lucast

Eu já fiz uns testes simples de segurança em algumas páginas há um tempo atrás e tinha encontrado algumas falhas, então eu as reportei e foram corrigidas em seguida. Após a correção fiz o mesmo teste em outras páginas e encontrei a mesma falha e alertei que o sistema ainda continha vulnerabilidades, contudo acabei não informando o local, pois se a gente entrasse nesse ciclo iria acabar fazendo um pentest gratuito.

Olá senhores, No começo de janeiro foram divulgadas duas falhas no Ruby on Rails, sendo lançados patches quases instântaneos para correção dessas. Como muitos de vocês oferecem Ruby e praticamente toda aplicação nessa linguagem de programação utiliza Ruby on Rails, achei conveniente abrir este tópico. As falhas permitem que o atacante execute qualquer tipo de código, como por exemplo um shell remoto ou qualquer outra coisa que se possa imaginar, bastando apenas que a aplicação utilize RoR, deixando o servidor severamente comprometido. Aconselho fortemente que seus clientes instalem as atualizações, pois já possuem exploits divulgados. Vulnerabilidades: CVE-2013-0156 CVE-2013-0333 Anúncios do RoR: https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/1h2DR63ViGo Blog explicando bem detalhado o impacto: http://www.kalzumeus.com/2013/01/31/what-the-rails-security-issue-means-for-your-startup/

Nossa, HostGator tá perigosa... Eu tenho uma revenda lá e instalei o SSL ano passado, não sendo cobrada nenhuma taxa pela instalação, só a mensalidade do IP dedicado de 5 reais e ainda continuo pagando esse valor.

O que eu quis dizer, é que tu não usa os valores que geraram o salt pra fazer a comparação... na validação tu só utiliza o salt que foi computado na hora de criar a senha, não interessa os valores que deram origem ao salt.

Na verdade eu me expressei mal... o que eu quis dizer é que não importa os valores que geraram o salt, porque tu não usa eles para fazer verificação... Aí vai um pouco de cada um também, eu acredito que gerar uma string aleatória tenha menor complexidade do que calcular um hash, e no teu caso, tu garante a aleatoriedade devido ao uso do tempo atual... a verdade é que tem várias formas de implementar isso... Nossa... tu gerou 150 milhões de senhas e todas elas deram resultados diferentes... se o teu objetivo era garantir a não repetição... acho que tu conseguiu sim.... hahah... aí não tem rainbow table que dê jeito....bom, pelo nível de segurança que tu buscou, acredito que o sistema também deve não estar permitindo enumeração de usuários e força bruta.

Hmm... agora eu entendi, muito bom... nessa linha: $hash = substr(hash('sha256',(crc32($senha.PASS_TOKEN2).md5($senha.PASS_TOKEN1).sha1(time() * cos(pi() / rand(1,90))))),$lim1,24);[/CODE] Tas criando um salt dinâmico pra gerar a senha e ao invés de armazená-lo em um lugar separado, está concatenando na própria senha que vai ser salva no BD. Então quando eu perguntei sobre a função time(), não fazia sentido, porque ela é usada pra calcular só o salt mesmo... Agora eu também entendi porque não tava funcionando... eu tava usando para testar a senha "teste", eu conseguia gerar o hash dela por que no if do método cSenha, tava assim: if(!empty($senha) or strlen($senha) >= 6) Por causa do "or" eu conseguia gerar senha com 5 caracteres, mas na validação ele já retornava false porque lá ele ta verificando certinho o tamanho da senha... Agora uma pergunta sobre o código... porque tas utilizando tantas funções de hash pra calcular o salt? Uma função simples gerando uma string randômica com tamanho 24 não seria o sufciente, garantindo a aleatoriedade, visto que esse salt não é usado pra fazer comparação? Tornaria o processo menos custoso também.

Opaaa... no código que tu colou no tópico, na função cSenha($senha), na lilha em que é atribuído um valor da váriavel $senha, você está chamando a função hash do php com o algoritmo sha256, mas no arquivo pra download está sha512... Confesso que não consegui entender direito, parece que você vai tirando vários hashs, concatenando e tirando hash... e acaba utilizando o tempo atual pra gerar a senha, mas desconsidera ele na hora da validação?

Po, legal, valeu aí pelas informações.

Hmm.. mas eu não considero isso como uma falha do SSL e sim da arquitetura ARP. O objetivo do SSL, de manter sigilo entre o servidor e cliente continua ok, o problema é que você está se passando pelo cliente por causa do ARP. Este tipo de ataque só pode ocorrer se no caso o cliente e o atacante estiverem na mesma rede local certo?

Sem dúvida, a empresa me passa uma imagem mais profissional, demonstrando que toma cuidado com os dados que o clientes informam. Até para você acessar o painel de administração sem medo em redes públicas não criptografadas. Não tem como burlar o SSL, aonde você viu isso?

Eu gostei... Tá bem simples, mas tá harmônico, esse tom de cinza combina legal com aquele azul. Mas seria interassante tu apresentar um pouco do conceito, o que significa aquele arco azul embaixo? Faz umas versões em preto e branco, uma com o fundo branco e outra com o fundo preto pra ver como fica caso venham fazer material impresso. Abraço.

Assina com aquela que te passa mais confiança. Começa listando aquelas que tem as configurações que tu necessita. Depois disso entra em contato com elas para ver como é o atendimento, envia e-mail, entra no chat, tira dúvida de madrugada e vê como te tratam.

Dá de fazer com MySQL sim, é só colocar o campo idCliente como chave estrangeira e utlizar o JOIN do MySQL pra pegar os dados da tabela clientesPj ou clientesPf.

Tu só precisa verificar se o site está online? nenhuma informação a mais?

Opa Maclei, não sabia que já estava em produção... Se for alterar muita coisa, vale mais a pena mesmo fazer de uma vez só, ao invés de ser feito aos pouquinhos.. "Eu gostaria de ter tido opiniões de quem desenvolveu o próprio site, quem respondeu ajudou bastante, mas nenhum tem um site para que eu possa ver na prática o que o usuário falou e fez no seu site, assim ficaria mais fácil entender. " Bom eu fiz o meu próprio site há uns 6 meses atrás acho, mas não comecei a divulgar ainda, mas se quiser dar uma olhada: www.azulhost.com.br abraço

Opa Maclei, vou fazer a minha avaliação aqui a respeito de tudo. Antes, sobre o nome, eu achei meio ruim, acredito que seja difícil de memorizar Qualificato, mas é uma opinião bem pessoal. O que significa esse nome? O que representa aquele logo? Chegou a ver como ficaria a logo impressa em preto e branco? A respeito do site em si, achei bem feio aquele backgroud no topo, com aquele quadriculado, bem estranho. Acho que tu pecou também nas cores, tas usando uns 3 tons de azul, mais 2 tons de verde que não combinam entre si. Como sugestão, eu aconselho a acessar o site Colour Lovers (http://www.colourlovers.com/), lá tem várias "palletes" (http://www.colourlovers.com/palettes) com cores que combinam, eu sempre escolho uma pra utilizar e faço o site baseado nas cores da paleta escolhida. A estrutura do layout, a disposição dos elementos ficaram boas. Na página inicial, naquela parte com fundo amarelo que tem um texto, tem dois tipos de efeitos pra links, um com a cor preta e outro azul. Acho que ficaria melhor tu definir um pra todo o site, pra não confundir o visitante. Nas páginas em que são mostrados os planos, como na hospedagem e revenda, acredito que por questões de usabilidade seria interessante também tu colocar o valor do plano e botão pra assinar no fim da tabela. Assim como cada página tem um título diferente, cada página tem que ter o conteúdo da meta tag description diferente. Bom, é isso aí, sucesso na nova empreitada. Abraço

Rodrigo, tu saberia me informar como era essa forma de alterar? Eu fui ver o meu código e vi que ele passa o valor da fatura por um input hidden.... como que funcionaria com a API? Abraço

Conhecimento em PHP e MySQL não vai fazer tu gerenciar um servidor... Acho que tu não tem muita experiência, aconselho que tu contrate uma revenda por um tempo só pra aprender a usar o whm, cpanel, simular situações, se ambientar.... E de preferência com alguém do fórum, porque a maioria usa MSN e tu pode ter uma conversa direta com eles, absorvendo o máximo de conhecimento que puderes. Eu comecei com a WebInHost do Marco Antônio e recomendo. Quando já estiveres seguro, aí sim contrata uma revenda pra começar a oferecer hospedagem. Sobre revenda de domínio, dê uma olhada na resell.biz abraço

Nossa André, nada a ver, como tu pode falar do tableless se só tem a imagem ali... Tássio, no geral ficou bom, mas no meu ponto de vista tem algumas coisas pra melhorar - A imagem do globo no registro de domínio parece que tu só diminui a largura dela, não redimensinonou proporcionalmente. - Os botões de saiba mais estão bem apagados.

Bom, to meio por fora de como está implementado o sistema, mas acredito que passar essas informações pela URL, sem máscara, gere um grau de vulnerabilidade, mesmo sendo difícil a questão de uma pessoa acertar o id e o e-mail de outra, mas aí pode entrar a questão da engenharia social. Eu penso em dois modos que se possa fazer: 1- Ao inves de passar as informações do usuário, como id e e-mail, concatenar os bytes dessa informação e aplicar o hash. Mas aí seria interessante armazenar esse hash no banco de dados para ter acesso direto e não ficar gerando o hash do cliente toda hora. 2- Cifrar as informações dos clientes. Para criptografia simétrica, aconselho AES ou 3DES e assimétrica o algoritmo RSA. E em relação aos algoritmo de hash, já foi conseguido sucesso em ataques de colisão ao MD5 e SHA-1. Abraço

Eu não entendi essa parte, é pra eu criar um cliente, ou um sub revendedor? E outra coisa, quando eu tento registrar um domínio manualmente lá, fala que o valor é de $14,50 USD, estou indo no lugar errado? Desde já, Obrigado pela atenção.

O Melqui_zmdesign disse tudo. A página inicial está com muita informação, muito texto... tudo colado. Aconselho a reestruturar o site utilizando tableless, o site fica mais rápido e mais amigável aos buscadores. Além disso vi que tem muitas imagens desnecessárias. A forma como está fazendo a páginação não é muito interessante, pelo menos está bloqueando o include de arquivos remotos. Que tal urls amigáveis? abraço

A ideia dele é que criassem tópicos fixos sobre filmes, livros e músicas, dentro do Boteco do Host. Assim quem quisesse falar sobre um filme, ao invés de criar um tópico específico para um, teria um tópico só para discutir filmes.

Favor, leia as regras do FORUM

Opa, tamo aí brother. Só aconselho a tu além de botar o aviso, passar o que o usuário digitar por um filtro, pra evitar esse problema... sempre tem que pensar no pior caso, quando tem interação com o usuário, em desenvolvimento web. Outra coisa, aproveitando que tu tá fazendo uma nova versão do sistema, atualiza o teu script da API do Google Maps, tas usando a versão 2 e já tem a versão 3. Abraçooo