Comments for Wagner Elias - Think Security First http://wagnerelias.com BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer Sat, 06 Mar 2010 18:13:09 -0700 http://wordpress.org/?v=2.8.2 hourly 1 Comment on Php Security – Nem tudo que é publicado deve ser seguido by Elias Wagner http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1031 Elias Wagner Sat, 06 Mar 2010 18:13:09 +0000 http://wagnerelias.com/?p=692#comment-1031 <a href='#comment-1029' rel="nofollow">@ideud8ef</a> - hahaha, maldoso você. Concordo que o uso de um bom salt é essencial e se for complexo o suficiente vai quase impossível reverter a senha com um hash pré-computado. Em php eu acho mais interessante um salt hard-coded do que em banco de dados. Esta sim é uma boa abordagem: "Uma abordagem interessante seria armazenar um pre-salt no banco de dados junto com os demais dados do usuário e aplicar um hmac com uma senha contida em arquivo no servidor a esse pre-salt para gerar o salt verdadeiro."<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1031','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1031','Elias Wagner','<a href=\'#comment-1029\' rel=\"nofollow\">@ideud8ef<\/a> - hahaha, maldoso você.\r\n\r\nConcordo que o uso de um bom salt é essencial e se for complexo o suficiente vai quase impossível reverter a senha com um hash pré-computado.\r\n\r\nEm php eu acho mais interessante um salt hard-coded do que em banco de dados. \r\n\r\nEsta sim é uma boa abordagem:\r\n\r\n\"Uma abordagem interessante seria armazenar um pre-salt no banco de dados junto com os demais dados do usuário e aplicar um hmac com uma senha contida em arquivo no servidor a esse pre-salt para gerar o salt verdadeiro.\"'); return false;">Quote</a></div> @ideud8ef – hahaha, maldoso você.

Concordo que o uso de um bom salt é essencial e se for complexo o suficiente vai quase impossível reverter a senha com um hash pré-computado.

Em php eu acho mais interessante um salt hard-coded do que em banco de dados.

Esta sim é uma boa abordagem:

“Uma abordagem interessante seria armazenar um pre-salt no banco de dados junto com os demais dados do usuário e aplicar um hmac com uma senha contida em arquivo no servidor a esse pre-salt para gerar o salt verdadeiro.”

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Elias Wagner http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1030 Elias Wagner Sat, 06 Mar 2010 18:07:42 +0000 http://wagnerelias.com/?p=692#comment-1030 @João – Este é o ponto João, se armazenar o hash em outro local que não seja junto com o hash fica mais difícil de o cara ter acesso a senha. Ter acesso aos dados é problema sério sem dúvida, não estamos discutindo isto. Mas não é porque eu tive acesso ao banco que devo ter acesso a senha, se este for o raciocínio, para que senha? Coloca a seja em texto claro em tão.
ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by ideud8ef http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1029 ideud8ef Sat, 06 Mar 2010 17:59:43 +0000 http://wagnerelias.com/?p=692#comment-1029

Originally Posted By Elias WagnerRegister Globals habilitado realmente é uma falha grave, inclusive as novas versões já vem desabilitada por default. Mas um código deve ser escrito independente das configurações do ambiente.

Se eu ainda escrevesse coisas em PHP, não sentiria dó de colocar um if(ini_get(’register_globals’)) die(’Desligue o register_globals seu admin burro’); no começo de cada arquivo .php :)

Agora eu discordo que é correto armazenar na mesma tabela junto com o hash, como eu disse um SQLi você pega o hash também

Ué, e qual o problema de pegar o hash e o salt com um SQL injection? Se a entropia do salt for boa (salt grande com boa aleatoricidade – que pode ser gerado com mcrypt por exemplo), a probabilidade de encontrar a senha precomputada é ínfima.

De maneira nenhuma concordo com o texto do seu artigo que diz que uma senha hardcoded é mais segura que uma senha encriptada com esquema de salt só porque ela está em um banco de dados e as estatísticas dizem que ataques SQL injection são mais encontrados que LFI e outros. É preciso utilizar criptografia decente sempre, seja onde a a senha estiver armazenada.

O mais adequado nestes casos é armazenar uma string no código ou em um arquivo no server, como o wordpress faz por exemplo. Óbvio que quem configura deve alterar a string padrão.

O que você quis dizer com isso? Armazenar um código em um arquivo no servidor e usar como salt? Se for isso, é extremamente inseguro. Um bom salt é um salt aleatório e totalmente independente para cada usuário diferente. Você poderia fazer hash do código do arquivo no servidor com o nome de usuário, mas mesmo assim não seria tão bom quanto um salt aleatório, pois todos os salts estão sendo tirados da mesma função e não são independentes entre si. Formalmente, teríamos uma grande quantidade de informação mútua entre salts diferentes.

Uma abordagem interessante seria armazenar um pre-salt no banco de dados junto com os demais dados do usuário e aplicar um hmac com uma senha contida em arquivo no servidor a esse pre-salt para gerar o salt verdadeiro.

Mas, sinceramente? Acho desnecessário tanta complicação se o salt usado for realmente bom, segundo os critérios que já citei. É mais provável a incidência de uma falha que permita acesso aos arquivos do servidor que a ocorrência de um salt repetido, dependendo do tamanho do salt.

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by João http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1028 João Sat, 06 Mar 2010 17:42:41 +0000 http://wagnerelias.com/?p=692#comment-1028 Elias, não concordo com a sua afirmação sobre o salt. Inserir o salt juntamente com a senha é uma prática comum. Afinal, se alguém obtém o hash, é porque teve acesso ao banco, e certamente conseguirá obter o salt.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1028','João'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1028','João','Elias, não concordo com a sua afirmação sobre o salt. Inserir o salt juntamente com a senha é uma prática comum. Afinal, se alguém obtém o hash, é porque teve acesso ao banco, e certamente conseguirá obter o salt.'); return false;">Quote</a></div> Elias, não concordo com a sua afirmação sobre o salt. Inserir o salt juntamente com a senha é uma prática comum. Afinal, se alguém obtém o hash, é porque teve acesso ao banco, e certamente conseguirá obter o salt.
ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Elias Wagner http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1027 Elias Wagner Sat, 06 Mar 2010 16:42:04 +0000 http://wagnerelias.com/?p=692#comment-1027 Nas versões recentes e bem configurado de php não é possível explorar isto, mas como respondi em outro comentário, um código deve ser escrito independente do ambiente e da configuração que ele irá rodar. Não acho uma boa prática sugerir um variável global em uma situação onde ele só precisa informar o nome do arquivo. Vou tentar montar o ambiente certo para fazer um exemplo da exploração e publico.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1027','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1027','Elias Wagner','Nas versões recentes e bem configurado de php não é possível explorar isto, mas como respondi em outro comentário, um código deve ser escrito independente do ambiente e da configuração que ele irá rodar.\n\nNão acho uma boa prática sugerir um variável global em uma situação onde ele só precisa informar o nome do arquivo.\n\nVou tentar montar o ambiente certo para fazer um exemplo da exploração e publico.'); return false;">Quote</a></div> Nas versões recentes e bem configurado de php não é possível explorar isto, mas como respondi em outro comentário, um código deve ser escrito independente do ambiente e da configuração que ele irá rodar.

Não acho uma boa prática sugerir um variável global em uma situação onde ele só precisa informar o nome do arquivo.

Vou tentar montar o ambiente certo para fazer um exemplo da exploração e publico.

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Elias Wagner http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1026 Elias Wagner Sat, 06 Mar 2010 16:32:43 +0000 http://wagnerelias.com/?p=692#comment-1026 Register Globals habilitado realmente é uma falha grave, inclusive as novas versões já vem desabilitada por default. Mas um código deve ser escrito independente das configurações do ambiente.

Para quem acha que não é necessário validar o $_SERVER['SCRIPT_NAME'] segue aqui uma série de falhas explorando SCRIPT_NAME:

http://osvdb.org/show/osvdb/35502
http://drupal.org/node/324875
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-2431
http://www.milw0rm.com/exploits/3816
http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2010-02/msg00385.html

Muito gente acha que por ser recomendado o SCRIPT_NAME como opção mais segura para o PHP_SELF ele não deve ser validado e isto é incorreto.

Sobre o Salt, concordo que além de armazenar errado a entropia do Salt é baixa, previsível. Agora eu discordo que é correto armazenar na mesma tabela junto com o hash, como eu disse um SQLi você pega o hash também, por exemplo um SQLi como este: http://www.otavioribeiro.com/videos/MSSQL.html

O mais adequado nestes casos é armazenar uma string no código ou em um arquivo no server, como o wordpress faz por exemplo. Óbvio que quem configura deve alterar a string padrão.

Abs.

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by ideud8ef http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1025 ideud8ef Sat, 06 Mar 2010 16:11:30 +0000 http://wagnerelias.com/?p=692#comment-1025 1) Pessoas que ativam register_globals na configuração do PHP deveriam apanhar. Eu simplesmente faria o meu script não funcionar se essa configuração estivesse ativa, assim os exemplos com $_SERVER do livro não poderiam ser injetados mesmo em versões antigas do PHP.

2) O código de salt do livro não apresenta a vulnerabilidade que você disse. É preciso sim armazenar o salt, todo mundo faz isso. Se você pegar o formato de senha encriptado do /etc/shadow por exemplo, ele vai ter primeiro um identificador do tipo de hash, depois o salt, e depois o hash, concatenados numa mesma string.

O problema no código do livro é outro. O salt é muito previsível, por ser baseado somente no tempo, e isso reduz a complexidade de um ataque por rainbow table, pois é necessário armazenar uma pequena faixa de salts. Se o salt tivesse uma boa aleatoriedade, o espaço de salts possíveis seria bem maior, aumentando a complexidade do ataque.

É claro que é sempre recomendável usar a função crypt do PHP para encriptar senhas, que aliás é capaz de usar hash baseado em blowfish como algoritmo, que é computacionalmente mais complexo que o hash sha1 que ele usou.

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Vinícius Sant'anna http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1024 Vinícius Sant'anna Sat, 06 Mar 2010 14:10:06 +0000 http://wagnerelias.com/?p=692#comment-1024 ótimo post, porém infeliz os autores desse livro.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1024','Vinícius Sant\'anna'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1024','Vinícius Sant\'anna','ótimo post, porém infeliz os autores desse livro.'); return false;">Quote</a></div> ótimo post, porém infeliz os autores desse livro.
ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by X2 http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1023 X2 Sat, 06 Mar 2010 12:57:40 +0000 http://wagnerelias.com/?p=692#comment-1023 1 - Uso de variáveis Super Globals do Php sem sanitização - página 77 Estou descrente que NESSE exemplo isso seja uma vulnerabilidade ou que é necessário o programador gastar linha de código para sanitizar a varíavel $_SERVER['SCRIPT_NAME']. Tem como mostrar um exemplo claro de como pode explorar esse exemplo?<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1023','X2'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1023','X2','1 - Uso de variáveis Super Globals do Php sem sanitização - página 77\r\n\r\nEstou descrente que NESSE exemplo isso seja uma vulnerabilidade ou que é necessário o programador gastar linha de código para sanitizar a varíavel $_SERVER[\'SCRIPT_NAME\'].\r\n\r\nTem como mostrar um exemplo claro de como pode explorar esse exemplo?'); return false;">Quote</a></div> 1 – Uso de variáveis Super Globals do Php sem sanitização – página 77

Estou descrente que NESSE exemplo isso seja uma vulnerabilidade ou que é necessário o programador gastar linha de código para sanitizar a varíavel $_SERVER['SCRIPT_NAME'].

Tem como mostrar um exemplo claro de como pode explorar esse exemplo?

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by PHP Security – Nem tudo que é publicado deve ser seguido :Software Livre http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1022 PHP Security – Nem tudo que é publicado deve ser seguido :Software Livre Sat, 06 Mar 2010 08:30:53 +0000 http://wagnerelias.com/?p=692#comment-1022 [...] de que é necessário validar as fontes e questionar o que lhe apresentam como solução.” [referência: wagnerelias.com] Share and [...]
ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Elias Wagner http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1021 Elias Wagner Sat, 06 Mar 2010 03:44:37 +0000 http://wagnerelias.com/?p=692#comment-1021 João, você tem razão, o salt é uma boa prática, como eu deixei bem claro: "2 - Implementação inadequada de salt - página 78 O livro começou bem neste ponto, sugerindo a utilização de salt como recurso para fortalecer os hashs de senha. Mas, como geralmente acontece, a idéia é boa mas a implementação é ruim." O problema é a implementação do salt sugerido por eles. O salt está junto com a senha, portando o comprometimento do hash via SQLi compromete o salt também. Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1021','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1021','Elias Wagner','João,\n\nvocê tem razão, o salt é uma boa prática, como eu deixei bem claro:\n\n\"2 - Implementação inadequada de salt - página 78\n\nO livro começou bem neste ponto, sugerindo a utilização de salt como recurso para fortalecer os hashs de senha. Mas, como geralmente acontece, a idéia é boa mas a implementação é ruim.\"\n\nO problema é a implementação do salt sugerido por eles. O salt está junto com a senha, portando o comprometimento do hash via SQLi compromete o salt também.\n\nAbs.'); return false;">Quote</a></div> João,

você tem razão, o salt é uma boa prática, como eu deixei bem claro:

“2 – Implementação inadequada de salt – página 78

O livro começou bem neste ponto, sugerindo a utilização de salt como recurso para fortalecer os hashs de senha. Mas, como geralmente acontece, a idéia é boa mas a implementação é ruim.”

O problema é a implementação do salt sugerido por eles. O salt está junto com a senha, portando o comprometimento do hash via SQLi compromete o salt também.

Abs.

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Ricardo http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1020 Ricardo Fri, 05 Mar 2010 23:58:17 +0000 http://wagnerelias.com/?p=692#comment-1020 Eu sempre tive a impressão de que os valores de $_SERVER fossem gerados pelo servidor sem interferência dos clientes (ótimas últimas palavras não é?). Imagina quantos sites php são vulneráveis a esta falha? Obrigado pela informação, e sobre o que você disse sobre não acreditar em tudo o que é publicado me lembrou da falácia apelo à autoridade.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1020','Ricardo'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1020','Ricardo','Eu sempre tive a impressão de que os valores de $_SERVER fossem gerados pelo servidor sem interferência dos clientes (ótimas últimas palavras não é?). Imagina quantos sites php são vulneráveis a esta falha?\r\nObrigado pela informação, e sobre o que você disse sobre não acreditar em tudo o que é publicado me lembrou da falácia apelo à autoridade.'); return false;">Quote</a></div> Eu sempre tive a impressão de que os valores de $_SERVER fossem gerados pelo servidor sem interferência dos clientes (ótimas últimas palavras não é?). Imagina quantos sites php são vulneráveis a esta falha?
Obrigado pela informação, e sobre o que você disse sobre não acreditar em tudo o que é publicado me lembrou da falácia apelo à autoridade.
ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by João http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1019 João Fri, 05 Mar 2010 22:52:09 +0000 http://wagnerelias.com/?p=692#comment-1019 Não sou especialista em segurança ou em criptografia, mas pelo que eu saiba hoje em dia o uso de um salt tem como objetivo maior tornar muito mais difícil ou talvez impraticável o uso de tabelas rainbow.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1019','João'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1019','João','Não sou especialista em segurança ou em criptografia, mas pelo que eu saiba hoje em dia o uso de um salt tem como objetivo maior tornar muito mais difícil ou talvez impraticável o uso de tabelas rainbow.'); return false;">Quote</a></div> Não sou especialista em segurança ou em criptografia, mas pelo que eu saiba hoje em dia o uso de um salt tem como objetivo maior tornar muito mais difícil ou talvez impraticável o uso de tabelas rainbow.
ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Elias Wagner http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1018 Elias Wagner Fri, 05 Mar 2010 19:54:16 +0000 http://wagnerelias.com/?p=692#comment-1018 Olá Eusébio, existem vários exemplos, conforme o link que enviei para o Daniel. Recomendo principalmente a leitura do primeiro: http://www.suspekt.org/2009/02/06/some-facts-about-the-phplist-vulnerability-and-the-phpbbcom-hack/ Este é o problema do livro. Quem não está focado em segurança de aplicação web pode passar despercebido. Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1018','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1018','Elias Wagner','Olá Eusébio,\n\nexistem vários exemplos, conforme o link que enviei para o Daniel.\n\nRecomendo principalmente a leitura do primeiro:\nhttp:\/\/www.suspekt.org\/2009\/02\/06\/some-facts-about-the-phplist-vulnerability-and-the-phpbbcom-hack\/\n\nEste é o problema do livro. Quem não está focado em segurança de aplicação web pode passar despercebido.\n\nAbs.'); return false;">Quote</a></div> Olá Eusébio,

existem vários exemplos, conforme o link que enviei para o Daniel.

Recomendo principalmente a leitura do primeiro:
http://www.suspekt.org/2009/02/06/some-facts-about-the-phplist-vulnerability-and-the-phpbbcom-hack/

Este é o problema do livro. Quem não está focado em segurança de aplicação web pode passar despercebido.

Abs.

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Eusébio http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1017 Eusébio Fri, 05 Mar 2010 19:50:24 +0000 http://wagnerelias.com/?p=692#comment-1017 Concordo com o Daniel. Seria bom mostrar exemplos de como reproduzir o problema, se estás criticando.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1017','Eusébio'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1017','Eusébio','Concordo com o Daniel. Seria bom mostrar exemplos de como reproduzir o problema, se estás criticando.'); return false;">Quote</a></div> Concordo com o Daniel. Seria bom mostrar exemplos de como reproduzir o problema, se estás criticando.
ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Elias Wagner http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1016 Elias Wagner Fri, 05 Mar 2010 19:45:40 +0000 http://wagnerelias.com/?p=692#comment-1016 Olá Daniel, não é proibido usar o _SERVER, desde que seja sanitizado e isto está claro no post. Quanto a _SERVER não ser manipulado, você está equivocado ou desconhece. Aqui você vai entender um pouco mais: http://www.google.com/search?q=Exploiting%20%2B%24_SERVER Sobre o Salt, realmente e;e deve ser usado, foi exatamente o que eu disse: a dica é certa mais a implementação é errada. O local onde se armazena o salt e a string de salt é essencial para sua eficácia. Ficou mais claro?<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1016','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1016','Elias Wagner','Olá Daniel,\n\nnão é proibido usar o _SERVER, desde que seja sanitizado e isto está claro no post. Quanto a _SERVER não ser manipulado, você está equivocado ou desconhece. Aqui você vai entender um pouco mais:\nhttp:\/\/www.google.com\/search?q=Exploiting%20%2B%24_SERVER\n\nSobre o Salt, realmente e;e deve ser usado, foi exatamente o que eu disse: a dica é certa mais a implementação é errada. O local onde se armazena o salt e a string de salt é essencial para sua eficácia.\n\nFicou mais claro?'); return false;">Quote</a></div> Olá Daniel,

não é proibido usar o _SERVER, desde que seja sanitizado e isto está claro no post. Quanto a _SERVER não ser manipulado, você está equivocado ou desconhece. Aqui você vai entender um pouco mais:
http://www.google.com/search?q=Exploiting%20%2B%24_SERVER

Sobre o Salt, realmente e;e deve ser usado, foi exatamente o que eu disse: a dica é certa mais a implementação é errada. O local onde se armazena o salt e a string de salt é essencial para sua eficácia.

Ficou mais claro?

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Daniel http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1015 Daniel Fri, 05 Mar 2010 19:39:12 +0000 http://wagnerelias.com/?p=692#comment-1015 Nao li o livro, mas voce tambem esta exagerando... O _SERVER nao pode ser manipulado pelo usuario remotamente, sendo que ele eh gerado pelo web server: http://php.net/manual/en/reserved.variables.server.php O uso do SCRIPT_NAME eh recomendado pelo manual do PHP: " 'SCRIPT_NAME' Contains the current script's path. This is useful for pages which need to point to themselves. The __FILE__ constant contains the full path and filename of the current (i.e. included) file." Sobre o salt, a implementacao deles eh correta. Inclusive eh desse modo que varios sistemas funcionam (como o proprio Linux e suas senhas).<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1015','Daniel'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1015','Daniel','Nao li o livro, mas voce tambem esta exagerando...\r\n\r\nO _SERVER nao pode ser manipulado pelo usuario remotamente, sendo que ele eh gerado pelo web server:\r\n\r\nhttp:\/\/php.net\/manual\/en\/reserved.variables.server.php\r\n\r\nO uso do SCRIPT_NAME eh recomendado pelo manual do PHP:\r\n\r\n\" \'SCRIPT_NAME\'\r\n Contains the current script\'s path. This is useful for pages which need to point to themselves. The __FILE__ constant contains the full path and filename of the current (i.e. included) file.\"\r\n\r\n\r\nSobre o salt, a implementacao deles eh correta. Inclusive eh desse modo que varios sistemas funcionam (como o proprio Linux e suas senhas).'); return false;">Quote</a></div> Nao li o livro, mas voce tambem esta exagerando…

O _SERVER nao pode ser manipulado pelo usuario remotamente, sendo que ele eh gerado pelo web server:

http://php.net/manual/en/reserved.variables.server.php

O uso do SCRIPT_NAME eh recomendado pelo manual do PHP:

” ‘SCRIPT_NAME’
Contains the current script’s path. This is useful for pages which need to point to themselves. The __FILE__ constant contains the full path and filename of the current (i.e. included) file.”

Sobre o salt, a implementacao deles eh correta. Inclusive eh desse modo que varios sistemas funcionam (como o proprio Linux e suas senhas).

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Júnio http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1014 Júnio Fri, 05 Mar 2010 19:10:03 +0000 http://wagnerelias.com/?p=692#comment-1014 Muito obrigado pela colaboração. Estou iniciando nesta linguagem. Quais livros vocês recomendam sobre PHP?<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1014','Júnio'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1014','Júnio','Muito obrigado pela colaboração. Estou iniciando nesta linguagem. Quais livros vocês recomendam sobre PHP?'); return false;">Quote</a></div> Muito obrigado pela colaboração. Estou iniciando nesta linguagem. Quais livros vocês recomendam sobre PHP?
ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Carlos André Ferrari http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1013 Carlos André Ferrari Fri, 05 Mar 2010 18:26:38 +0000 http://wagnerelias.com/?p=692#comment-1013 @Almir Neto Este é o grande problema.. "Em quem confiar".. por isso que o PHP tem má fama. Eu uso e confio na documentação do PHP e, com moderação, nos comentários que tem lá. tudo é uma questão de analisar os códigos. E se o programador tem total conhecimento do Protocolo HTTP e dos métodos comuns de ataque, ele dificilmente terá problemas.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1013','Carlos André Ferrari'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1013','Carlos André Ferrari','@Almir Neto\r\n\r\nEste é o grande problema.. \"Em quem confiar\".. por isso que o PHP tem má fama.\r\n\r\nEu uso e confio na documentação do PHP e, com moderação, nos comentários que tem lá. tudo é uma questão de analisar os códigos.\r\n\r\nE se o programador tem total conhecimento do Protocolo HTTP e dos métodos comuns de ataque, ele dificilmente terá problemas.'); return false;">Quote</a></div> @Almir Neto

Este é o grande problema.. “Em quem confiar”.. por isso que o PHP tem má fama.

Eu uso e confio na documentação do PHP e, com moderação, nos comentários que tem lá. tudo é uma questão de analisar os códigos.

E se o programador tem total conhecimento do Protocolo HTTP e dos métodos comuns de ataque, ele dificilmente terá problemas.

ReplyQuote
]]> Comment on Php Security – Nem tudo que é publicado deve ser seguido by Marcos http://wagnerelias.com/2010/03/04/php-security-nem-tudo-que-e-publicado-deve-ser-seguido/comment-page-1/#comment-1012 Marcos Fri, 05 Mar 2010 18:13:31 +0000 http://wagnerelias.com/?p=692#comment-1012 A cara, na boa, quem deseja qualquer outra caracteristica que não seja "form funcionando", já abandonou o php<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1012','Marcos'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1012','Marcos','A cara, na boa, quem deseja qualquer outra caracteristica que não seja \"form funcionando\", já abandonou o php'); return false;">Quote</a></div> A cara, na boa, quem deseja qualquer outra caracteristica que não seja “form funcionando”, já abandonou o php
ReplyQuote
]]>