gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
MBnet: enfiaram um barrete de segurança!
Contribuído por scorpio em 20-09-01 9:57
do departamento dilemas...
Portugal Anonimo Cobardolas escreve "Viva. Segundo noticia a Recortes, o serviço MBnet foi lançado com problemas de segurança graves (a notícia está aqui). Primeiro, o servidor seguro tem as directorias abertas. Segundo, o certificado dito "seguro" é assinado pela Multicert, que não é uma CA reconhecida. Acabo de ver o ministro Mariano Gago a dizer na SIC que não comprava na net por ser insegura, mas que a partir de agora ia começar a fazer compras com o MBNet. Como é possível? Ninguém neste país verifica, com independência, o que afirmam uns tipos que investem 1 milhão de contos num site completamente inseguro?? "

nimda@microsoft.com | Linux invade Hollywood  >

 

gildot Login
Login:

Password:

Referências
  • Recortes
  • aqui
  • Mais acerca Portugal
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    NORMAL... (Pontos:0)
    por Anonimo Cobarde em 20-09-01 11:09 GMT (#1)
    é normal este género de situações acontecer....a historia do certificado digital...gastaram o milhão de contos em champanheWARE, T-clubWARE e ElefanteWARE, depois como haviam de ter dinheiro para pagar o certificado a uma Verisign, Thawte e CIA LDA... ??
    Olhe que nao.. olhe que nao.. (Pontos:1)
    por Anonymous Coward em 20-09-01 11:11 GMT (#2)
    (Utilizador Info) http://www.anonymous.com
    Parece-me que exageraram na noticia.
    Afinal de contas a directoria so' tinha ficheiros em html. O apache e' penultima versao.
    E afinal de contas o CA (Entidade que emite certificados) ate esta legal..
    Como alguem disse e bem .. "Dor de cotovelo?"

    Anonymous Coward
    Re:Olhe que nao.. olhe que nao.. (Pontos:3, Informativo)
    por [WaR] em 20-09-01 11:21 GMT (#4)
    (Utilizador Info)
    > E afinal de contas o CA (Entidade que emite certificados) ate esta legal.

    O facto de estar legal nao quer dizer que valha um chavo. Se não é reconhecida pelo browser (tal como expliquei no meu outro post) nao vale népias. Qualquer pessoa gera um certificado igual.Em pt basta ser reconhecida por um instituto cujo nome agora me falha, mas isso nao funciona na pratica, pois os *browsers nao a reconhecem*!

    -- [WaR]
    "making rumours true since 1994"
    Re:Olhe que nao.. olhe que nao.. (Pontos:1)
    por Anonymous Coward em 20-09-01 11:26 GMT (#5)
    (Utilizador Info) http://www.anonymous.com
    E vais culpar as entidades que emitem o Certificado ?
    Eu tenho certificados emitidos pela verisign e pela certisign e no entanto nao sao "reconhecidos" pelo browser. Pedindo para nos os instalarmos ou entao aparece a "caixinha" do certificado...
    E' uma questao de bom senso. E de aceitares ou nao um certificado de uma entidade regulamentada..

    Anonymous Coward
    Re:Olhe que nao.. olhe que nao.. (Pontos:2)
    por [WaR] em 20-09-01 11:32 GMT (#6)
    (Utilizador Info)
    Concordo com tudo. Até acho que de alguma forma as empresas que fazem os browsers deveriam ter uma forma de começarem a inserir CAs que não as Verisigns e afins no seu software. O problema é que por enquanto dá uma falsa sensação de segurança. Lembram-se dos velhos truques nos US e afins em que criavam um site em tudo igual ao original mas para sacar logins ? Se o certificado nao valida isto, de que serve ? Ou man-in-the-middle. Ou outra ideia qualquer...

    Concordo contigo na teoria, mas na prática não. Na prática as CAs portugas valem zero. Infelizmente.

    -- [WaR]
    "making rumours true since 1994"
    Re:Olhe que nao.. olhe que nao.. (Pontos:0, Interessante)
    por Anonimo Cobarde em 20-09-01 19:00 GMT (#61)
    Se questionar-mos o processo, nenhum vale nada.
    Parece-me ridículo por a questão nesses termos
    Re:Olhe que nao.. olhe que nao.. (Pontos:1)
    por New_Wave em 22-09-01 22:55 GMT (#108)
    (Utilizador Info) http://www.terravista.pt/BaiaGatas/4598/
    Na prática as CAs portugas valem zero. Infelizmente Com pessoas que estao mal informada como o Sr. infelizmente nao vamos longe. Ja teve entao certificado de todas as CA´s portugas e ja os testou para estar a falar com tanta certeza...
    New Wave "May The Peace Be Green"
    Re:Falta de informação atroz! (Pontos:1)
    por New_Wave em 25-09-01 19:07 GMT (#120)
    (Utilizador Info) http://www.terravista.pt/BaiaGatas/4598/
    "Na prática as CAs portugas valem zero" E uma citaçao de um sr deste site denominado WaR, minha falha novamente nao colcoar a devida pontuaçao.
    New Wave "May The Peace Be Green"
    Re:Olhe que nao.. olhe que nao.. (Pontos:2)
    por chbm em 20-09-01 12:45 GMT (#13)
    (Utilizador Info) http://chbm.nu/
    > O apache e' penultima versao.

    OpenSSl 0.9.4. Yummy.
    CA's e afins (Pontos:2)
    por [WaR] em 20-09-01 11:16 GMT (#3)
    (Utilizador Info)
    A realidade é que em PT as CAs nao valem nada. Existem para sacar dinheiro a lerdos. A partir do momento em que uma CA não é reconhecida pelo browser (o problema de quais o browser conhece, é outra discussao sobre lobbies de software ;)), o certificado nao certifica a autenticidade do site. Vale zero. Apenas nos garante que a informação vai encriptada, nao nos garante que o sitio para onde a estamos a enviar é de facto "O" sitio legitimo.
    Claro que as CAs em pt têm que sacar $$ ao ppl, e quem nao sabe vai no barrete :)

    Mas é de facto inadmissível vindo da SIBS.

    -- [WaR]

    "making rumours true since 1994"
    Re:CA's e afins (Pontos:1)
    por pjrmoreira em 20-09-01 11:41 GMT (#7)
    (Utilizador Info)
    Acho que estão por aqui algumas lacunas de criptografia. Uma CA não necessita de ser reconhecida por um Browser para ser válida. Caso não saibas, as autoridades de certificação podem ter uma estrutura hierárquica. Por exemplo, a CertiSign é uma sub-CA da VeriSign. Logo, qualquer certificado passado pela CertiSign é válido em qualquer lugar, pois implicitamente está certificado pela VeriSign. Os Browsers estão preparados para lidar com estas situações.
    Re:CA's e afins (Pontos:2)
    por [WaR] em 20-09-01 12:00 GMT (#9)
    (Utilizador Info)
    Eu falei na certisign ? Falei nas CAs em pt. Nenhuma delas está numa hierarquia reconhecida. Que eu saiba. E que os meus browsers saibam.

    Qual é a lacuna de criptografia ?

    -- [WaR]
    "making rumours true since 1994"
    Re:CA's e afins (Pontos:1)
    por New_Wave em 22-09-01 22:53 GMT (#107)
    (Utilizador Info) http://www.terravista.pt/BaiaGatas/4598/
    Eu falei na certisign ? Falei nas CAs em pt. Nenhuma delas está numa hierarquia reconhecida. Que eu saiba Entao esta mal informado... Informe se e depois comente melhor.
    New Wave "May The Peace Be Green"
    Re:CA's e afins (Pontos:2)
    por [WaR] em 24-09-01 0:16 GMT (#113)
    (Utilizador Info)
    Ok, já sei q a CertiSign é portuga, e na hierarquia da Verisign.
    O que é q isso tem a ver com o mbnet ? :) a MultiCert não é.

    -- [WaR]
    "making rumours true since 1994"
    Re:CA's e afins (Pontos:1)
    por New_Wave em 25-09-01 19:10 GMT (#122)
    (Utilizador Info) http://www.terravista.pt/BaiaGatas/4598/
    Pois, mas existe tb a Certipor no mercado. Antes de generalizar convem racionalizar, e devo dizer que a hierarquia de topo GTE Cybertrust da Certipor nao cometeu nenhuma argolada de Certificados Microsoft para as pessoas indevidas.
    New Wave "May The Peace Be Green"
    Re:CA's e afins (Pontos:2, Esclarecedor)
    por k em 20-09-01 14:53 GMT (#31)
    (Utilizador Info)
    A SIBS não deu $$ a nenhuma CA. A SIBS tem uma CA, a Multicert. Provavelmente não vale um chavo, ou vale tanto como as outras. O que é facto é que não transmite segurança e isso quando estamos a falar de dinheiro é o suficiente para ir 1 milhão de contos para o lixo...
    --
    k
    Re:CA's e afins (Pontos:1)
    por New_Wave em 22-09-01 22:50 GMT (#106)
    (Utilizador Info) http://www.terravista.pt/BaiaGatas/4598/
    A realidade é que em PT as CAs nao valem nada. Existem para sacar dinheiro a lerdos Hum, ou seja pelo seu prisma so as Ca´s estrangas tem valos? Hum nao sabia que as pessoas que garantem ter sites seguros se chamavam lerdos... AS Ca´s sao um serviço como tal tem de ser pago... Ja agora sabe quanto pode custar um certificado, deve pensar que e uma fortuna com certeza...
    New Wave "May The Peace Be Green"
    Re:Quem é o lerdo?? (Pontos:1)
    por New_Wave em 25-09-01 19:07 GMT (#121)
    (Utilizador Info) http://www.terravista.pt/BaiaGatas/4598/
    "A realidade é que em PT as CAs nao valem nada. Existem para sacar dinheiro a lerdos". Era uma citação de um Sr (WaR) deste site, minha falha nao assinalar devidamente.
    New Wave "May The Peace Be Green"
    Multicert e afins... (Pontos:3, Informativo)
    por asoares em 20-09-01 11:56 GMT (#8)
    (Utilizador Info)
    Mas porque razão a Multicert não é uma Entidade Certificadora Reconhecida? Porque o IE não tem a certificado na lista de Trusted Root CA's???

    Não me digam que custa muito chegar aqui e expressar a confiança na Multicert...

    Se o certificado da Verisign não viesse no browser significava isso que os milhares de sites certificados por esta nao valiam um chavo??? I don't think so...

    Para quem não sabe apenas existem três entidades certificadoras recohecidas em .pt:
    multicert
    certisign
    certipor

    Destas, apenas a multicert é entidade certificadora de topo (o que, para quem não, sabe significa que ela própia se certifica a si mesmo) sendo que a certisign é certificada pela verisign e a certipor é certificada pela Baltimore (se não estou em erro)...

    De resto aconselho a leitura do Decreto-Lei Nº 290-D/99 (DECRETO-LEI RELATIVO À ASSINATURA DIGITAL)...

    Mais uma vez, a nossa natureza leva-nos a falar mal sem sabermos muito bem o que dizemos...

    antonio soares

    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Re:Multicert e afins... (Pontos:2)
    por Dehumanizer em 20-09-01 12:04 GMT (#10)
    (Utilizador Info)
    Não é assim tão simples. A questão é que eu posso gerar um certificado e chamar-lhe "Verisign", mas os browsers não o vão reconhecer. Isso dá-nos alguma segurança.

    No caso da Multicert, os browsers nunca o vão reconhecer, anyway. Como é que eu posso saber que o site que me apresenta um certificado "Multicert" foi realmente certificado pela mesma?


    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3
    Re:Multicert e afins... (Pontos:1)
    por asoares em 20-09-01 13:19 GMT (#17)
    (Utilizador Info)
    Como é que eu posso saber que o site que me apresenta um certificado "Multicert" foi realmente certificado pela mesma?

    Simples. Antes de confiares num site certificado pela Multicert (ou qualquer outra CA de topo) fazes aquilo que se chama "exprimir de confiança em"...
    No caso da Multicert fazes isso aqui...

    Se o teu browser não tivesse incluido o certificado da Verisign o que fazias???

    Como alguém já disse faltam umas noções de Criptografia por aqui...

    antonio soares
    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Re:Multicert e afins... (Pontos:2)
    por Dehumanizer em 20-09-01 13:46 GMT (#21)
    (Utilizador Info)
    Eu sei como isso funciona *tecnicamente*. A questão é um utilizador normal. Chega a um site, aparece uma mensagem no browser a dizer que o certificado de segurança é inválido e que o site pode não ser quem dizem ser.

    Mesmo que o site tenha uma mensagem a dizer "vá a XXX para reconhecer este certificado", quem é que vai confiar? Menos de 1 em 10 visitantes, aposto...

    Afinal eu posso fazer um site o_meu_site.com, com um certificado, e dizer "vá a outro_site_que_tambem_e_meu.com para reconhecer o certificado"...

    Repara que eu não estou a dizer mal da Multicert ou dos seus certificados, mas o que é certo é que é (ou devia ser) impensável ter um site comercial com certificados não reconhecidos nos browsers.


    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3
    Re:Multicert e afins... (Pontos:1)
    por asoares em 20-09-01 13:58 GMT (#25)
    (Utilizador Info)
    "Afinal eu posso fazer um site o_meu_site.com, com um certificado, e dizer "vá a outro_site_que_tambem_e_meu.com para reconhecer o certificado"... "

    Pois podes. Mas também posso não confiar no teu outro_site_que_tambem_e_meu.com...

    Quem já instalou apache com ssl sabe que os certificados de teste que por lá vêm são emitidos pela/por snakeoil.com... Quem nunca, a navegar pela net, encontrou sites seguros com certificados da snakeoil.com?

    "Repara que eu não estou a dizer mal da Multicert ou dos seus certificados, mas o que é certo é que é (ou devia ser) impensável ter um site comercial com certificados não reconhecidos nos browsers."

    Então nesta situação tinhamos uma situação de quase monopólio por parte das companhias que fazem os browsers pois elas é que decidiam que Autoridades de Certificação faziam parte dos browsers...

    Agora pensemos numa situação imaginária. A M$ só criava uma M$ Certificate Authority e apenas o Certificado da M$CA era incluido na IE? Todos os outros podiam abrir falência porque "não vinham no browser"...

    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Não lhes dês ideias, não lhes dês ideias... (Pontos:1)
    por sab em 20-09-01 16:37 GMT (#47)
    (Utilizador Info)
    ...que ainda nos lixamos.

    Em relação ao resto acho que estão todos a falar do mesmo.

    Tecnicamente o asoares tem razão, mas psicologicamente o resto do pessoal também tem razão.

    Trabalhei em tempos num banco português (dos grandinhos) e mesmo com os administradores desse banco (que deviam ser pessoas minimamente informadas para decidirem o que fazer) essa história de aparecer uma janela a dizer que o browser (IE ou outro) não tem confiança no site não funcionava.

    O problema de perigo de monopólio é real, e acho que ainda não existe porque a M$ ainda não se lembrou disso (felizmente).

    Re:Multicert e afins... (Pontos:1)
    por Lowgitek em 20-09-01 18:50 GMT (#58)
    (Utilizador Info) http://www.ideiasdigitais.co.pt
    "Pois podes. Mas também posso não confiar no teu outro_site_que_tambem_e_meu.com... "

    Acho que não esta a entender bem aquilo que te querem dizer. Eu que ja ando na net a muito tempo a primeira impressão que tive com o site do mbnet foi ... o que?? que raio de certificado é este ??? E só depois e que ententi sibs /multicert /mbnet and so on... mas aqueles que so mexem nisso porque o filho disse que ate dava menos trabalho do que levantar o rabo gordo da cadeira para ir ao multibanco ou fazer compras e que para eeles o computador e aquele bicho com teclas ACHAS que esses vão perceber pevia ?? assim que virem a tal mensagem no browser querem eles la saberem as questões técnicas até porque quem é que me garante a 100% que não poderão hackar a tal pagina e poremum link para outro cert ? Quem ? Vais dizer a sibs okay a sibs ... e dai ?

    "Agora pensemos numa situação imaginária. A M$ só criava uma M$ Certificate Authority e apenas o Certificado da M$CA era incluido na IE? Todos os outros podiam abrir falência porque "não vinham no browser"...

    Amigo você tem toda razão mais a culpa disso não é do utilizador final vai te queixar a M$ e afins eles e que são culpados. O que sei é que tenho a mesma opinião de outro colega que aqui ja se expressou os certificados da multicert não valem um chavo se formos a ver bem. Eu vendo é para o povo e não para os peritos em segurança ou com pros graduados em matematica aplicada ou peritos de criptografia.
    Re:Multicert e afins... (Pontos:2)
    por [WaR] em 20-09-01 13:48 GMT (#23)
    (Utilizador Info)
    E como é que garantes que o aqui é mesmo o certificado certo ? :) Está assinado por quem ?
    Pior ainda, se esquecermos este pormenor de autenticidade do certificado root da multicert, quantas pessoas sabem como fazer isso ? E das que sabem, quantas o farão ? O Zé Povinho que quer usar o mbnet muito provavelmente nao pesca nada de certificados, cripto, etc, quer é aceder ao site, e vai aceder...enganado ou nao. É uma questão de defesa do consumidor. Voces estao a levar o problema para o lado "pq é q só a verisign é q é fiavel pelos browsers?", e isso é uma questão valida, mas o problema é que de facto as CAs portugas NAO SAO. _PONTO_.
    Enquanto nao o forem, os certificados valem tanto como o plastico do copo de agua que tenho aqui em frente... ou menos.
    Não é um problema de criptografia, é um problema de senso comum.

    -- [WaR]

    "making rumours true since 1994"
    Re:Multicert e afins... (Pontos:1)
    por pjrmoreira em 20-09-01 15:52 GMT (#41)
    (Utilizador Info)
    Provoca-me alguma confusão, os utilizadores de Linux, que como é universalmente reconhecido tem dificuldades de penetração no mercado porque apesar de melhor não apresenta as facilidades do Windows, virem para aqui dizer que a Criptografia não é acessível ao Zé Povinho. Realmente não é, mas existem formas de introduzir nos utilizadores determinados conceitos básicos que os ajudam a perceber melhor esta tecnologia.
    Re:Multicert e afins... (Pontos:1)
    por New_Wave em 22-09-01 22:43 GMT (#105)
    (Utilizador Info) http://www.terravista.pt/BaiaGatas/4598/
    Sim realmente faltam noçoes. Mas estou a ver que o Sr. esqueceu se do pormenor mais importante de todos. E que qualquer pessoa com o minimo de conhecimentos informaticos faz um certificado igual ao da Multicert. Maneira mais simples: Ter um Windows 2000 Server com a CA instalada, a partir dai e sempre a aviar. Ou seja, o sr esta dizer basicamente o seguinte: Porque nao confiam num BI feito em casa?
    New Wave "May The Peace Be Green"
    Re:Multicert e afins... (Pontos:3, Interessante)
    por chbm em 20-09-01 12:44 GMT (#12)
    (Utilizador Info) http://chbm.nu/
    > Não me digam que custa muito chegar aqui e expressar a confiança na Multicert...

    Em quantos sitios diferentes é que eu posso encontrar o cert da multicert para garantir que estou realmente a instalar o cert da multicert ?
    Além desse detalhe técnico, quem é que me garante que estes tipos são de confiança e não dão certificados de qualquer maneira (como os os outros que dão certificados "Microsoft"). Eu não os conheço, nunca ouvi falar deles, porque é que hei-de confiar neles ?

    "Confiança cega" só na teve.

    Re:Multicert e afins... (Pontos:1)
    por asoares em 20-09-01 13:46 GMT (#22)
    (Utilizador Info)
    "Em quantos sitios diferentes é que eu posso encontrar o cert da multicert para garantir que estou realmente a instalar o cert da multicert?"

    Simples. É só chegar aqui e ver quem temp certificados emitidos pela Multicert...

    "Além desse detalhe técnico, quem é que me garante que estes tipos são de confiança e não dão certificados de qualquer maneira (como os os outros que dão certificados "Microsoft")."

    Estás no teu direito de não confiar nos certificados emitidos por qualquer CA. Assim, como estás no teu direito de não confiar nos certificados emitidos pela Verisign (ou alguma das suas "sub-CA"'s)...

    "Eu não os conheço, nunca ouvi falar deles, porque é que hei-de confiar neles?"
    No meu mozilla (0.9.4) abri o form para ver que Certificates Authorities tem ele instalado por omissão:
    Pegando num por acaso: Xcert Root CA com validade entre 19:18:17 08/18/00 até 20:03:15 08/15/25

    Porque este certificado já está incluido na Base de dados dos browsers é de mais confiança que um certificado que não está?

    Cada uma confia naquilo que quer.

    antonio soares
    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Re:Multicert e afins... (Pontos:2)
    por chbm em 20-09-01 14:10 GMT (#27)
    (Utilizador Info) http://chbm.nu/
    > Simples. É só chegar aqui e ver quem temp certificados emitidos pela Multicert...

    Não. Eu perguntei onde está o certificado de topo *deles* o que eles usam para certificar os outros. Escrever "www.multicert.pt" no browser não garante que estou a instalar o certificado certo.

    Na realidade neste momento não confio em basicamente nenhum root CA porque a emissão de certificados agora é basicamente um negócio de xupismo e os CAs revelaram que fazem asneiras a verificar as identidades de quem pede os certificados.

    Ser ou não distribuido com os browsers é outro problema (vê o 1o paragrafo). Um conjunto de certificados que é distribuido com um conjunto de n browsers a partir de m sítios é bastante mais dificil de ser subvertido sem dar nas vistas que um certificado que é distribuido a partir de um único sitio. Exemplo mais prático, uma chave pgp/gpg com a fingerprint espalhada por tudo quanto é MLs and usenet versus uma chave que aparece do nada.
    Re:Multicert e afins... (Pontos:1)
    por asoares em 20-09-01 15:05 GMT (#33)
    (Utilizador Info)
    "> Escrever "www.multicert.pt" no browser não garante que estou a instalar o certificado certo."

    Pois não. Assim como ninguém te garante que o certificado da Verisign que tens na Base de Dados do IE é realmente o certificado da Verisign. As coisas são tão simples como estas.

    Tens a certeza que o IE que tens instalado foi copiado da Microsoft? Tens a certeza que o www.microsoft.com/ie era o site que pensavas que era?

    O nível de paranoia que podemos ter é uma questão pessoal e que eu não discuto... :-)

    Quanto ao certificado da Multicert, tens duas hipóteses:
    1) Importas o certificado da Multicert e verificas os fingerprint's (seja por telefone, seja por decreto de lei, seja pelo que quiseres) - e sim, é (computacionalmente) impossivel dois certificados terem o mesmo fingerprint;
    2) Não confias no certificado da Multicert (mas também não te vale de muito confiares no teu cartão multibanco, neste caso)...

    antonio soares
    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Re:Multicert e afins... (Pontos:2)
    por Dehumanizer em 20-09-01 15:24 GMT (#35)
    (Utilizador Info)
    1) Importas o certificado da Multicert e verificas os fingerprint's (seja por telefone, seja por decreto de lei, seja pelo que quiseres) - e sim, é (computacionalmente) impossivel dois certificados terem o mesmo fingerprint;

    Continuas a não perceber qual é o problema aqui. Não é uma questão técnica. É apenas isto: duvido que 1% dos utilizadores se dêem ao trabalho de fazer o que descreveste.


    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3

    Re:Multicert e afins... (Pontos:1)
    por asoares em 20-09-01 15:33 GMT (#37)
    (Utilizador Info)
    "duvido que 1% dos utilizadores se dêem ao trabalho de fazer o que descreveste."

    E onde está a culpa da Multicert nisso? Vai sair do negócio apenas porque a M$ não mete o certificado na Base de Dados do IE e o utilizador tem que "exprimir a sua confiança" (coisa que deveríamos fazer todos em relação a todos os certificados)...

    antonio soares
    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Re:Multicert e afins... (Pontos:2)
    por Dehumanizer em 20-09-01 15:42 GMT (#40)
    (Utilizador Info)
    E onde está a culpa da Multicert nisso?

    Ninguém disse que a culpa era da Multicert.

    Vai sair do negócio apenas porque a M$ não mete o certificado na Base de Dados do IE

    Primeiro, a M$ não é aqui chamada. Não uso browsers deles.

    O IE, Netscape, Mozilla, Opera, etc. têm os mesmos "root certificates", pelo que vêm de uma lista comum. A Multicert *devia* ou fazer por estar nessa lista, ou ter "por cima" uma CA que está nessa lista (o que a Certipor, por exemplo, faz).

    e o utilizador tem que "exprimir a sua confiança" (coisa que deveríamos fazer todos em relação a todos os certificados)...

    Estás a sugerir que os browsers não deviam ter uma lista de certificados, e que TODOS deviam pedir confirmação do utilizador?

    Ou eu não estou a ver bem o cenário, ou seria "acabou de chegar a www.whatyousay.com. O certificado foi assinado por www.randomCA.com para www.whatyousay.com. Confia nele?"

    Não sei porquê, mas...


    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3

    Re:Multicert e afins... (Pontos:1)
    por asoares em 20-09-01 15:57 GMT (#42)
    (Utilizador Info)
    Primeiro, a M$ não é aqui chamada. Não uso browsers deles.

    Realmente foi um exemplo mal dado...

    O IE, Netscape, Mozilla, Opera, etc. têm os mesmos "root certificates", pelo que vêm de uma lista comum.

    Isso é falso. No mozilla que falei ainda à pouco não faz parte o certificado Microsof Root Authority e, pelo menos no Windows 2000 que estou agora, lá está ele... :-)

    O que significa que, se estiver em Linux e aceder a um site seguro certificado por esta CA o erro que me aparece é exactamente o mesmo que aparece quando acedemos a um site certificado pela Multicert...
    Em Windows o site já é considerado seguro...

    Estás a sugerir que os browsers não deviam ter uma lista de certificados, e que TODOS deviam pedir confirmação do utilizador?

    Estou! Quem me garante a mim que a Microsoft não foi "hackada" e os certificados do seu browser substituidos (quem diz M$, diz AOL, Opera, Mozilla, insert_your_favorite_browser_here)...

    Agora também concordo contigo. Já é tempo da Multicert/SIBS fazerem alguma pressão para verem o seu certificado inlcuido nos browsers!
    Mas esta é a unica questão que se pode pôr...
    Tanto quanto me foi dado a perceber por esta história toda, não houve uma falhas de segurança neste processo todo (não, ter uma directoria publica acessivel do exterior não é uma falha de segurança).
    Infelizmente o Paulo Querido deu voz a quem, muito provavelmente, não a merecia...

    antonio soares
    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Re:Multicert e afins... (Pontos:1)
    por Lowgitek em 20-09-01 18:58 GMT (#60)
    (Utilizador Info) http://www.ideiasdigitais.co.pt
    A questão é mesmo essa grande parte da maioria dos consumidores que se ligam agora a net em portugal (visto esse certificado se orientar principalmente para o povo deste lado) não são aquilo que podemos dizer wooow essa mauta sabe o que é um certificado e sabe que aquela msg aparece porque os Monopolistas ainda não lembraram ou a empresa certificadora ainda não quis largar uns tustos para acrescentarem ela a lista so sabem e que o browser diz que não confia (seja la o que isso for e para que for) e se ele diz que é perigoso então o melhor mesmo e não usar porque afinal tudo que ando ouvir na tv apavora-me e é desta que não compro mesmo na net .... enfim é para essa gente que ainda se vende e não para o doutor ou o especialista ou mesmo para aqueles que tem a noção do que é um certificado. Alias instalar um certificado ?? O que é isso eu nem sei usar uma disquete... ou ainda, instalar?? sacar da net uma coisa que não sei o que é ainda me da cabo disso tudo... é o que algubs dirão, grande maioria dos zé povinho)
    Re:Multicert e afins... (Pontos:2)
    por chbm em 20-09-01 18:50 GMT (#59)
    (Utilizador Info) http://chbm.nu/
    > Pois não. Assim como ninguém te garante que o certificado da Verisign que tens na Base de Dados do IE é realmente o certificado da Verisign. As coisas são tão simples como estas.

    Tenho uma Base de Dados do IE ?

    > Tens a certeza que o IE que tens instalado foi copiado da Microsoft? Tens a certeza que o www.microsoft.com/ie era o site que pensavas que era?

    Tenho. Na realidade tenho a certeza que não tenho nenhum IE instalado. Tu lá sabes o que tu tens instalado ...
    Vou explicar de novo. Se existem n canais de distribuição e 1 canal é comprometido a diferença entre esse 1 e os n-1 nota-se. Se existe 1 canal de distribuição ... faz as contas.

    > 1) Importas o certificado da Multicert e verificas os fingerprint's (seja por telefone, seja por decreto de lei, seja pelo que quiseres) - e sim, é (computacionalmente) impossivel dois certificados terem o mesmo fingerprint;

    Obrigado por regugitares o meu exemplo dos fingerprints de chaves gpg. Queres então dizer que se procurar no Diário da Républica encontro os hashes dos certificados de cada um dos CAs de topo portugueses ?


    Re:Multicert e afins... (Pontos:1)
    por Lowgitek em 20-09-01 19:00 GMT (#62)
    (Utilizador Info) http://www.ideiasdigitais.co.pt
    Deve ser interessante essa teoria...

    "> 1) Importas o certificado da Multicert e verificas os fingerprint's (seja por telefone, seja por decreto de lei, seja pelo que quiseres) - e sim, é (computacionalmente) impossivel dois certificados terem o mesmo fingerprint;"

    Tou mesmo a ver sair da minha cadeira ir a biblioteca e procurar nas dezenas de Diários (como o nome diz Diários) onde esta a chave da Multicert (e claro na altura aproveito para tirar férias..)
    Re:Multicert e afins... (Pontos:1)
    por asoares em 20-09-01 21:22 GMT (#73)
    (Utilizador Info)
    "Tenho. Na realidade tenho a certeza que não tenho nenhum IE instalado. Tu lá sabes o que tu tens instalado ... "

    :-) Nenhum de nós dois é assim tão burro e ambos sabemos que a mesma teoria se aplica ao Netscape (seja ele o 4.7x ou o 6.x), ao Opera e ao Mozilla (os outros não conheço)...

    Se existem n canais de distribuição e 1 canal é comprometido a diferença entre esse 1 e os n-1 nota-se.

    Nota-se, apenas e só se confrontarmos o certificado comprometido contra o um certificado legitimo.

    "Queres então dizer que se procurar no Diário da Républica encontro os hashes dos certificados de cada um dos CAs de topo portugueses? "

    Não sei se os fingerprints são publicados em DR ou não. O que sei é que deveria (é?) ser possivel confrontar os mesmos contra um suporte que oferecesse (ainda mais) garantias.

    antonio soares
    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Re:Multicert e afins... (Pontos:2)
    por leitao em 20-09-01 13:19 GMT (#16)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/

        Isso nao e' bem assim. Um entidade certificadora alem de se certificar a ela propria, tem que apresentar os requisitos de seguranca minimos para evitar comprometer os certificados.

        Onde e' a sala selada onde os certificados sao armazenados digitalmente ? Qual a seguranca do edificio, sala, acesso fisico, etc. ?

        Se esta seguranca for de acordo com a da Verisign ou qualquer outro CA de raiz -- muito bem, se nao entao ate' eu vou la' e gamo as chavezinhas todas.

        Regards,

    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias
    Re:Multicert e afins... (Pontos:1)
    por asoares em 20-09-01 13:26 GMT (#18)
    (Utilizador Info)
    Um entidade certificadora alem de se certificar a ela propria, tem que apresentar os requisitos de seguranca minimos para evitar comprometer os certificados.

    E onde é que se diz que isso não é conseguido?

    Onde e' a sala selada onde os certificados sao armazenados digitalmente ? Qual a seguranca do edificio, sala, acesso fisico, etc. ?

    Ok...
    Ponto 1: Eu não trabalho para a Multicert...
    POnto 2: Ninguém na Multicert me pediu para a defender...
    Ponto 3: Tanto quanto sei a Multicert está situada no Edificio da Bolsa de Valores de Lisboa
    Ponto 4: Se esse não é um dos sitios mais bem guardados do País então mal vai a nossa economia... :-)

    Se esta seguranca for de acordo com a da Verisign ou qualquer outro CA de raiz -- muito bem, se nao entao ate' eu vou la' e gamo as chavezinhas todas.

    Claro que, sendo a Multicert uma Root CA, a segurança tem que estar garantida...

    E o que está em causa não é a falta de segurança do certificado da Multicert mas a falta de segurança do site do MBnet...

    antonio soares
    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Re:Multicert e afins... (Pontos:2)
    por mvalente em 20-09-01 18:20 GMT (#52)
    (Utilizador Info) http://www.ruido-visual.pt/
    Ponto 3: Tanto quanto sei a Multicert está situada no Edificio da Bolsa de Valores de Lisboa Ponto 4: Se esse não é um dos sitios mais bem guardados do País então mal vai a nossa economia... :-)

    Uma das minhas empresas tem escritorios no edifico BVL. Garanto-te que NÃO É um dos sitios mais bem guardados do pais.

    Em contrapartida o edificio da SIBS em Alvalade na Rio de Janeiro está razoavelmente seguro.

    Cumprimentos

    Mario Valente

    Re:Multicert e afins... (Pontos:1)
    por Lowgitek em 20-09-01 19:05 GMT (#64)
    (Utilizador Info) http://www.ideiasdigitais.co.pt
    Bem guardado ? Acho que isso hoje em dia é bastante dificil a única coisa bem guardada era o Osama Bin Laden ou la como é o nome do gajo e mesmo esse acho que já não estará assim tão seguro :))

    Em relação ao Rio de Janeiro acredito bastante bem que este esteja mais bem guardado do que o de lisboa ehehe ;)
    Re:Multicert e afins... (Pontos:1)
    por kaser em 21-09-01 9:30 GMT (#86)
    (Utilizador Info) http://kaser.nsk.yi.org
    stupidity.. is what that post has
    Falta de segurança (Pontos:1)
    por kaser em 20-09-01 14:45 GMT (#30)
    (Utilizador Info) http://kaser.nsk.yi.org

    Que falta de segurança.. deviam estar em cartoes perfurados cifrados!! digam la' que nao e' uma boa ideia!! :)) weee
    Re:Multicert e afins... (Pontos:1)
    por asoares em 20-09-01 13:33 GMT (#19)
    (Utilizador Info)
    "...o meu browser diz-me que o certificado não é válido"

    O browser não diz que o certificado não é válido. No máximo diz que não conhece a entidade emissora do certificado o que, convenhamos, é bem diferente.

    "...e não possuem um certificado que o meu browser conheça"

    A questão está posta ao contrário...
    Porque é que os browsers conhecem os certificados da Verisign, é o que todos devemos perguntar!
    A resposta é simples: porque a M$, a AOL e todos os outros "contrutores de browsers" já trazem o certificado da Verisign (e muitos outros Root CA) incluido... As simple as that...

    E o certificado é uma "coisa" publica. Mesmo um certificado de uma Root CA...

    antonio soares
    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Browsers????? what's this? (Pontos:1)
    por kaser em 20-09-01 14:13 GMT (#28)
    (Utilizador Info) http://kaser.nsk.yi.org

    Peço desculpa, mas quem é o browser?.. alguma entidade em que eu possa acreditar? É que falam nos browsers como se fosse alguma coisa que nos da a certeza de alguma coisa!! Não dá... o problema é esse.. as CA's que estao nos browsers sao aquelas que os criadores dos mesmos acreditam.. (o problema e' que quem acredita neles?) o problema aqui e' em quem acreditar.. e a Sibs/Multicert criou uma CA de Root que pelos vistos dá credibilidade... ( se não vos da´... facam uma coisa.. comecem por cortar os vossos cartoes multibanco).
    A minha ideia aqui era explicar que, o que o vosso browser vos informa todos os dias, pode não ser em quem voces acreditam (a não ser que controlem as CA's de root em quem voces acreditam, o problema .. e' que só 0,000000001%(não existem estudos, apenas uma ideia minha, sim... eu sei que mostra que muita gente o faz) das pessoas fazem).

    Só uma ideia.. e se uma das CA's de root que estao na lista do vosso IE forem violadas.. sabem quanto tempo voces vao acreditar nelas?....

    Hugs, Tarrinho
    Re:Browsers????? what's this? (Pontos:1)
    por Lowgitek em 20-09-01 19:10 GMT (#66)
    (Utilizador Info) http://www.ideiasdigitais.co.pt
    Ora ai está o problema disso tudo é da propria entidade certificadora que se fizesse por isso evitava isso tudo. É obvio que apenas imagino que os mesmo estajam a pensar nisso por enquanto ninguem foi informado convinientemente dessa mesma intenção apenas na situação mais facil termos que ser nós a acreditar. Ainda por cima o metodo apresentado é um pouco tendencioso visto não ter em conta que nem toda gente usa Netscape ou Internet Explorer.
    Upgrades precisam-se (Pontos:0, Lança-chamas)
    por NT em 20-09-01 13:10 GMT (#15)
    (Utilizador Info) http://pt-scripters.PTlink.net
    www.mbnet.pt - Apache/1.3.11 (Unix) - mod_ssl/2.5.0 - OpenSSL/0.9.4 - Linux
    Apache 1.3.11 ? Não entendi esta !
    Já para não falar no resto...
    Devem estar a brincar, ainda não é a versão final, não pode ser :)
    Re:Upgrades precisam-se (Pontos:2)
    por NT em 20-09-01 15:35 GMT (#39)
    (Utilizador Info) http://pt-scripters.PTlink.net
    Lança-chamas eu ?
    Claro que ao dizer 'Já para não falar no resto... ' estava a falar das versões e não do OS.
    Peace :)
    Re:Upgrades precisam-se (Pontos:2)
    por Cyclops em 24-09-01 0:14 GMT (#112)
    (Utilizador Info)
    old != insecure

    Sabes ha quantos anos o Apache nao tem um problema de escalada de previlegios remota?

    E quanto aos outros modulos, nao e pela sua existencia que teem problemas, mas pela utilizacao de determinadas features deles. Como sabes se sao ou nao usadas?

    Ha cada lerdo.
    quem quer certificados verisign? (vende-se) (Pontos:1)
    por biduxe em 20-09-01 15:34 GMT (#38)
    (Utilizador Info)
    Pelo que aparece pela conversa os certificados da verisign é que são bons, porque já vêem no browser, e os da multicert são maus porque é preciso dizer que se aceitam.

    Realmente felicitemos todos os certificados da verisign que sem nos perguntarem nada são considerados válidos (e eu pensava que open source significava "eu sei e decido o que o meu computador faz)

    Lembro para quem tem a memória curta que a verisign andou a distribuir certificados a quem não devia e podem estar a aceitar certificados utilizados por terceiros.
    Que eu saiba a multicert aíndfa não fez uma asneira dessas.

    ------ EOFim.
    Vou ser mauzinho (Pontos:1)
    por sab em 20-09-01 16:42 GMT (#48)
    (Utilizador Info)
    Quantos certificados é que a verisign já distribuiu?

    Quantos certificados é que a multicert já distribuiu?


    PKI (Pontos:1)
    por kaser em 20-09-01 16:48 GMT (#49)
    (Utilizador Info) http://kaser.nsk.yi.org
    Viva,

    Para aquelas pessoas que mandam bocas e nao sabem o que dizem .. aconselho esta pagina -> Info Site. E já agora para aqueles que pensam que sabem... (Andei á procura de uma sobre RA's e CA's, mas ainda nao encontrei).

    Hugs,
    Tarrinho
    Não é root, mas é tão seguro como os outros... (Pontos:1)
    por Airegin em 20-09-01 19:04 GMT (#63)
    (Utilizador Info)

    Para quem anda aí a dizer que não é seguro e que qualquer um pode forjar um certificado: a Multicert tem tudo para ser tão segura e reconhecida como as outras. Basta ir a http://www.multicert.com/ para fazer o download e instalação do certificado, o qual é certificado pela Verisign. É tão seguro como qualquer outra coisa certificada pela Verisign. Acho que não é difícil perceber que o certificado Verisign é um Root Certificate e que o Mulicert não o é, mas o primeiro certifica que o que estamos a instalar (o Multicert) é autêntico.

    Não quer isto dizer que os certificados Multicert não possam cair em mãos erradas (algo que já aconteceu com os Verisign), isso já depende dos critérios e da seriedade com que os certificados são atribuídos. Mas não creio que seja menos seguro que as outras entidades certificadoras.


    Airegin
    Certificados da MULTICERT são made in Portugal (Pontos:1, Interessante)
    por Anonimo Cobarde em 20-09-01 20:01 GMT (#67)
    É verdade. Esta pode ser a noticia mais bem escondida e que esta discussão ajudou a clarificar: a SIBS (empresa que gere o serviço MULTIBANCO, para os mais desatentos) emite certificados sob a marca MULTICERT.
    Afinal a MULTICERT não é uma entidade certificadora estrangeira e resolveu emitir certificados, mesmo sem que a sua chave de Autoridade de Certificação de Root esteja nos browsers. Pelo que aqui foi descrito, cometeu um pecado muito grave e deveria ter pedido à Verisign que lho emitisse, de modo a ser uma empresa bem comportada e garantir que os Portugas não se metem nestas coisas muito complicadas de tecnologia de ponta.

    Claro que sendo uma empresa Portuguesa, temos que concordar que não têm tecnologia suficiente nem são capazes de emitir certificados decentemente.
    Senão onde é que isto irá parar ? Qualquer dia os Portugas até se acreditam que as Universidades formam bons técnicos e que têm capacidade para pensarem pela própria cabeça e a desenvolverem tecnologia de ponta própria, sem a terem que comprar aos estrangeiros. Depois ainda vão pensar que são capazes de também desenvolver projectos/produtos autónomos de pagamentos, e deixam de necessitar de os comprar aos Americas. E claro que não queremos isso, porque senão os consultores das empresas das Americas passam a ter menos trabalho e não conseguem ganhar milhões nesses projectos ...
    Se formos a ver bem, o prejuízo que o MULTIBANCO tem dados às empresas de consultoria americana não se pode voltar a repetir !!! Como é que um país de Portugas pode ter publicidade nos MULTIBANCOS e outras novidades (pagamento de serviços, compra de bilhetes de espectáculos e CP, pagamentos ao Estado) que lá fora estão a despertar cobiça e que fazem a fortuna das empresas de consultoria ???


    Portugueses, peço-vos a todos que nos deixemos de nacionalismos parolos e não voltemos a utilizar nem o MULTIBANCO nem a MULTICERT, já que são produtos nacionais. Temos é que pugnar por que haja uma entidade em que os Americas confiam que nos venha cá ensinar e vender todos os serviços que necessitarmos.
    Portugueses, unamo-nos de vez contra todas estas empresas que teimam em querer trabalhar em Portugal. São elas a nossa ruína.
    Portugueses, Portugal é um país de lazer, diversão, corrupção, laxismo, mas NUNCA de tecnologia.


    Viva PORTUGAL e os PORTUGUESES.


    Sempre ao dispor, jepm

    Re:Certificados da MULTICERT são made in Portugal (Pontos:1)
    por drdude em 20-09-01 20:10 GMT (#69)
    (Utilizador Info)
    eu já queimei o meu multibanco... e a via verde tb. sacana dos tugas... a tentarem passar por inteligentes!!!
    Re:Certificados da MULTICERT são made in Portugal (Pontos:0, Interessante)
    por Anonimo Cobarde em 20-09-01 20:37 GMT (#71)
    Folgo em ver que um dos responsáveis de renome (pelo menos a nível nacional) até se digna a vir discutir o ovo e a galinha com a plebe.

    Em relação ao problema dos certificados MultiCert, porque não admitem que, tal como manda o senso comum, qualquer Zé Povinho que vir a mensagem de aviso "relativamente estranha" ao processo habitual e automático fique de pé atrás, e/ou cancele a conversação com o site em questão?

      SIM, é perfeitamente louvável que existam CA's em Portugal e noutros recantos do mundo; mas pelo menos, enquanto as coisas não forem claras como água e principalmente simples para o utilizador comum, (que é afinal o principal utilizador das transacções seguras) podem coexistir dúvidas que ponham em causa o bom nome dos responsáveis de um qualquer site de comércio electrónico. ISTO É QUE NÃO PODE ACONTECER!

      Tenho toda a certeza de que, como entidade certificadora que pretendem ser na prática (e não só no negócio), terão toda a vontade de esclarecer e clarificar totalmente as dúvidas que existem/existirão sempre que um utilizador veja "uma mensagem de erro/aviso".

    Um ponto importante: Não atirem areia para os olhos da comunidade técnica. Não vai resolver a questão, nem vos vai trazer mais publicidade :D
    Re:Certificados da MULTICERT são made in Portugal (Pontos:1)
    por theGuardian em 20-09-01 21:50 GMT (#75)
    (Utilizador Info)
    Possivelmente a CA da MULTICERT esta em Portugal, "um cantinho a beira mar plantado", fora do alcance de Boeing's e outros Objectos Voadores Pseudo Identificados!

    Agora a serio...

    Em Portugal existem bons tecnicos, capazes de desenvolver coisas nunca dantes vistas, cobicadas por muitos. Senão vejam quantos Portugueses de sucesso existem pelo mundo fora. Pelo certificado do Servidor MBNet ser emitido por uma autoridade de certificacao nacional nao e razao para ser apontado como uma solucao insegura, antes pelo contrario. Sendo a MULTICERT uma autoridade de certificacao nacional rege-se (ou dever-se-a reger) pela legislacao nacional e europeia relativa a certificacao e assinatura digital, estando assim os cidadaos mais protegidos ao abrigo do regime juridico portugues. Quem e que me diz que os certificados da Verisign tem validade legal em Portugal?? Tambem e certo que a entidade do Governo responsavel por efectuar este trabalho - ITIJ - ainda nao esta funcional (pelas informacoes que tenho!), mas penso que uma empresa como a SIBS nao iria criar uma entidade de certificacao por mera diversao, que no futuro nao pudesse ser credenciada por tal entidade.

    Parabens Portugal...

    Provalvelmente... os melhores do Mundo!

    theGuardian

    "But I shall muddle up all God’s cards - I shall confound God!"
    Yevgeny Yevtushenko - I Would Like (1972)

    Re:Certificados da MULTICERT são made in Portugal (Pontos:2, Interessante)
    por pmsac em 20-09-01 22:49 GMT (#80)
    (Utilizador Info) http://2130706433/
    Caro José Miranda,

    Parece que o fulcro da questão lhe continua a passar ao lado... e ao de muito boa gente também. E não é com essas expressões inflamadas que as coisas se esclarecem, concerteza... acho que ninguém põe em causa as maravilhas do desenvolvimento nacional, como o Multibanco, a Via Verde (ainda não referida), e alguns outros desenvolvimentos tecnológicos menos conhecidos, na área das telecomunicações (daqui vão os parabéns para o CET); sobre o PoSat, é que já me abstenho de comentar.

    Deixe-me começar por lhe dizer que achei a notícia inicial um pouco exagerada, nomeadamente o ponto de ser visualizada uma directoria do site... até achei, como muitos, algo sensacionalista. Não deixa, no entanto, e depois de se verem as quantias referidas como tendo sido investidas (1 milhão de contos, o tal número mágico da moda segundo o Mário Valente), de ser como ver um Ferrari com um risco na porta. Mas OK... continua a ser um belo carro...

    Outro ponto tem a ver com os usernames previsíveis, o DoS a contas que se faz em 5 minutos com um vulgar browser... já não é só um risco... é um risco à vista, e parece que se esqueceram dos estofos em cabedal. As mensagens de erro diferenciadas, permitindo facilmente diferenciar usernames válidos, são erros _básicos_, coisa de "meninos". Principalmente num projecto gerido por "peritos de segurança"... facilmente se questiona, por este exemplo senão pelo anterior, a competência dos referidos peritos - como a mulher séria, não basta sê-lo, tem que parecê-lo; ainda por cima quando se pretende vender não só um serviço mas uma imagem de grupo, num sector como o da banca.

    Finalmente, o ponto que mais discussão gerou, e quanto a mim o mais polémico, realmente: o certificado. Se realmente, _na teoria_, vale tanto como um certificado Verisign, na prática não é bem assim (e aqui temos a polémica, a subjectividade, e novamente o ponto da imagem que se pretende passar). Sendo verdade que é possível registar no browser a entidade certificadora Multicert, não podemos deixar de nos perguntar se a situação de tal não acontecer 'a priori' não poderá facilitar as situações de menor segurança. Se na teoria é verdade que um "hack" ao software de browsing permitiria "spoofar" certificados reconhecidos como válidos, qual é afinal a situação de maior probabilidade e facilidade ? Modificar a instalação de um único browser de cliente, ou criar um site fantasma, que permitira obter proveitos de um conjunto de clientes, com uma mensagem de certificação em nada diferente do site da Multicert ? Penso que é esta a pergunta que há a fazer, e a resposta parece-me óbvia...

    -- pmsac.oO(Cogito sumere potum alterum)
    Re:Certificados da MULTICERT são made in Portugal (Pontos:0, Esclarecedor)
    por Anonimo Cobarde em 21-09-01 7:59 GMT (#84)
    Taran!
    Este anónimo cobarde aqui já é
    certificado pela Multicert!

    Para ser uma self-signed CA basta ires
    a www.openssl.org, navegares uns cinco
    minutos pela documentação,
    fazer um 'man CA.pl', e toca a gerar
    certificados assinados com nomes falsos,
    iguais aos das entidades reais, tendo apenas
    as fingerprints diferentes.

    Como o chbm disse e bem,
    é muito diferente ter as fingerprints em tudo o que é PKI, mailing list e arquivo na net, do que ter num servidor via HTTP:// ou pior ainda,
    via https:// assinado pelo próprio certificado que vais buscar...

    Certificate:
            Data:
                    Version: 3 (0x2)
                    Serial Number: 1 (0x1)
                    Signature Algorithm: md5WithRSAEncryption
                    Issuer: C=PT, O=PILOTO MULTIcert
                    Validity
                            Not Before: Sep 20 15:22:27 2001 GMT
                            Not After : Sep 20 15:22:27 2002 GMT
                    Subject: C=PT, O=PILOTO MULTIcert, OU=SIBS - Sociedade Interbancaria de Servicos SA, CN=www.mbnet.pt
                    Subject Public Key Info:
                            Public Key Algorithm: rsaEncryption
                            RSA Public Key: (1024 bit)
                                    Modulus (1024 bit):
                                            00:bb:9e:64:04:62:0f:c2:b2:84:09:72:cf:a2:bb:
                                            13:9c:5b:3e:83:d0:26:21:80:3c:85:07:52:d9:46:
                                            14:84:38:ab:99:90:1b:29:4c:07:af:68:a6:8c:8d:
                                            ef:fa:24:f8:df:3d:2c:fc:82:fd:09:c3:88:e8:01:
                                            4e:4d:b0:b2:14:fa:29:c4:42:c0:60:8f:3b:8f:14:
                                            03:47:4b:38:0b:52:18:74:c8:fa:cd:b7:75:58:ff:
                                            12:41:43:4c:ba:62:0a:b7:b3:ed:32:30:14:2f:37:
                                            ff:01:dc:78:6f:a0:9c:25:9e:dc:59:41:a9:21:af:
                                            a6:6e:0f:80:40:d5:0a:47:a9
                                    Exponent: 65537 (0x10001)
                    X509v3 extensions:
                            X509v3 Basic Constraints:
                                    CA:FALSE
                            Netscape Comment:
                                    OpenSSL Generated Certificate
                            X509v3 Subject Key Identifier:
                                    32:B8:E4:91:55:16:E2:52:DD:D6:00:17:1C:A2:FE:15:3B:48:80:54
                            X509v3 Authority Key Identifier:
                                    keyid:B3:DC:B0:25:10:5A:BD:6E:C5:87:BB:EE:2C:FF:EF:B9:73:09:97:2E
                                    DirName:/C=PT/O=PILOTO MULTIcert
                                    serial:00
     
            Signature Algorithm: md5WithRSAEncryption
                    b0:e6:94:3f:8f:66:53:ab:15:71:29:0c:57:9c:ec:03:40:5e:
                    34:57:fd:e4:e4:71:05:60:07:ae:e7:a9:a8:29:e9:e0:cc:f2:
                    5b:50:f3:12:f2:9d:35:55:65:24:9a:06:63:ee:9e:04:42:9a:
                    26:69:6f:98:14:90:95:20:c0:d3:c0:e2:e2:68:c1:75:6c:33:
                    d6:4f:ae:cf:b1:5f:cb:9c:de:2f:3f:7e:09:b5:3e:5f:36:3f:
                    43:e6:b9:2d:ac:84:2d:b0:49:0a:c7:2e:56:d5:d8:e7:7b:99:
                    7c:e2:3d:d8:26:66:b8:11:78:53:b2:d9:52:e6:f0:9e:53:f2:
                    1d:9c
    -----BEGIN CERTIFICATE-----
    MIICwzCCAiygAwIBAgIBATANBgkqhkiG9w0BAQQFADAoMQswCQYDVQQGEwJQVDEZ
    MBcGA1UEChMQUElMT1RPIE1VTFRJY2VydDAeFw0wMTA5MjAxNTIyMjdaFw0wMjA5
    MjAxNTIyMjdaMHcxCzAJBgNVBAYTAlBUMRkwFwYDVQQKExBQSUxPVE8gTVVMVElj
    ZXJ0MTYwNAYDVQQLEy1TSUJTIC0gU29jaWVkYWRlIEludGVyYmFuY2FyaWEgZGUg
    U2Vydmljb3MgU0ExFTATBgNVBAMTDHd3dy5tYm5ldC5wdDCBnzANBgkqhkiG9w0B
    AQEFAAOBjQAwgYkCgYEAu55kBGIPwrKECXLPorsTnFs+g9AmIYA8hQdS2UYUhDir
    mZAbKUwHr2imjI3v+iT43z0s/IL9CcOI6AFOTbCyFPopxELAYI87jxQDR0s4C1IY
    dMj6zbd1WP8SQUNMumIKt7PtMjAULzf/Adx4b6CcJZ7cWUGpIa+mbg+AQNUKR6kC
    AwEAAaOBrTCBqjAJBgNVHRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdl
    bmVyYXRlZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQUMrjkkVUW4lLd1gAXHKL+FTtI
    gFQwUAYDVR0jBEkwR4AUs9ywJRBavW7Fh7vuLP/vuXMJly6hLKQqMCgxCzAJBgNV
    BAYTAlBUMRkwFwYDVQQKExBQSUxPVE8gTVVMVEljZXJ0ggEAMA0GCSqGSIb3DQEB
    BAUAA4GBALDmlD+PZlOrFXEpDFec7ANAXjRX/eTkcQVgB67nqagp6eDM8ltQ8xLy
    nTVVZSSaBmPungRCmiZpb5gUkJUgwNPA4uJowXVsM9ZPrs+xX8uc3i8/fgm1Pl82
    P0PmuS2shC2wSQrHLlbV2Od7mXziPdgmZrgReFOy2VLm8J5T8h2c
    -----END CERTIFICATE-----
    PKI e os InfoUtilizadores (Pontos:1)
    por theGuardian em 21-09-01 9:52 GMT (#87)
    (Utilizador Info)
    Certificados, assinatura digital, PKI ... etc, etc!

    Os utilizadores comuns podem nao estar instruidos dos conceitos, mas se querem usar devem informar-se. É como o Linux... maior parte dos utilizadores comuns nao usam, mas os que querem um sistema operativo minimamente seguro aprendem e usam !!! Mas so quando sabem e que realmente devem usar!! Senao depois queixam-se:"A minha maquina tem uns problemas, desapareceram uns ficheiros... acho que fui atacado... isto é uma M.... " E como tudo na vida... se nao sabem nao mexem!!!

    E mais...

    Quando comecam a ecludir noticias sobre projectos como o ECHELON (www.echelonwatch.org) as pessoas comecam a ficar preocupadas sobre a sua privacidade, a informacao que passa na rede...
    SOLUCAO:
    PKI: criptografia de chave publica, assinatura digital, encriptacao de ficheiros ...

    Os riscos sao conhecidos ... melhor... os riscos do PKI sao o desconhecimento dos utilizadores do conceito! Quando se fala de ataques ao SSL com "man in the middle" isto é impossivel se os utilizadores souberem o que estao a fazer !!! Com PKI ninguem se pode fazer passar por ninguem !!! Logicamente que existem regras... e para que tudo funcione tem que ser cumpridas !!!
    Na infraestrutura PKI a Terceira Parte de Confianca tem o seu papel ! Uma entidade de registo, como alguem ja referiu, algo parecido com um notario (bem os notarios sao mais as RA's, as CA's poder-se-ao comparar mais ao sistema por detras dos notarios, onde estao registados todos os utilizadores, e por quem sao emitidos os documentos de identificacao individual) que identifica univocamente cada um na sua hierarquia! Cada certificado é unico, assinado com uma chave privada certificada unica, de um issuer(CA) unico!

    Se quiserem usar as coisas sem saber o que estao a fazer usem... mas os riscos sao de quem usa as coisas nestas condicoes !!!
    Quem quiser saber mais... instrua-se! Existem resmas, oases, gingabytes de tutoriais de PKI na rede!

    theGuardian

    A noção de certificado (Pontos:1)
    por jmv em 21-09-01 10:00 GMT (#88)
    (Utilizador Info)
    Nesta interessante discussão tem aparecido alguns conceitos de certificado (e sua relação com as autoridades de certificação nacionais e internacionais) que, se me permitem, convém esclarecer.

    Genericamente certificado é um documento (electrónico ou não) que desempenha o papel de prova para uma determinada propriedade de um determinado agente. O valor probatório do certificado (isto é, a sua capacidade de constituir prova legal) provém de dois factores:
    * a sua autoridade: isto é, do facto de o certificado ser produzido e emitido por um agente ou entidade a que a comunidade em geral atribui um nível elevado de confiança, e o facto de essa entidade assegurar que a informação do certificado é fidedigna,
    * a sua autenticidade: isto é, a certeza de que o certificado não foi fraudulentamente modificado (é íntegro) e a certeza que foi realmente emitido pela autoridade apropriada (é titulado).

    No contexto comercial, operacionalmente o negócio da certificação tem analogias com o negócio dos seguros: é essencialmente um processo de partilha de riscos entre o agente que tem acesso ao certificado e, pelas garantias da sua fiabilidade e pela capacidade em responsabilizar a autoridade de certificação em caso de falha, diminui o risco próprio. A partilha de risco é assumida pela autoridade de certificação que se cobra por esse facto.

    Dada esta analogia é natural que o mesmo tipo de preocupação no controlo dos riscos próprios se aplique no sector da certificação como no sector dos seguros; daí a preocupação com as garantias de segurança no processo de emissão de certificados e com as garantias de fiabilidade no conteúdo desses certificados.

    Na identificação do certificado está definida a relação contratual que a autoridade de certificação estabelece quando o emite (o "certificate policy"); de certa forma o tipo do certificado e os seus limites de funcionalidade estabelecem o nível de risco que a autoridade se propõe assumir.

    Isto é importante quando se analisam os certificados de raiz pré-distribuídos com os "browsers"; de facto, se se analisar com atenção, verifica-se que as entidades respectivas não assumem qualquer relação contratual. De facto são "certificados de brinquedo" para serem apenas testados com os browsers e não para serem usados numa relação contratual; os "certificados" aqui são tokens para se experimentar a tecnologia e não são realmente certificados no sentido legal do termo.

    A legislação portuguesa (DL.290A-99) insiste na dicotomia "valor probatório" versus "responsabilidade contratual" e, para isso, impõe várias condições (de ordem financeira, inclusive) à actividade das autoridades de certificação.

    Para se usar, a sério, um certificado digital é preciso estabelecer claramente uma relação contratual com a autoridade de certificação. A assunção dessa relação por parte do utilizador materializa-se, entre outras coisas, pela importação do certificado de raiz da autoridade para o "browser". A partir desse momento a tecnologia se encarregará de fazer a gestão apropriada da informação. A diferença essencial é que agora se está a usar um verdadeiro certificado no sentido legal do termo.
    Re:A noção de certificado (Pontos:1)
    por joaobranco em 24-09-01 9:49 GMT (#116)
    (Utilizador Info)
    Pelo que é escrito acima, se o utilizador não importar explicitamente um certificado para o browser, o certificado não pode ser usado "a sério".

    O que é usar a sério, no ambito de uma aplicação como o MBnet (ou o acesso a uma conta num banco, ou uma operação de comercio electronico tradicional)? Segundo me parece, a validade do certificado DO SERVIDOR é garantir que o servidor é quem diz ser (ou de quem diz ser). Sendo assim, o que está implicito aqui é que operações efectuadas com um certificado "autorizado por defeito" - ou seja, que seja reconhecido pelos root CAs previamente no browser não responsabilizam a entidade que está a usar esse certificado (que pode não ser quem diz ser)? Ou não responsabilizam a entidade emissora do certificado (o root CA)? Neste ultimo caso, sabemos que tal é verdade em geral (a Verisign tem em letras gordas a identificação de que não se responsabiliza pelo que fazem com os seus certificados). No entanto não me parece que tal possa ser dito em relação à entidade que USA os certificados - a responsabilidade desta mantem-se sempre.

    Ou seja, para SIMPLIFICAR o que está dito em cima (e sem duvida que vou ignorar alguma nuance juridica): Se o "cliente" importar explicitamente a o certificado root da autoridade de certificação, algumas responsabilidades podem cair sobre a autoridade de certificação (para alem da empresa utilizadora do certificado), se o "cliente" não tiver que importar esse certificado root, a responsabilidade cai exclusivamente sobre o a empresa utilizadora do certificado.

    Se isto é assim de facto, parece-me então que se trata da MBnet forçar os seus "clientes" a um trabalho adicional, de forma a eximir-se (ou melhor, poder transferir para outrem) parte das responsabilidades que lhe poderiam caber. É uma estratégia de negócios admissivel, se bem que não necessáriamente a mais agradável para os seus "clientes".

    JB

    Re:A noção de certificado (Pontos:1)
    por jmv em 26-09-01 9:34 GMT (#123)
    (Utilizador Info)
    Parece-me que nesta discussão tem existido uma grande confusão sobre a natureza do objecto "certificado", nomeadamente no que diz respeito à forma como os certificados intervêm numa relação comercial, confundindo-a com a de outros objectos criptográficos. Isso faz com que não exista uma ideia clara sobre o significado das consequências de certas manipulações tecnológicas dos certificados que têm vindo a ser aqui referidas.

    Por exemplo, a referência de "ataques de homem-no-meio" a certificados é completamente despropositada; este tipo de ataques aplicam-se a chaves (ou a items que elas determinam) e a natureza do certificado faz com que algo que tecnologicamente se assemelha a um ataque de homem-no-meio é criptograficamente fútil.

    Como já referi um certificado comporta-se como uma apólice de seguro. Se A estabelece uma relação contratual com B, se a validade do contrato assenta (como em todos os contratos) na identificação das partes contratantes, se a identidade de B é assegurada por uma terceira parte C, e se existe quebra de contrato por parte de B (porque eventualmente um intruso assumiu o papel de B) então A pode accionar C por danos.

    Posto isto, só é verdadeiro certificado aquele documento (com o formato tecnológico apropriado, emitido por uma entidade reconhecida, etc.) que define claramente qual a sua cobertura em caso de danos. Algo que diz que não se responsabiliza por nada, não é certificado: é "dinheiro de Monopólio".

    Gerar um certificado em nome de outro é completamente fútil principalmente se esse outro tem facilidade em repudiar a sua titularidade (por evidente falha de verificação na assinatura digital do mesmo, por exemplo, ou por uma variedade de outras técnicas). De facto o falso emissor está a assumir responsabilidades legais que não tem capacidade de controlar: está a usar a tecnologia para se "auto-vigarizar".

    Do mesmo modo a autosatisfação de muitos intervenientes a propósito de "certificados que são aceites em 99% dos browsers" é completamente despropositada. Um browser bem configurado NÂO DEVE ACEITAR os pseudo-certificados; um browser bem configurado, que protege os direitos de quem o usa, só deve aceitar os certificados que têm cobertura em caso de danos.

    Um browser que aceita tudo é como um sistema com as portas todas abertas (ou serão janelas?).

    jmv
    Esclarecimento! (Pontos:1)
    por asoares em 21-09-01 10:02 GMT (#89)
    (Utilizador Info)
    AVISO: este é um comentário longo e é apenas a minha opinião pessoal...

    Parece que anda toda a gente a bater no ceguinho (que sou eu, neste caso) quando apenas quis esclarecer algumas mentes menos, iluminadas...

    Já há muito tempo que não entrava numa discussão de tamanha grandiosidade e quando comecei nem sei no que me meti...

    Mesmo assim vou fazer um ultimo comentário à noticia da recortes.org:

    Quando pela primeira vez vi a noticia o que mais me chamou a atenção no artigo foi o linha em que se dizia que usam um certificado de segurança que não é emitido por nenhum trusted CA...

    Convém então esclarecer o seguinte:
    O uso de um certificado PKI numa antenticação pressupõe a aceitação, por ambas as partes, da garantia dada pela ROOTed CA, que uma das partes é quem diz ser...
    O que os browsers faz por nós é dizer que se pode garantir numas determinadas entidades de certificação (nada mais do que isso)!

    O certificado da Multicert (ou outra qualquer entidade de certificação de topo) não vem incluido nos browsers! Então devemos, se acharmos que confiamos na SIBS/Multicert fazer a importação do certificado para as nossas Bases de Dados nos browsers.

    O (suposto) problema de segurança que é a não inclusão do certificado nos browsers é um falso problema...

    Primeiro porque o ataque man-in-the-midle embora realizável, na teoria, obriga a que sejam conseguidos alguns pressupostos:

    • primeiro o atacante tem que se colocar numa posição que lhe permita falsear os pedidos de dns. Quando um utilizador legitimo pede a página http://www.recortes.org o atacante tem que conseguir interceptar este pedido e devolver um IP falso para o site em causa

    • depois é necessário o atacante montar uma estrutura em tudo identica à que existe no site http://www.multicert.com

    • por ultimo, o atacante tem que conseguir fazer passar o certificado da CA ilegitima como um certificado a importar legitimo


    Embora realizável quantos de nós estão em condições de o fazer?

    O unico crime que a Multicert cometeu, neste processo todo, foi o de não ver o seu certificado nos browsers que todos nós usamos!

    Mas a unica responsabilidade que tem, é o de certificar o site em questão (que pertecence ao grupo, ou não, já lá vamos) e isso apenas nos garante que, as comunicações entre os dois pontos são cifradas...
    Vou repetir, a Multicert apenas certificou, não autenticou

    Passemos agora para o site MBnet. E aí, sim, há/havia problemas graves de segurança.
    (não sei, nem me interessa, se a equipa de desenvolvimento é a mesma ou não)...

    Quando me apercebi que os username são constituidos pelas três primeiras letras do primeiro nome e pelas três primeiras letras do ultimo nome mais dois digitos, não há certificado que aguente...

    Como dizia o meu professor de criptografia não adianta de nada ter uma porta com uma fechadura de aço quando deixamos a janela do rés-do-chão aberta!

    Para finalizar, vou repetir aquilo que disse. O problema do certificado é um falso problema e aí o Paulo Querido foi levado a pensar erradamente (com phibernet team ou não). O (antigo?) problema de autenticação dos utilizadores (que é da responsabilidade da equipa de desenvolvimento do MBnet), esse sim, é (era?) grave e precisa de ser revisto rapidamente (e aí sim, o Paulo Querido fez o seu trabalho de jornalista ao denunciar o caso)!

    obrigado

    antonio soares
    antonio soares -- Windows has stopped. Press CTRL+ALT+DELETE to restart your computer.
    Re:Esclarecimento! (Pontos:2)
    por Dehumanizer em 21-09-01 10:12 GMT (#90)
    (Utilizador Info)
    Em relação ao certificado, continuas a ver a questão apenas em termos técnicos. Não é um problema técnico! O site não é necessariamente MENOS seguro do que um com um certificado da Verisign.

    É uma questão humana. Nós aqui somos técnicos ou semi-técnicos. Mas 99% dos utilizadores de internet em Portugal não são assim. São pessoas que ouviram falar da Net, usam para ler o email e vegetar no IRC (chamam-lhe "mirc"), ver pr0n, e mais nada. Por natureza, desconfiam destas coisas.

    Se ouvirem falar no MBnet, que é muito seguro, blábláblá, até são (alguns - não a maioria) capazes de experimentar, apesar de se horrorizarem, por exemplo, com a ideia de usar o cartão de crédito na Net. Mas o Multibanco... vamos lá dar uma chance. Vão ao site. Vão a pagar, e o IE (que usam necessariamente - estamos a falar de não técnicos) diz-lhes que há um "problema" com o certificado. Achas que vão aceitar e continuar em frente?

    Eu aposto que não.


    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3
    Re:Esclarecimento! (Pontos:1)
    por Czar em 21-09-01 10:49 GMT (#94)
    (Utilizador Info)

    Boas,

    Vão a pagar, e o IE (que usam necessariamente - estamos a falar de não técnicos) diz-lhes que há um "problema" com o certificado. Achas que vão aceitar e continuar em frente?

    Não vejo as coisas assim, nunca haverá nenhum problemas se as coisas forem bem feitas ! Por exemplo :

    Se uma pessoa quando se registar perante o MBNet, em qualquer caixa multibanco for informada que se deve dirigir a um determinado sitio a fim de intalar um certificado ( neste caso CA de Root ), com um determinado FingerPrint, que ate esta imprimido no recibo do Multibanco, nao vejo aonde esta o problema ! O que e preciso e informacao, e garanto que ate se torna mais seguro que qualquer outro certificado, pois pelos menos obedece a nossa lei nao a de uma qualquer pais, que pode nem sequer ter validade por ca !

    Czar

    Re:Esclarecimento! (Pontos:2)
    por Dehumanizer em 21-09-01 14:08 GMT (#98)
    (Utilizador Info)
    Entendo o que queres dizer, e admito que talvez seja possível uma grande campanha de informação/marketing que convença uma percentagem significativa das pessoas a instalar o root certificate da Multicert.

    Mesmo assim... não me vou armar em grande conhecedor da natureza humana, mas acho que as pessoas VÃO desconfiar. Afinal, nunca antes foram a um site onde o browser avisasse sobre a "segurança"...


    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3
    Re:Esclarecimento! (Pontos:2)
    por xeon em 21-09-01 15:18 GMT (#99)
    (Utilizador Info) http://pthelp.org
    "(...)Vão a pagar, e o IE (que usam necessariamente - estamos a falar de não técnicos) diz-lhes que há um "problema" com o certificado. Achas que vão aceitar e continuar em frente? Eu aposto que não."

    Eu aposto que sim ... o botao que esta' mais a jeito e' o "Yes" ... (embora o "no" seja o default) ...

    --
    Nao ha' mulheres feias... um gajo e' que bebe pouco ...
    Re:Esclarecimento! (Pontos:1)
    por japc em 24-09-01 2:32 GMT (#114)
    (Utilizador Info) http://xpto.org/~japc
    "Embora realizável quantos de nós estão em condições de o fazer? "

    Basta que um esteja e asseguro-te que o numero e' bem maior que um.


    japc.
    Quem fica a ganhar... (Pontos:0, Interessante)
    por Anonimo Cobarde em 21-09-01 10:23 GMT (#91)
    ..é o gildot, que voltou a ter discussões de grande nível. Parabéns a todos!
    Utilizadores normais (Pontos:2)
    por Strange em 24-09-01 9:48 GMT (#115)
    (Utilizador Info) http://strange.nsk.yi.org/

    Acho piada quando se queixam que "utilizadores normais" irão desconfiar do certificado não ser acreditado pelo browser e da mensagem "vá a XXX para reconhecer este certificado"

    Parece que se esquecem que se fosse assim a maior parte dos problemas de segurança desapareceriam. Os utilizador normais não se importam pela segurança! Não instalam patchs, não ligam a avisos, nada!

    Contrariamente, os utilizadores normais receiam mandar o seu nº de cartão de crédito pela Internet, quer a comunicação esteja cifrada quer não esteja ("crifada? uh! qué isso?"). O maior receio deles é mesmo dar o seu nº a entidades desconhecidas. Estranhamente, não receiam fornecer por uns segundos o cartão a um empregado de mesa dum restaurante...

    O que o serviço MBNet procura fornecer é um modo seguro de que, mesmo que alguém apanhe o nº do cartão não possa usá-lo, pois o cartão terá um saldo limitado e será necessário confirmar a operação.

    De resto, como o próprio ministro falou sobre a segurança do sistema, então toca a ignorar os avisos, isto é seguro!

    Um utilizador comum é um luser e se não fosse assim, estaríamos na maioria desempregados ou a não fazer o que gostamos mais...

    hugs
    Strange

    Re:Acordem! (Pontos:1)
    por kaser em 20-09-01 14:16 GMT (#29)
    (Utilizador Info) http://kaser.nsk.yi.org
    Só te falta teres um empresa como a SIBS :)
    Re:Acordem! (Pontos:0, Lança-chamas)
    por niness em 20-09-01 18:44 GMT (#57)
    (Utilizador Info)
    Acorda TU!
    Repara no UNIBANCO. Plim! Certificado emitido pela VeriSign!
    SIBS->UNICRE->UNIBANCO
    Lobbies em força é o que é.

    niness
    --Yet another COFH.

    Re:Acordem! (Pontos:0, Esclarecedor)
    por Anonimo Cobarde em 20-09-01 21:07 GMT (#72)
    Desculpa ?!?!
    Sibs NAO TEM NADA a ver com Unicre.
    A Unicre é uma empresa privada que trata de VISAS.
    A SIBS é uma sociedade gerida por todos os bancos que trata dos Multibancos.
    Nao teem nada a ver uma com a outra... so parcerias!!!!
    Faz o trabalho de casa antes de dizer asneiras!
    Re:O problema não é o certificado.... (Pontos:1)
    por Airegin em 20-09-01 21:23 GMT (#74)
    (Utilizador Info)
    Acho que é exactamente isso: o problema não é o certificado; se o resto do sistema estiver montado às três pancadas não certificado que o valha.
    Airegin

     

     

    [ Topo | FAQ | Editores | Contacto ]