Habilitar uso do SSL (HTTPS)

Sun Sep 29 14:32:05 BRT 2013

Ok, um dos principais benefício de usar ssl nas conexões é evitar que um
atacante possa ter acesso às informações trafegadas na requisição. Por
conta disso, queremos usar ssl. Mas usar somente no login, com o
objetivo de evitar que um atacante possa ver a senha do usuário não é
suficiente. Por que?

Uma vez autenticado, toda requisição feita pelo usuário possui um
identificador de sessão que identifica esse usuário para o sistema. Se
essa requisião não for encripitada, um atacante pode, através do mesmo
método que ele usaria para interceptar a senha no momento de
autenticação, interceptar esse identificador de sessão. Com esse
identificador de sessão ele pode agir como o próprio usuário e o
servidor não tem como saber. Ou seja, ele não sabe a senha do usuário,
mas nem precisa saber, porque ele pode agir como tal. A partir daí ele
pode fazer coisas como trocar o email do usuário, pedir para mudar de
senha e o resto vocês já sabem.

SSL somente na autenticação não só não funciona, como cria uma falsa
sensação de segurança tanto para os administradores da rede quanto para
os usuários.

Ewout ter Haar escreveu isso ai:
> Gostaria reiterar a minha opinião que vale a pena proteger "somente" as
> senhas dos usuários. Vejo um "ótimo é o inimigo do bom" aqui. Não
> implementamos nem SSL na página de login (ticket e proposta do Terceiro de
> 2008) e nem no site inteiro.
> 
> Simplesmente não entendo esta afirmação "Para o SSL ser realmente eficaz, é
> necessário que toda conexão que exija um usuário autenticado seja servida
> sob SSL. Usando SSL somente no login você só garante que a transmissão das
> informações de autenticação não serão roubadas, [...]"
> 
> Só garantir que as informações de autenticação não serão roubadas já seria
> ótimo!
> 
> Mas, não sei como fazer: como configurar o varnish, thin, etc. etc. Preciso
> de orientações que podem ser implementadas com o noosfero padrão (deploy
> feito via pacote do Colivre).
> 
> Ewout
> 
> http://social.stoa.usp.br/ewout <http://stoa.usp.br/ewout>
> F. 30916696
> 
> 
> 2013/9/27 Luiz Matos <luizff.matos em gmail.com>
> 
> > Bom dia a todos,
> >
> >
> > Me chamo Luiz Matos, trabalho na equipe juntamente com Prof. Paulo
> > Meirelles no portal da Faculdade UnB Gama (www.fga.unb.br).
> >
> > Surgiu a necessidade de habilitar o uso do SSL (HTTPS), pois como as redes
> > são compartilhadas pessoas podem interceptar a senha utilizada por
> > professores através de sniffers.
> >
> > Olhando os tópicos passados:
> >
> > http://listas.softwarelivre.org/pipermail/noosfero-br/2012-November/000157.html
> > http://listas.softwarelivre.org/pipermail/noosfero-br/2013-June/000866.html
> >
> > Vi que existe uma solução, no entanto parece que não foi muito testada já
> > que não vi nenhuma rede com Noosfero usando SSL (HTTPS).
> >
> > Pensei em adicionar o nginx para fazer o papel da "habilitação" do SSL,
> > juntamente com Varnish e Apache. Um esquemático disso:
> > http://www.fabrizio-branca.de/uploads/pics/Nginx__Varnish__Apache.png
> >
> > Pelo que andei lendo o overhead causado pela adição de mais uma camada não
> > seria é tão grande, quase insignificativo.
> >
> > Alguma sugestão a mais?
> >
> > Obrigado,
> > Luiz Matos.
> >
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br em listas.softwarelivre.org
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
> >

> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br

-- 
Rodrigo Souto <rodrigo em colivre.coop.br> :: 55 71 8131-7714
Colivre - Cooperativa de Tecnologias Livres
http://www.colivre.coop.br/
-------------- Pr?xima Parte ----------
Um anexo n?o-texto foi limpo...
Nome: signature.asc
Tipo: application/pgp-signature
Tamanho: 490 bytes
Descri??o: Digital signature
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20130929/79be47ac/attachment.pgp>