lucast

Eu já fiz uns testes simples de segurança em algumas páginas há um tempo atrás e tinha encontrado algumas falhas, então eu as reportei e foram corrigidas em seguida. Após a correção fiz o mesmo teste em outras páginas e encontrei a mesma falha e alertei que o sistema ainda continha vulnerabilidades, contudo acabei não informando o local, pois se a gente entrasse nesse ciclo iria acabar fazendo um pentest gratuito.

Olá senhores, No começo de janeiro foram divulgadas duas falhas no Ruby on Rails, sendo lançados patches quases instântaneos para correção dessas. Como muitos de vocês oferecem Ruby e praticamente toda aplicação nessa linguagem de programação utiliza Ruby on Rails, achei conveniente abrir este tópico. As falhas permitem que o atacante execute qualquer tipo de código, como por exemplo um shell remoto ou qualquer outra coisa que se possa imaginar, bastando apenas que a aplicação utilize RoR, deixando o servidor severamente comprometido. Aconselho fortemente que seus clientes instalem as atualizações, pois já possuem exploits divulgados. Vulnerabilidades: CVE-2013-0156 CVE-2013-0333 Anúncios do RoR: https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/1h2DR63ViGo Blog explicando bem detalhado o impacto: http://www.kalzumeus.com/2013/01/31/what-the-rails-security-issue-means-for-your-startup/

Nossa, HostGator tá perigosa... Eu tenho uma revenda lá e instalei o SSL ano passado, não sendo cobrada nenhuma taxa pela instalação, só a mensalidade do IP dedicado de 5 reais e ainda continuo pagando esse valor.

O que eu quis dizer, é que tu não usa os valores que geraram o salt pra fazer a comparação... na validação tu só utiliza o salt que foi computado na hora de criar a senha, não interessa os valores que deram origem ao salt.

Na verdade eu me expressei mal... o que eu quis dizer é que não importa os valores que geraram o salt, porque tu não usa eles para fazer verificação... Aí vai um pouco de cada um também, eu acredito que gerar uma string aleatória tenha menor complexidade do que calcular um hash, e no teu caso, tu garante a aleatoriedade devido ao uso do tempo atual... a verdade é que tem várias formas de implementar isso... Nossa... tu gerou 150 milhões de senhas e todas elas deram resultados diferentes... se o teu objetivo era garantir a não repetição... acho que tu conseguiu sim.... hahah... aí não tem rainbow table que dê jeito....bom, pelo nível de segurança que tu buscou, acredito que o sistema também deve não estar permitindo enumeração de usuários e força bruta.

Hmm... agora eu entendi, muito bom... nessa linha: $hash = substr(hash('sha256',(crc32($senha.PASS_TOKEN2).md5($senha.PASS_TOKEN1).sha1(time() * cos(pi() / rand(1,90))))),$lim1,24);[/CODE] Tas criando um salt dinâmico pra gerar a senha e ao invés de armazená-lo em um lugar separado, está concatenando na própria senha que vai ser salva no BD. Então quando eu perguntei sobre a função time(), não fazia sentido, porque ela é usada pra calcular só o salt mesmo... Agora eu também entendi porque não tava funcionando... eu tava usando para testar a senha "teste", eu conseguia gerar o hash dela por que no if do método cSenha, tava assim: if(!empty($senha) or strlen($senha) >= 6) Por causa do "or" eu conseguia gerar senha com 5 caracteres, mas na validação ele já retornava false porque lá ele ta verificando certinho o tamanho da senha... Agora uma pergunta sobre o código... porque tas utilizando tantas funções de hash pra calcular o salt? Uma função simples gerando uma string randômica com tamanho 24 não seria o sufciente, garantindo a aleatoriedade, visto que esse salt não é usado pra fazer comparação? Tornaria o processo menos custoso também.

Opaaa... no código que tu colou no tópico, na função cSenha($senha), na lilha em que é atribuído um valor da váriavel $senha, você está chamando a função hash do php com o algoritmo sha256, mas no arquivo pra download está sha512... Confesso que não consegui entender direito, parece que você vai tirando vários hashs, concatenando e tirando hash... e acaba utilizando o tempo atual pra gerar a senha, mas desconsidera ele na hora da validação?

Po, legal, valeu aí pelas informações.

Hmm.. mas eu não considero isso como uma falha do SSL e sim da arquitetura ARP. O objetivo do SSL, de manter sigilo entre o servidor e cliente continua ok, o problema é que você está se passando pelo cliente por causa do ARP. Este tipo de ataque só pode ocorrer se no caso o cliente e o atacante estiverem na mesma rede local certo?

Sem dúvida, a empresa me passa uma imagem mais profissional, demonstrando que toma cuidado com os dados que o clientes informam. Até para você acessar o painel de administração sem medo em redes públicas não criptografadas. Não tem como burlar o SSL, aonde você viu isso?

Eu gostei... Tá bem simples, mas tá harmônico, esse tom de cinza combina legal com aquele azul. Mas seria interassante tu apresentar um pouco do conceito, o que significa aquele arco azul embaixo? Faz umas versões em preto e branco, uma com o fundo branco e outra com o fundo preto pra ver como fica caso venham fazer material impresso. Abraço.

Assina com aquela que te passa mais confiança. Começa listando aquelas que tem as configurações que tu necessita. Depois disso entra em contato com elas para ver como é o atendimento, envia e-mail, entra no chat, tira dúvida de madrugada e vê como te tratam.

Dá de fazer com MySQL sim, é só colocar o campo idCliente como chave estrangeira e utlizar o JOIN do MySQL pra pegar os dados da tabela clientesPj ou clientesPf.

Tu só precisa verificar se o site está online? nenhuma informação a mais?

Opa Maclei, não sabia que já estava em produção... Se for alterar muita coisa, vale mais a pena mesmo fazer de uma vez só, ao invés de ser feito aos pouquinhos.. "Eu gostaria de ter tido opiniões de quem desenvolveu o próprio site, quem respondeu ajudou bastante, mas nenhum tem um site para que eu possa ver na prática o que o usuário falou e fez no seu site, assim ficaria mais fácil entender. " Bom eu fiz o meu próprio site há uns 6 meses atrás acho, mas não comecei a divulgar ainda, mas se quiser dar uma olhada: www.azulhost.com.br abraço