Archive for novembro, 2011

Resolver erro no Firefox: Renegotiation is not allowed on this SSL socket

Ao acessar páginas com o protocolo https e você se deparar com o erro “Renegotiation is not allowed on this SSL socket. (Código do erro: ssl_error_renegotiation_not_allowed)” similar à da imagem acima, é culpa de uma vulnerabilidade no protocolo SSL/TLS (vide wiki Mozilla sobre a falha em https://wiki.mozilla.org/Security:Renegotiation ).

Para resolver o erro, temos 2 formas: uma simplificada e desaconselhável em termos de segurança  porque deixa o navegador vulnerável para esta falha e outra mais segura e trabalhosa, onde você adiciona pontualmente os domínios que serão exceção à essa regra.

 

 

  1. Digitar na barra de endereços do navegador o endereço: about:config;
  2. Aparecerá uma janela alertando sobre o perigo em alterar configurações do navegador, clique em “Serei cuidadoso, prometo!”.

Método A (Adicionar um domínio como exceção à regra)

Digite no campo localizar a seguinte chave: security.ssl.renego_unrestricted_hosts;

Clique 2x nela e digite os domínios que serão adicionados como exceção separados por virgula;

Observação: Não há suporte para caracteres curinga (*) para esta configuração.

 

 

Método B (Desativar o bloqueio e deixar o navegador vulnerável à falha TSL/SSL)

Digite no campo Localizar a seguinte chave: security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref

O padrão no Firefox é que ele esteja como false, clique 2x com o mouse nessa linha para trocar o campo valor para true ;


Obs: o valor padrão dependerá da versão do navegador que você estiver utilizando. Apenas tenha certeza que o status da chave esteja como modificado.

 

Fontes: https://wiki.mozilla.org/Security:Renegotiation

Leia mais sobre a falha TLS/SSL em http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555

 

Steam sob ataque

Em um comunicado postado nesta quinta-feira pelo presidente da Valve, Gabe Newell, deixou jogadores da rede Steam do mundo todo apreensivo.

De acordo com  o comunicado, no dia 06/11 hackers invadiram o banco de dados da rede por meio do fórum. O banco de dados afetado continha dados pessoais, hashs de senhas, endereços de e-mail, compras realizadas, endereços de cobrança e dados bancários encriptados.

O presidente reafirma que  não há nenhuma evidência se os invasores acessaram ou não os números de cartão de crédito armazenados ou senhas foram quebradas.

Assim como o ocorrido na rede PSN da Sony, há uma orientação para que todos monitorem as atividades dos seus cartões de crédito e troquem suas senhas imediatamente.

 

Fonte da mensagem: http://forums.steampowered.com