diff options
| author | Silvio <silvio@fluxo.info> | 2011-12-04 13:56:58 -0200 |
|---|---|---|
| committer | Silvio <silvio@fluxo.info> | 2011-12-04 13:56:58 -0200 |
| commit | 4bda06950bf011a2aa43110376800f2a9848ec96 (patch) | |
| tree | 06c45d0c2aae01b726ae3497ad9116219fd2a311 | |
| parent | 65587744d7ab2a26e328fedc699b86a06ffc2d79 (diff) | |
| download | gestaossl-4bda06950bf011a2aa43110376800f2a9848ec96.tar.gz gestaossl-4bda06950bf011a2aa43110376800f2a9848ec96.tar.bz2 | |
Minor changes
| -rw-r--r-- | cool.html | 25 | ||||
| -rw-r--r-- | cool.mdwn | 16 | ||||
| -rw-r--r-- | cool.pdf.html | 25 |
3 files changed, 44 insertions, 22 deletions
@@ -93,7 +93,6 @@ mais difícil de mitigar.</p> <div class='slide '> <h1 id="ssl">SSL</h1><ul> <li>Encapsulamento de outros protocolos</li> - <li>HTTP Strict Transport Security - HSTS</li> <li>CipherSuite e Perfect Forward Secrecy</li> <li>Revogação (CRL / OCSP)</li> <li>Autoridades Certificadoras (CAs)</li> @@ -301,6 +300,7 @@ Are you sure you want to continue connecting (yes/no)? <li><a href="http://www.slate.com/articles/technology/webhead/2010/08/the_internets_secret_back_door.html">The Internet’s Secret Back Door: Web users in the United Arab Emirates have more to worry about than having just their BlackBerries cracked</a> (Cybertrust / Verizon)</li> <li><a href="http://online.wsj.com/article/SB124562668777335653.html#mod=rss_whats_news_us">Iran’s Web Spying Aided By Western Technology </a> (Nokia-Siemens)</li> <li><a href="http://yro.slashdot.org/story/11/02/11/1920258/Out-of-Egypt-Censorship-US-Tech-Export-Under-Fire">Out of Egypt Censorship, US Tech Export Under Fire</a> (Narus)</li> + <li><a href="https://www.eff.org/deeplinks/2011/05/syrian-man-middle-against-facebook">A Syrian Man-In-The-Middle Attack against Facebook</a></li> </ul> </li> <li> @@ -318,7 +318,8 @@ apenas a capacidade do atacante.</p> <h1 id="mitigao">Mitigação</h1><p>Recentemente foram propostas várias formas de mitigação:</p> <ul> - <li><a href="https://addons.mozilla.org/pt-BR/firefox/addon/certificate-patrol/?src=search">Certificate Patrol</a>: muito útil porém sofre to problema de “bootstrapping”/secure introduction (Trust On First Use/Persistence of Pseudonym - TOFU/POP).</li> + <li><a href="https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security">HTTP Strict Transport Security - HSTS</a></li> + <li><a href="https://addons.mozilla.org/pt-BR/firefox/addon/certificate-patrol/?src=search">Certificate Patrol</a>: muito útil porém sofre to problema de secure introduction (Trust On First Use/Persistence of Pseudonym - TOFU/POP).</li> <li><a href="https://code.google.com/p/certlock/">Certlock</a></li> <li>IETF: <ul> @@ -340,9 +341,15 @@ apenas a capacidade do atacante.</p> </div> <div class='slide '> -<h1 id="alternativas">Alternativas?</h1><p>A grande questão é: abandonar o SSL hoje é uma opção que não depende apenas dos/as usuários, porém -é importante considerar que <em>o modelo atual de certificação não é mandatório.</em> Ao invés disso, o modelo -de CAs pode ser <em>plugável.</em></p> +<h1 id="alternativas">Alternativas?</h1><ul> + <li> + <p>A grande questão é: abandonar o SSL hoje é uma opção que não depende apenas dos/as usuários, porém +é importante considerar que <em>o modelo atual de certificação não é mandatório.</em></p> + </li> + <li> + <p>Ao invés disso, o modelo de CAs pode ser <em>plugável</em> e explorar características <em>locais</em> e <em>globais.</em></p> + </li> +</ul> </div> @@ -353,6 +360,7 @@ de CAs pode ser <em>plugável.</em></p> <li>“Trust agility”: usuário/a escolhe em quem confiar e por quanto tempo</li> <li>Sistema notarial distribuído e robusto</li> <li>Anônimo e com boa usabilidade</li> + <li><a href="https://www.youtube.com/watch?v=Z7Wl2FW2TcA">BlackHat USA 2011: SSL And The Future Of Authenticity</a></li> </ul> @@ -399,9 +407,10 @@ de CAs pode ser <em>plugável.</em></p> </div> <div class='slide '> <h1 id="convergence-problemas">Convergence: Problemas</h1><ul> - <li>Se o MITM estiver exatamente no provedor upstream, o Convergence pode não perceber.</li> - <li>Mudanças de chaves.</li> + <li>Se o MITM estiver exatamente no provedor upstream, o Convergence pode não perceber</li> + <li>Mudanças de chaves</li> <li>The Citibank Problem</li> + <li>Futuro: <a href="https://github.com/moxie0/Convergence/wiki/TACK">TACK (Tethered Assertions for Certificate Keys)</a>: similar às Chaves Soberanas da EFF</li> </ul> @@ -489,7 +498,7 @@ em dizer que o problema são as “maçãs podres” ou o excesso de CAs <p>Os fabricantes de navegadores tem peso maior na decisão, porém dificilmente farão mudanças bruscas uma vez que a internet hoje é muito dependente na infraestrutura de CAs.</p> </li> <li> - <p>A pluralidade de métodos e a <em>plugalidade</em> (:P) de soluções podem convergir num esquema de validação híbrido.</p> + <p>A pluralidade de métodos e a <em>plugalidade</em> (:P) de soluções podem <em>convergir</em> num esquema de validação híbrido.</p> </li> <li> <p>Conscientização do público é fundamental.</p> @@ -222,6 +222,7 @@ Mas o quanto disso é factível? - [The Internet's Secret Back Door: Web users in the United Arab Emirates have more to worry about than having just their BlackBerries cracked](http://www.slate.com/articles/technology/webhead/2010/08/the_internets_secret_back_door.html) (Cybertrust / Verizon) - [Iran's Web Spying Aided By Western Technology ](http://online.wsj.com/article/SB124562668777335653.html#mod=rss_whats_news_us) (Nokia-Siemens) - [Out of Egypt Censorship, US Tech Export Under Fire](http://yro.slashdot.org/story/11/02/11/1920258/Out-of-Egypt-Censorship-US-Tech-Export-Under-Fire) (Narus) + - [A Syrian Man-In-The-Middle Attack against Facebook](https://www.eff.org/deeplinks/2011/05/syrian-man-middle-against-facebook) - EUA: [NSA warrantless surveillance controversy](https://en.wikipedia.org/wiki/NSA_warrantless_surveillance_controversy / https://en.wikipedia.org/wiki/Hepting_v._AT%26T) @@ -251,9 +252,10 @@ Recentemente foram propostas várias formas de mitigação: Alternativas? ============= -A grande questão é: abandonar o SSL hoje é uma opção que não depende apenas dos/as usuários, porém -é importante considerar que _o modelo atual de certificação não é mandatório._ Ao invés disso, o modelo -de CAs pode ser _plugável._ +- A grande questão é: abandonar o SSL hoje é uma opção que não depende apenas dos/as usuários, porém +é importante considerar que _o modelo atual de certificação não é mandatório._ + +- Ao invés disso, o modelo de CAs pode ser _plugável_ e explorar características _locais_ e _globais._ http://convergence.io ===================== @@ -263,6 +265,7 @@ http://convergence.io - "Trust agility": usuário/a escolhe em quem confiar e por quanto tempo - Sistema notarial distribuído e robusto - Anônimo e com boa usabilidade +- [BlackHat USA 2011: SSL And The Future Of Authenticity](https://www.youtube.com/watch?v=Z7Wl2FW2TcA) Funcionamento ============= @@ -306,9 +309,10 @@ Bundles Convergence: Problemas ====================== - - Se o MITM estiver exatamente no provedor upstream, o Convergence pode não perceber. - - Mudanças de chaves. + - Se o MITM estiver exatamente no provedor upstream, o Convergence pode não perceber + - Mudanças de chaves - The Citibank Problem + - Futuro: [TACK (Tethered Assertions for Certificate Keys)](https://github.com/moxie0/Convergence/wiki/TACK): similar às Chaves Soberanas da EFF http://web.monkeysphere.info ============================ @@ -383,7 +387,7 @@ Perspectivas - Os fabricantes de navegadores tem peso maior na decisão, porém dificilmente farão mudanças bruscas uma vez que a internet hoje é muito dependente na infraestrutura de CAs. -- A pluralidade de métodos e a _plugalidade_ (:P) de soluções podem convergir num esquema de validação híbrido. +- A pluralidade de métodos e a _plugalidade_ (:P) de soluções podem _convergir_ num esquema de validação híbrido. - Conscientização do público é fundamental. diff --git a/cool.pdf.html b/cool.pdf.html index 63e913a..8c05cb7 100644 --- a/cool.pdf.html +++ b/cool.pdf.html @@ -119,7 +119,6 @@ mais difícil de mitigar.</p> <div class='slide '> <h1 id="ssl">SSL</h1><ul> <li>Encapsulamento de outros protocolos</li> - <li>HTTP Strict Transport Security - HSTS</li> <li>CipherSuite e Perfect Forward Secrecy</li> <li>Revogação (CRL / OCSP)</li> <li>Autoridades Certificadoras (CAs)</li> @@ -327,6 +326,7 @@ Are you sure you want to continue connecting (yes/no)? <li><a href="http://www.slate.com/articles/technology/webhead/2010/08/the_internets_secret_back_door.html">The Internet’s Secret Back Door: Web users in the United Arab Emirates have more to worry about than having just their BlackBerries cracked</a> (Cybertrust / Verizon)</li> <li><a href="http://online.wsj.com/article/SB124562668777335653.html#mod=rss_whats_news_us">Iran’s Web Spying Aided By Western Technology </a> (Nokia-Siemens)</li> <li><a href="http://yro.slashdot.org/story/11/02/11/1920258/Out-of-Egypt-Censorship-US-Tech-Export-Under-Fire">Out of Egypt Censorship, US Tech Export Under Fire</a> (Narus)</li> + <li><a href="https://www.eff.org/deeplinks/2011/05/syrian-man-middle-against-facebook">A Syrian Man-In-The-Middle Attack against Facebook</a></li> </ul> </li> <li> @@ -344,7 +344,8 @@ apenas a capacidade do atacante.</p> <h1 id="mitigao">Mitigação</h1><p>Recentemente foram propostas várias formas de mitigação:</p> <ul> - <li><a href="https://addons.mozilla.org/pt-BR/firefox/addon/certificate-patrol/?src=search">Certificate Patrol</a>: muito útil porém sofre to problema de “bootstrapping”/secure introduction (Trust On First Use/Persistence of Pseudonym - TOFU/POP).</li> + <li><a href="https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security">HTTP Strict Transport Security - HSTS</a></li> + <li><a href="https://addons.mozilla.org/pt-BR/firefox/addon/certificate-patrol/?src=search">Certificate Patrol</a>: muito útil porém sofre to problema de secure introduction (Trust On First Use/Persistence of Pseudonym - TOFU/POP).</li> <li><a href="https://code.google.com/p/certlock/">Certlock</a></li> <li>IETF: <ul> @@ -366,9 +367,15 @@ apenas a capacidade do atacante.</p> </div> <div class='slide '> -<h1 id="alternativas">Alternativas?</h1><p>A grande questão é: abandonar o SSL hoje é uma opção que não depende apenas dos/as usuários, porém -é importante considerar que <em>o modelo atual de certificação não é mandatório.</em> Ao invés disso, o modelo -de CAs pode ser <em>plugável.</em></p> +<h1 id="alternativas">Alternativas?</h1><ul> + <li> + <p>A grande questão é: abandonar o SSL hoje é uma opção que não depende apenas dos/as usuários, porém +é importante considerar que <em>o modelo atual de certificação não é mandatório.</em></p> + </li> + <li> + <p>Ao invés disso, o modelo de CAs pode ser <em>plugável</em> e explorar características <em>locais</em> e <em>globais.</em></p> + </li> +</ul> </div> @@ -379,6 +386,7 @@ de CAs pode ser <em>plugável.</em></p> <li>“Trust agility”: usuário/a escolhe em quem confiar e por quanto tempo</li> <li>Sistema notarial distribuído e robusto</li> <li>Anônimo e com boa usabilidade</li> + <li><a href="https://www.youtube.com/watch?v=Z7Wl2FW2TcA">BlackHat USA 2011: SSL And The Future Of Authenticity</a></li> </ul> @@ -425,9 +433,10 @@ de CAs pode ser <em>plugável.</em></p> </div> <div class='slide '> <h1 id="convergence-problemas">Convergence: Problemas</h1><ul> - <li>Se o MITM estiver exatamente no provedor upstream, o Convergence pode não perceber.</li> - <li>Mudanças de chaves.</li> + <li>Se o MITM estiver exatamente no provedor upstream, o Convergence pode não perceber</li> + <li>Mudanças de chaves</li> <li>The Citibank Problem</li> + <li>Futuro: <a href="https://github.com/moxie0/Convergence/wiki/TACK">TACK (Tethered Assertions for Certificate Keys)</a>: similar às Chaves Soberanas da EFF</li> </ul> @@ -515,7 +524,7 @@ em dizer que o problema são as “maçãs podres” ou o excesso de CAs <p>Os fabricantes de navegadores tem peso maior na decisão, porém dificilmente farão mudanças bruscas uma vez que a internet hoje é muito dependente na infraestrutura de CAs.</p> </li> <li> - <p>A pluralidade de métodos e a <em>plugalidade</em> (:P) de soluções podem convergir num esquema de validação híbrido.</p> + <p>A pluralidade de métodos e a <em>plugalidade</em> (:P) de soluções podem <em>convergir</em> num esquema de validação híbrido.</p> </li> <li> <p>Conscientização do público é fundamental.</p> |