Blog

Esteja conectado conosco!

Atualização 8.47.136: Segurança


Esta atualização teve o objetivo unicamente de corrigir problemas de seguranças em diversas esferas e corrigir pequenos problemas críticos.

DESTAQUES:

Adicionado comparações “Timing-Attack Safe”:
Todas as comparações de dados, mesmo não criptográficos, são aprova de “Timming Attack”, isto é, o InsteLikes agora não irá divulgar dados baseado no tempo de sua resposta.

Por motivos de performance, que ocasionou os problemas mencionados aqui, o InsteLikes não utiliza funções constant-time para as operações nas páginas de "Enviar", com exceção de operações básicas que estão protegidas. Esta decisão foi tomada devido ao grande impacto negativo na performance, antes ~0.315 segundos para ~24.356 segundos, além disso pequenas otimizações foram feitas e agora o tempo médio foi reduzido para 0.208 segundos, com o mesmo número de requisições. Todas as outras páginas e recursos dos website, que usam comparações, são constant-time. As páginas de login, cadastro e recuperação de senha já utilizavam comparações constant-time devido a ser um ambiente que deve ser extremamente seguro.

Adicionado HSTS:
O InsteLikes agora apenas pode ser acessado via HTTPS, incluindo subdomínios. O InsteLikes também apenas poderá exibir imagens e carregar conteúdos que também estejam sobre o protocolo HTTPS.

Correção de “Múltiplas imagens”:
O InsteLikes já suportava curtidas em múltiplas imagens, porém haviam alguns erros e possíveis problemas na implementação anterior. Agora o InsteLikes corrigiu uma série de erros adicionados na versão anterior.

Correção de “Associar perfil”:
Um problema impedia o usuário de associar um novo perfil à uma conta, isto está sendo ainda analisado.

Correção na contagem de caracteres:
Um dos problemas na contagem de comprimento de senha/nome era devido a não suportar caracteres “multi-byte”, agora o InsteLikes calcula o comprimento dos campos corretamente.

Área Experimental:
Os recursos listados abaixo estão em testes e podem a qualquer momento serem aplicados ao servidor de produção do InsteLikes.

Adicionado bloqueio de conta por tentativas de senhas inválidas:

Sempre que um usuário errar a senha múltiplas vezes num dispositivo desconhecido a respectiva conta será bloqueada, informando que sua senha está errada, independentemente de estar certa ou não.
Atualmente o InsteLikes o recurso está desligado.

Substituição de BCrypt por Argon2i:
O InsteLikes está testando implementação do Argon2i, que foi o vencedor da competição do Password Hash.
Atualmente este recurso está desligado para todas as contas, mas pode ser habilitada a qualquer momento. Quando habilitado todas as novas senhas serão criptografadas com Argon2i, ao invés de BCrypt, isto apenas será aplicado para novas contas criadas e usuários que alterarem suas senhas em “Ajustes”.


Lista de mudanças:

Geral:
- Adicionado comparações constant-time, seguras contra "Timing-Attack".
- Adicionado cabeçalho de HSTS.
- Adicionado cabeçalho de Referrer-Policy.
- Adicionado cabeçalho de X-XSS-Protection.
- Adicionado cabeçalho de X-Frame-Options.
- Adicionado cabeçalho de X-Content-Type-Options.

Enviar:
- Correção na identificação de comentários.
- Correção no redirecionamento ao tentar atender um pedido.
- Melhoria na velocidade de carregamento do conteúdo.

Receber:
- Correção de seleção de publicações em caso de "multiplas-publicações"
- Correção na contagem de caracteres de comentários.

Perfis:
- Correção de erros ao associar um perfil.

Login:
- Correção na contagem de caracteres.
- Adicionado proteção em caso de várias tentativas de acesso inválido.
- Adicionado suporte para Argon2i.

Esqueci a senha:
- Adicionado suporte para Argon2i.
- Correção na contagem de caracteres.

Cadastro:
- Correção na contagem de caracteres.

Ajuste:
- Correção na contagem de caracteres.
- Adicionado suporte para Argon2i.


Atualização publicada em 17/04/2017






Marcadores:

Crie sua conta agora!

Não iremos pedir sua senha do Instagram!

Cadastrar