Rafael Dohms

Embora publicado em 2005, o livro “Essential PHP Security” trata de um assunto que até hoje é muito atual. Escrito por Chris Shiflett o livro trata de todos aspectos de segurança relacionados a uma aplicação em PHP, por isso ainda hoje seu conteúdo pode ser considerado atualizado e aplicável a qualquer situação do dia a dia de um desenvolvedor.

O livro possui uma forma muito leve e exemplificada de expor os diversos aspectos de segurança que são tratados. Assuntos estes que são muito bem expostos e claramente separados em capítulos, tratando desde forms até includes e segurança em ambientes compartilhados. Cada tópico é analisado com detalhe e dividido internamente por formas de se burlar/atacar a falha de segurança, com isso o livro se torna também uma fácil fonte de consulta onde é possível se ir direto ao capítulo que trata do aspecto que esta sendo codado e verificar as falhas que se deve prestar atenção. Além disso, o capitulo introdutório também trata do assunto de segurança de uma forma mais geral, como técnicas de análise de risco e conceitos como “Defense in Depth” que ajudam a ver segurança como um processo bem maior que analisar um único ponto de falha da sua aplicação.

Mesmo sendo de 2005 o livro trata de assuntos como XSS que no atual momento da web e seu uso de AJAX deve ser sempre analisado cuidadosamente em novos e antigos projetos. Além disso velhos amigos como “Session Hijacking” e “SQL Injection” são analisados sobre diferentes pontos de vista, alinhados a segmentos específicos de um site. Esta estrutura proporciona uma leitura relaxante e de ritmo agradável que pode ser facilmente encaixada em momentos de descontração ou nas salas de espera das ocasionais idas ao médico (pelomenos funcionou para mim).

O livro merece com certeza fazer parte do histórico (ou prateleira) de qualquer desenvolvedor, pelomenos para servir como ponto de reflexão, mesmo em um novo mundo onde cada vez mais Framework aparecem internalizando todos aspectos de segurança, mas como sempre digo, nos desenvolvedores temos sempre de saber o que ocorre por trás das cortinas.

Essential PHP Security A Guide to Building Secure Web Applications

By Chris Shiflett
October 2005
Pages: 124
ISBN 10: 0-596-00656-X | ISBN 13: 9780596006563

Como já era de se esperar a estréia do Google Code Search trouxe inúmeras novas oportunidades de crackers buscarem obter informações como senhas de sites alheios.

Em forma de pesquisa algumas pessoas buscaram obter acesso a senhas alheias utilizando expressões regulares no code search. No exemplo foi utilizada uma busca que retorna senhas de banco de dados de blogs do tipo wordpress.

Não! o Google não cometeu uma falha e esta indexando de alguma forma arquivos de configuração, como já demostrei arquivos .php não mostram seu código fonte na web. O problema esta um pouco mais além e na verdade é culpa de más práticas de desenvolvedores.

Como fugir destes problemas?

1. Não user arquivos .inc para configurações – ok esta é velha mas vale ainda, se você utilizar um arquivo desta extesão ele é indexado e visto como um arquivo de texto, use sempre .inc.php ou .inc.asp

2. Não armazene cópias em arquivos ZIP – Não só zip como qualquer outra forma de arquivo compactado, por um motivo simples, são estes arquivos que o Google Code Search esta indexando e disponibilizando em sua busca, ou seja, se vc tiver um backup do seu site em zip guardada lá e o google achar… sua configuração esta exposta.

Esta são duas dicas básicas que na verdade já deviam valer antes do Code Search, mas fica ai a recomendação para que não tenham problemas. Alguns comentpários já estao por aqi com string para busca de senhas em ASP e outras linguagens.

Me ocorre que esta notícia pode ser muito velha para alguns, mas estou apenas agora começando minha incansável busca por novas informações vou relatar.

Como já era de se esperar não demorou muito para a mania de web 2.0 (ajax e tecnologias similares) despertarem a atenção de criadores de vírus por todo mundo. Mês passado foi anunciado o vírus JS.Yamanner@m que atacou o Yahoo! Mail, já equipado com tecnologia AJAX para leitura de emails e afins.

Última notícia que tive do vírus ele copiava seus contatos para um servidor remoto e então se auto-enviava para sua lista. simples porém potencialmente perigoso, utilizando JavaScript e se aproveitando do ambiente AJAX ele é o primeiro (?) de uma nova geração de vírus, que podem dar medo no usuário leigo, pois este vírus sim, pode ser “contraído” apenas se navegando na internet, sem que seja necessário clicar ou executar nada, apenas ler um inofensivo email em sua conta.

Sem muita demora o furo que existia foi resolvido e o Yahoo se encontra curado desta praga. Mas e agora? Território novo a Web 2.0 é um atrativo enorme para este tipo de ameaça, com certeza este não foi o último que vimos nas paginas dos jornais de tecnologia e boletins de segurança. Mais informações

Falando em Web 2.0, o que considero meu último hobby, estou finalizando para o público em geral um novo script, unindo o poder de AJAX com PHP. O script se trata de um “AutoCompletar Dinâmico” ou como foi apelidado, “Google Auto-suggest”. Algo muito utilizado em linguagens de software como VB e Delphi, mas agora finalmente portado para o ambiente browser. Espero poder compartilhar ele ainda esta semana com todos.