Segurança Em Sites

[::THRASHER::]

Li o post sobre site hackeado do Heitor e fiquei com a dúvida.

Como proteger os nossos sites contra a invasão?

Dicas, ferramentas, opiniões podem postar a vontade.......

[X.bArArA.X]

Sem chances! Tipo, queim controla seu site é o server. Ele q é responsahvel pela sua segurança. Normalmente eles já teim todo um aparato pronto. você não pode fazer nada, ou melhor, se você quer segurança no seu site, é simples. não publique-o!

[::THRASHER::]

Compreendo a sua colocação, digamos que eu tenha um site de comércio eletrônico em que os usuários tenham que fornecer números de cartão eletrônico e senha, ou outras informações confidenciais, temos que depender da segurança do provedor?

[diraol]

não 100%....

você tem que proteger essa coisas através do seu código também.....

tipo, você não pode abrir brechas para que os hackers utilizem-as para entrar no seu banco de dados e tal...

mas ai cada linguagem tem suas 'falhas'... cada código tem as suas falhas............

de resto..... só no server mesmo...

[::THRASHER::]

beleza Diraol...........hj em dia esse problema não está tão aflorado, mas daqui alguns anos quem sabe teremos que nos aperfeiçor quanto a segurança em linguagem de desenvolvimento web.

[Heitor Prado]

com tantos lammers ae sem fazer nada com certeza precisaremos nos aperfeiçoar xim...

[diraol]

pois é.....

e já tem gente se 'adiantando'....hehehe

http://scriptbrasil.com.br/forum/index.php?showtopic=18263

[jissa]

O problema, como foi falado ai não depende só do server... depende de senhas e proteçoes de diretorio..

Hoje oa server protegem seu DB colocando em locais restritos.. porem se no seu codigo deixar aberturas para SQL Injection podem ver o conteudo e até alterar..

muitos utilizam senhas e usuarios em branco para o banco de Dados porque acham que facilita, facilita mesmo, para quem quiser pegar suas inf. no caso do Host ai que foi hackeado.. bem ou o cara tem uma senha muito falha.. ou o diretorio e o script esta liberado para escrita e gravacao... ou mesmo o cara que colocou a imagem tenha a senha da pessoa.

normalmente o padrão é somente leitura, mas se você mesmo liberar para funcionar um script seu.. estara liberando para outros tb.

tipo um sistema de Upload.. voce tem que liberar o diretorio para gravacao alguém pode injetar um script nele.. então tem que verificar o que sera enviado, o pior que alguns liberam o root para escrita.. ai já era mesmo.

mas acredito que a maior falha seja senha mesmo.

já Sites de Foruns que o pessoal mantem o script de instalaçao nele, e muitos mantem a senha padrão.

fora os paineis de controle que nem senha colocam...

[Renyo]

não existe um sistema perfeito.. todos podem ser invadidos e ponto final

[Heitor Prado]

com certezanaum existem sistemas perfeitos... como não existem pessoas perfeitas!!!

mais existe sistemas q xegam perto desta perfeição!!!

[xcel3nt]

Bem.. alguma dicas simples que podem ajudar a diminuir os riscos de ataque contra seu servidor..

1. politica de senhas consistente

2. um sistema de firewall bem configurado

3. manter o sistema e os softwares constantemente atualizados

4. updates contínuos de seu anti-virus

5. nada de configuração padrão deverá ser usado nos recursos acima!

se você seguir essas 5 dicas.. você diminuirá bastante os riscos de um ataque!bem era isso.. até+

[thb_matrix]

Agora é minha vez... Depende do usuário também.

Eu tenho me espantado com as senhas "1234"...

Agora os "hackers" de final de semana não tentam no chute descobrir a senha, agora o que eles tentam é o login...

Afinal, a maioria das senhas é algo como "1234".

[Heitor Prado]

HAHAHA

1234 é padrão mesmo hein....

[Cliford]

Ae galera este site faz vigilancia do seu site gratuitamente:

http://www.scan.com.br

tem um porem tu vau receber mais de 300 spam por dia!

[diraol]

oras cliford... cadastra um e-mail novo só pra isso.... ai os spans que se danem...hehehehe......

pega tipo Yahoo que tá com um sistema anti-span que dá pra você adicionar e-mails de spammers e tals........

matrix.... hauhauhauhahu... é fogo, pessoal num pensa nem um poco não é???? moh preguiça.....

[Cliford]

matrix.... hauhauhauhahu... é fogo, pessoal num pensa nem um poco não é???? moh preguiça.....

Sou o senhor cabeça mesmo, como n pensei nisso?AHUHAUAHUAHUAHA, so criar outra conta para receber os e-mail spam

[edgar2000br]

outra questao importante é como codificar arquivos .php.

O zender encoder faz isso, porem a licenca é muito cara, o PHPCoder tem q ser instalado no server....fica dificil.

porque é uma brecha muito grande deixar os arquivos de conexao com o banco de dados "escancarados" com login e senha.

Se alguém consegue pegar um arquivo desse já era o BD do cara... já pensou?

Estou a busca de algo q encripte o codigo .php para evitar este tipo de problema.

[Mongoose]

Segurança de um servidor.

Está muito alem doq foi postado

[xcel3nt]

mongoose, concerteza... segurança em servidor vai muuuuuuuito alem.. mas não podemos colocar a carroça na frente dos bois... se não passarmos um BOM basico.. não tem como ter conhecimentos suficiente para passa prum nivel mais avançado....

Uma meta deve ser começada pelo começo ;PPP

[Colcci]

Bom, a boa e velha política de segurança, como já disse o xcel3nt, ajuda e bastante, e evita uma série de risco.

Outras sugestões que ajudam:

- a criptografia do código, o acesso ao código, já que a gente vê até a alma de alguns sites.

- adoção de certificado digital, que hoje, embora pouco divulgado, já é uma realidade.

- e essa, vamos e viemos, também ajuda, o acesso ao servidor, por uma pessoa de confiança, por que já peguei alguns casos em que abria a brecha para o perigo era o próprio funcionário da empresa. Nesse caso também pode-se adotar acesso restrito.

Espero ter contribuido

[Xandão Grunge]

É pessoal, você disseram muitas coisas interessantes. No entanto, como vai ser a segurança durante o trafego? se as pessoas utlizarem um sniffer serão capaz de capturar dados enquanto estão trafegando pela a rede, inclusive a senha... dai já era!!!

Qual seria a solução para isso?

Criptografar dados.

Mas como poderia criptografar dados?

Atravez do SSL - Secure Socket Layer (acho q é assim q se escreve). Ele é utilizo para logins de rede, inclusive de bancos. Ele mostra aquele cadeadinho na barra de status do navegador.

Como utilizo o SSL? ele é pago?

Bom pessoal, isso eu também gostaria de saber... heheheh

Atenciosamente,

Xandão Grunge

[Nêutron]

não apenas o SSL, mas tb outros metodos...

exemplo TLS (Transport Layer Security)

ah...

NADA, absolutamente NADA adianta...

se o usuário INFELIZ não usar firewall

ou tiver spyware na makina

tem coisas q eu acho q nem precisam ser ditas, essa é uma delas