Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Segurança
Sexta - 06 de Fevereiro de 2004 às 08:33
Por: Birkoff

    Imprimir


A correção para 3 bugs do IE liberada pela Microsoft na segunda-feira (02/02) tem causado problemas a diversas aplicações web, além de muita polêmica.Veja aqui a matéria da TS sobre estas correções

O patch liberado, entre outras coisas, corrigia a falha do Internet Explorer, já debatida amplamente aqui na TS, que permite a um autor de página mal intencionado mudar o endereço que aparece na barra de endereços do navegador. Isso era feito combinando o uso de caracteres especiais com o sistema de autenticação via URL presente na maioria dos navegadores.

A autenticação via URL funciona utilizando se a seguinte sintaxe: usuario:senha@www.site.com.br. Desta forma pode se entrar em páginas protegidas por senhas htaccess digitando diretamente na URL a senha. O problema principal estava no fato de que, no lugar de usuario:senha é possível colocar por exemplo um endereço como www.bb.com.br (Página do Banco do Brasil), criando uma URL como www.bb.com.br@site.falso.kit.net, que por si só pode enganar um usuário mais desatento. Como o site falso não usaria autenticação, o conteúdo antes da @ seria ignorado. Com a falha que foi corrigida neste patch liberado pela Microsoft, era possível fazer com que o navegador simplesmente não exibisse o conteúdo a partir da arroba, dando ainda mais realismo a fraude, já que pelo endereço não seria mais possível identificar se o site é ou não verdadeiro. Veja mais informações nesta matéria da TS.

Utilizar a autenticação na URL não é considerada uma prática segura. Mesmo assim, diversos desenvolvedores de sistemas utilizam esta técnica. E estes desenvolvedores agora estão reclamando pois foram pegos de surpresa pela resposta da Microsoft a falha encontrada: Ela não removeu simplesmente o bug, mas sim todo o sistema de autenticação por URL do Internet Explorer. Ou seja, não é mais possível, após a aplicação do path, fazer login em um site colocando login e senha na URL.

As críticas foram voltadas a maneira como a Microsoft tomou a decisão de tirar um recurso amplamente utilizado, sem aviso prévio. Diversos webmasters passaram os últimos dias reprogramando seus sites para adequa-los ao update do Internet Explorer.

Alguns consideram este o primeiro caso da Microsoft ter colocado a segurança acima das funcionalidades oferecidas. A Microsoft propôs a dois anos atrás, no lançamento da campanha Trustworthy Computing Initiative (Algo como Iniciativa Computação Digna de Confiança), que colocaria a segurança em primeiro lugar nos seus produtos. Mas vários críticos dizem que não viram muitos resultados disto até agora.

Stephen Toulouse, gerente do programa de seguranca da Microsoft, disse em entrevista a CNET News: Eu realmente olho para isso do ponto de vista da maioria dos consumidores: Nossos consumidores disseram: Nos queremos segurança, então está é a mudança que nós demos a eles.

A mudança gera polêmica. William Kennedy, chefe de técnologia da ActivMedia Robotics e co-autor do livro HTML & XHTML: The Definitive Guide., disse que Desde o começo já foi uma idéia patética incluir uma funcionalidade como essa. Existem milhões de outras maneiras de se logar em um site.

Já alguns programadores dizem que sabem que utilizar está pratica não é algo seguro, mas destacam que diversas aplicações não tem necessidade de muita segurança e a facilidade de uso desta funcionalidade justifica seu uso em casos de informações não críticas.

Em alguns casos fazer a mudança dos seus sitemas para que fiquem compatíveis com a atualização do IE tem sido bastante difícil.

Por exemplo, a Angus Systems Group, uma prestadora de serviços online que permite que proprietários de propriedades comerciais gerenciem seus locatários, usa autenticação por URL para que usuários possam se autenticar em uma outra aplicação, de outro fabricante, que gera relatórios. Esta aplicação não tem capacidade para logins individuais, por isso os usuários normalmente logam nesta aplicação como parte de um determinado grupo usando uma URL específica. Não seria um grande problema se fosse um sistema baseado em usuários - se o usuário fosse responsável por suas próprias credenciais, disse Brad Aisa, arquiteto senior da Andus Systems, para a CNET News.com. Infelizmente, nós não temos nenhum controle sobre os aspectos de segurança da aplicação de terceiros que utilizamos, continuou. Brad, assim como gerentes de diversas empresas, só ficou sabendo do problema quando seus clientes começaram a reclamar. Repentinamente, você vem um dia, e as coisas não funcionam mais, porque (a Microsoft) determinou que a maneira que eles tem feito as coisas não é segura, disse ele. Deveria existir um sistema alternativo para isso.

Após analisar as opções, a Angus Systems provavelmente vai oferecer aos clientes um novo path, produzido pelos mesmos, que vai alterar o registro do Windows desabilitando esta parte do upgrade da Microsoft.

As informações foram obtidas no site CNET Nwes.com.
Tradução e Edição exclusivas para a Total Security por Cristian T. Moecke




Fonte: Eu escrevi

Comentários

Deixe seu Comentário

URL Fonte: https://infoguerra.com.br/noticia/452/visualizar/