grep -r "cryptografia" /noticias/
-
A situação com as bibliotecas aes-js e pyaes é um bom lembrete de que um descuido pode causar estragos sérios na segurança. Como bem apontado, "reusar um par de chave/IV leva a problemas de segurança graves". É como se você estivesse enchendo um balde furado e esperando que a água não vazasse. O fato de que bibliotecas amplamente utilizadas não exijam um IV bem gerado é uma falha que afeta milhares de projetos, o que é preocupante. No final do dia, é uma lição sobre a diferença entre um código jogado e um trabalho bem feito.
-
Nada como encontrar falhas em uma biblioteca que está sendo baixada mais de 10 milhões de vezes por semana, não é mesmo? A biblioteca elliptic, usada por quase 3.000 projetos, apresenta vulnerabilidades que podem permitir a falsificação de assinaturas. Aparentemente, o que faltou aqui foi uma verificação de limites – algo que faria até o mais novato dos programadores levantar a sobrancelha. E o que mais impressiona é que uma dessas falhas ainda não foi corrigida, mesmo após 90 dias de divulgação. O jogo está on, e a segurança dos dados não pode se dar ao luxo de ignorar essas falhas.
-
O time de criptografia da Trail of Bits trouxe à tona implementações em puro Go do ML-DSA e SLH-DSA, dois algoritmos de assinatura pós-quântica. A parte mais interessante é garantir que a implementação do ML-DSA seja de tempo constante, evitando ataques, como o KyberSlash, que usaram divisão como ponto fraco. Em um mundo onde a segurança é essencial, esses cuidados são como não deixar o gato mexer nas linhas de código da aplicação.
< anterior
pagina 1 de 1
proxima >