open core »

Segurança no Gmail

No blog anterior já tinha escrito um artigo sobre a segurança no Gmail. Devido a muitas solicitações desse artigo, e situações que se repetem, volto a discutir em pormenor este assunto.

Com a proliferação de dispositivos wireless, começaram a aparecer as redes wi-fi abertas para qualquer pessoa poder aceder ao seu e-mail em qualquer lado, ou ler as notícias, etc. No entanto a segurança nessas redes é inexistente e é possível alguém "monitorizar" o tráfego da rede, conseguindo a aceder aos dados que circulam.

E que dados circulam na rede? Por exemplo, eu desloco-me a um centro comercial sento-me numa mesa e ligo o meu portátil à rede wi-fi. Acedo ao meu Gmail. A partir do momento em que eu insiro os dados de login no site do Gmail, esses dados "viajam" do meu computador até ao servidor Gmail usando como intermediário a rede em que estou ligado. Se alguém estiver a usar um sniffer na rede poderá capturar esses dados. No entanto, o Gmail por omissão habilita o protocolo SSL no acto do login, tornando muito mais complicado o acesso a esses dados pois eles estão cifrados. O verdadeiro problema vem depois, após login, o Gmail descarta-se do SSL e passamos a estar numa sessão autenticada mas sem qualquer protecção. Ou seja, as cookies (ficheiros onde são guardados os dados de autenticação e são enviados a cada pedido que fazemos ao gmail) vão "viajar" na rede completamente acessíveis, oferendo a possibilidade de efectuar session hijacking a um possível atacante.

Para resolver este problema é altamente recomendado forçar o uso de SSL no acesso ao Gmail. Como fazemos isso? É simples, basta acrescentar um 's' no http do inicio do endereço.

https://mail.google.com

Deste modo toda a sessão do Gmail vai estar cifrada oferencendo maior protecção contra os problemas descritos em cima.

Dado que para muita gente pode ser um incómodo ter que escrever aquele URL sempre que querem a aceder ao mail, poderão criar um atalho na barra de favoritos do browser facilitando assim o acesso.

Este post menciona unicamente o Gmail, mas aplica-se a qualquer outro serviço online onde sejam necessários dados de autenticação.