Os populares serviços Google, Facebook e Twitter estão melhorando em termos de segurança, disse o chefe da Neohapsis Labs, Scott Behrens, que analisou a segurança dos serviços em 28 de maio.
Aqui estão algumas observações que Behrens fez sobre o que Neohapsis Labs descobriu:
1. Forçando navegadores a usar SSL
Companhias como Google, Facebook e Twitter estão utilizando uma
tecnologia chamada de HTTP Strict Transport Security (HSTS) para forçar
navegadores a usar SSL.
Por exemplo, quando os usuários digitam www.google.com em um browser,
o pedido entra automaticamente em SSL, tornando a experiência do
usuário durante a navegação mais segura na camada de transporte e
ajudando a mitigar ataques man-in-the-middle.
2. Mitigar cross-site scripting
Empresas como Facebook e GitHub estão usando Content-Security Policy
(CSP), que impede cross-site scripting (XSS). Ao bloquear as práticas de
JavaScript, os crackers terão muito mais dificuldades em desencadear
ataques XSS refletido e baseados em DOM.
Além disso, forçar os desenvolvedores a não usar inline scripts
incentivará a melhores práticas de codificação. O Facebook começou a
enviar headers (cabeçalhos) CSP em certas solicitações, mas isso parece
ser muito permissivo, e sugere potencialmente que esta tecnologia ainda
está sendo testada.
3. Conteúdo do navegador apenas como explicitado
Facebook, Live.com e Gmail utilizam o "X-Content-Type-Options:
nosniff", que finalmente corrige um antigo problema em que um tipo de
conteúdo é analisado pelo navegador e o interpreta, mesmo quando o
Content-Type foi explicitamente indicado.
O que isto significa é que, quando o tipo de conteúdo de um documento
é especificado como um documento de texto simples, mas contém HTML, o
browser "fareja" o conteúdo e decide realmente interpretá-lo como HTML.
Isso pode causar sérios problemas de segurança. O cabeçalho "nosniff" é
determinante e impõe o navegador a interpretar o conteúdo apenas como
indicado.
4. Prevenção de sequestro de cliques
Sequestro de cliques (também conhecido como clickjacking) tira
proveito de conteúdo incorporado em iframes, colocando elementos sobre
os quadros e enganando os usuários a clicar em ações que parecem
inofensivas, mas podem executar códigos maliciosos.
Empresas como Google, Facebook, Twitter, PayPal, eBay e Live.com usam
o header de resposta HTTP X-frame-Options, que permite ou nega a
interpretação de uma página em um elemento frame ou iframe. Uma vez que
pode bloquear o conteúdo a ser incorporado em outros sites, o recurso
também pode impedir ataques clickjacking.
Quando perguntado se notou alguma deficiência, Behrens disse: "O
Facebook explicitamente desativou o cabeçalho chamado X-XXS-Protection,
quando solicita ao navegador (apenas IE e Chrome) para bloquear ataques
de cross-site scripting. O cabeçalho funciona de algumas maneiras,
dependendo de como está configurado.
No modo Block, se um navegador detecta cross-site scripting, ele não
processará a página. No modo '1', o navegador carrega a página, mas
tenta remover o JavaScript malicioso. No modo '0', o navegador deve
desativar a proteção XSS. O Twitter, por outro lado, tem esse recurso
ativado no modo de bloqueio. Não está claro o porquê."
Via: IDG Now
Nenhum comentário:
Postar um comentário