Início » Antivírus e Segurança » Firefox recebe reclamação por avisar que página de login insegura é insegura

Firefox recebe reclamação por avisar que página de login insegura é insegura

Paulo Higa Por

A Mozilla recebeu uma reclamação inesperada sobre um recurso do Firefox: o navegador estava informando que uma página de login insegura era… insegura. A queixa partiu do administrador de um portal de notícias especializado em gás e petróleo, que afirmava que o aviso de segurança foi colocado “sem permissão” no sistema de gerenciamento de conteúdo do site.

Tem tanta coisa errada que eu nem sei por onde começar.

Sempre que alguém entrava no formulário de login do Oil and Gas International, o Firefox mostrava um aviso embaixo do campo de senha: “Esta conexão não é segura. Logins inseridos aqui podem ser comprometidos”. Obviamente, isso não é um bug: o Chrome também mostra um aviso mais discreto, na barra de endereços, quando campos de senha ou cartões de crédito estão em uma página sem HTTPS.

A reclamação já foi removida do sistema de bugs da Mozilla, mas o Ars Technica obteve a mensagem, que dizia o seguinte: “Seu aviso de senha e/ou login inseguro aparecendo automaticamente no login do meu site, Oil and Gas International, é indesejado e foi colocado lá sem nossa permissão. Por favor, remova-o imediatamente. Temos nosso próprio sistema de segurança e ele nunca foi violado em mais de 15 anos. Seu aviso está causando preocupação em nossos assinantes e prejudica o nosso negócio”.

Claro que a história não para por aí: a página de assinatura do site de notícias, que solicita o número, código de segurança e validade do cartão de crédito do usuário, não é HTTPS. Todas essas informações sensíveis são transmitidas pela rede sem criptografia e podem ser roubadas por uma pessoa que estiver interceptando a conexão.

Tem mais: usuários do Reddit descobriram que o portal era vulnerável a ataques de SQL Injection. Bastava inserir uma aspa simples em um dos campos para que um erro detalhado do ASP.NET surgisse, revelando parte da estrutura do site. No momento em que escrevo este parágrafo, qualquer tentativa de login resulta em uma mensagem de erro de banco de dados, indicando que possivelmente alguém deletou a tabela de usuários do site.

Acho que o contador de 15 anos foi zerado.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Carlos Bacco
Boa questão. Não vou estender a thread muito por aqui, mas provavelmente eu também teria uma série de questionamentos que seria bem legal alguém com mais influência na mídia tentar obter mais informações. Apóio a idéia, e para o jornalista vai ser um prato cheio. Tem MUITA incongruência nos sistemas públicos, e uma dificuldade extrema de se obter informações (especialmente de maneira automatizada). Nem vou entrar no mérito da nossa certificação digital e as coisas "estranhas" da ICP Brasil, senão a conversa vai longe.
Ligeiro
Para mim, o fato de hoje os sistemas terem melhor compatibilidade é uma vantagem. Estou tendo problema com um sistema governamental que me pergunto porque nenhum jornalista de tecnologia vai atrás destas coisas.
Carlos Bacco
Só não melhoram a parte do usuário final e clientes, mas internamente talvez tenham bons sistemas. Enquanto isso a gente sofre com essas soluções fakes de segurança, e VANS de segunda categoria cuidando das nossas remessas e retornos.
Ligeiro
Os bancos tem melhorado razoavelmente. Bem mais a frente que serviços públicos, diga-se de passagem.
Carlos Bacco
Ligaram até pra mãe dele :)
Carlos Bacco
E bancos, não se esqueça.
Guilherme Brcontainer
Mas a falha não foi por parte do SSL, o login inseguro era uma falha mas de ponta a ponta e interceptação, algo totalmente relativo, agora a parte que deu merd* foi sobre a falha ao injetar um caractere sem "escapar" que disparava uma mensagem de erro que deveria ser somente exibida em ambiente de desenvolvimento (provavelmente o modo Debug estava ativado) o que fez exibir algumas partes da fonte do script. O problema foi assim: o Firefox passou a emitir uma mensagem em campos de login do qual a página não usa https ou https valido, o tal "dgeorge" abriu um solicitação de bug, mas na verdade não era uma mensagem de erro e sim uma orientação, alguns tentaram o orientar, mas ele provavelmente não entendia muito bem do assunto e continuou "batendo na mesma tecla", então a Mozilla para evitar qualquer problema futuro semelhante resolveu remover no Release seguinte a tal mensagem, mas ae vem a parte interessante, no momento que o tal dgeorge se expôs, alguns usuários ficaram curiosos e começaram a tentar "coisas", foi nisto que ao usar uma tentativa de sqlinjection que um deles notou que a query falha e o código era parcialmente exposto, o que pode ser muito útil para quem tem intenções ruins. SSL é segurança ponta a ponta não garante nada quanto SQLinjection, ataques por demanamda, ecommerces com https também não garante que o vendedor é confiavel, aquele papo que na TV que falam que tem que ter o "cadeadinho" pra um ecommerce ser seguro. Record e Globo em jornais já falaram essas asneiras. A segurança do SSL é apenas impedir a interceptação, outras medidas de segurança tem que ser tomada pelo programador e pelo usuário final. Boa noite, até mais o/
Juan de Souza
Acho que esqueceram de renovar o domínio, hahahaha
Tiago César
Os frameworks mais recentes do .net até fazem isso automaticamente... Mas o que mais tem por aí é desenvolvedor prepotente sentado em cima da própria solução.
Jaca Paladium
kkkkkkkk !!!! um certificado SSL hj em dia custa uma merreca ! Não era mais fácil ter instalado um do que passar esse carão todo ? e ainda por cima tá com o site hackeado, derrubado...se a preocupação do cara era perder clientes...então ele deve ter tido um derrame depois de tudo isso ! Mas o que esperar de empresas que usam IIS ???? https://uploads.disquscdn.com/images/536d7118a0daff5fb49c573b84b5a1299873f91f5afb0bdbabf9731e55601d03.jpg
Tiago Silva Do Nascimento
Desculpa me enganei... Olhei em outro site que também funciona como web cache...
Banzeh
Segundo o cache do Google, a página estava no ar ontem (21/03/2017). http://webcache.googleusercontent.com/search?q=cache:8-PSelWDcnIJ:www.oilandgasinternational.com/+&cd=1&hl=pt-BR&ct=clnk&gl=br
vitorrubio
Longe disso, só faço o possível pra saber quando que a mensagem vem do meu site e quando vem do browser, uso HTTPS quando possível (o cliente ou empregador tem que pagar pelo certificado ou arrumar um gratuito) e algumas coisas, como sanitização do meu sql e uso de parâmetros em vez de concatenar strings eu costumo fazer. Sei que meus sites tem vulnerabilidades, mas se eu ficar sabendo que tem, assumo o erro e tento arrumar da melhor forma possível. Eu não vou reclamar em público e culpar/ameaçar o browser pra expor o problema ao público, virar alvo de chacota e sofrer ainda mais ataques.
Thales M. De Oliveira Glim
Era melhor não ter reclamado.
CtbaBr
Mas eu não citei asp.net, citei apenas ASP, e não falei nada sobre ela! Você tirou suas próprias conclusões, logo foi você quem imaginou "besteira".
Exibir mais comentários