Barata, digo, no sentido de gratuita. O dispositivo sobre o qual escreverei está longe de ser tosco ou pouco engenhoso.
O Semisecure Login Reimagined (SLR) é um plugin para WordPress cujo objetivo é dar mais segurança ao processo convencional de autenticação em um blog. Sua função parte de um contexto: o de que, na maioria dos blogs que rodam em domínio próprio, a página de autenticação (“wp-login.php”) é desprovida de uma camada de segurança criptográfica, fazendo com que a senha seja transmitida em puro texto do navegador para o servidor de hospedagem. Desta forma, a senha pode ser facilmente interceptada no caminho, comprometendo a segurança do sistema.
A forma tradicional para contornar esse problema é a utilização do SSL. Com ele, um certificado é disponibilizado pelo site em conjunto com uma chave pública para criptografia, que será usada pelo navegador para criptografar toda a informação transmitida. Essa informação, então, será apenas decodificada pelo servidor de hospedagem, garantindo segurança na comunicação de uma ponta à outra.
O processo de adoção da tecnologia SSL, no entanto, é bastante custoso. Sua implementação envolve não apenas a obtenção de um endereço único de IP, mas também de um certificado. Caso o certificado seja assinado por uma autoridade reconhecida para tanto, o custo total estará na ordem de no mínimo 60 US$ por ano, considerando como referência os preços praticados pelo DreamHost.
Nesse contexto, o SLR oferece uma solução gratuita para a transmissão insegura de dados. Seu modo de funcionamento consiste na utilização de criptografia RSA para, através de um navegador com suporte a JavaScript, criptografar a senha com uma chave pública e transmitir a informação criptografada ao servidor de hospedagem, que por sua vez a decodificará com uma chave privada e fará o processo de autenticação.
O mecanismo de funcionamento do SLR é genial. É claro que ele não irá em absoluto substituir o SSL, mas definitivamente é uma solução eficaz e, no contexto dado, melhor do que nada. Desnecessário dizer que seu uso deve não apenas ser considerado elemento essencial para a segurança de qualquer blog, mas também indispensável para qualquer um que, assim como eu, se utiliza do WordPress para autenticação por OpenID.
Mais informações podem ser encontradas no site do autor bem como na página do projeto.
Um comentário
Interessante esse plugin. Pode me dar uns toques depois para implementação do mesmo?
Abraço!