Comments on: Uma alternativa ao SSL http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/ BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer Tue, 31 Aug 2010 00:49:21 +0000 hourly 1 http://wordpress.org/?v=3.0.1 By: Elias Wagner http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/comment-page-1/#comment-759 Elias Wagner Tue, 01 Sep 2009 14:12:17 +0000 http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/#comment-759 Oi Cima, sua observação é valida, realmente estas vulnerabilidades existem. Mas eu mesmo assim ainda acredito que possa ser usado como quebra-galho, pois mesmo sem ter autenticação, podemos usar um token de sessão e mitigar significativamente o risco. E vale ressaltar que um token de sessão é recomendado, necessário mesmo sem a utilização deste plugin. Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('759','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('759','Elias Wagner','Oi Cima,\n\nsua observação é valida, realmente estas vulnerabilidades existem. Mas eu mesmo assim ainda acredito que possa ser usado como quebra-galho, pois mesmo sem ter autenticação, podemos usar um token de sessão e mitigar significativamente o risco.\n\nE vale ressaltar que um token de sessão é recomendado, necessário mesmo sem a utilização deste plugin. \n\nAbs.'); return false;">Quote</a></div> Oi Cima,

sua observação é valida, realmente estas vulnerabilidades existem. Mas eu mesmo assim ainda acredito que possa ser usado como quebra-galho, pois mesmo sem ter autenticação, podemos usar um token de sessão e mitigar significativamente o risco.

E vale ressaltar que um token de sessão é recomendado, necessário mesmo sem a utilização deste plugin.

Abs.

ReplyQuote
]]> By: Fernando Cima http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/comment-page-1/#comment-758 Fernando Cima Tue, 01 Sep 2009 13:06:37 +0000 http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/#comment-758 Wagner, o meu ponto é diferente. Isto não é alternativa para SSL. Encriptação de canal sem autenticação do destinatário não serve nem para quebrar galho. Os ataques MITM são os piores, mas o DoS também é trivial aqui. Vamos pegar o seu exemplo do envio de usuário e senha, onde a criptografia é feito a partir de uma página não autenticada. Um atacante pode rapidamente criar código Javascript no cliente para pedir que o seu servidor gere centenas de milhares de pares de chaves RSA, sem o menor custo de CPU para o atacante.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('758','Fernando Cima'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('758','Fernando Cima','Wagner, o meu ponto é diferente. Isto não é alternativa para SSL. Encriptação de canal sem autenticação do destinatário não serve nem para quebrar galho. \r\n\r\nOs ataques MITM são os piores, mas o DoS também é trivial aqui. Vamos pegar o seu exemplo do envio de usuário e senha, onde a criptografia é feito a partir de uma página não autenticada. Um atacante pode rapidamente criar código Javascript no cliente para pedir que o seu servidor gere centenas de milhares de pares de chaves RSA, sem o menor custo de CPU para o atacante.'); return false;">Quote</a></div> Wagner, o meu ponto é diferente. Isto não é alternativa para SSL. Encriptação de canal sem autenticação do destinatário não serve nem para quebrar galho.

Os ataques MITM são os piores, mas o DoS também é trivial aqui. Vamos pegar o seu exemplo do envio de usuário e senha, onde a criptografia é feito a partir de uma página não autenticada. Um atacante pode rapidamente criar código Javascript no cliente para pedir que o seu servidor gere centenas de milhares de pares de chaves RSA, sem o menor custo de CPU para o atacante.

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/comment-page-1/#comment-757 Elias Wagner Tue, 01 Sep 2009 10:39:51 +0000 http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/#comment-757 Oi Cima, acho que deixei bem claro a frase que você citou: <strong>Ele não substitui o SSL</strong>, mas pode <strong>"quebrar o galho" em algumas requisições</strong>. Uma situação onde você pode usar é: uma requisição onde você envia usuário e senha. Isto não irá afundar o processamento. Vou escrever mais uma vez, se você não tem como implementar o SSL, você pode usar isto em requisições específicas. Jamais isto irá substituir o SSL, isto está bem claro na página do projeto e no post. Já inicio o post com a seguinte frase: Muitas vezes necessitamos criptografar o tráfego de dados sensíveis em aplicação, <strong>a melhor opção para estes casos é usar SSL</strong>. Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('757','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('757','Elias Wagner','Oi Cima,\n\nacho que deixei bem claro a frase que você citou: <strong>Ele não substitui o SSL<\/strong>, mas pode <strong>\"quebrar o galho\" em algumas requisições<\/strong>.\n\nUma situação onde você pode usar é: uma requisição onde você envia usuário e senha. Isto não irá afundar o processamento.\n\nVou escrever mais uma vez, se você não tem como implementar o SSL, você pode usar isto em requisições específicas. Jamais isto irá substituir o SSL, isto está bem claro na página do projeto e no post.\n\nJá inicio o post com a seguinte frase: Muitas vezes necessitamos criptografar o tráfego de dados sensíveis em aplicação, <strong>a melhor opção para estes casos é usar SSL<\/strong>.\n\nAbs.'); return false;">Quote</a></div> Oi Cima,

acho que deixei bem claro a frase que você citou: Ele não substitui o SSL, mas pode “quebrar o galho” em algumas requisições.

Uma situação onde você pode usar é: uma requisição onde você envia usuário e senha. Isto não irá afundar o processamento.

Vou escrever mais uma vez, se você não tem como implementar o SSL, você pode usar isto em requisições específicas. Jamais isto irá substituir o SSL, isto está bem claro na página do projeto e no post.

Já inicio o post com a seguinte frase: Muitas vezes necessitamos criptografar o tráfego de dados sensíveis em aplicação, a melhor opção para estes casos é usar SSL.

Abs.

ReplyQuote
]]> By: Fernando Cima http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/comment-page-1/#comment-756 Fernando Cima Tue, 01 Sep 2009 01:42:33 +0000 http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/#comment-756 Da página do projeto:

“jCryption at it’s [sic] current state is no replacement for SSL, because there is no authentication”

Wagner, eu sinceramente não sei em que situação você usaria isto. Como não existe autenticação você está exposto a ataques MITM, e gerar um par de chaves RSA a cada requisição vai afundar o processamento do seu servidor (e ainda abrir um potencial canal para um DoS). Fuja!

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/comment-page-1/#comment-755 Elias Wagner Mon, 31 Aug 2009 00:40:46 +0000 http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/#comment-755 Fala Lucas! Se você tem condição de implementar o SSL, sem dúvida é a melhor opção. Como eu deixei bem claro no texto, é um quebra galho. Em situações onde você mantém um "clear text" porque não tem como implementar um SSL, é uma alternativa. Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('755','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('755','Elias Wagner','Fala Lucas!\n\nSe você tem condição de implementar o SSL, sem dúvida é a melhor opção. Como eu deixei bem claro no texto, é um quebra galho. Em situações onde você mantém um \"clear text\" porque não tem como implementar um SSL, é uma alternativa.\n\nAbs.'); return false;">Quote</a></div> Fala Lucas!

Se você tem condição de implementar o SSL, sem dúvida é a melhor opção. Como eu deixei bem claro no texto, é um quebra galho. Em situações onde você mantém um “clear text” porque não tem como implementar um SSL, é uma alternativa.

Abs.

ReplyQuote
]]> By: Lucas http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/comment-page-1/#comment-754 Lucas Sun, 30 Aug 2009 00:22:34 +0000 http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/#comment-754 Esse plugin usa uma implementação meio "simplória" do RSA. Eu tenho bastante receio desse tipo de implementação e dos ataques possíveis. Eu não trocaria um padrão conhecido e seguro como o SSL por uma implementação de RSA "puro" como a desse plugin.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('754','Lucas'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('754','Lucas','Esse plugin usa uma implementação meio \"simplória\" do RSA. Eu tenho bastante receio desse tipo de implementação e dos ataques possíveis.\r\n\r\nEu não trocaria um padrão conhecido e seguro como o SSL por uma implementação de RSA \"puro\" como a desse plugin.'); return false;">Quote</a></div> Esse plugin usa uma implementação meio “simplória” do RSA. Eu tenho bastante receio desse tipo de implementação e dos ataques possíveis.

Eu não trocaria um padrão conhecido e seguro como o SSL por uma implementação de RSA “puro” como a desse plugin.

ReplyQuote
]]> By: Tobias (tobiassf) 's status on Saturday, 29-Aug-09 23:59:12 UTC - Identi.ca http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/comment-page-1/#comment-753 Tobias (tobiassf) 's status on Saturday, 29-Aug-09 23:59:12 UTC - Identi.ca Sat, 29 Aug 2009 23:59:21 +0000 http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/#comment-753 [...] ao SSL em jQuery http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/ a few seconds ago from [...]<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('753','Tobias (tobiassf) \'s status on Saturday, 29-Aug-09 23:59:12 UTC - Identi.ca'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('753','Tobias (tobiassf) \'s status on Saturday, 29-Aug-09 23:59:12 UTC - Identi.ca','[...] ao SSL em jQuery http:\/\/wagnerelias.com\/2009\/08\/28\/uma-alternativa-ao-ssl\/ a few seconds ago from [...]'); return false;">Quote</a></div> [...] ao SSL em jQuery http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/ a few seconds ago from [...]
ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/comment-page-1/#comment-752 Elias Wagner Fri, 28 Aug 2009 16:28:42 +0000 http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/#comment-752 Chris, sem dúvida! Eu acho que deixei bem claro no texto. "Ele não substitui o SSL, mas pode "quebrar o galho" em algumas requisições." hehehe<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('752','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('752','Elias Wagner','Chris,\n\nsem dúvida! Eu acho que deixei bem claro no texto. \n\n\"Ele não substitui o SSL, mas pode \"quebrar o galho\" em algumas requisições.\"\n\nhehehe'); return false;">Quote</a></div> Chris,

sem dúvida! Eu acho que deixei bem claro no texto.

“Ele não substitui o SSL, mas pode “quebrar o galho” em algumas requisições.”

hehehe

ReplyQuote
]]> By: Chris Benseler http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/comment-page-1/#comment-751 Chris Benseler Fri, 28 Aug 2009 15:11:18 +0000 http://wagnerelias.com/2009/08/28/uma-alternativa-ao-ssl/#comment-751 Wagner, eu colocaria um * bem grande nesse "alternativa"... não dá pra comparar uma criptografia SSL com javascript, nem de longe! hehe<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('751','Chris Benseler'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('751','Chris Benseler','Wagner, eu colocaria um * bem grande nesse \"alternativa\"... não dá pra comparar uma criptografia SSL com javascript, nem de longe! hehe'); return false;">Quote</a></div> Wagner, eu colocaria um * bem grande nesse “alternativa”… não dá pra comparar uma criptografia SSL com javascript, nem de longe! hehe
ReplyQuote
]]>