Lucian Constantin, IDG News Service
HTTPS Everywhere também sinaliza cookies de autenticação como "seguro", prevenindo que sejam transmitidos por meio de conexões não criptografadas
O fornecedor de serviços em nuvem Zscaler liberou uma extensão de segurança para o Internet Explorer chamada "HTTPS Everywhere". O complemento obriga o browser a sempre adotar a navegação segura (HTTPS) para qualquer website que suporte o protocolo, mas não o habilita por padrão.
A extensão também sinaliza como "seguro" os cookies de autenticação, prevenindo que eles sejam transmitidos por meio de conexões não criptografadas. Alguns sites com HTTPS habilitados não definem esse tipo de sinalização para os cookies de autenticação, porque eles esperam que os usuários sejam automaticamente conectados, mesmo quando acessam uma versão HTTP do site.
No entanto, isso permite a crackers que comprometeram o gateway da rede (equipamento utilizado para interligar redes), ou aqueles que podem farejar todo o tráfego de redes de wireless desprotegidas, a fim de roubar cookies dos usuários e sequestrar suas contas.
O HTTPS Everywhere foi originalmente lançado como uma extensão do Firefox em 2010 e foi co-desenvolvida pela Eletronic Frontier Foundation (EFF), uma organização de direitos digitais, em parceria do Tor Project, os criadores do software homônimo que permite a navegação anônima dos usuários na Internet. Também foi desenvolvida uma versão da extensão para o Chrome.
A versão 0.0.0.1 do HTTPS Everywhere para o Internet Explorer foi desenvolvida de forma independente pelo pesquisador sênior em segurança da Zscaler, Julien Sobrier.
A implementação para o navegador da Microsoft replica a função central da extensão oficial desenvolvida para Firefox e Chrome, e inclui o conjunto de regras-padrão para sites populares. No entanto, algumas ferramentas adicionais, como a habilidade de criar regras personalizadas, ou o suporte para o mecanismo de política de segurança HTTP Strict Transport Security (HSTS); ainda não estão disponíveis.
"Como sugere o número da versão, esse é um lançamento bem recente", disse Sobrier na segunda-feira, em um post no blog da empresa. "Eu tenho utilizado a extensão por semanas e não tive qualquer problema, mas ela ainda deve ser considerada uma versão alpha."
Os recursos que faltam serão adicionados em versões futuras, disse o pesquisador. Por enquanto, o objetivo principal é compartilhar o código-fonte da versão do IE com a EFF (Eletronic Frontier Foundation) e torná-lo disponível no site da organização, disse.
Enquanto isso, as pessoas que querem usar ou experimentar o HTTPS Everywhere para o Internet Explorer podem baixá-lo no site da Zscaler.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário