HTML e Mozilla: Informação e segurança em risco!!
21/02/2007 Written by Giovanni Delvecchio (Badpenguin)
A grande disponibilidade e a “facilidade de uso” das ferramentas digitais foram um dos grandes fatores para a popularização em massa da internet, mas esta facilidade chamada de “amigável para o usuário” representam riscos em potencial para a segurança e privacidade digital dos usuários.
Neste propósito, hoje o Zone-H esta apresentando aos seus leitores uma velha falha de segurança que existia em alguns browsers (atualmente apenas um), uma falha de segurança que já foi publicada nos alertas de segurança do Zone-H.
A idéia de falar sobre um problema antigo apareceu após olharmos o website da Heise-Security, uma página da web que permite aos usuários realizar alguns testes para identificar a segurança em seus browser’s. Durante estes testes, uma nos chamou a atenção, uma falha descoberta e publicada pelo Zone-H dois anos atrás…
Antes de continuarmos com uma explicação mais detalhada, nós temos que pensar no ponto de vista de muitos desenvolvedores (especialmente alguns da Mozilla) que não consideram esta falha de segurança como um problema real, mas apenas como uma “característica” relacionada aos requisitos do DOM (Document Object Model). Isto quer dizer que, de acordo com eles, a negligência dos usuários enquanto usam a internet podem trazer alguns problemas para eles por cauda destas “características”.
Apesar da opinião dos desenvolvedores e dos programadores, parece que tais características – se exploradas corretamente – terão o mesmo impacto que qualquer problema de segurança.
Especificadamente se esta falha pode dar permissão a um usuário malicioso acessar arquivos do computador da vítima. Como? Simples, a vítima precisa apenas abrir um inocente arquivo .html para que o criminosos possa obter acesso a dados de seu computador. Basta o atacante modificar alguns parâmetros do Content-Type do cabeçalho HTTP e aparecerá uma janela perguntando se deseja salvar ou abrir o arquivo .html. Em ambos os casos, códigos javascripts serão executados e as configuração de Zona Local vão permitir ao atacante listar nomes, diretórios e acessar arquivos.
Tanto o alerta de segurança do Zone-H ou o teste no site da Heise Security mostram como verificar o problema, e para deixar claro, após 2 anos somente o Mozilla Firefox continua com esta falha (versão 2.0.0.1 para Mac/Windows/Linux).
Se esquecermos dos desenvolvedores por enquanto, e analisarmos o problema do ponto de vista dos usuários, fica difícil esquecer do fato que a maioria dos usuários da internet não tem noção dos riscos que correm quando mandam abrir um arquivo (e não somente executáveis), e a maioria acham que um documento .html é confiável sempre!!
A segurança não pode ser considerada um produto, e sim um processo, que não pode deixar de lado importantes aspectos: Como a importância da educação e do treinamento para todas as pessoas envolvidas sendo elas desenvolvedores, gerentes, secretárias ou usuários finais, que podem ter envolvimento com vazamento de informações ou serem a porta de entrada de um ataque.
Ferramentas digitais tais como as da Mozilla, poderiam dar uma importante contribuição para a educação dos usuários, por exemplo, informando que eles correm o mesmo risco abrindo um documento .html que um .exe como acontece atualmente onde a mensagem aparece quando de tenta abrir um executável. Isto não iria acabar com os problemas de segurança, mas seria um passo a mais para ajudar na prevenção.
A única solução por enquanto é bloquear a execução de scripts potencialmente maliciosos na Zona Local, que é o que acontece no Opera e no IE7.
Algumas vezes, se a rigidez dos requisitos a seguir para normas DOM fosse um pouco menor, talvez seria benéfico tanto para a segurança quanto para a privacidade dos usuários.
Share this content:
