Posts tagged: segurança

checklist de segurança no php

Ao configurar o php é necessário ter em atenção alguns aspectos de segurança.

; php.ini
allow_url_fopen = Off ; Disable URLs for file handling functions

register_globals = Off ; Make sure this hellish fiend is dead

open_basedir = /var/www/htdocs/files ; Restrict file handling functions to a subdirectory

safe_mode = Off ; Disable this, the next is often more practical
safe_mode_gid = On ; Enable safe mode with group check
safe_mode_exec_dir = /var/www/binaries ; Restrict execution functions to this directory
safe_mode_allowed_env_vars = PHP_ ; Restrict access to environment variables

max_execution_time = 30 ; Max script execution time
max_input_time = 60 ; Max time spent parsing inputs
memory_limit = 16M ; Max memory size used by one script
upload_max_filesize = 2M ; Max upload file size
post_max_size = 8M ; Max post size

display_errors = Off ; Do not show errors on screen

log_errors = On ; Log errors to log file

expose_php = Off ; Hide presence of PHP

# Apache configuration or .htaccess

Order allow,deny
Deny from all

Tags: , , ,

categories PHP, segurança | Filipe Teixeira Nunes | datetime 05/03/2010 10:00 | comments Comments (0)

SteadyState – Congele o seu computador.

Este programa feito pela Microsoft permite restringir a certos utilizadores o uso do computador, desde o tempo de sessão, a programas a serem executados. Este programa é o indicado para ciber-cafés, bibliotecas escolares ou mesmo em casa.

Funcionalidades:

1. Restrições do Computador:

  • Remover a conta de administrador do ecrã de boas vindas
  • Não criação de pastas e ficheiros na drive C:\

2. Restrições dos Utilizadores:

  • Tempo de Sessão do utilizador
  • Atalhos do Menu Iniciar
  • Acesso a Drives
  • “Auto-play” das drives de DVD, USB
  • Acesso ao registo do sistema
  • Acesso ao Gestor de tarefas
  • Bloqueio de sessão

3. Restrições de funcionalidades do Internet Explorer:

  • Acesso à Internet
  • Impressões
  • Menus de configuração
  • Barras de ferramentas
  • Página de Abertura
  • Filtro de páginas web

4. Restrições de funcionalidades do MS Office:

  • Add-ins
  • Macros

5. Restrições Programas:

  • Bloqueio de programas

6. Protecção do disco:

Esta funcionalidade serve para quando os utilizadores instalam programas indesejados, spyware ou trojans, com um simples reiniciar as alterações desaparecem todas, como contrapartida requer entre 45% e 50% do espaço livre do disco.

No início de cada sessão, é apresentado ao utilizador uma mensagem de informação a dizer que os dados não iram ser guardados e para guardar as alterações efectuadas numa drive USB.

Licença: Freeware
Sistemas Operativos: Windows XP /Vista
Download: SteadyState [6,35 MB]
Homepage: Microsoft.com

Fonte:Peopleware

Tags: , , , ,

categories Hardware, segurança | Filipe Teixeira Nunes | datetime 03/03/2010 02:03 | comments Comments (0)

Crie senhas seguras


O MakeUseOf publicou um ótimo guia para criar senhas fortes e fáceis de serem lembradas. Como elas, as senhas, são a chave para acessar a maioria dos serviços web, dos mais simples e dispensáveis, até aqueles vitais para o trabalho, gastar um tempinho lendo tais dicas e aplicando-as ao leque de sites que pedem-nas é tido como um bom investimento.

Existem algumas regras básicas para a criação de uma senha, a saber:

  • A senha não pode constar no dicionário;
  • A senha precisa conter números e símbolos especiais;
  • A senha precisa misturar letras maiúsculas e minúsculas;
  • A senha precisa ter, no mínimo, 10 caraceteres;
  • A senha não pode ser “adivinhável” através de dados pessoais, como data de nascimento e endereço.

Seguindo esses cinco mandamentos, a probabilidade de ter uma senha descoberta é muito baixa. Mas mesmo com toda essa precaução, falta uma coisa primordial: como lembrar dela.

Existem algumas técnicas que ajudam na criação de senhas “lembráveis”:

  • Substituição de letras por números e/ou símbolos. Ex: brasil vira 8r@s!l;
  • Transformar a “password” numa “passphrase”, capturando a inicial de cada palavra. Ex: Atirei O Pau No Gato vira aopng;
  • Escrever uma palavra ao contrário. Ex: senha vira ahnes.

O problema é que, mesmo essas palavras não sendo encontradas no dicionário, elas seguem um padrão. Apesar disso, já garantem algum grau de segurança, mas o ideal, mesmo, é fazer uma combinação que lhe faça sentido. Algo como 8r@$a0png%Ahn3s.

Aproveite sua senha forte como base para as todas. Não a repita em todos os serviços, pois nesse cenário, se alguém mal intencionado descobre uma senha, compromete todos os serviços dos quais participa. O acréscimo de algo especial, relacionado a cada serviço, nalguma parte da senha, o livra desse problema. Exemplos:

  • E-mail: mail:8r@$a0png%Ahn3s
  • Twitter: twt:8r@$a0png%Ahn3s

E assim por diante. Mais uma dica para ajudar a lembrar, e de quebra aumentar ainda mais a segurança: não guarde sua senha no navegador, de modo que ela seja preenchida automaticamente. Isso deixa nosso cérebro “relaxado”, e com o tempo e a falta de uso, acabamos por esquecer da senha. Todos os grandes navegadores têm esse recurso atualmente, mas é bom evitá-lo.

Antes de sair por aí trocando todas as suas senhas, mais uma dica: faça um teste no The Password Meter, um sistema que analisa a senha criada e atribui um nível de segurança baseado em vários critérios. Seja exigente, e não se contente com menos de 100% Smiling .

Tags: , , , ,

categories segurança | Filipe Teixeira Nunes | datetime 23/02/2010 01:57 | comments Comments (0)

Os 15 ataques mais comuns em 2009, segundo a Verizon

  1. Keylogging e spyware. Formas de malware que são escritas especificamente para, sub-repticiamente, recolher, observar e registar as acções das pessoas nos seus computadores;
  2. Backdoor ou command/control. Ferramentas que permitem acesso remoto e/ou controlo de computadores infectados, que são desenhadas para ‘correr’, também elas, sub-repticiamente;
  3. SQL injection. Uma técnica de ataque utilizada para explorar fragilidades na comunicação entre as páginas web, e as bases de dados que contêm a informação que suporta os sites;
  4. Abuso de autorizações de acesso/privilégios. Abuso deliberado e malicioso de recursos, acessos, ou privilégios, concedidos a um indivíduo por uma organização;
  5. Acesso não-autorizado através de credenciais predefinidas. Situações em que um atacante ganha acesso a um sistema (ou dispositivo) protegido por passwords standard, bem conhecidas, que são predefinidas por omissão;
  6. Violação de políticas de utilização aceitável, entre outras. Desrespeito e actuação, acidental ou propositada, em oposição a políticas de segurança estabelecidas;
  7. Acesso não-autorizado através de listas de controlo de acesso (ACLs) mal configuradas ou fracas. Quando as ACLs não são bem definidas, os atacantes podem ter acesso a recursos e praticar acções que não foram previstas nem autorizadas pelas suas vítimas;
  8. Packet sniffer. Observa e captura a informação em trânsito numa rede;
  9. Acesso não-autorizado através de credenciais capturadas. Situações em que um atacante ganha acesso a um sistema (ou dispositivo) protegido, utilizando credenciais válidas que foram obtidas de forma ilegítima;
  10. Engenharia social. Técnicas de manipulação através das quais um atacante cria um cenário para persuadir, manipular, e convencer uma vítima a realizar uma acção ou a divulgar informação;
  11. Transposição dos controlos de autenticação. Acesso não-autorizado a um sistema, transpondo os mecanismos normais de autenticação;
  12. Roubo. Roubo, no sentido físico, de um computador, disco, ou outro activo do sistema de informação;
  13. Ataque de ‘força bruta’. Um processo automatizado que visa testar múltiplas combinações (nome de utilizador, password) até acertar nas que são correctas;
  14. RAM scraper. Uma forma recente de malware desenhada para capturar dados na memória de um sistema; e
  15. Phishing et al. Uma forma de engenharia social em que um atacante utiliza comunicações fraudulentas (normalmente, correio electrónico), para manipular a sua vítima e convencê-la a divulgar informação (e.g. passwords).

in 2009 Supplemental Data Breach Investigations Report: An Anatomy of a Data Breach.

Fonte: Miguel Almeida

Tags: , , , ,

categories segurança | Filipe Teixeira Nunes | datetime 22/12/2009 13:15 | comments Comments (0)

download php 6

O php 6 sofreu alterações importantes a nível de segurança, que vem melhor em muito esta linguagem de programação, abaixo poderão ver a lista de alteraçoes. esta nova versão 6 só deve estar disponível no final do ano.

http://www.ibm.com/developerworks/opensource/library/os-php-future/?ca=dgr-lnxw01PHP-Future

Download php

Tags: , ,

categories PHP | Filipe Teixeira Nunes | datetime 10/10/2009 05:26 | comments Comments (0)

Ubuntu mais seguro

E numa altura em que tanto se falou sobre a necessidade ou não de anti-vírus no OS X da Apple, que tal certificarem-se que o vosso Ubuntu tem efectivamente as “portas” fechadas?

Se bem que as opções pré-definidas que são instaladas são suficientes para a maior parte dos utilizadores, se estão preocupados com a segurança do vosso computador nada como reverem estas opções.

Se mesmo assim ainda não se sentirem seguros, há mais alguns programas que podem instalar e que vos ajudarão a dormir descansados à noite.

Fonte:abertoatedemadrugada

Tags: ,

categories Linux | Filipe Teixeira | datetime 09/12/2008 01:51 | comments Comments (0)

WordPress Themes