Gmail, da Google, parece seguro, certo?
Ao autenticar no Gmail até aparece o icon a dizer que a ligação está encriptada. (Acedendo pelo endereço http://gmail.com)

O problema é depois da autenticação inicial a ligação deixa de ser encriptada, ou seja, a palavra passe foi protegida, mas e o resto? Os e-mails estão seguros? O acesso à conta está seguro?
Resposta simples: Não

Depois da autenticação os e-mails e toda a informação é enviada sem qualquer encriptação pela rede, ou seja, todo o computador no raio de alcance da ligação WiFi (se esta for sem boa encriptação) e todos os nós de rede por onde passam esses dados os podem ler e alterar.

Tráfego do Gmail em HTTP ao invés do SSL/TLS desejado

Solução: Aceder ao Gmail pelo endereço https://mail.google.com
Notar o s depois do http :)

Por este endereço teoricamente toda a ligação fica encriptada e não só a autenticação.

Mas nem assim um paranóico da segurança pode dormir descansado porque ainda assim pode sofrer um ataque de sidejacking[1] porque o Gmail usa o objecto XMLHttpRequest que quando a ligação SSL/TLS falha tenta de novo sem encriptação.

O Gmail é apenas um exemplo, por toda a web existem outos sites com estes problemas.

Bons hacks :)

[1] - http://erratasec.blogspot.com/2008/01/more-sidejacking.html

This entry was posted by raca on Saturday, February 16th, 2008 at 8:56 pm and is filed under Segurança. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.