6 - Segurança WEB 2
-
Upload
alison-ribeiro -
Category
Documents
-
view
223 -
download
0
description
Transcript of 6 - Segurança WEB 2
Por que não estamos seguros?
Configurações malfeitas
Softwares com falhas
Redes desprotegidas
Proteções ineficazes
Falta de atualizações
Fator humano
Vulnerabilidade
SEGURANÇA DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
Quando acessamos sites de banco ou lojas virtuais para realizar
transações financeiras, recebemos inúmeros avisos para
verificar o cadeado de segurança ou observar a sigla HTTPS na
barra de endereços do navegador. Agora vamos conhecer a
importância do HTTPS na Internet e quais as principais
vantagens e desvantagens de usar o HTTPS, tanto para o
usuário quanto para o servidor do serviço na Web.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
O protocolo de transferência de hipertexto (HTTP – HyperText
Transfer Protocol) é o protocolo padrão para a Web. Através
dele, os navegadores requisitam as páginas da Web e as
recebem. Dessa forma, o HTTP define, entre outras
formalidades, como são requisitadas as páginas da Web, como
são enviados os dados que o usuário insere em formulários e
como o servidor envia mensagens de erro para o navegador do
usuário. No entanto, como o HTTP é um protocolo baseado em
texto, ou seja, toda a informação transmitida está em texto, os
dados do usuário e do servidor podem ser interceptados ou
alterados no meio do caminho.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
Nesse contexto, um usuário na rede pode interceptar os seus
dados e lê-los ou, pior, alterar a página que você recebe ou a
informação que envia para o servidor. De fato, problemas mais
graves e imediatos podem acontecer com transações
financeiras, como é o caso de uma transferência bancária. Se o
site do banco fosse com HTTP e um usuário mal-intencionado
desejasse alterar uma ordem de transferência para depositar o
dinheiro na conta dele, esse usuário poderia fazer
tranquilamente, pois não há nenhum mecanismo de segurança
no protocolo HTTP.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
Com o uso do HTTPS, que é o HTTP seguro, adiciona-se
alguns princípios de segurança, como confidencialidade,
integridade e autenticação. Por confidencialidade, entende-se
que a mensagem só é lida pelo destinatário real da mensagem.
A integridade representa que a mensagem não foi alterada e o
princípio da autenticação prova que o servidor é realmente
quem diz ser. Vamos ver portanto, os mecanismos utilizados
pelo HTTPS para atingir esses três princípios básicos.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
A maioria das explicações resume o HTTPS como um HTTP
com o SSL (Secure Sockets Layer) ou, seu sucessor, o TLS
(Transport Layer Security). TLS ou SSL são camadas de
segurança que fornecem confidencialidade e integridade. No
entanto, a autenticação dos sites da Web é feita pelos
certificados e pela infraestrutura de chaves públicas da Internet.
Vamos abordar as questões mais conceituais. A base do
TLS/SSL e dos certificados da Internet é a criptografia.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
Para a construção de um Website com HTTPS, o administrador
do site precisa criar um par de chaves, uma pública e uma
privada. Assim, quando um usuário solicita uma conexão com
esse site, o servidor envia a sua chave pública para o usuário.
De posse da chave pública, o usuário pode se comunicar com o
servidor, garantindo que todas as mensagens enviadas para o
servidor somente serão lidas pelo servidor, pois apenas o
servidor possui a chave privada. Basta, para isso, que o
navegador do usuário encripte todas as requisições e decripte
as respostas recebidas com a chave pública do servidor.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
Dessa forma, garante-se a confidencialidade, pois o usuário tem
certeza que apenas o servidor vai receber suas mensagens e
que foi o servidor quem enviou aquela mensagem. De fato, o
procedimento na prática é mais complexo, pois utilizar o par de
chaves assimétricas para a troca de dados demanda muito
processamento. Então, no início da conexão, o servidor e o
usuário combinam uma chave simétrica única e aleatória para a
conexão. Na prática, é a mesma segurança, pois só os dois
conhecem a chave simétrica.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
Para garantir a integridade, o TLS/SSL adiciona a cada
mensagem, seja ela requisição ou resposta, um código. Esse
código é denominado MAC (Message Authentication Code) e
busca permitir ao destinatário detectar se a mensagem foi
alterada. Seu funcionamento é simples. Calcula-se um resumo
(Hash) de cada mensagem e envia-se esse resumo junto com a
mensagem. Assim, quando o destinatário receber a mensagem,
deve calcular o mesmo resumo e verificar se o resumo
calculado é igual ao recebido. Se for igual, a mensagem não foi
alterada, mas se for diferente, o destinatário deve descartar a
mensagem e pedir uma nova.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
Assim, com o TLS/SSL adicionado ao HTTP, o HTTPS garante
tanto a confidencialidade quanto a integridade das requisições e
respostas do protocolo. No entanto, apenas com o TLS/SSL não
é possível garantir que o servidor é realmente quem ele diz ser.
Isso ocorre, pois a chave pública é enviada para o navegador
pelo próprio servidor Web. Dessa forma, se o usuário malicioso
falar com o usuário como se fosse o servidor, o usuário envia os
dados para o usuário malicioso pensando que está conversando
com o servidor legítimo. Para evitar esse problema, na Internet,
criou-se uma infraestrutura de chaves públicas.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
O funcionamento é simples, quando o servidor envia a chave
pública para o usuário, ele também envia o certificado que
atesta a validade da chave pública. Assim, o usuário consulta a
autoridade certificadora para verificar o certificado, que pode
inclusive ter sido revogado. Caso a autoridade certificadora
ateste a validade do certificado, o navegador confia na chave
pública recebida e se comunica com o servidor tendo a certeza
de que é o servidor legítimo.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
Para o usuário, o site com HTTPS oferece a vantagem da
segurança. No entanto, podemos nos perguntar por que todos
os sites não utilizam HTTPS. A resposta é custo e desempenho.
Primeiramente, a validação do certificado pela autoridade
certificadora é cobrada, custando, em algumas modalidades,
mais de R$ 3.000,00 (três mil reais) por ano. Nem todos os
serviços na Web desejam ou podem pagar quantias como
essas.
HTTP E HTTPS
SEGURANÇA DA INFORMAÇÃO
Além disso, utilizar HTTPS nos serviços web reduz
drasticamente o desempenho da comunicação. Por esses
motivos, os sites evitam utilizar o HTTPS, reservando-o apenas
para as transações mais sensíveis, como as financeiras. No
entanto, não esqueça de observar o uso correto do HTTPS
também em redes sociais, serviços de e-mail, discos virtuais e
outras aplicações que exijam senhas ou o envio de dados
pessoais. Essas informações também são sensíveis e requerem
cuidado ao serem enviadas na Internet.
HTTP E HTTPS