No blog anterior já tinha escrito um artigo sobre a segurança no Gmail. Devido a muitas solicitações desse artigo, e situações que se repetem, volto a discutir em pormenor este assunto.

Com a proliferação de dispositivos wireless, começaram a aparecer as redes wi-fi abertas para qualquer pessoa poder aceder ao seu e-mail em qualquer lado, ou ler as notícias, etc. No entanto a segurança nessas redes é inexistente e é possível alguém “monitorizar” o tráfego da rede, conseguindo a aceder aos dados que circulam.

E que dados circulam na rede? Por exemplo, eu desloco-me a um centro comercial sento-me numa mesa e ligo o meu portátil à rede wi-fi. Acedo ao meu Gmail. A partir do momento em que eu insiro os dados de login no site do Gmail, esses dados “viajam” do meu computador até ao servidor Gmail usando como intermediário a rede em que estou ligado. Se alguém estiver a usar um sniffer na rede poderá capturar esses dados. No entanto, o Gmail por omissão habilita o protocolo SSL no acto do login, tornando muito mais complicado o acesso a esses dados pois eles estão cifrados. O verdadeiro problema vem depois, após login, o Gmail descarta-se do SSL e passamos a estar numa sessão autenticada mas sem qualquer protecção. Ou seja, as cookies (ficheiros onde são guardados os dados de autenticação e são enviados a cada pedido que fazemos ao gmail) vão “viajar” na rede completamente acessíveis, oferendo a possibilidade de efectuar session hijacking a um possível atacante.

Para resolver este problema é altamente recomendado forçar o uso de SSL no acesso ao Gmail. Como fazemos isso? É simples, basta acrescentar um ’s’ no http do inicio do endereço.

https://mail.google.com

Deste modo toda a sessão do Gmail vai estar cifrada oferencendo maior protecção contra os problemas descritos em cima.

Dado que para muita gente pode ser um incómodo ter que escrever aquele URL sempre que querem a aceder ao mail, poderão criar um atalho na barra de favoritos do browser facilitando assim o acesso.

Este post menciona unicamente o Gmail, mas aplica-se a qualquer outro serviço online onde sejam necessários dados de autenticação.

O primeiro site a estrear aqui no blog com o título de “Site não utilizável do mês” é o site da TMN. Este belo site é necessário a quase todos os clientes da TMN pois permite além de mandar SMS’s, gerir a conta relativa ao cartão da operadora.

Ora, dito isto, seria de elevada importância e conveniência à TMN abranger todos os clientes e tornar a sua vida mais fácil no acesso ao site. Mas não, tal não acontece. Além de assim que o site abre, levar com um anúncio intrusivo (ainda para mais em flash) sobre uma campanha qualquer da operadora que cobre toda a área do site, se estiver a usar Firefox em Mac OS fico completamente impossibilitado de utilizar do site após encerramento desse anúncio. Problema do Firefox? Também poderá ser, mas pelo menos quando a TMN não tinha estes belos anúncios isto não acontecia. Com o Safari até consigo aceder… mas infelizmente o serviço de envio de SMS’s não é compatível com esse browser, o envio falha redondamente.

Conclusão, para poder utilizar o site, só com link directo para as secções, de modo a evitar o anúncio intrusivo. A empresa (desconhecida, não existe qualquer informação no site) que criou o site da TMN podia muito bem aprender alguns tópicos de usabilidade com o site do UZO.

Update: Coincidência ou não o anúncio foi retirado do site :D

Este vídeo é interessante… principalmente pelo facto de ter sofrido uma certa forma de censura assim que apareceu na primeira página do Digg.

Parece que nos EUA se pode ser pago para fazer sites governamentais “seguros” e não se perceber nada do assunto. Um exemplo disso é este site que tem um login para acesso a uma área de clientes… e é feito em javascript puro a correr do lado do cliente.

Vendo o HTML da página podemos ver o seguinte:

<script language="javascript">
<!--///*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {

   if (form.id.value=="zzzzzz") {
      if (form.pass.value=="fffxxx") {
         location="http://officers.federalsuppliers.com/agents.html"
      }
      else {
         alert("Invalid Password")}
      }
   else {
      alert("Invalid UserID")
   }
}//--></script>

Genial, além de não só qualquer pessoa poder ver o username e password, também vê a página para a qual é redireccionada se acertar nestes valores, por isso o esforço para entrar é mínimo.

Entretanto a página supostamente privada já foi removida online, e as passwords alteradas, mas continuam expostas no script lol. A história detalhada aqui.

Alguém sabe explicar como é que isto é possível acontecer? O Paquistão ordenou a todos os seus ISPs que o YouTube fosse banido. Até aqui tudo bem, who cares. Mas depois disto, utilizadores de todo o mundo ficaram sem conseguir aceder ao site durante cerca de duas horas…

Aqui fica o link para a notícia completa:
http://news.bbc.co.uk/1/hi/technology/7262071.stm

Hoje foi o início oficial do blog Dev-PT, um projecto onde eu estou envolvido juntamente com uns colegas. Este é um blog de programadores para programadores e tem como objectivo dar a conhecer e também nós aprendermos um pouco mais sobre os temas relacionados com a Engenharia de Software, destacando programação em variadas linguagens, técnicas, padrões, boas práticas, etc.

Para já só se encontra disponível o blog que podem encontrar em blog.dev-pt.net, mas futuramente irá ser criado um site principal e caso se venha a justificar, um fórum.

Se o tema for do vosso interesse, passem por lá, o vosso feedback é bem-vindo.

Gostavam de experimentar um browser ultra rápido para Windows ou Mac OS que por momentos pusesse em causa toda a vossa utilização diária do Firefox?

Experimentem o Webkit e vão gostar. Quanto a provas da velocidade, caso não notem, podem sempre comprovar fazendo o teste de Javascript. Aproveitem e façam-no também com os outros browsers que costumam usar, para fazerem a comparação dos tempos :)

Nota: O Webkit é o motor open source utilizado pelo browser Safari da Apple, logo em Windows para testarem o Webkit necessitam do Safari instalado.