Empresa ativou hoje recurso de segurança que embaralha dados enviados para seus servidores. Movimento já foi adotado por Google e Twitter
A Facebook ativou uma chave de segurança padrão em seus servidores, desde esta quarta-feira, 31/07, que embaralha os dados trocados pelos usuários com seus sistemas, seguindo um movimento já adotado anteriormente por outros serviços de web como o Google e Twitter.
Há dois anos, as redes sociais deram aos usuários a opção de usar uma chave de criptografia de dados chamada TLS (Transport Security Layer), que é indicada pelo aparecimento do "https" na barra da URL nos browsers. A TLS é a sucessora do SSL (Secure Sockets Layer), um sistema que uma uma chave pública de criptografia para assegurar mais privacidade na troca de dados entre duas pontas.
Mais de um terço dos usuários mudaram para o TLS, mas ele não ficou ativo por padrão por conta de uma variedade de desafios de engenharia, escreveu Scott Renfro, engenheiro de software do time de Infraestrutura de Segurança em Londres. Um dos problemas seria a latência (demora no tempo de resposta de um ponto a outro). Com o uso do TLS, a troca de dados poderia, por exemplo, gerar um tempo de resposta de 600 milisegundos para uma pessoa na Índia, contra apenas 40 milisegundos para uma pessoa no Canadá.
Mas a Facebook está usando técnicas que ajudam a acelerar a resposta de seus servidores para os usuários em locais muito distantes do planeta e com isso ganhando mais velocidade na troca de dados e visualização das páginas.
A padronização para o TLS também demorou mais para acontecer porque a Facebook teve de esperar que muitos desenvolvedores de aplicativos fizessem o upgrade de suas plataformas, escreveu Renfro. Se o outro lado também não usa a mesma técnica, muitos browsers de web não conseguem exibir numa página que usa a chave TLS conteúdos que não foram produzidos com a mesma técnica.
"Como inserimos aplicativos de terceiros em nossas páginas utilizando iframes, precisamos garantir que todas as plataformas de aplicativos fizessem seu upgrade para usar o https", diz Renfro. "Foi dado inicialmente um prazo de 90 dias para isso acontecer e acabamos ampliando para 150 dias o tempo para os desenvolvedores conseguirem um certificado e fazerem o upgrade dos seus aplicativos para o https."
Ainda existem problemas de compatibilidade, segundo Renfro, que podem aparecer em alguns smartphones e operadoras. A Facebook vai exigir https nos navegadores e celulares que suportam o protocolo, mas ainda vai permitir conexões não tão seguras em alguns dispositivos, diz o engenheiro, a maioria em celulares tradicionais.
"Estamos trabalhando com essas empresas mas enquanto isso não queremos que problemas com o https afete completamente os usuários" diz Renfro. "O que fizemos foi apenas um downgrade para alguns aparelhos enquanto mantemos o https em browsers e aparelhos onde é suportado."
"Estamos trabalhando com essas empresas mas enquanto isso não queremos que problemas com o https afete completamente os usuários" diz Renfro. "O que fizemos foi apenas um downgrade para alguns aparelhos enquanto mantemos o https em browsers e aparelhos onde é suportado."
Ainda há trabalho para fazer. A Facebook usa chaves RSA de 1048-bit mas planeja seguir o padrão da indústria e mover para chaves de 2048-bit no final do ano. Chaves criptográficas mais longas geralmente complicam a vida dos hackers. A empresa também vai mudar para uma chave de criptografia que garanta que os dados não possam ser desembaralhados no futuro, um conceito conhecido como Perfect Forward Secrecy. O sistema usa uma chave privada que tem vida útil apenas naquela sessão TLS, eliminando o risco dos dados serem abertos anos depois no caso de uma chave privada ser comprometida.
Nenhum comentário:
Postar um comentário