A Mozilla foi informada sobre a emissão de vários certificados SSL falsos para sites públicos. Os certificados foram revogados pela autoridade de certificação (CA), o que deve proteger a maioria dos usuários. Apesar de não ser um problema específico do Firefox, a Mozilla optou por atualizar o Firefox 4.0, 3.6, e 3.5 para reconhecer esses certificados fraudulentos e bloqueá-los automaticamente.

Usuários em uma rede comprometida poderiam ser direcionados a sites que utilizam os certificados fraudulentos e confundi-los como sendo sites legítimos. Isso pode fazer com que os usuários revelem informações pessoais, como nomes de usuário e senhas, acreditando que o site é legítimo. Os certificados também pode ser usados para enganar usuários para baixar malwares, tendo em vista que eles podem acreditar que está vindo de um site confiável.

As versões atuais do Firefox já estão protegidos deste ataque. A Mozilla recomenda que todos os usuários mantenham seus softwares atualizados.

Esse problema foi relatado para a Mozilla pelo Comodo Group, Inc., a autoridade certificadora responsável pela emissão dos certificados fraudulentos.

Via: Firefox Blocking Fraudulent Certificates

Agora o Google voltou sua atenção para as APIs utilizadas pelos desenvolvedores: “Para a maioria das APIs, nossa documentação técnica, bibliotecas e exemplos de código já usam SSL.”, anunciou Adam Feldman, da equipe de desenvolvimento do Google. “Muitas novas APIs e versões novas das já existentes serão somente SSL. Além disso, a API do Google Maps, que oferecia SSL somente para os clientes Premier, agora está disponível para todos os desenvolvedores.”

Eles também fizeram com que as APIs do Google Docs, Google Spreadsheets e Google Sites utilizem conexões SSL para todas as solicitações a partir de agora. Portanto, chamadas HTTP inseguras não serão mais permitidas.

Veja o anúncio oficial no blog do Google Code.

Via: Google extends SSL to developer facing APIs

O protocolo HTTPS reduz a chance de usuários maliciosos interceptarem e roubarem os dados que você envia para o site que está acessando.

O Twitter já possuía a opção de conexões HTTPS colocando manualmente na barra de endereço, mas somente agora é possível ser feito automaticamente pelo próprio site.

“Isso vai aprimorar a segurança da sua conta e proteger melhor seus dados se você estiver utilizando o Twitter através de uma rede insegura – como uma rede Wi-Fi pública, onde alguém pode espionar sua atividade no site.”, diz o anúncio oficial do Twitter sobre a nova funcionalidade.

Embora o HTTPS já seja padrão em sites financeiros (bancos, mercado de ações etc) há anos, apenas no passado essa adoção chegou aos grandes sites voltados ao usuário mais geral – como o Facebook e o Google. Grande parte disso se deve à tentativa de diminuir a quantidade de perfis roubados em redes sociais e contas de usuário em geral.

O anúncio oficial você encontra no blog do Twitter.

Via: Twitter Adds Option to Always Use HTTPS Connection

Além disso, o Facebook implementou para todos os usuários a “autenticação social”, como eles chamam a verificação geográfica. Funciona assim: quando você entra no site de alguma outra cidade que não a sua, o Facebook exibe fotos dos seus amigos e pede para escolher, dentre a lista de seus amigos, quem está aparecendo na foto. Desta maneira, certifica de que o usuário que está tentando entrar no sistema é realmente o dono da conta. Veja mais detalhes em Infosecurity (USA) – Facebook announces two new security features.

O pesquisador de segurança Jeronimo Zucco sugere ainda uma terceira técnica: utilizar o NoScript, realizando uma configuração para forçar a conexão via HTTPS. Veja mais detalhes em Zucco Weblog: Três alternativas para se proteger do Firesheep.

Foto: Eavesdropping.

Fonte: @salgado_bruno (via computerworld)

Foto: Twitter por respres, CC-BY.

Conforme mencionamos anteriormente, a Google criou a possibilidade de fazer buscas usando SSL, que utiliza conexões criptografadas ponta-a-ponta, impedindo que outras pessoas investiguem o que está sendo trafegado, aumentando a privacidade do usuário. A utilização da busca encriptada é opcional.

Fonte: Official Google Enterprise Blog: An update on encrypted web search in schools (via)

A versão beta do serviço está disponível apenas em inglês (por enquanto, https://google.com.br redireciona para versão http normal) e apenas para a busca de texto, não incluindo outros serviços tais como busca de imagens ou mapas.

Fonte: Official Google Blog: Search more securely with encrypted Google web search