Esta atualização teve o objetivo unicamente de corrigir problemas de seguranças em diversas esferas e corrigir pequenos problemas críticos.
DESTAQUES:
Adicionado comparações “Timing-Attack Safe”:Todas as comparações de dados, mesmo não criptográficos, são aprova de “Timming Attack”, isto é, o InsteLikes agora não irá divulgar dados baseado no tempo de sua resposta.
Por motivos de performance, que ocasionou os problemas mencionados aqui, o InsteLikes não utiliza funções constant-time para as operações nas páginas de "Enviar", com exceção de operações básicas que estão protegidas. Esta decisão foi tomada devido ao grande impacto negativo na performance, antes ~0.315 segundos para ~24.356 segundos, além disso pequenas otimizações foram feitas e agora o tempo médio foi reduzido para 0.208 segundos, com o mesmo número de requisições. Todas as outras páginas e recursos dos website, que usam comparações, são constant-time. As páginas de login, cadastro e recuperação de senha já utilizavam comparações constant-time devido a ser um ambiente que deve ser extremamente seguro.
Adicionado HSTS:
O InsteLikes agora apenas pode ser acessado via HTTPS, incluindo subdomínios. O InsteLikes também apenas poderá exibir imagens e carregar conteúdos que também estejam sobre o protocolo HTTPS.
Correção de “Múltiplas imagens”:
O InsteLikes já suportava curtidas em múltiplas imagens, porém haviam alguns erros e possíveis problemas na implementação anterior. Agora o InsteLikes corrigiu uma série de erros adicionados na versão anterior.
Correção de “Associar perfil”:
Um problema impedia o usuário de associar um novo perfil à uma conta, isto está sendo ainda analisado.
Correção na contagem de caracteres:
Um dos problemas na contagem de comprimento de senha/nome era devido a não suportar caracteres “multi-byte”, agora o InsteLikes calcula o comprimento dos campos corretamente.
Área Experimental:
Os recursos listados abaixo estão em testes e podem a qualquer momento serem aplicados ao servidor de produção do InsteLikes.
Adicionado bloqueio de conta por tentativas de senhas inválidas:
Sempre que um usuário errar a senha múltiplas vezes num dispositivo desconhecido a respectiva conta será bloqueada, informando que sua senha está errada, independentemente de estar certa ou não.
Atualmente o InsteLikes o recurso está desligado.
Substituição de BCrypt por Argon2i:
O InsteLikes está testando implementação do Argon2i, que foi o vencedor da competição do Password Hash.
Atualmente este recurso está desligado para todas as contas, mas pode ser habilitada a qualquer momento. Quando habilitado todas as novas senhas serão criptografadas com Argon2i, ao invés de BCrypt, isto apenas será aplicado para novas contas criadas e usuários que alterarem suas senhas em “Ajustes”.
Lista de mudanças:
Geral: - Adicionado comparações constant-time, seguras contra "Timing-Attack". - Adicionado cabeçalho de HSTS. - Adicionado cabeçalho de Referrer-Policy. - Adicionado cabeçalho de X-XSS-Protection. - Adicionado cabeçalho de X-Frame-Options. - Adicionado cabeçalho de X-Content-Type-Options. Enviar: - Correção na identificação de comentários. - Correção no redirecionamento ao tentar atender um pedido. - Melhoria na velocidade de carregamento do conteúdo. Receber: - Correção de seleção de publicações em caso de "multiplas-publicações" - Correção na contagem de caracteres de comentários. Perfis: - Correção de erros ao associar um perfil. Login: - Correção na contagem de caracteres. - Adicionado proteção em caso de várias tentativas de acesso inválido. - Adicionado suporte para Argon2i. Esqueci a senha: - Adicionado suporte para Argon2i. - Correção na contagem de caracteres. Cadastro: - Correção na contagem de caracteres. Ajuste: - Correção na contagem de caracteres. - Adicionado suporte para Argon2i.
Atualização publicada em 17/04/2017