Toda empresa possui fornecedores. Grandes empresas possuem muitos fornecedores. Uma dessas grandes empresas me pediu para analisar a segurança das aplicações que seus fornecedores usam para disponibilizar serviços via Web.
A partir dos resultados desse projeto decidi escrever pra falar exclusivamente da falta de respeito e de utilização de uma camada de segurança básica na hora da autenticação dos portais de serviços.
Por incrível que pareça, organizações de diversas áreas não estão se preocupando com a confidencialidade da comunicação entre seus portais e seus clientes na hora que eles informam o usuário e a senha para acessar o serviço.
Por outro lado, os clientes também estão se descuidando quando contratam serviços de empresas que não prezam pela confidencialidade de suas informações.
Bom, ainda é meio que normal que a maioria das pessoas físicas por padrão confiem, por exemplo, nos sites de laboratórios quando essas instituições disponibilizam resultados de exames via Web.
Essa confiança faz com que eles usem uma rede sem fio da empresa, da casa de um amigo, do condomínio onde moram ou de um restaurante para acessar o resultado. É nesse momento que se houver alguém capturando o tráfego da rede irá identificar de forma clara os campos de usuário e senha digitados.
A realidade no mundo corporativo não é muito diferente. Empresas contratam empresas que não prezam pela confidencialidade das informações que trafegam na rede. A partir daí, toda vez que um funcionário acessa uma aplicação Web insegura (sem essa camada que esconde/criptografa os dados de autenticação, como usuário e senha), o risco de vazamento dessas informações sobe bastante.
É importante que seja montado uma espécie de boicote justificado aos portais que não se preocupam com segurança da informação.
Aquela orientação das instituições financeiras que dizem para procurarmos o cadeado no browser ou o https://EndereçoDoSite serve para tudo.
Fiquem atentos, porque como diz LaryHoo: "Em tempos de recessão, quem tem usuário e senha, tem dinheiro na mão".
Publicada por:
