSL 3.0 (era o caso da CGD, parece-me, à uns tempos… e continua a não aceitar ligações TLS 1.1 e TLS 1.2… imagino que não tenham dinheiro para atualizar os servidores os coitadinhos, o dinheirinho vai todo para o BES e outros lados) devem ir ao banco e cancelar a conta via Internet, e dizer que enquanto não apostarem na segurança a sério não usam mais o banco online.

      • Abílio says:

        Vamos ver se se confirmam os rumores sobre browsers. Se se confirmarem é o principio do fim e os bancos e outros sítios terão de se adaptar ou ficar com um problema. Por isso disse “acho”, porque é só uma opinião pessoal baseada em outras informações também. Mas vale o que vale.

      • Misterious says:

        Sim a banca usa está versão SSL

  7. Alex says:

    Fiquei a perceber que as ligações em ssl3 sao em plain text.

  8. Paulo says:

    A última versão do Firefox (v33) não é vulnerável: https://www.poodletest.com/

  9. Paulo says:

    Erm… agora já aparece vulnerável. Entretanto, a própria Mozilla já lançou um fix/addon temporário: https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/

  10. Oh comunicação social. Dasss. says:

    Viva, caros amigos, calma. “Isto” só se aplica no caso de existir um ataque man in the middle. Ou seja, alguem dentro da mesma rede que vocês, tentar manipular a vossa ligação de forma a interceptar o seu conteúdo. Probabilidade disso acontecer, hmm digam-me vocês. Pergunta: Costumam aceder a serviços que requerem muita privacidade (bancos, seguranca social etc) em locais publicos ou prupícios a ataques? bem, vocês lá sabem.

    Quanto ao SSLv3, é de facto um protocolo deprecated. Muitos dos webservers são “Obrigados” a manter a retro-compatibilidade para este protocolo de forma a permitir que os utilizadores que utilizem browsers/sistemas operativos antigos consigam aceder ao serviço. (Imaginam a quantidade de empresas que ainda usam o windows xp? o internet explorer 9? ou tretas do genero), activar apenas o TLS 1.2 ou vá… dar suporte ao TLS 1.0, 1.1 e 1.2 seria estar a pedir reclamações. Este é o motivo de se manter esta retro-compatibilidade.

    Quanto aos handshakes feitos pelos browsers, infelizmente by default, se o server suportar SSLv3 e o browser também, este irá optar por esta versão, mesmo quando ambos suportam TLS1.2. Isto tem a ver com as definições dos browsers e mais uma vez com a gestão de erros e etc. O SSLv3 é mais antigo e portanto irá garantir mais estabilidade nos handshakes. Um fix para isso já foi dito aí a cima. (Firefox: basta acederem ao about:config e alterarem o “security.tls.version.min” para 1.)

    Cumprimentos

  11. Duvida says:

    Olá pessoal….tenho uma dúvida:
    Tenho um sistema embarcado que utiliza o serviço de GCM do google. Este sistema utiliza SSLV3. Alguém tem algum pronunciamento oficial do google informando se vai realmente, e quando vai desabilitar o SSLV3 de seus serviços?

  12. Nikko says:

    Tudo isto são metáforas! Os sistemas operativos podem ser “lidos” e qualquer um entrar dentro de outro sistema operativo… Creio que serão precisos muitos anos para que miúdos de seis ou sete anos com alguns conhecimentos definitivamente se torne improvável não espiar ou simplesmente brincar com dados alheios. Só tecnologia bem melhor!

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.