PplWare Mobile

O seu blog é seguro?

                                    
                                

Este artigo tem mais de um ano


Autor: Vítor M.


  1. Nastase says:

    Mas que grande post! Muito completo e esclarecedor. É de facto assustador verificar a facilidade com que se obtem informação protegida usando um simples url…

    ———————————————
    http://www.revolucaodigital.net

  2. Miguel says:

    wow este post tá altamente !
    Muito completo e sem duvida nenhuma ÚTIL (com letras grandes, à pois é !)

    😉

    __________________
    http://www.otal.pt.vu

  3. Burgada says:

    Está aqui um post que muito jeito me dará…mas não resisto a comentar um pequeno aparte do post que me pôs a rir…

    A certa altura (logo no inicio) dizes tu no post:

    “…pode ser explorado até à sua exaustão por um técnico de segurança que vai encontrar bugs facilmente caso existam…”

    Desculpa lá, mas esta frase dava para comentar durante bastante tempo….

  4. Carlos says:

    Não dá nada! Ele referiu e bem, caso existam!!! Sim já sei que vão dizer que é impossível não haver bugs….q há sempre…blá blá…
    Mas também não se pode partir do pressuposto que os há sem saber… Portanto… escreveu mt bem!

  5. @Burgada
    a única coisa que vejo nessa minha frase que poderá ter uma alteração é remover a palavra “fácilmente” de todas as formas não vejo motivo para nenhuma indignação. Conheço técnicos de segurança que nem se xateiam e ganham a vida a vender licenças de SSL para sites grandes, instituições e bancos por valores na casa dos 7000€ por ano, e conheço pessoas que ganham a vida a resolver problemas de programação diversos programas, sites, sistemas open source e não ganham nada.
    quando falo em explorar algo até à exaustão digo que por exemplo um erro numa página que tenha um output de uma base de dados e que contenha algo tão estupido como “access denied for user xxxx using password NO” isto já permite bruteforce nessa base de dados, seja qual for o servidor, a sua versão, e a protecção k ele possa ter. muitas vezes encontra-se erros tarde demais em sites cuja culpa é mero esquecimento do seu programador em não ter removido uma determinada linha de ECHO em PHP que permita brincadeiras deste tipo, chamo a isto explorar a informação até ao limite.
    quanto ao resto, simplesmente não compreendi, e repito, não vejo motivo para alterar a frase.
    caso vejas avisa.
    Este e outros artigos poderão vir a ser publicados noutros locais e mesmo no futuro site da iisop e não queremos publicar coisas que deixem dúvidas a ninguém, plo menos tentaremos

  6. D. Carreira says:

    Post excelente! Obrigado ao autor!

    Cumprimentos, David Carreira

  7. Jarimba says:

    Dicas simples e eficazes!

  8. phoenux says:

    @Paulo Ribeiro: Em primeiro lugar, parabéns pelo artigo. Não só fizeste referência a alguns importantes problemas de segurança como apresentaste soluções para esses mesmos problemas.

    No entanto eu também tenho alguma alguma dificuldade em digerir alguns comentários tais como “(…) o mal destes programas é serem extremamente populares e são open source (…) por ser open source e de acesso público, pode ser explorado até à sua exaustão por um técnico de segurança que vai encontrar bugs facilmente caso existam (…) “, não por não ser verdade, mas porque não considero que isto seja necessariamente um aspecto negativo. A partilha de código não é uma coisa má, o mau é existirem pessoas que detectam essas falhas e em vez de as reportarem ou de as corrigirem, as exploram e tentam ganhar dinheiro com isso, utilizando algo que foi desenvolvido por alguém (à partida) sem segundas intenções, num espírito de partilha.

    Por outro lado é triste verificar que existem ainda os programadores que desenvolvem plugins com exploids no sentido de mais tarde explorarem essas falhas. Isto parece-me um bocado a política de aqueles que desenvolvem software proprietário com falhas para depois venderem o suporte e a respectiva resolução. Felizmente no software opensource existe a vantagem de estas falhas poderem ser corrigidas por quem quiser uma vez que o código é aberto e não está escondido num repositório fechado qualquer.

    Mesmo assim, e apesar de divergirmos na forma como vemos o software opensource, o artigo está bastante bom. Parabéns.

  9. Alexvf says:

    Viva,

    Bom artigo e extremamente actual.

    Penso que nunca é de mais referir, e neste caso para os leitores que usam o Joomla como CMS de eleição, que há uma lista oficial de extensões não-seguras que devem consultar antes de instalar qualquer add-on.

    Abraço.

  10. @phoenux
    eu nao axo o opensource mau, apenas axo que fica muito exposto a análise de quem tem segundas intenções.
    em ambiente windows ha coisas dificeis de alterar entao o cracking passou directamente para os trojans aqui à uns anos. open source é solução a muita coisa, mas o meu ponto de vista seria que uma empresa com poderio monetário deveria utilizar um site feito apenas para aquela empresa e não utilizar um site em CMS por exemplo porque nesse caso arrisca bases de dados com informações sobre clientes etc etc.
    no fundo o open source é o novo poderio das massas, que dá porrada velha à microsoft que agora se vira para contratos com governos dos paises e grandes empresas em vez de pensar no cliente pequeno.
    um bom exemplo é o open office… 😉

  11. Nuno Amaral says:

    E dicas para segurança do JOOMLA? Alguém tem?

  12. nuno começa pelos metas do site e ve o que ele guarda em cache, de resto joomla em si é seguro o problema sao permissoes de certos ficheiros e inclusões remotas de ficheiros, porém fica a dica para um futuro manual completo para protecção de joomla 😉

  13. José Fonseca says:

    Excelente artigo!
    Parabéns

  14. Rogério says:

    O artigo está bastante bom, menos bom foi terem exposto o site africano… :\

  15. Miguel says:

    Grande post e grando o site deles !

  16. maria says:

    Minha filha está a fazer um blogger, no entretanto, meu temor é com hacker então, pergunto, fazendo favor, dá para saber o IP de quem entra e apenas poe-se a ler? E se posta uma mensagem, como se há de verificar o seu IP?
    Desculpem mas não percebo muito bem, se alguém quiser fazer favor, pode mandar uma respost^?
    Melhores cumprimentos
    Maria da Graça Regina de Fatima

  17. pedro de paulo says:

    Este post foi muio bom!!!

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.