FREAK Attack afeta Opera no Linux

Anderson_Coelho · 06 de Março de 2015, 10:32

Essa semana vi uma notícia que me chamou a atenção:

https://freakattack.com/

Essa notícia fala que alguns sites "seguros" poderiam ter criptografia quebradacaso acessados de alguns navegadores. A lista incluí ainda sites de bancos brasileiros.

Todo mundo sabe que algumas empresas exageram nessa questão de ataques para venderem o peixe delas. Mas, fiquei curioso, será que tem atualização programada para o Opera do Linux? Como é proprietário, a comunidade não pode fazer nada, então será que é bom não usar por enquanto?

garfo · 06 de Março de 2015, 11:48

Nem estava sabendo dessa "falha" de segurança.

Mas parei de usar o Opera tão logo ele começou a copiar o Chrome. Além disso, ficaram um tempão sem prover uma versão atualizada no navegador pra linux. Aí deixei de mão esse lixo.

irtigor · 06 de Março de 2015, 14:35

Como existem alternativas tão boas ou melhores, eu não vejo um motivo pra usar um navegador vulnerável, mas esse ataque depende de alguns fatores, então se for realmente necessário usar o opera, você provavelmente não vai ser afetado por esse problema.

Tota · 06 de Março de 2015, 14:58

Não sei o por quê da celeuma...

Foi indicado um link, e nele é explícito que para o evento ocorrer, são necessárias duas pontas, um servidor suscetível juntamente com um browser vulnerável, sem o que o processo não ocorre.

CitarWho is vulnerable?
The FREAK attack is possible when a vulnerable browser connects to a susceptible web server—a server that accepts "export-grade" encryption.

Basta não utilizar a combinação por hora, pois até a semana que vem o problema já deve ter sido contornado pelos desenvolvedores dos browsers.

Aqui estou usando o chome no Android (inseguro), visitei i site de testes, e recebi a mensagem confirmatória da vulnerabilidade. Testei com o firefox e deu tudo ok para ele.

Vou usar o firefox até o chrome ser arrumado. Fim.

irtigor · 06 de Março de 2015, 15:23

E pro ataque ocorrer a pessoa mal-intencionada tem que estar entre os dois.

Tota · 06 de Março de 2015, 15:58

Citação de: irtigor online 06 de Março de 2015, 15:23
E pro ataque ocorrer a pessoa mal-intencionada tem que estar entre os dois.

correto.

E ainda existem os teclados virtuais dos bancos. Não dá para saber o que foi digitado neles, mesmo em ambiente sem criptografia.

Anderson_Coelho · 07 de Março de 2015, 10:53

Citação de: irtigor online 06 de Março de 2015, 15:23
E pro ataque ocorrer a pessoa mal-intencionada tem que estar entre os dois.

Sei que o possível e o provável são coisas muito diferentes, mas roteadores creio que são um problema sério, pois basta um PC com Windows na rede e um usuário desprevenido. Mas claro que isso pode ser minimizado por uma boa configuração do roteador.

Citação de: Tota online 06 de Março de 2015, 14:58
Não sei o por quê da celeuma...

A questão é o Opera: alguém que usa sabe se atualizações estão sendo liberadas desde o seu "relançamento" para Linux?

Promero · 07 de Março de 2015, 20:13

Citação de: Anderson_Coelho online 07 de Março de 2015, 10:53
Citação de: irtigor online 06 de Março de 2015, 15:23
E pro ataque ocorrer a pessoa mal-intencionada tem que estar entre os dois.

Sei que o possível e o provável são coisas muito diferentes, mas roteadores creio que são um problema sério, pois basta um PC com Windows na rede e um usuário desprevenido. Mas claro que isso pode ser minimizado por uma boa configuração do roteador.

Citação de: Tota online 06 de Março de 2015, 14:58
Não sei o por quê da celeuma...

A questão é o Opera: alguém que usa sabe se atualizações estão sendo liberadas desde o seu "relançamento" para Linux?

Sim, estão, inclusive já foi atualizado para dar conta dessa falha aí. O chato é que, por enquanto, só versões de 64 bits são compatíveis com o Opera 27. Aliás, se você usa o Opera talvez se interesse por isso: https://vivaldi.com