blog.rudymendes.com.br

DDC Advogados além de ser o primeiro projeto de 2008, totalmente voltado para um ambiente mais seguro e confiável através do Orange Nature CMS ( Ferramenta de publicação de Conteúdo ). Agora poderá contar com uma gama de atualizações para melhorar a sua indexação. A preocupação do CEO Dr. Alexandre, desde o começo sempre foi o melhor relacionamento com seus clientes e a segurança. Está sendo um prazer trabalhar com pessoas tão dedicadas ao seu trabalho.

Dentre as principais mudanças, teremos a migração para um novo hosting e a otimização dos seus contents facilitando assim a indexação.
São previstas também algumas atualizações de segurança cobertas pelo contrato de adesão ao Orange Nature CMS ( em breve mais informações ).

Some men, see things as they are and say, why? I dream things that never were and say, why not? (R.F.Kennedy)

O Acrônimo S.E.O. Search Engine Optimization (Otimização para motores de busca), na verdade nada mais é do que um profissional ou empresa que trabalha com técnicas e estratégias afim de otimizar seu website ou projetos para ser melhor indexado pelos mecanismos de buscas.

Apesar da Apple ter migrado seus processadores da linha IMB Power PC para Intel a partir de Junho de 2005, o que acabou barateando muito o custo do tão sonhado Mac em casa, ainda sim, o Mac está longe da realidade de muitos lares brasileiros. Se você está na lista dos que desejam um Mac, mas não se importa em comprar um usado, segue aqui uma dica muito útil na hora de pesquisar o preço:

O blog MacMagazine mantém uma seção exclusiva (Macs Usados) com a estimativa de valores para cada modelo. Esta dica também a válida a quem deseja vender o seu Mac por um preço justo, uma vez que, são disponibilizados no blog também a estimativa de preço mínimo e máximo.

A Divisão de Repressão aos Crimes de Alta Tecnologia ( DEPAT) da Polícia Civil do Distrito Federal lançou esta semana uma cartilha compilando dicas e orientações à população para ajudar a combater e orientar o cidadão sobre os crimes digitais mais corriqueiros. Apesar do lançamento ter sido anunciado pela mídia logo nas primeiras horas do dia, o site da instituição disponibiliza o banner, que infelizmente ainda não efetua ação alguma. Segundo Chefe da DEPAT, a informação estará disponível definitivamente no final do dia.

Para conferir o acesse : http://www.pcdf.df.gov.br/

Comitê Gestor da Internet no Brasil (cgi.br) em conjunto com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (cert.br), disponibiliza em sua página uma Cartilha de Segurança para Internet, se você tem dúvidas sobre como se proteger uma breve lida pode ajudar. Lembre-se, segurança em primeiro lugar!!!

No documento em questão, são abordadas as fraudes mais comuns e orienta inclusive, como verificar uma conexão criptografada, como saber se está acessando um site realmente verdadeiro e até como recorrer no caso de utilização de seus dados por terceiros.

Por mais que, nós desenvolvedores, tomemos o máximo de cuidado possível no desenvolvimento de nossos aplicativos, jamais poderemos sanar todos os aspectos de segurança, uma vez que, o usuário muitas vezes é hoje o principal foco do ataque, somente a informação e a propagação da mesma poderá surtir algum efeito realmente satisfatório.

Uma boa leitura a todos e obrigado.

Olá pessoal, participei esta semana de um mini-curso sobre Técnicas de Segurança no Desenvolvimento de Sistemas JAVA. Apesar do foco principal ter sido a linguagem JAVA, sabemos que muitos dos conceitos de segurança para WEB, servem para as demais tecnologias, porquê não? Foi então que decidi abrir este espaço afim de contribuir com a comunidade. Vamos lá.

Bom, o curso começou com uma abordagem sobre a entidade O.W.A.S.P. ( Open Web Application Security Project ) como uma iniciativa aberta para tratar de aspectos de segurança em aplicações WEB. Congrega especialistas voluntários, edita documentos , promove o desenvolvimento de ferramentas como foco direcionado para esta questão, dentre outras. No site da entidade é possível acompanhar a Top Ten das dez vulnerabilidades mais comuns e mais sérias. Veja a lista aqui (em inglês).

Segue baixo minha review sobre os ítens da lista de vulnerabilidades

• Cross Site Scripting - XSS
  Esta vulnerabilidade permite que o atacante insira scripts maliciosos em sua página, conteúdo hostil e até mesmo controle seu navegador.
   
• Falhas de Injeção
  Permite que o atacante insira códigos SQL, LDAP, HTML, XSTL, XML ou comandos nativos do interpretador de comandos do servidor. O caso mais comum é a inserção de conteúdo inapropriado, roubo de dados e até exclusão dos registros.
   
• Execução Maliciosa de Arquivo
  Como o título descreve, permite que o atacante execute conteúdos externos ao código da sua aplicação, esta é mais comum em linguagens interpretadas.
   
• Referência Direta ao Objeto
  O atacante manipula referências e burla controles de acesso, como por exemplo, um aplicativo que utilize CPF na URL para identificar o usuário. Assim, ele acessa os dados de outros CPFs facilmente.
   
• Cross Site Request Forgery - XSRF
  Permite login na aplicação alvo após o roubo de sessão, leva o usuário ao site do atacante e onde são rodados scripts maliciosos para controle futuro da sessão deste usuário nos demais sites.
   
• Vazamento de Informações e Tratamento de Erros Inapropriado
  Permite que o atacante veja em sua maioria informações de erros que comprometem e expõe a versão das tecnologias utilizadas, tabelas de banco de dados e informações de servidores.
   
• Furo de Autenticação e Gerência de Sessão
  Falha nas informações de credenciais, e falha de proteção de identidades de sessão.
   
• Armazenamento Criptográfico Inseguro
  Acontece quando opta-se principalmente por uso e implementação de script criptográficos caseiros, o que permite a descoberta destas chaves criptográficas deixando assim o sistema pronto para o ataque.
   
• Comunicações Inseguras
  Esta vulnerabiliade expõe o trafego de informações da aplicação, principalmente entre o navegador do cliente e o servidor, recomenda-se o uso de SSL, ou ao menos, sempre re-autenticar o usuário antes de transmitir algum dado sigiloso.
   
• Restrições de Acesso a URLS
  Esta vulnerabilidade permite que o atacante mapeie as informações das páginas internas e force o acesso em páginas que só um usuário autenticado deveria acessar.
   

Após expor as principais falhas , fomos pontualmente vendo a causa e a solução dos problemas mais corriqueiros. Vimos também, várias ferramentas para realização de testes, muitos deles simulando as reais situações do uso das aplicações varreduras de código e etc. Seguirá abaixo agora uma lista das mesmas, e algumas referências sobre o assunto também obtidas no curso.

Ferramentas para teste de vulnerabilidade WEB:

FindBubs - Verifica o código estaticamente e integra com o Eclipse.

LAPSE - Só funciona no Eclipse e para sistemas WEB, faz uma verificação da validação dos campos.

Paros Proxy - Scaneia vulnerabilidades mais comuns e pode-se usar como proxy, não verifica o seu código

Referências para uma boa leitura sobre o assunto:

Site / Blog do Instrutor Lucas de Carvalho Ferreira - http://java.sapao.net/
Site O.W.A.S.P. - http://www.owasp.org/

É isso ai pessoal, espero ter ajudado ou ao menos contribuído com a comunidade.

Meus amigos, que profissional da Web realmente preocupado com seus clientes, nos quesitos Segurança e Comprometimento, não teve ou tem problemas constantemente com a escolha dos seus servidores de hospedagem?

Infelizmente a cada dia surgem mais e mais, empresas prometendo de tudo neste ramo e nem todas são confiáveis, fuja de promoções do tipo: “Só comece a pagar depois que tudo estiver do jeito que imaginou!”, fuja de ofertas de preços irreais. Lembre-se que em primeiro lugar vem a segurança de seu projeto e de seus clientes, uma falha neste serviço reflete diretamente em sua empresa e não na reputação do servidor hospedeiro, pelo menos não como na sua imagem.

Acreditem se quiser, mas o problema já é antigo, ainda mais se você profissional optar por trabalhar com um ambiente que exija o mínimo de conhecimento do pessoal de suporte como é o caso do Java ou do famigerado ColdFusion. Mesmo tendo um grupo pequeno de empresas aparentemente sérias oferecendo tal serviço, em sua maioria os serviços são precários, o atendimento é falho, confuso, demorado e grosseiro.

Recentemente andei procurando por uma solução mais adequada à realidade do bolso de alguns clientes, de projetos pequenos, que almejam um custo menor, mas não mínimo e encontrei a empresa REGS a mais recomendada pela comunidade JAVA, segundo eles mesmos. No entanto, a empresa simplesmente copiou TODO o conteúdo referente ao JAVA da Locaweb. Mandei um e-mail falando que eu era um cliente em potencial, e etc., mas que pegou mal a questão de terem copiado tudo de outro e segue abaixo a resposta da empresa:

Rafael – REGS Hosting:
“Se pegou mal ou não isso não nos importa, não temos tempo para ficar elaborando conteudos, sendo que nosso tempo usamos para atender nossos clientes e não ficar criticando erros de código ou falhas na implantação de uma aplicação”.

O objetivo deste artigo não é nem de longe criticar a empresa, mas você contrataria este serviço? Você confiaria? O principal objetivo é apenas alertá-lo, seja um cliente, seja um desenvolvedor. Se você se preocupa com sua imagem, se você pretende ter o máximo de qualidade nos serviços que presta, não estenda a responsabilidade a qualquer empresa. Pense nos impactos positivos de um serviço bom, e nos problemas que terá se a infra-estrutura te deixar na mão.

Cuidado com as empresas que se ergueram às custas da comunidade de desenvolvedores, que não permitem barganhas justas e nem parcerias. Tome cuidado com as migrações muito demoradas ou quase que por completas de todos os serviços, isto geralmente indica a venda do servidor hospedeiro e quem lhe atendia lá, não estará mais. Se você é desenvolvedor, redobre os cuidados quanto a isto, pois, possivelmente a indicação foi feita por você aos seus clientes.

Resolvi colocar abaixo uma lista das principais características mais encontradas em servidores que aparentemente irão deixar você na mão:

• Preços muito abaixo do cobrado pelas demais empresas
• Informações confusas sobre planos e serviços
• Página mal feita, falta de cuidado com a imagem da empresa
• Conteúdo copiado ou mal elaborado
• Demora excessivas nas respostas as suas solicitações
• Falta de clareza nas informações prestadas
• Impossibilidade de testes no produto a ser contratado
• Atendimento e suporte muito burocráticos
• Falta de paciência nas respostas aos seus questionamentos