Twitter ativa a encriptação SSL para alguns usuários

Twitter security ssl cadeadoO Twitter está lenta e gradualmente ativando a encriptação automática em seu site, seguindo exemplo de outros grandes sites provedores de serviços Web.

O microblog tem oferecido aos usuários uma opção para ligar a encriptação SSL (Secure Sockets Layer), mas declarou este semana que vai deixar a funcionalidade ativada por padrão para alguns usuários. Não foi declarado, porém, quando estará ativada para todos usuários.

A encriptação SSL em todo o funcionamento dos sites tem se tornado cada vez mais comum. Muitos sites só encriptavam o login e senha do usuário, e o restante da sessão permanecia desprotegida. Ano passado, aproveitando-se desse fato, um desenvolvedor web lançou o Firesheep, que captura cookies transmitidos por uma rede sem-fio não encriptada. O Firesheep foi usado por usuários maliciosos para roubar esses cookies e assim poderem logar nos sites de serviços com a conta de outra pessoa, técnica conhecida como session hijacking (roubo de sessão). Com isso se tornava fácil logar com contas de outras pessoas que logassem no Facebook, por exemplo, naquela mesma rede sem-fio.

Com SSL, esse ataque não teria efeito, já que os cookies estariam sendo transmitidos durante a sessão totalmente encriptada. Além do Twitter, outros sites como o Facebook também fornece a opção de usar SSL durante toda a sessão, e não só no login do usuário. A Google, por exemplo, foi além e ativou o SSL por padrão para todos os usuários no Gmail.

Via: Twitter turns on SSL encryption for some users