Habilitar uso do SSL (HTTPS)
Bráulio Bhavamitra
braulio at eita.org.br
Mon Sep 30 09:57:36 BRT 2013
Oi Ewout,
Você pode habilitar SSL apenas nos endereços onde quer usando as regras de
redirecionamento do próprio apache.
abraços,
bráulio
2013/9/29 Ewout ter Haar <ewout at usp.br>
> Temos modelos de ataque diferente, Rodrigo. No meu modelo, não me
> importo muito sobre o identificador de sessão do Noosfero. Não me
> importo (muito) que um atacante pode assumir a identidade no serviço
> Noosfero, porque no meu modelo a rede social é um serviço de valor
> relativamente baixo (comparado com os outros serviços como aquele onde
> são guardados as notas e histórico escolar dos alunos, etc.).
>
> Mas os meus usuários usam, potencialmente, a *mesma* senha para os
> serviços de alto valor. Deste modo, no meu modelo de ataque, a senha é
> de um valor muito maior e precisa ser protegido melhor do que os
> cookies identificadores de sessão (do serviço de baixo valor).
>
> Ou seja, o meu modelo de ataque inclui outros serviços além do
> Noosfero e é por isso que considero a senha mais importante do que
> identificadores de sessão do Noosfero.
>
> Mas tudo bem, se podemos colocar tudo atrás de https, melhor ainda.
> Obviamente não nego isto. Só que: ninguém me mostrou uma instância de
> Noosfero onde isto é feito. Gostaria ver, mesmo.
>
> Ewout
> http://social.stoa.usp.br/ewout
> F. 30916696
>
>
> 2013/9/29 Rodrigo Souto <rodrigo at colivre.coop.br>:
> > Ok, um dos principais benefício de usar ssl nas conexões é evitar que um
> > atacante possa ter acesso às informações trafegadas na requisição. Por
> > conta disso, queremos usar ssl. Mas usar somente no login, com o
> > objetivo de evitar que um atacante possa ver a senha do usuário não é
> > suficiente. Por que?
> >
> > Uma vez autenticado, toda requisição feita pelo usuário possui um
> > identificador de sessão que identifica esse usuário para o sistema. Se
> > essa requisião não for encripitada, um atacante pode, através do mesmo
> > método que ele usaria para interceptar a senha no momento de
> > autenticação, interceptar esse identificador de sessão. Com esse
> > identificador de sessão ele pode agir como o próprio usuário e o
> > servidor não tem como saber. Ou seja, ele não sabe a senha do usuário,
> > mas nem precisa saber, porque ele pode agir como tal. A partir daí ele
> > pode fazer coisas como trocar o email do usuário, pedir para mudar de
> > senha e o resto vocês já sabem.
> >
> > SSL somente na autenticação não só não funciona, como cria uma falsa
> > sensação de segurança tanto para os administradores da rede quanto para
> > os usuários.
> >
> > Ewout ter Haar escreveu isso ai:
> >> Gostaria reiterar a minha opinião que vale a pena proteger "somente" as
> >> senhas dos usuários. Vejo um "ótimo é o inimigo do bom" aqui. Não
> >> implementamos nem SSL na página de login (ticket e proposta do Terceiro
> de
> >> 2008) e nem no site inteiro.
> >>
> >> Simplesmente não entendo esta afirmação "Para o SSL ser realmente
> eficaz, é
> >> necessário que toda conexão que exija um usuário autenticado seja
> servida
> >> sob SSL. Usando SSL somente no login você só garante que a transmissão
> das
> >> informações de autenticação não serão roubadas, [...]"
> >>
> >> Só garantir que as informações de autenticação não serão roubadas já
> seria
> >> ótimo!
> >>
> >> Mas, não sei como fazer: como configurar o varnish, thin, etc. etc.
> Preciso
> >> de orientações que podem ser implementadas com o noosfero padrão (deploy
> >> feito via pacote do Colivre).
> >>
> >> Ewout
> >>
> >> http://social.stoa.usp.br/ewout <http://stoa.usp.br/ewout>
> >> F. 30916696
> >>
> >>
> >> 2013/9/27 Luiz Matos <luizff.matos at gmail.com>
> >>
> >> > Bom dia a todos,
> >> >
> >> >
> >> > Me chamo Luiz Matos, trabalho na equipe juntamente com Prof. Paulo
> >> > Meirelles no portal da Faculdade UnB Gama (www.fga.unb.br).
> >> >
> >> > Surgiu a necessidade de habilitar o uso do SSL (HTTPS), pois como as
> redes
> >> > são compartilhadas pessoas podem interceptar a senha utilizada por
> >> > professores através de sniffers.
> >> >
> >> > Olhando os tópicos passados:
> >> >
> >> >
> http://listas.softwarelivre.org/pipermail/noosfero-br/2012-November/000157.html
> >> >
> http://listas.softwarelivre.org/pipermail/noosfero-br/2013-June/000866.html
> >> >
> >> > Vi que existe uma solução, no entanto parece que não foi muito
> testada já
> >> > que não vi nenhuma rede com Noosfero usando SSL (HTTPS).
> >> >
> >> > Pensei em adicionar o nginx para fazer o papel da "habilitação" do
> SSL,
> >> > juntamente com Varnish e Apache. Um esquemático disso:
> >> > http://www.fabrizio-branca.de/uploads/pics/Nginx__Varnish__Apache.png
> >> >
> >> > Pelo que andei lendo o overhead causado pela adição de mais uma
> camada não
> >> > seria é tão grande, quase insignificativo.
> >> >
> >> > Alguma sugestão a mais?
> >> >
> >> > Obrigado,
> >> > Luiz Matos.
> >> >
> >> > _______________________________________________
> >> > Noosfero-br mailing list
> >> > Noosfero-br at listas.softwarelivre.org
> >> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >> >
> >> >
> >
> >> _______________________________________________
> >> Noosfero-br mailing list
> >> Noosfero-br at listas.softwarelivre.org
> >> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
> >
> > --
> > Rodrigo Souto <rodrigo at colivre.coop.br> :: 55 71 8131-7714
> > Colivre - Cooperativa de Tecnologias Livres
> > http://www.colivre.coop.br/
> >
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br at listas.softwarelivre.org
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
--
"Lute pela sua ideologia. Seja um com sua ideologia. Viva pela sua
ideologia. Morra por sua ideologia" P.R. Sarkar
EITA - Educação, Informação e Tecnologias para Autogestão
http://cirandas.net/brauliobo
http://eita.org.br
"Paramapurusha é meu pai e Parama Prakriti é minha mãe. O universo é meu
lar e todos nós somos cidadãos deste cosmo. Este universo é a imaginação da
Mente Macrocósmica, e todas as entidades estão sendo criadas, preservadas e
destruídas nas fases de extroversão e introversão do fluxo imaginativo
cósmico. No âmbito pessoal, quando uma pessoa imagina algo em sua mente,
naquele momento, essa pessoa é a única proprietária daquilo que ela
imagina, e ninguém mais. Quando um ser humano criado mentalmente caminha
por um milharal também imaginado, a pessoa imaginada não é a propriedade
desse milharal, pois ele pertence ao indivíduo que o está imaginando. Este
universo foi criado na imaginação de Brahma, a Entidade Suprema, por isso
a propriedade deste universo é de Brahma, e não dos microcosmos que também
foram criados pela imaginação de Brahma. Nenhuma propriedade deste mundo,
mutável ou imutável, pertence a um indivíduo em particular; tudo é o
patrimônio comum de todos."
Restante do texto em
http://cirandas.net/brauliobo/blog/a-problematica-de-hoje-em-dia
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20130930/c0c972d6/attachment.html>
More information about the Noosfero-br
mailing list