Início » Segurança » Firefox recebe reclamação por avisar que página de login insegura é insegura

Firefox recebe reclamação por avisar que página de login insegura é insegura

Por
38 semanas atrás
Já conhece a nova extensão do Tecnoblog? Baixe Agora

A Mozilla recebeu uma reclamação inesperada sobre um recurso do Firefox: o navegador estava informando que uma página de login insegura era… insegura. A queixa partiu do administrador de um portal de notícias especializado em gás e petróleo, que afirmava que o aviso de segurança foi colocado “sem permissão” no sistema de gerenciamento de conteúdo do site.

Tem tanta coisa errada que eu nem sei por onde começar.

Sempre que alguém entrava no formulário de login do Oil and Gas International, o Firefox mostrava um aviso embaixo do campo de senha: “Esta conexão não é segura. Logins inseridos aqui podem ser comprometidos”. Obviamente, isso não é um bug: o Chrome também mostra um aviso mais discreto, na barra de endereços, quando campos de senha ou cartões de crédito estão em uma página sem HTTPS.

A reclamação já foi removida do sistema de bugs da Mozilla, mas o Ars Technica obteve a mensagem, que dizia o seguinte: “Seu aviso de senha e/ou login inseguro aparecendo automaticamente no login do meu site, Oil and Gas International, é indesejado e foi colocado lá sem nossa permissão. Por favor, remova-o imediatamente. Temos nosso próprio sistema de segurança e ele nunca foi violado em mais de 15 anos. Seu aviso está causando preocupação em nossos assinantes e prejudica o nosso negócio”.

Claro que a história não para por aí: a página de assinatura do site de notícias, que solicita o número, código de segurança e validade do cartão de crédito do usuário, não é HTTPS. Todas essas informações sensíveis são transmitidas pela rede sem criptografia e podem ser roubadas por uma pessoa que estiver interceptando a conexão.

Tem mais: usuários do Reddit descobriram que o portal era vulnerável a ataques de SQL Injection. Bastava inserir uma aspa simples em um dos campos para que um erro detalhado do ASP.NET surgisse, revelando parte da estrutura do site. No momento em que escrevo este parágrafo, qualquer tentativa de login resulta em uma mensagem de erro de banco de dados, indicando que possivelmente alguém deletou a tabela de usuários do site.

Acho que o contador de 15 anos foi zerado.

Mais sobre: ,
  • ffcalan

    kkkkkk O que um boca berta é capaz de fazer, não é! Se o cara não tivesse mencionado os 15 anos, provavelmente isso não teria acontecido.

  • Acho que o contador de 15 anos foi zerado.

    HAHAHAHAHA

    • Temos nosso próprio sistema de segurança….

      • kadug

        O nome do sistema deve se chamar “bloco de notas”

      • André Silva

        la garantia soy yo

    • Diogo Nóbrega

      Que maldade… só espero que esse “sistema de segurança” tenha um backup, senão…

  • Wendel Schelhan

    Que tiro no pé! Se não tivessem reclamado, seria menos pior.

  • Etiópia

    Em todos esses anos, nessa indústria vital, essa é a primeira vez que isso me acontece! https://uploads.disquscdn.com/images/0a5ae8785c613e7b55c229066124d4e997e70da0932dae3fde80e65aea28a11f.jpg

  • Henrique Queirós

    “Firefox recebe reclamação por avisar que página de login insegura é insegura”

    Me lembrou de: Facebook denuncia jornalistas por denunciarem conteúdo impróprio do facebook ao facebook.

  • Helmut

    A atitude e o layout do site indicam que esse cara está preso em algum quando dos anos 2000.

  • Ninguém mandou o Bobby Tables lá?

    • Henrique Queirós

      15 anos de segurança, pra quê isso importa?

    • Carlos Bacco

      Ligaram até pra mãe dele 🙂

  • Trovalds

    Li o título e fiquei num mindfuck… tá certo isso?

    • Creio que sim, o Firefox apontou um possivel problema, que nem era “tão critico”, ele foi reclamar e acabou que o pessoal viu e descobriram algumas outras falhas (incluindo o SQL injection), ou seja o Firefox alertou que era inseguro, ele falou que estavam errados e no final era inseguro, não para o usuário final, mas para o dados dos usuários salvos no próprio site. Coisas da IT

  • tuneman

    ainda bem que não trabalho mais com TI…. todo dia era um “em time que tá ganhando não se mexe”

    • Henrique Queirós

      “Então gente… Podíamos usar o armazenamento em nuvem desses arquivos, pra quando acontecer outra do servidor queimar, não ter risco de perder nada…

      AAAA PARA DE COISA SEMPRE USAMOS A MEMÓRIAS DOS COMPUTADORES E SEMPRE DEU CERTO”

    • Henrique Queirós

      Resultado? Todo mundo aqui reclamando da perda de arquivos graças a um raio que caiu aqui perto…
      e eu trabalhando de boas por usar a nuvem.

      • tuneman

        já passei por situações assim. avisava que poderia dar problema, teria que trocar o equipamento preventivamente. mas nao adiantava, pois era “muito caro”….

    • André G

      Quando fiz estágio em uma certa empresa financeira federal, o estágio era na área de engenharia, descobri logo na primeira semana que eles só tinham um backup e era na minha máquina! Quando perguntei o que eles fariam se aquele HD desse pau, eles disseram que todos os projetos salvos lá, eles também tinham cópias em CDs!!!
      Basicamente, todos os projetos recebidos eram em CDs e os arquivos eram passados para o servidor (minha máquina) pela estagiária de arquitetura (e eu fiz isso quando ela saiu de férias). Se um dia o servidor desse pau o estagiário teria que passar novamente todos os dados de todos os CDs para o novo servidor.
      Saí de lá em Dezembro de 2015, felizmente não deu pau durante minha jornada, mas aposto que até hoje o servidor é o mesmo.

      • tuneman

        na minha empresa anterior eu ajustei um servidor para backup de banco de dados, gerenciamento de acesso remoto e compartilhamento de alguns arquivos via FTP.
        faz algumas semanas que ele está fora do ar.
        não sei como eles se viram no suporte técnico agora, mas acho que não teve alguem com conhecimento para resolver algum problema que o computador teve.

  • Keaton

    Tem mais: usuários do Reddit descobriram que o portal era vulnerável a ataques de SQL Injection. Bastava inserir uma aspa simples em um dos campos para que um erro detalhado do ASP.NET surgisse, revelando parte da estrutura do site.

    Poha… quem foi o mongol que esqueceu de “sanitizar” (esqueci o termo mais correto em pt pra isso) todos inputs que vão pro db…? Nem eu esqueço disso…

    • Os frameworks mais recentes do .net até fazem isso automaticamente… Mas o que mais tem por aí é desenvolvedor prepotente sentado em cima da própria solução.

  • CtbaBr

    ASP… SQL… Design da época do Win98… Só lamento!
    Não seria um problema tão “gritante”, caso o objetivo não envolvesse a coleta de dados, principalmente de Cartão de Crédito!

    • JooonsJoonz

      asp.net e asp são coisas bem diferente amigo, se informe antes de falar besteira

      • CtbaBr

        Mas eu não citei asp.net, citei apenas ASP, e não falei nada sobre ela!
        Você tirou suas próprias conclusões, logo foi você quem imaginou “besteira”.

  • Renato Dantas

    “Parece que o mundo dá voltas, não é mesmo?”
    (Mozilla)

  • Agora o site inteiro está fora do ar. ksoakspokaosk
    To até com pena deles… rsrs

    • Até cancelaram o domínio. kosoaksopakspoa
      Quero saber o que vai acontecer com o site… Vão migrar pra outro endereço?

  • davi koscianski vidal

    404… Será que invadiram o servidor? haha

  • Souza

    Não era visado por isso tantos anos ileso. Foi reclamar e se ferrou. Se tornou visado. Agora se segura que os gás vazou.

  • Ligeiro

    Enquanto isso, nos sites de serviços públicos brasileiros…

    • Carlos Bacco

      E bancos, não se esqueça.

      • Ligeiro

        Os bancos tem melhorado razoavelmente. Bem mais a frente que serviços públicos, diga-se de passagem.

        • Carlos Bacco

          Só não melhoram a parte do usuário final e clientes, mas internamente talvez tenham bons sistemas. Enquanto isso a gente sofre com essas soluções fakes de segurança, e VANS de segunda categoria cuidando das nossas remessas e retornos.

          • Ligeiro

            Para mim, o fato de hoje os sistemas terem melhor compatibilidade é uma vantagem. Estou tendo problema com um sistema governamental que me pergunto porque nenhum jornalista de tecnologia vai atrás destas coisas.

          • Carlos Bacco

            Boa questão. Não vou estender a thread muito por aqui, mas provavelmente eu também teria uma série de questionamentos que seria bem legal alguém com mais influência na mídia tentar obter mais informações. Apóio a idéia, e para o jornalista vai ser um prato cheio. Tem MUITA incongruência nos sistemas públicos, e uma dificuldade extrema de se obter informações (especialmente de maneira automatizada). Nem vou entrar no mérito da nossa certificação digital e as coisas “estranhas” da ICP Brasil, senão a conversa vai longe.

  • Marcos Costa Pinto

    Kkkk parabéns para o “mestre cracker” que quebrou um sistema super seguro por 15 anos!!

  • Adriano

    Nosso sistema é protegido por Baidu Security…rs.

  • Adriano

    Mudando de pato pra ganso…

    Alguém aqui utiliza o ESET SMART SECURITY?

    Sebem me dizer porque ele insiste em avisar que o Baixaki e o Superdownload são sites perigosos sempre que os acesso?

    • Normal, é isso mesmo. Geralmente são as publicidades que disparam o alerta do NOD32

      • Adriano

        Obrigado.👍🏻

    • stribus

      pq eles são perigosos. faz um tempo que eles vem disponibilizam alguns downloads com instalador proprio com malwares.

  • Keaton

    Nota: site inteirinho tá down agora.

  • A página está fora do ar. HAHAHAHHA

  • Tiago Celestino

    Só mostra o quanto o administrador era um “zé ruela” que não entendia nada de web, muito menos de segurança.

  • Eu não me conformo como pode existir um problema desses em 2017 quando isso já era perigoso em 2000. E como pode o cara ser tão otário e arrogante que acha que o Firefox “enfiou o conteúdo da mensagem de alerta sem permissão no site dele”, quando na verdade é uma mensagem de alerta do Firefox que funciona pra todos os sites??? Mano que empresa burra. O cara não tem ninguém de TI lá.

    • JooonsJoonz

      vc vive numa realidade bem bonitinha ein

      • Longe disso, só faço o possível pra saber quando que a mensagem vem do meu site e quando vem do browser, uso HTTPS quando possível (o cliente ou empregador tem que pagar pelo certificado ou arrumar um gratuito) e algumas coisas, como sanitização do meu sql e uso de parâmetros em vez de concatenar strings eu costumo fazer. Sei que meus sites tem vulnerabilidades, mas se eu ficar sabendo que tem, assumo o erro e tento arrumar da melhor forma possível. Eu não vou reclamar em público e culpar/ameaçar o browser pra expor o problema ao público, virar alvo de chacota e sofrer ainda mais ataques.

  • Tiago Silva Do Nascimento

    Não sei por que mas parece ser noticia velha ein…… parece que o site ja ta fora do ar a quase um ano…

  • Thales M. De Oliveira Glim

    Era melhor não ter reclamado.

  • Jaca Paladium

    kkkkkkkk !!!! um certificado SSL hj em dia custa uma merreca ! Não era mais fácil ter instalado um do que passar esse carão todo ? e ainda por cima tá com o site hackeado, derrubado…se a preocupação do cara era perder clientes…então ele deve ter tido um derrame depois de tudo isso ! Mas o que esperar de empresas que usam IIS ????

  • Jaca Paladium

    kkkkkkkk !!!! um certificado SSL hj em dia custa uma merreca ! Não era mais fácil ter instalado um do que passar esse carão todo ? e ainda por cima tá com o site hackeado, derrubado…se a preocupação do cara era perder clientes…então ele deve ter tido um derrame depois de tudo isso ! Mas o que esperar de empresas que usam IIS ???? https://uploads.disquscdn.com/images/536d7118a0daff5fb49c573b84b5a1299873f91f5afb0bdbabf9731e55601d03.jpg

    • Mas a falha não foi por parte do SSL, o login inseguro era uma falha mas de ponta a ponta e interceptação, algo totalmente relativo, agora a parte que deu merd* foi sobre a falha ao injetar um caractere sem “escapar” que disparava uma mensagem de erro que deveria ser somente exibida em ambiente de desenvolvimento (provavelmente o modo Debug estava ativado) o que fez exibir algumas partes da fonte do script. O problema foi assim: o Firefox passou a emitir uma mensagem em campos de login do qual a página não usa https ou https valido, o tal “dgeorge” abriu um solicitação de bug, mas na verdade não era uma mensagem de erro e sim uma orientação, alguns tentaram o orientar, mas ele provavelmente não entendia muito bem do assunto e continuou “batendo na mesma tecla”, então a Mozilla para evitar qualquer problema futuro semelhante resolveu remover no Release seguinte a tal mensagem, mas ae vem a parte interessante, no momento que o tal dgeorge se expôs, alguns usuários ficaram curiosos e começaram a tentar “coisas”, foi nisto que ao usar uma tentativa de sqlinjection que um deles notou que a query falha e o código era parcialmente exposto, o que pode ser muito útil para quem tem intenções ruins. SSL é segurança ponta a ponta não garante nada quanto SQLinjection, ataques por demanamda, ecommerces com https também não garante que o vendedor é confiavel, aquele papo que na TV que falam que tem que ter o “cadeadinho” pra um ecommerce ser seguro. Record e Globo em jornais já falaram essas asneiras. A segurança do SSL é apenas impedir a interceptação, outras medidas de segurança tem que ser tomada pelo programador e pelo usuário final. Boa noite, até mais o/

  • Acho que esqueceram de renovar o domínio, hahahaha