Segurança no envio de informações via formulário no cabeçalho HTTP – segurança http post

Pergunta:


Após alguns testes no site do Yahoo e do Facebook percebi que, após preencher meu usuário e senha e clicar em Login, com as ferramentas de desenvolvedor abertas na opção Network (do Chrome ou Firefox), percebi que, se eu parar o envio dos dados pela página, o método POST já aparece antes do refresh da página.

Em outras palavras, antes que os dados são enviados para a página as ferramentas de desenvolvedor já conseguem interceptar o POST e seu cabeçalho.

Dentro do cabeçalho encontrei o item FORMDATA, que continha a minha senha, exatamente como a digitei, conforme abaixo.

Login do Yahoo

Ai pergunto: isso é normal? Mesmo o site do Yahoo sendo seguro, como SSL e tudo mais? Existe alguma forma de encriptar esses dados antes do envio?

Imagino que, se um computador estiver infectado com algum malware ou algum script oculto esteja rodando no navegador, estes podem interceptar o POST em algum momento e obter a senha do usuário com muita facilidade.

Autor da pergunta robertaodj

Pablo Almeida

Sim, isso é normal – a segurança de dados em formulários WEB, via de regra é propiciada exatamente pelo SSL, presente na conexão HTTPS – e de fato, se a página estiver usando HTTP e não HTTPS, todos os dados transitam em aberto – por isso o HTTPS é tão importante, e tem se tornado a forma padrão de visualização de qualquer site grande.

Em particular, no desenvolvimento WEB, você poderá facilmente perceber que tanto para o javascript da página, como para o código que recebe e trata os dados de qualquer formulário, os dados do campo senha são em texto puro, tratados da mesma forma que qualquer campo de texto.

É possível sim utilizar uma camada a mais de criptografia, usando javascript, de forma que os dados sejam codificados ainda antes de serem enviados – mas isso não é uma prática difundida por ter poucos ganhos sobre o HTTPS em si – e ser muito difícil de ser bem feito a ponto de, de fato, melhorar a segurança (e não só se ter uma sensação ilusória de segurança).

Em particular, se o navegador de origem estiver comprometido por um malware que permita interceptar os dados do Post antes da codificação usada na conexão HTTPS, o mesmo malware também poderia interceptar os dados antes da codificação em algum javascript (e também o código javascript utilizado para a criptografia extra e as chaves que está usando): ou seja, o caso de um ataque bem direcionado, a vulnerabilidade ainda estaria lá.

Uma técnica assim, que tentasse criptografia por obscuridade combinada com outras técnicas, inserindo eventos de teclado falsos na digitação da senha, separação dos caracteres da senha em pacotes de dados distintos, além do uso de uma outra camada de criptografia, no entanto, poderia sim evitar ou retardar ataques genéricos ou automáticos (mas como descrito acima, mesmo com todo esses cuidados, você estaria vulnerável a um ataque refinado, cujo alvo fosse especificamente sua aplicação/site). No entanto, eu em particular considero que a sensação de estar seguro quando não se está é pior do que saber que se está vulnerável.

Lendo a excelente resposta do @jsbueno e lembrando também de uma pergunta semelhante sobre criptografia de senha em Javascript do @mgibsonbr, pensei numa solução hipotética com o uso de um token.

Como é de conhecimento de muitos, usar um mecanismo de segredo adicional, além da senha, aumenta em muito a segurança.

Exemplos de token são aqueles dispositivos do tipo pen drive que fornecem um número sequencial baseado na data e na hora atuais para ser validado pelo servidor. Também existem soluções com aplicativos mobile ou SMS. Outro mecanismo é o “cartão de segurança”, como é chamado por algumas instituições financeiras.

Com esta técnica, o atacante teria que descobrir não só a sua senha, mas o número secreto do seu token.

E uma camada adicional de segurança consistiria em criptografar a senha do usuário baseando-se no código fornecido pelo token, de forma que nenhuma das informações vai em texto puro. Assim, mesmo que o atacante possa interceptar a requisição e ver os dados, ele dependeria de um ataque de força bruta para descobrir a chave usada (código do token) e o conteúdo (a senha).

O ponto fraco disso é que, pelo menos durante a validade da sessão atual, o atacante ainda poderia interceptar valor criptografado e simular a requisição para se autenticar. Mas pelo menos ele não teria acesso livre.

Na verdade, o site é https. O que acontece é que a ferramenta de desenvolvedor do browser mostra os dados do formulário antes de criptografar e enviar pra sua placa de rede. Se você instalar o wireshark e capturar os dados que entram e saem da sua placa de rede vai perceber que é tudo criptografado. Fiz um teste e segue print abaixo:
Captura feita com Wireshark

O ip 31.13.73.36 é do servidor de SSL do facebook e 192.168.0.14 é o meu.

Tivemos uma aula sobre Segurança da Informação com essas respostas.

Gostaria de contribuir com uma experiência: o fato de trafegarmos dados via http torna qualquer sistema frágil. Tempos atrás tive um problema assim num sistema que aprimorei onde o pessoal da Segurança da Informação não homologou esse sistema por conta em falhas na autenticação: era possível identificar a senha através de sniffers. A solução foi aplicar um algoritmo de criptografia da senha antes de transacionar a página, visto que a empresa não me forneceria meios para aplicar o SSL. A área de Segurança validou o novo método de entrada após aplicação da criptografia.

Espero ter contribuído.

E normal aparecer, mais sugiro que todos criptografem as senhas antes de enviar pelo formulário pois isso pode impedir que um dos seus usuários: possam ser roubados, perca dados importantes como uma foto ou um trabalho de anos, tenha dados confidencias abertos, ou coisa pior. O que eu quero dizer e que bastante site que não usam o famoso HTTPS Certificado Digital para efetuar o envio de dados. E ocorre que a maioria da população utiliza a mesma senha para o Antigo Orkut, Facebook, twitter, e-mail, e tales ate senha do acesso ao site do Banco ou simplesmente de algum lugar que dei para deixar dinheiro com o Pagseguro, Pagamento Digital, Mercado Livre transferindo tudo para uma conta ou efetuando compras para um endereço qualquer. Podem apagar dados importantes para usuário, hoje em dias celular com o da Apple o Windows Phone e o Android, o Apple e Windows Phone de padrão pelo próprio site e possível bloquear o aparelho e deletar todos os dados inclusive aquela foto que você gosta e por algum motivo não tem um backup ou um trabalho que esta na memoria do celular para você passar na faculdade ou simplesmente um projeto de anos sem dormir. Por que e inseguro enviar sem criptografar antes? Os sites que não contem o Certificado Digital na tem segurança nenhuma na transferência das informações pela rede podendo ser interceptadas por terceiros. E para os que usam não custa nada um segurança adicional basta simplesmente adicionar um pequeno codigo javascript e pronto.

Fonte

Related Posts:

Qual a diferença entre AppCompatActivity e Activity? – android android-activity
Pergunta: Qual a diferença da AppCompatActivity para Activity ? A partir de qual versão a AppCompatActivity foi adicionada ao Android? Autor da pergunta Luhhh A diferença reside ...
Como abreviar palavras em PHP? – php string
Pergunta: Possuo informações comuns como nome de pessoas e endereços, e preciso que elas contenham no máximo 30 caracteres sem cortar palavras. Exemplo: 'Avenida Natalino João Brescansin' ...
Qual é a finalidade de um parêntese vazio numa declaração Lambda? – c# expressões-lambda característica-linguagem
Pergunta: Criei um exemplo de uma declaração Lambda sem argumentos, entretanto, estou com duvidas referente a omissão do parêntese vazio () na declaração. Veja o exemplo: class ...
Boas práticas para URI em API RESTful – api rest restful
Pergunta: Estou com dúvida em relação às URIs de alguns recursos da api que estou desenvolvendo. Tenho os recursos projetos e atividades com relação 1-N, ...
Dúvidas sobre a integração do MySQL com Java – java mysql netbeans
Pergunta: Estou criando um sistema no NetBeans, utilizando a linguagem Java e o banco de dados MySQL. Escrevi o seguinte código para realizar a conexão ...
Qual é a finalidade da pasta Model do framework Inphinit? – php inphinit
Pergunta: No Inphinit micro-framework existe a pasta Model que fica dentro da pasta application, e nela é onde ficam as classes, mas eu estou muito ...
Uso do ‘@’ em variáveis – javascript typescript coffeescript
Pergunta: Vejo em algumas linguagens que compilam para javascript, como TypeScript e CoffeeScript, o uso do @ em variáveis, como também, casos em que o ...
Qual tamanho máximo um arquivo JSON pode ter? – json arquivo
Pergunta: Vou dar um exemplo para conseguir explicar minha duvida: Preciso recuperar informação de imagens vindas de uma API, esse banco de imagens me retorna JSON's ...
O que é Teste de Regressão? – terminologia engenharia-de-software testes
Pergunta: Na matéria de Teste de Software o professor abordou um termo chamado Teste de Regressão, isto dentro da disciplina de teste de software. Sendo ...
O que é um construtor da linguagem? – php característica-linguagem
Pergunta: Em PHP, já li e ouvi várias vezes a respeito dos Construtores da Linguagem. Os casos que sempre ouvi falar deles foi em casos ...
Função intrínseca para converter numérico para string – cobol
Pergunta: Estou a tentar saber se existe alguma função intrínseca do COBOL para converter um data numérico para string sem precisar usar a cláusula REDEFINES: ( ...
Porque usar implements? – java android
Pergunta: Qual a diferença entre usar btn.setOnClickListener(new OnClickListener() { e public class MainActivity extends Activity implements OnClickListener{ Estive fazendo um curso de Android e meu professor falou que ...
O que é XHTML e quando deve ser usado? – html xml xhtml
Pergunta: O que eu sei é que o XHTML precisa ser XML válido. Isso implica, por exemplo, que todas as tags precisam ser fechadas. Por ...
Uma placa aceleradora de vídeo pode melhorar o desempenho não-gráfico? [fechada] – desempenho
Pergunta: Para desenvolver em Ruby on Rails, eu utilizo aqui uma máquina virtual do VirtualBox com Ubuntu Server 14.04 sem interface gráfica instalada. Recentemente descobri uma ...
Concat() VS Union() – c# .net
Pergunta: Qual a diferença entre Concat() e Union() ? Quando usar Concat() e quando usar Union() ? Somente pode ser usado em list ? ...

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *