Webtagr - Sumário de Notícias de Tecnologia

cURL Afogado em Relatórios de Vulnerabilidades Gerados por IA

2025-07-14

A equipe de segurança do projeto cURL está sobrecarregada com uma enxurrada de relatórios de vulnerabilidades de baixa qualidade, muitos gerados por IA. Esses relatórios desperdiçam tempo e recursos significativos (3 a 4 pessoas, 30 minutos a 3 horas por relatório), reduzindo drasticamente a eficiência na descoberta de vulnerabilidades genuínas. Em 2025, aproximadamente 20% das submissões são lixo gerado por IA, levando a uma queda acentuada na taxa de relatórios válidos. A equipe está considerando remover as recompensas monetárias ou implementar outras medidas para conter as submissões de baixa qualidade, a fim de manter a sanidade da equipe e a segurança do projeto.

Leia mais

(daniel.haxx.se)

Desenvolvimento relatórios de vulnerabilidades

Vulnerabilidade no GitHub Diff: Substituição de Caracteres Unicode

2025-05-17

Um contribuidor do projeto curl, James Fuller, descobriu uma vulnerabilidade no visualizador de diferenças do GitHub. Atores maliciosos poderiam substituir caracteres ASCII por caracteres Unicode visualmente idênticos, alterando o código sem mudanças aparentes. Isso poderia levar à manipulação de URLs e outras consequências graves. Embora o visualizador de diferenças do GitHub não tenha um aviso, outras plataformas como o Gitea sinalizam tais mudanças. O projeto curl respondeu implementando verificações de CI para detectar Unicode malicioso e limpou sequências UTF-8. Isso destaca a necessidade de medidas proativas de segurança de código para prevenir potenciais ataques.

Leia mais

(daniel.haxx.se)

Desenvolvimento segurança de código vulnerabilidade do GitHub

Bloqueio .onion do Curl: Uma disputa entre segurança e usabilidade

2025-05-16

Para evitar vazamentos de DNS de domínios .onion por usuários do Tor, o curl implementou o RFC 7686 dois anos atrás, bloqueando a resolução de domínios .onion. No entanto, isso quebra a nova ferramenta Tor oniux, impedindo-a de usar o curl para acessar sites .onion. Isso destaca um conflito entre segurança e usabilidade: a adesão estrita ao RFC afeta a experiência do usuário, enquanto o relaxamento das restrições aumenta os riscos de segurança. A equipe do curl está agora trabalhando para encontrar uma solução que equilibre segurança e necessidades do usuário.

Leia mais

(daniel.haxx.se)

Tecnologia vazamento de DNS

O Desastre Pontilhado do Curl: Dois CVEs e uma Perseguição Sem Fim

2025-05-15

A equipe do curl enfrentou uma luta persistente com pontos finais em nomes de host em URLs. Inicialmente os ignorando, o curl posteriormente restabeleceu o suporte para sites que exigem pontos finais. No entanto, essa alteração inadvertidamente introduziu duas vulnerabilidades de segurança (CVE-2022-27779 e CVE-2022-30115) afetando o tratamento de cookies e o mecanismo HSTS, respectivamente. Essas vulnerabilidades decorreram do tratamento inadequado de pontos finais, levando a correspondências de domínio incorretas. O curl 7.83.1 corrige esses problemas, mas o autor suspeita que isso pode ser apenas o começo de uma batalha prolongada.

Leia mais

(daniel.haxx.se)

Desenvolvimento

Curl Seguro: Construindo Código C Confiável para Bilhões de Instalações

2025-04-07

A equipe do curl compartilha suas práticas para construir ferramentas de transferência de rede seguras e confiáveis em C. Eles destacam a importância de testes extensivos, incluindo análise estática e fuzzing. Aproximadamente 40% de suas vulnerabilidades de segurança provêm da falta de segurança de memória do C, mas padrões de codificação rigorosos, aplicação de estilo e a evitação de funções arriscadas mantêm esse número baixo. O estilo de codificação do curl enfatiza a legibilidade e a manutenibilidade por meio de limites de comprimento de linha, nomes de variáveis curtos e compilações com zero avisos. O tratamento robusto de erros, a estabilidade da API e o gerenciamento cuidadoso da memória são cruciais para a confiabilidade e segurança do software.

Leia mais

(daniel.haxx.se)

Desenvolvimento Segurança C Segurança de rede

Suporte experimental do curl para HTTPS RR: A próxima geração de registros DNS

2025-03-31

O curl agora oferece suporte experimental para o novo tipo de registro DNS HTTPS RR, fornecendo uma maneira mais moderna do que SRV e URI para transmitir metadados de serviço, como configuração ECH, listas ALPN, nomes de host de destino, portas e endereços IP. O HTTPS RR aprimora a segurança da conexão HTTPS (por meio da criptografia ECH do campo SNI) e a eficiência (pré-buscando informações de suporte HTTP/3) e simplifica a descoberta de serviços. O curl realiza a resolução do HTTPS RR por meio de DoH, getaddrinfo() ou c-ares, mas atualmente não possui desativação em tempo de execução e ainda tem suporte incompleto para HTTPS RR.

Leia mais

(daniel.haxx.se)

Desenvolvimento

Análise de Tráfego do curl.se: 2TB/dia, de onde vem todo o tráfego?

2025-02-22

O site curl.se lida com 62,95 TB de tráfego por mês, com uma média de mais de 2 TB por dia e pico de 3,41 TB. Embora não haja logs detalhados, os dados mostram que, de 12,43 bilhões de solicitações, apenas 1,12 milhão foram downloads de pacotes curl (menos de 10% do tráfego total). A grande maioria do tráfego (99,77%) é gerenciada pelo cache do CDN Fastly. No entanto, o uso generalizado do HTTP/1.1 e TLS 1.2 sugere uma quantidade significativa de tráfego não originário de navegadores, possivelmente de bots ou outras ferramentas. A análise indica que 207,31 milhões de downloads de arquivos de 100 KB a 1 MB (provavelmente certificados CA) podem explicar uma grande parte do tráfego restante. O tráfego é distribuído uniformemente em todo o mundo, ao contrário das concentrações anteriores na China.

Leia mais

(daniel.haxx.se)

Tecnologia tráfego de rede

A Guerra de Mais de 20 Anos Contra Conexões Inseguras: Uma Retrospectiva do libcurl

2025-02-11

Desde que o curl passou a suportar SSL em 1998, a verificação de certificado padrão tem sido uma pedra angular da segurança de rede. No entanto, os desenvolvedores continuam a desabilitar essa verificação crucial, levando a vulnerabilidades generalizadas. Este artigo relata a evolução do libcurl, explora os perigos de desabilitar a verificação e propõe soluções como melhorias na API, documentação aprimorada e relatórios de bugs proativos. A luta por conexões seguras é uma batalha de longo prazo.

Leia mais

(daniel.haxx.se)

Desenvolvimento verificação de certificado

OpenSSL Rejeita API QUIC: Um Retrocesso para a Adoção do HTTP/3?

2025-01-21

O OpenSSL, a biblioteca TLS mais popular, rejeitou adicionar uma API QUIC às suas próximas versões, criando um obstáculo significativo para a adoção generalizada do HTTP/3. Apesar de um pull request da comunidade (PR8797) ter oferecido as APIs necessárias, o comitê de gerenciamento do OpenSSL decidiu construir uma pilha QUIC completa do zero, um processo que deverá levar vários anos. Essa decisão gerou frustração na comunidade, pois já existem bibliotecas QUIC maduras. A Microsoft e a Akamai criaram o quictls, um fork do OpenSSL com a API QUIC, como uma solução alternativa. No entanto, essa não é uma solução sustentável, deixando o futuro da adoção do HTTP/3 incerto devido à escolha do OpenSSL.

Leia mais

(daniel.haxx.se)

Desenvolvimento

curl recebe atualização importante: suporte à leitura de arquivos parciais

2024-12-30

O lançamento do curl 8.12.0 trará um recurso empolgante: a capacidade de ler partes de arquivos. Os usuários agora podem usar um novo sistema de variáveis para extrair intervalos específicos de bytes de arquivos e usá-los em linhas de comando curl. Isso adiciona flexibilidade significativa à maneira como o curl lida com arquivos, permitindo tarefas como extrair o início de um arquivo como nome de usuário ou uma seção no meio para um corpo POST. Isso expande significativamente as capacidades do curl, proporcionando aos usuários uma ferramenta de linha de comando mais robusta.

Leia mais

(daniel.haxx.se)

Desenvolvimento manipulação de arquivos

cURL e libcurl abandonam o Hyper

2024-12-22

Após quatro anos de experimento, o projeto cURL anunciou que está abandonando o uso da biblioteca Hyper baseada em Rust como backend HTTP. Apesar das vantagens de segurança de memória do Hyper e do suporte do Let's Encrypt, a falta de demanda do usuário e o envolvimento do desenvolvedor levaram à sua terminação. A equipe do cURL citou o alto custo de manutenção do código Hyper e o foco em melhorar e manter a base de código existente. Embora o experimento tenha falhado, o cURL ganhou experiência valiosa e melhorou suas capacidades de manipulação HTTP.

Leia mais

(daniel.haxx.se)

Desenvolvimento

Situação atual do HTTP/3: Desafios e oportunidades no caminho para a adoção

2024-12-16

As especificações do HTTP/3 estão completas, mas aguardam publicação final. O suporte do lado do servidor é surpreendentemente alto, especialmente entre os principais sites. Grandes empresas como o Cloudflare habilitaram o HTTP/3, e os navegadores o suportam amplamente. No entanto, o suporte do lado do cliente, como no curl, permanece incompleto, em grande parte devido ao desenvolvimento atrasado de bibliotecas TLS com suporte a QUIC. O suporte QUIC do OpenSSL foi adiado, enquanto alternativas como BoringSSL e quictls têm limitações. Embora o HTTP/3 prometa melhorias de velocidade, os benefícios do mundo real dependem das condições da rede. A adoção generalizada depende da publicação da especificação e de bibliotecas TLS maduras.

Leia mais

(daniel.haxx.se)

Desenvolvimento