Freigeben über


Browser, Navegação e Segurança (Estudo de Caso)

Achei interessante essa experiência pessoal de um profissional de TI, e com a devida autorização dele, estou reproduzindo em meu blog:

 

Fragilidade do Firefox?


Na semana passada eu escrevi a respeito de um fato que eu presenciei (leia nos posts anteriores, dia 26/08).

Naquela oportunidade o meu objetivo era atender a um público não técnico, mas os 'mais doentes' hehehe me pediram que fosse mais detalhado... então lá vai a versão 2.0...

Estes dias me deparei com um fato que me deixou um pouco preocupado. Os administradores (nenhum MCP) de uma grande rede de computadores reclamavam a respeito do Windows Vista (prá variar). O que acontecia é que, o parque de máquinas está baseado em Active Directory e Windows XP pro e o browser mais utilizado é o Internet Explorer 6 e 7 e o Firefox (tanto o 2 quanto 3). Mas alguns poucos usuários começaram a usar o Vista. A reclamação era que, quando utilizavam o Vista+IE7, ninguém conseguia acesso HTTP a internet. Mas, com o Firefox, não existia problema, tudo funcionava 'naturalmente'. Aí então chegaram a conclusão: "O IE7 NÃO PRESTA!". Fiquei intrigado com isso e fui vasculhar para entender o que estava acontecendo e achei a resposta.

A estrutura da navegação internet nesta rede é baseada em software livre com um servidor proxy (Squid), configurado para uma autenticação hoje considerada de tecnologia ultrapassada (NTLM) sendo que a melhor autenticação AD é a Kerberos.

O Vista é configurado, por padrão nas GPO local, para não aceitar autentições com nível de segurança inferiores a NTLMv2. Quando se está utilizando o IE7, quem define o nível de autenticação é o sistema operacional, que detecta esta fragilidade e, por padrão, não passa a autenticação abaixo de NTLMv2. Mas quanto, neste mesmo sistema operacional, o usuário utiliza o Firefox, a autenticação no proxy é bloqueada pelo SO, mas o browser ignora o nível mínimo de segurança definida pela GPO local do VISTA e força a passagem da autenticação abaixo do limite, ou seja, usa autenticação NTLM (ou até mesmo LM, vai saber). E o pior disso tudo é que nenhum tipo de mensagem avisando o rebaixamento no nível de segurança é passada para o usuário pelo Firefox.

Resultado, o Firefox+Vista+Squid NTLM funciona, e IE7+Vista+Squid não funciona, o que dá impressão para os desinformados que o problema é do IE.

No meu ponto de vista (não é trocadilho não, hehehe), o fato do IE não funcionar acontece por que ele está, por padrão, protegendo as informações do usuário, não deixando que elas trafeguem sem segurança e fora dos padrões os quais estão configurados no Vista. Já o Firefox, por padrão, ignora a obrigatoriedade de segurança imposta pelo Vista e assume a autenticação no proxy trafegando os dados de usuário e senha mesmo de forma não segura, expondo os dados dos usuários. O Safari, por padrão, segue o mesmo caminho do IE e também não navega. Ponto prá ele!

Como ainda não houve a possibilidade de passar autenticação do Squid para Kerberos, então a solução foi diminuir o nível de segurança da requisição de autenticação do Vista, aceitando passar NTLM e LM, que passou a aceitar trafegar os dados da forma com que a rede exige, daí então IE e Safari passaram a conseguir navegar. Vale aqui considerar que, o Windows XP, desde quando foi lançado, aceita a configuração mais forte de segurança, apesar dela não ser seu padrão.

Acho que a mensagem aqui é: temos que tomar muito cuidado quando nos deparamos com uma 'não funcionalidade' nos sistemas mais modernos. Pode ser que esta característica esteja muito mais ligada à uma exigência de mais segurança, ou seja, por padrão eles não pactuam com tecnologias ultrapassadas e com níveis de segurança inaceitáveis. Isso só vem aumentar a confiança que devemos ter, pois estes sistemas até funcionam em níveis mais baixos de segurança, porém se o usuário é obrigado a fazer um ajuste manual para que isso aconteça, este detalhe também garante que ele passa a ter consciência que o nível está sendo diminuído. Se esta diminuição no nível de segurança é feita de forma transparente para o usuário (como o Firefox faz) ele não fica nem sabendo do que está acontecendo e tem a falsa impressão que tudo está perfeito, o que, definitivamente, não é verdade.

Concordo que é importante que as novas tecnologias sejam compatíveis com seus legados (tecnologias anteriores), só que tem uma hora que isso se torna muito complicado. Imagine se nossos carros de hoje tivessem motores flex, câmbios sequenciais e PLATINADO !?!?!

 

Fonte: https://bariniuol.spaces.live.com/ (Carlos Barini)

Comments

  • Anonymous
    September 04, 2008
    O que nosso amigo passou em seu ambiente foi exatamente o que vivencie e também o que precisei fazer. Muitas vezes as pessoas tiram conclusões de forma arbitária e jogam sempre a responsabilidade sobre os produtos da Microsoft e nunca pensam que poderiam ser outras razões que levariam a esta situação.