"O Ministério da Justiça e o ITIJ (Instituto das Tecnologias da Informação na Justiça) lançaram um desafio a toda a comunidade open source para apresentarem soluções que promovam a resolução de um bug do Firefox que afecta a certificação no site da presidência portuguesa da UE. O prémio é de 1000 euros e esta é a primeira iniciativa do género lançada por uma entidade governamental portuguesa."


http://tek.sapo.pt/4L0/754624.html

Boa iniciativa. Espera... isso não é o trabalho deles?

Não que eu perceba do assunto. Mas se eles fazem/refazem o código ficam logo a saber que código lá puseram, o que significa que sabem onde podem atacar melhor, não?

Não que eu perceba do assunto. Mas se eles fazem/refazem o código ficam logo a saber que código lá puseram, o que significa que sabem onde podem atacar melhor, não?

Sim, mas tão a ser pagos para isso, logo seria uma falta ética enorme.

Antes de mais nada o bug é no Firefox (que é open-source) e não no código do site da presidência Portuguesa.

E depois, convençam-se de uma coisa, não é pelo código ser fechado que é mais seguro.

Não que eu perceba do assunto. Mas se eles fazem/refazem o código ficam logo a saber que código lá puseram, o que significa que sabem onde podem atacar melhor, não?

falou-se em hakers e começaram logo a pensar em vias criminosas

falou-se em hakers e começaram logo a pensar em vias criminosas
Falou-se em hackers, sim. Um hacker, supostamente, tem que conhecer o destino para atacar, não? Eu apenas perguntei - era uma dúvida, nao percebo nada do assunto - se, ao serem os hackers a corrigir o erro, nao ficariam eles a conhecer melhor o assunto e, assim, se nao havia mais facilidade em atacar. Era um dúvida, nada mais.

E não disse que ser opensorce era melhor para os hackers.

tás a confundir hackers com crackers... um hacker não tem logo a intenção de "atacar" o que quer que seja, julgo que os objectivos não passam só por detectar as falhas mas também encontrar uma forma de as resolver

em relação ao tópico, os que recebem um belo ordenado do estado que tratem de resolver o problema, oferecer 1000€ para fazer o trabalho que lhes compete é patético, IMHO

cumps

Isto não tem nada a ver com piratas nem com ataques, deixem-se de fantasias.

Trata-se de um bug no Firefox relacionado com atributos de certificados definidos com diferentes códigos de caracteres.

Apesar de ser um bug, não seria notado se a autoridade portuguesa implementasse o seu certificado de forma coerente - usando o mesmo 'encoding' para definição dos vários atributos. Essa correcção - por parte da autoridade certificadora portuguesa - custa muito menos de 200 contos ao (já esfarrapado bolso) do contribuinte. Mas alguém, que gere o dinheiro que não é seu, entendeu generosamente oferecer 1000 EUR para correcção de um bug num browser em vez de resolver o problema internamente. Apesar de ser bom, é mau :-)

Conclusões:
1. O Software Livre fica a ganhar (isto seria uma acção impensável com o IE, por exemplo);
2. Os cofres do Estado perdem 1000 EUR;
3. A Autoridade certificadora portuguesa não precisa de mexer o cú para resolver um 'problema' que criou - eventualmente por falta de atenção.


Links:
http://mindboosternoori.blogspot.com/search/label/firefox
https://bugzilla.mozilla.org/show_bug.cgi?id=245609
https://bugzilla.mozilla.org/show_bug.cgi?id=386871

em relação ao tópico, os que recebem um belo ordenado do estado que tratem de resolver o problema, oferecer 1000€ para fazer o trabalho que lhes compete é patético, IMHO

cumps

Lê a noticia antes de comentares.
O Bug é no FIREFOX.

https://bugzilla.mozilla.org/show_bug.cgi?id=245609



Apesar de ser um bug, não seria notado se a autoridade portuguesa implementasse o seu certificado de forma coerente - usando o mesmo 'encoding' para definição dos vários atributos.

O interessante é que funciona em todos os browsers menos neste.
Se fosse culpa da autoridade portuguesa, não funcionariam em lado nenhum, não?

Se fosse culpa da autoridade portuguesa, não funcionariam em lado nenhum, não?
Culpa? não falei em culpa. Referi que a autoridade portuguesa podia ter contornado o problema se tivesse definido os vários atributos usando o mesmo conjunto de caracteres (aliás, nem vejo razão para usar conjuntos de caracteres distintos... mas quem sou eu se não um mero pagador...)

segui o link que indicaste e pelo que li confirma-se que é um pequeno bug mas:

Unfortunately although we have the diagnostic, we
do not have a solution. I mean, sure its relatively easy
for the state agencies involved to go and reissue the
certificates with matching encodings. But I must say that
it pains me to see the standards (RFC3280 and RFC4630)
implemented in a reasonable way (comparing strings as
they should be; keep in mind that both RFCs state MAY
and SHOULD, there's no MUST) in other browsers and FF
displaying a wrongful message just because of the lack
of some string conversion code.

não seria mais rápido e económico seguir este caminho?

cumps

Assim é mais "divertido", "competitivo" e "dinâmico". Tristeza do caraças.

Viva.

Não considero mal, nem bem o desafio.

É simplesmente mais uma forma de conseguir
e alcançar a meta necessária ou pretendida.

Veja-se o caso da empresa 'Astaro' que
«convocou» humildes 'conhecedores' de redes
e seus protocolos, a tentar uma 'penetração'
simples no sistema ipv6 deles. (isto no ano de
2005, em plena Cebit)
Hoje em dia, esse sistema, equipa mais de
45% da banca nacional Espanhola, incluindo
alguma portuguêsa......adiante.......

Ou se sabe e domina a coisa (protocolos,
programação,tcp,udp,...php,Perl,java....etc...)
ou então nada feito...O resto são meros
acontecimentos de ficção criadas nas cabeças
de cada um.. de nós...

E mais não digo......←→↑↓

Gu@rdian

Situação aqui está longe de ser parecida com isso. Basicamente querem que alguém "arranje" o problema no Firefox para que eles nem tenham trabalho de mexer nos certificados.

Situação aqui está longe de ser parecida com isso. Basicamente querem que alguém "arranje" o problema no Firefox para que eles nem tenham trabalho de mexer nos certificados.

Porque os certificados FUNCIONAM em todos os browsers menos no FIREFOX.
Acho que é legitimo dizer que o Firefox é o problema aqui quer queiram quer nao.

Porque os certificados FUNCIONAM em todos os browsers menos no FIREFOX.
Acho que é legitimo dizer que o Firefox é o problema aqui quer queiram quer não.

Ai é? E achas que tem algum geito os browsers andarem a fazer debug aos certificados de segurança?
Os certificados de segurança tem umas requisitos definidos, e a entidade responsável por emitir/criar devia ser mais diligente e cuidadosa com os mesmos?

Não é o caso do ze belota que anda a fazer paginas de internet e mesmo que ele merde o browser faz debug ao código e mostra a pagina á mesma... É o caso de gente que se diz profissional da segurança, essa deve seguir os requesitos todos e onde esta um SHOULD é implícito que aquilo é para respeitar e não é um opcional, a segurança é 1 assunto critico e ha que ter todos os cuidados. O firefox e muito bem ao esse SHOULD não ter sido respeitado obriga o utilizador a verificar o certificado manualmente. As paginas funcionam á mesma, fica é mal e dá uma má impressão de Portugal, os certificados portugueses não serem reconhecidos pelo browser automaticamente, é o preço a pagar por quem decidiu ignorar o SHOULD.

O teu post era valido se o problema fosse só com o certificado português.
Mas não é.

Este bug no Firefox já foi até comentado pela Microsoft com certificados deles.
http://blogs.msdn.com/larryosterman/archive/2004/06/04/148612.aspx

Claro que agora vao dizer que a Microsoft tb nao faz certificados correctos. :rolleyes:
Todo o mundo está errado menos o Firefox.

O problema É do Firefox, e não dos certificados.

Deixem-se de ser fanboys do Firefox. Eles próprios admitiram o Bug e abriram um.
Só não o estão é a corrigir por não acharem que é relevante.

O teu post era valido se o problema fosse só com o certificado português.
Mas não é.

Este bug no Firefox já foi até comentado pela Microsoft com certificados deles.
http://blogs.msdn.com/larryosterman/archive/2004/06/04/148612.aspx

Claro que agora vao dizer que a Microsoft tb nao faz certificados correctos. :rolleyes:
Todo o mundo está errado menos o Firefox.

O problema É do Firefox, e não dos certificados.

Deixem-se de ser fanboys do Firefox. Eles próprios admitiram o Bug e abriram um.
Só não o estão é a corrigir por não acharem que é relevante.


Esse blog já tem anos, se fosse mesmo bug já teria sido corrigido... fanboyzi-se no seu melhor :002:

O problema É do Firefox, e não dos certificados.

Não concordo mesmo nada com isso. A solução não é corrigir um browser, a fonte do certificado é que tem de garantir que o mesmo é legível correctamente por todos os browsers.

Isto apesar de mau por um lado (no fundo é contribuir para uma web que nao respeita por completo os standards), acaba por ser muito bom para o open-source, como forma de publicidade. Há males que veem por bem.

Esse blog já tem anos, se fosse mesmo bug já teria sido corrigido... fanboyzi-se no seu melhor :002:

E ele a dar-lhe.

O problema é EXACTAMENTE o mesmo.
Tanto que no comunicado do bugzila está descrito este blog do MSDN como fonte a reportar o mesmo problema.
Basta leres o primeiro post aqui - https://bugzilla.mozilla.org/show_bug.cgi?id=245609

O Firefox é que na prática se tem estado a cag@r para isto desde 2004.

Daí o ITIJ ter tomado esta medida.

Creio que quando se trabalha para determinados ambientes se deve ter conhecimento dos constrangimentos existentes. Dito por outras palavras: os senhores da autoridade certificadora são obrigados - porque o fizeram DEPOIS de saberem que o Firefox tem determinado bug - a fazer o seu trabalho de acordo com a realidade existente.

Um exemplo - ainda que a uma escala diferente:
Quantos de nós, ao desenvolvermos aplicações Web temos de dar umas marteladas no código porque certo browser interpreta os standards de forma 'um bocadinho' diferente dos restantes? Até já achamos isso 'natural' e não passa pela cabeça de ninguém fazer uma bounty ao IE por causa dos bugs que afectam uma base de utilizadores e developers muito maior que aquela que está agora em causa. Sabemos que o IE tem determinados bugs e vivemos com eles.


Por fim, concordo com a preocupação e o esforço que se está a fazer para corrigir o bug no Firefox. Não concordo é que tenhamos todos de pagar ($$$$$) por uma coisa para a qual o 'workaround' é perfeitamente viável.

Agora que o "erro" está feito, parece-me melhor pagar para que alguém corrija o bug no Firefox que pagar para que alguém corrija o certificado.

Boas,
Eu acho que alguem não quer gastar dinheiro em alterações de certificados...
E tambem acho que alguem quer forçar outros a utilizar uma forma de gestão dos protocolos utilizados nos ditos sob pena de perder clientes mesmo sabendo que isto pode comprometer a segurança informatica do sistema. ;)

Acho que é mais eficiente corrigir o Firefox que estar continuamente a fazer sites com múltiplas versões dos certificados.

Quanto ao concurso... whatever. Pelo menos o Firefox pela sua natureza permite lançar concursos destes e provavelmente rapidamente existirá a tal correcção. Se fosse noutro browser qq (esse mesmo...) o melhor era ir buscar um terço ou isso.

Acho que é mais eficiente corrigir o Firefox que estar continuamente a fazer sites com múltiplas versões dos certificados.


O problema não está no site.

Porque os certificados FUNCIONAM em todos os browsers menos no FIREFOX.
Acho que é legitimo dizer que o Firefox é o problema aqui quer queiram quer nao.

Isso é tapar o sol com a peneira e muito relativo. E é por se pensar assim que não se anda para a frente muitas vezes. Lá por todos fazerem mal a culpa não passa para quem faz bem.

Um exemplo disso foram estes simpáticos srs do DRE (http://dre.pt/) que tambem não funcionava bem no FF. Simplesmente pq devolvia no header que o ficheiro era application/octet-stream em vez do correcto que era application/pdf. Ora, o IE não tinha problemas (content sniffing) mas o resto dava o berro. A culpa de não fazer content sniffing era do FF? Não, um browser não deve fazer tal coisa. O webserver é que tem de estar correctamente configurado. Eles não sabiam pq nunca tinham testado com outra coisa que não o IE, mas depois de serem informados lá deram um jeito (aka "consertaram" a própria burrada...).

Infelizmente para o tópico em causa (e bug em causa...) a coisa é ao contrário. Realmente quando está SHOULD não é MUST mas não fica muito atrás. E sinceramente, não vejo que fosse coisa dificil de ser resolvida pelo pessoal do Mozilla. O que tenho em crer é que deve afectar tão pouca gente que vai ficar para os "a resolver em data indeterminada".

Ultimas do assunto.....


http://pinguinsmagicos.blogspot.com/2007/07/bounty-firefox-atirar-toalha-ao-tapete.html