É única palavra que tenho para descrever minha reação ao descobrir que o MercadoLivre, supostamente o maior site de comércio eletrônico do Brasil não usa SSL para login (figura 1). A atitude padrão deles é dizer que a alterção dos dados pessoais e efetivação de compras só pode ser realizada por SSL, estando o cliente portanto protegido. Isso é verdade, pero no mucho. Um atacante bem disposto (ou simplesmente capaz) irá atacar o ponto fraco do sistema, que é a passagem de senha de no login sem criptografia. Ora, quem tem nome usuário, senha e o mínimo de malícia, há de fazer estrago rapidamente.
Figura 1: o MerdacoLivre NÃO USA SSL por default para login dos seus usuários
Mas tudo bem, dizem os conformistas: “digitai https na tua barra de endereço e tereis uma conexão segura”. Pena que o certificado expirado (Figura 2) deles não vale nem o trabalho dos pobres electróns movimentados para sua transmissão. Na verdade, eles têm um certificado válido… para o super confiável domínio www.mercadolibre.com (la garantia soy jo!)
Figura 2: o certificado de mercadolivre.com.br está expirado
E claro, o certificado expirado não seria exatamente um problema; idealmente, certificados poderiam ser verificados manualmente, checando-se a fingerprint por algum outro meio de comunicação (e.g. telefone ou pessoalmente). Infelizmente, o MerdacoLivre não informa endereço, e-mail ou telefone para contatos; tudo que oferece é uma porca página de troubleshooting. Comunicar-se diretamente com o atendimento deles é bem difícil.
Bom, há quem diga que os riscos em questão valem a pena por ser possível encontrar bons preços no mercado livre. Eu achava isso até conhecer o www.dealextreme.com que, pasmem, entrega no Brasil sem cobrar frete!
last.fm records
Buttons
[EN] All content in this site is under Creative Commons Attribution Share Alike 3.0 license, except for content explicitly licensed otherwise. Attribution MUST be kept to the author of the work, which is, unless expressed otherwise, me, Felipe Mobus.
[PT] Todo conteúdo deste site está licenciado sob Creative Commons Atribuição-Compartilhamento pela mesma Licença 3.0, exceto para conteúdo explicitamente licenciado de forma diferente. Atribuição DEVE ser mantida ao autor dos trabalhos aqui mostrados que é, exceto em casos indicados explicitamente, eu, Felipe Mobus.
Wordpress theme by Wordpress Themes & made free by Internet Marketing Center