Ainda temos a internet a recuperar do Heartbleed que revelou uma vulnerabilidade gritante no OpenSSL, e eis que agora se descobre uma nova vulnerabilidade que permite que um atacante possa ter acesso às comunicações entre um servidor e um cliente que usem determinadas versões do OpenSSL.
Esta nova vulnerabilidade é igualmente grave uma vez que o SSL é um método que é usado precisamente para manter em segurança comunicações que passam por inúmeros pontos intermédios, de forma a que só o destinatário e o emissor tenham acesso ao que está a ser transmitido/recebido. Devido a isto, um atacante que esteja colocado entre o servidor e o cliente poderá descodificar essas comunicações encriptadas, e enganar o sistema de modo a que seja usado uma chave de segurança vulnerável.
A única atenuante é que para que este ataque seja possível é necessário que ambas as partes estejam a correr determinadas versões do OpenSSL (curiosamente, as versões mais antigas parecem ser por agora as mais seguras, contrariamente ao que seria de imaginar); e uma vez que os browsers mais populares (Chrome, Firefox, IE, Safari, etc.) não usam OpenSSL, os seus utilizadores ficam imunes a esta vulnerabilidade.
Ainda assim, fica mais uma vez posta em causa a real segurança de projectos open-source que são essenciais para grande parte dos sistemas na internet, e que são mantidos sem qualquer suporte oficial apenas por voluntários... e sujeitos a erros como os que têm gerado todas estas confusões. Esperemos que o resultado positivo que daqui saia seja: se há grandes empresas/entidades a tirar proveito destes projectos open-source, o mínimo que podem fazer é apoiá-los de forma proporcional, para melhorarem e garantirem a qualidade dos mesmos.
devida ser toda encriptada a net, está mais que visto que assim não é possivel.
ResponderEliminarcortava a censura que alguns governos querem impor.
e todos ouviamos mais ideias.
E deviam apoiar os sistemas opensource, na crise que estamos a viver! Pelo menos nos países pobres!
ResponderEliminar