Utilizem sempre o HTTPS para efetuar logon no Facebook, pois há
sniffers disponíveis e de fácil manuseio, utilizados por pessoas
mal-intencionadas, que possibilitam o "roubo" de sessão dos usuários
logados por meio de HTTP em redes locais (cabeada ou wifi). Sigam a leitura...
Em outras palavras,
quem utilizar somente o protocolo HTTP poderá "dar" seu facebook para um
cracker/hacker que esteja presente na mesma rede. Ou seja:
Sempre usar: https://www.facebook.com/ em vez de: http://www.facebook.com/.
Vejam como fazer isso no vídeo abaixo:
Obs.: O mesmo é válido para quaisquer outros serviços online que possibilitem o uso de HTTPS.
Abraço,
Ótima dica.
ResponderExcluirpergunta hipotética: Se o facebook utilizasse no modo http "desprotegido" a biblioteca:
http://crypto.stanford.edu/sjcl/
para servir o login dos usuários, unicamente para com a senha, conseguir-se-ia evitar o fácil sniffer da mesma maneira que com ssl?
Marcelo:
ResponderExcluir1. O ataque é realizado com a coleta dos cookies enviados ao usuário;
2. A maioria dos sites permite a autenticação por HTTPS, porém, depois de autenticado (mesmo que fosse usando a SJCL), as demais requisições são feitas, infelizmente, com HTTP. Afinal, o HTTPS é lento*;
3. Muitas redes WIFI, por exemplo, trabalham sem criptografia (e há muita gente nelas);
Enfim, se presentes o exposto no 2 e 3, um hacker pode coletar os cookies e assumir a sessão do usuário/vítima;
Veredicto: Mesmo que usemos HTTPS, dependemos de nossa estrutura de rede e da forma que os serviços trabalham no pós autenticação.
* Os serviços bancários, por exemplo, trabalham com HTTPS na autenticação e nas demais operações.
Mas isso é tema para outro post... :)