Tornar a Internet uma comunicação segura significa fechar maneiras para uma pessoa não autorizada para aceder a informações secretas. Isto é bem mais fácil dizer do que fazer. No trabalho apresentado nesta semana no Simpósio IEEE sobre Segurança e Privacidade, uma equipe de pesquisadores descreveu uma falha antiga, com quase todos os navegadores da Web que prejudicou o protocolo utilizado para garantir operações bancárias on-line e outras sensíveis transmissões. O problema surgiu quando a vítima estava conectada à Internet através de um Proxy, como um ponto de acesso sem fio em um hotel ou café.
Rede
Embora os pesquisadores tivessem concluído seus trabalhos em Julho de 2007, eles mantiveram a informações secretas a fim de permitir tempo para corrigir vulneráveis navegadores que venham a testar as mais recentes. Os pesquisadores dizem que eles eram capazes de atacar com êxito o Internet Explorer 7 e Internet Explorer 8, o Firefox 2 e 3, o Opera 9, e Chrome e Beta 1. A quase universal natureza da vulnerabilidade sugere que melhores métodos são necessários para proteger comunicações de navegador. “É muito difícil descobrir a composição de todos os protocolos que se encontram em diferentes camadas da rede”, diz Shuo Chen, um pesquisador da Microsoft que ajudou a descobrir a vulnerabilidade. O protocolo utilizado para garantir mensagens de navegador é baseado em uma idéia simples, No entanto, muitas vezes, porque o navegador precisa de confiança a mais ampla rede de pontos fracos no creep pode, diz ele.
Falha no Tratamento das Conexão Segura
Chen’s grupo descoberto um problema com a forma como os browsers exibem informações de páginas da Web quando um link de comunicações segura foi estabelecida. They found that most browsers will sometimes treat insecure data as if it’s part of the secure protocol. Eles descobriram que a maioria dos navegadores irá tratar por vezes insegura de dados como se fosse parte do protocolo de segurança. This means that a Web proxy–a machine sitting in between the browser and a website–can issue commands that the browser interprets as coming from a secure website, even if they are not.
Atualização
Isto significa que um proxy da Web uma máquina em sessão entre o browser e um site pode emitir comandos que o navegador interpreta como proveniente de um site seguro, mesmo que elas não sejam. “In reality, it’s very difficult to make sure that you are using a trusted network,” he says. “Na realidade, é muito difícil ter certeza de que você está usando uma rede confiável”, diz ele. For example, when a browser requests access to a secure website, the proxy could return a fake error message that the browser displays as genuine.Por exemplo, quando um navegador solicita o acesso a um sitemap seguro, o procurador poderia retornar uma falsa mensagem de erro que o browser apresenta como verdadeiro.
The browser could then be tricked into sending secure messages to both the legitimate server and the malicious proxy. O browser poderá então ser aliciado para enviar mensagens seguras para ambos o legítimo servidor e o Proxy malicioso. Adam Barth, a researcher at the University of California, Berkeley, who studies browser security, says that the newly revealed flaw is significant because several browsers contained the same vulnerability.
Adam Barth, um investigador da Universidade da Califórnia, Berkeley, que estuda a segurança do navegador, diz que a recém-revelada falha que é significativa porque vários navegadores continham a mesma vulnerabilidade. “That demonstrates that the issue is subtle,” Barth says. “Isso demonstra que a questão é sutil”, diz Barth. “A lot of smart people missed it.” “Um monte de pessoas inteligentes saudades dela.” He adds that since a browser is a complex system of interlocking parts, it could be useful to investigate tools that could help people analyze how data moves through those parts. Ele acrescenta que, uma vez que um navegador é um complexo sistema de interbloqueamento, parte poderia ser útil para investigar ferramentas que poderiam ajudar as pessoas a analisar como os dados se move através das partes. Such tools might help catch similar errors in browser design. Estas ferramentas podem ajudar a capturar erros semelhantes no navegador desenho.
