Formulários de recolha de palavras-chave em sites que não as recolhem de forma encriptada

Se o site ainda corre em HTTP ou se tem partes que correm em HTTP ou redirigem tráfego para páginas HTTP e se essas páginas recolhem dados pessoais isso significa que esses elementos podem ser capturados por quem interceptar esse tráfego. Estes formulários não deviam assim correr em HTTP mas em HTTPS, ou seja, encriptados. Enquanto assim não for pode ser alvo de um ataque “Man-in-The-Middle” (MiTM) através da utilização de uma ferramenta de captura de tráfego como o https://www.wireshark.org.

Existem vários scanners disponíveis na Internet de forma gratuita e que procuram por sites onde existem estes formulários. Existem também ferramentas que alertam agentes maliciosos para a sua utilização.

Como resolver?

Redesenhe o formulário e publique-o num site e página HTTPS com a versão 3.0 de SSL e com TLS 1.2. Esta versão já é suportada por todos os browsers modernos e não usa o SSL 2 e as cifras mais fracas com menos de 128 bits.

O SSL 2.0 surgiu em 1995 e desde então acumulou várias fragilidades:
https://www.clickssl.net/blog/why-ssl-3-0-is-better-than-ssl-1-0-or-ssl-2-0
O 3.0 defende contra ataques “Man-in-The-Middle”, usa p HMAC de 128 bits e não o MAC e permite que a chave possa mudar a qualquer fase da autenticação. O SSL 3.0 usa também o SHA-1 que é mais seguro que o MD5 e o BSAFE 3.0 que corrige vulnerabilidades que eram usadas em ataques ao algoritmo SHA-1.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

Create your website with WordPress.com
Iniciar
%d bloggers like this: