Notas sobre Segurança

por Miguel Almeida

[Quiz] Como nos protegemos do Firesheep?

Para não sermos vítimas de um ataque realizado pelo Firesheep, um programa que captura as nossas sessões em sítios sem SSL (e.g. Facebook, Twitter, Blogger) o que devemos fazer?

Evitar usá-los em redes públicas e semi-públicas, e.g. redes Wi-Fi sem protecção, cibercafés, redes monitorizadas;
Usar Virtual Private Networks até ao router lá de casa, reduzindo a exposição da sessão e aceitando o risco do lado do ISP;
Usar o browser Firefox com a extensão HTTPS Everywhere da Electronic Frontier Foundation;
Fazer muito barulho para promover a adopção de HTTPS em todo o lado, até que já ninguém tenha paciência para nos ouvir;
Todas as anteriores;
Nenhuma das anteriores – o risco é irrelevante;

A vossa escolha?

Comentários (5)

loldongs @ 28 outubro, 2010 1:07
7. não usar a internet.
:p just playing..
Vasco @ 28 outubro, 2010 2:21
6, obviamente! Se não for o banco, o email, o amazon, o itunes ou em geral alguma coisa que envolva o meu dinheiro, podem ver à vontade. Mas estes que disse também usam ssl, por isso…
Talvez 1, admito. Para o facebook, mais nada.
Jorge Moura @ 28 outubro, 2010 12:18
Na minha opinião a opção 5 é a mais sensata de todas pois nenhuma das soluções apresentadas, quando implementada isoladamente, é suficiente.
Miguel Almeida @ 28 outubro, 2010 15:17
As respostas públicas (leia-se, aquelas que aparecem por aqui), embora sejam poucas, são suficientes para percebermos que o risco, neste caso, é avaliado de forma diferente por pessoas diferentes. Claramente. E fico na dúvida qual é o racional, para cada pessoa, que conduz essa avaliação. Ou, melhor, fico com curiosidade ; )
É evidente que este Quiz não tem uma resposta absoluta; há múltiplas formas de endereçar esta questão, desde aceitar o risco (porque consideramos que é residual), até blindarmos todas as nossas ligações (porque o impacto e a probabilidade de ocorrência, no nosso caso, pode ser muito relevante).
No meu caso pessoal, adopto a #1 e a #4. Não porque considere que as outras opções não são razoáveis, mas porque são um compromisso entre os controlos que não têm um custo insuportável (em sentido lato, naturalmente), e, ao mesmo tempo, podem reduzir a probabilidade de ocorrência. A #1, substancialmente. A #4 não reduz nada imediatamente mas, se quiserem, por uma questão de formação pessoal, parece-me importante defender algumas bandeiras que podem beneficiar-nos a todos, no futuro.
Thanks for the input. Appreciate it (!)
Zeze @ 28 outubro, 2010 15:51
6 – Contratar um serviço de PROXY, VPN ou SOCKS confiavel :)
O proprio HTTPS Everywhere já resolve alguns dos problemas.