50 boas dicas de como utilizar bem o php.

Os valores apresentados pressupõem que é utilizado um computador com capacidade para executar, localmente, 1.000.000 de operações criptográficas por segundo — valores triviais nas máquinas correntes. Para além disso, e para não haver quaisquer dúvidas sobre o significado dos números desta tabela, o contexto para este exercício pressupõe que a password em análise já foi capturada, embora esteja ainda cifrada. Isto é, o tempo apresentado corresponde ao tempo necessário para decifrar essa password, assumindo que todas as combinações possíveis são tentadas.

Finalmente, para interpretarem correctamente estes dados, resta-me acrescentar que a primeira coluna contém o tamanho, em caracteres, dessa password; a segunda coluna apresenta o caso em que a composição é realizada exclusivamente com letras mínusculas; e, por último, a terceira coluna ilustra uma situação em que são utilizados caracteres de um conjunto de 95 possibilidades, correspondentes aos caracteres que podem ser impressos no código ASCII.

Pela simples leitura destes dados, sem quaisquer outras análises, podemos concluir imediatamente que (i) passwords compostas por letras mínusculas devem ter, no mínimo, 10 caracteres; (ii) para usarmos passwords com um comprimento inferior, na casa dos 7 caracteres, temos que usar uma composição complexa, que inclua vários tipos de caracteres, entre letras maiúsculas e minúsculas, algarismos, e outros caracteres especiais, e.g. pontuação.

Para fechar esta nota, é importante referir que este estudo assume que as passwords não são compostas por palavras que podem ser encontradas num dicionário. Para encontrar essas chaves, os tempos apresentados já não têm validade. O tempo para encontrar essas chaves, actualmente, é próximo de zero; é imediato. E é por isso que, como se torna óbvio pela evidência dos factos, as pessoas têm que escolher umas passwords mais elaboradas. Definitivamente.

(post-scriptum: lembrei-me agora que escrevi, há já algum tempo, uma nota sobre uma formula simples para criar passwords mais complexas. Pode ser útil para sensibilizar os mais resistentes. Está por AQUI)

Fonte: Miguel Almeida

; php.ini
allow_url_fopen = Off ; Disable URLs for file handling functions

register_globals = Off ; Make sure this hellish fiend is dead

open_basedir = /var/www/htdocs/files ; Restrict file handling functions to a subdirectory

safe_mode = Off ; Disable this, the next is often more practical
safe_mode_gid = On ; Enable safe mode with group check
safe_mode_exec_dir = /var/www/binaries ; Restrict execution functions to this directory
safe_mode_allowed_env_vars = PHP_ ; Restrict access to environment variables

max_execution_time = 30 ; Max script execution time
max_input_time = 60 ; Max time spent parsing inputs
memory_limit = 16M ; Max memory size used by one script
upload_max_filesize = 2M ; Max upload file size
post_max_size = 8M ; Max post size

display_errors = Off ; Do not show errors on screen

log_errors = On ; Log errors to log file

expose_php = Off ; Hide presence of PHP

# Apache configuration or .htaccess

Order allow,deny
Deny from all

Este programa feito pela Microsoft permite restringir a certos utilizadores o uso do computador, desde o tempo de sessão, a programas a serem executados. Este programa é o indicado para ciber-cafés, bibliotecas escolares ou mesmo em casa.

Funcionalidades:

1. Restrições do Computador:

• Remover a conta de administrador do ecrã de boas vindas
• Não criação de pastas e ficheiros na drive C:\

2. Restrições dos Utilizadores:

• Tempo de Sessão do utilizador
• Atalhos do Menu Iniciar
• Acesso a Drives
• “Auto-play” das drives de DVD, USB
• Acesso ao registo do sistema
• Acesso ao Gestor de tarefas
• Bloqueio de sessão

3. Restrições de funcionalidades do Internet Explorer:

• Acesso à Internet
• Impressões
• Menus de configuração
• Barras de ferramentas
• Página de Abertura
• Filtro de páginas web

4. Restrições de funcionalidades do MS Office:

• Add-ins
• Macros

5. Restrições Programas:

• Bloqueio de programas

6. Protecção do disco:

Esta funcionalidade serve para quando os utilizadores instalam programas indesejados, spyware ou trojans, com um simples reiniciar as alterações desaparecem todas, como contrapartida requer entre 45% e 50% do espaço livre do disco.

No início de cada sessão, é apresentado ao utilizador uma mensagem de informação a dizer que os dados não iram ser guardados e para guardar as alterações efectuadas numa drive USB.

Licença: Freeware
Sistemas Operativos: Windows XP /Vista
Download: SteadyState [6,35 MB]
Homepage: Microsoft.com

Fonte:Peopleware

O MakeUseOf publicou um ótimo guia para criar senhas fortes e fáceis de serem lembradas. Como elas, as senhas, são a chave para acessar a maioria dos serviços web, dos mais simples e dispensáveis, até aqueles vitais para o trabalho, gastar um tempinho lendo tais dicas e aplicando-as ao leque de sites que pedem-nas é tido como um bom investimento.

Existem algumas regras básicas para a criação de uma senha, a saber:

• A senha não pode constar no dicionário;
• A senha precisa conter números e símbolos especiais;
• A senha precisa misturar letras maiúsculas e minúsculas;
• A senha precisa ter, no mínimo, 10 caraceteres;
• A senha não pode ser “adivinhável” através de dados pessoais, como data de nascimento e endereço.

Seguindo esses cinco mandamentos, a probabilidade de ter uma senha descoberta é muito baixa. Mas mesmo com toda essa precaução, falta uma coisa primordial: como lembrar dela.

Existem algumas técnicas que ajudam na criação de senhas “lembráveis”:

• Substituição de letras por números e/ou símbolos. Ex: brasil vira 8r@s!l;
• Transformar a “password” numa “passphrase”, capturando a inicial de cada palavra. Ex: Atirei O Pau No Gato vira aopng;
• Escrever uma palavra ao contrário. Ex: senha vira ahnes.

O problema é que, mesmo essas palavras não sendo encontradas no dicionário, elas seguem um padrão. Apesar disso, já garantem algum grau de segurança, mas o ideal, mesmo, é fazer uma combinação que lhe faça sentido. Algo como 8r@$a0png%Ahn3s.

Aproveite sua senha forte como base para as todas. Não a repita em todos os serviços, pois nesse cenário, se alguém mal intencionado descobre uma senha, compromete todos os serviços dos quais participa. O acréscimo de algo especial, relacionado a cada serviço, nalguma parte da senha, o livra desse problema. Exemplos:

• E-mail: mail:8r@$a0png%Ahn3s
• Twitter: twt:8r@$a0png%Ahn3s

E assim por diante. Mais uma dica para ajudar a lembrar, e de quebra aumentar ainda mais a segurança: não guarde sua senha no navegador, de modo que ela seja preenchida automaticamente. Isso deixa nosso cérebro “relaxado”, e com o tempo e a falta de uso, acabamos por esquecer da senha. Todos os grandes navegadores têm esse recurso atualmente, mas é bom evitá-lo.

Antes de sair por aí trocando todas as suas senhas, mais uma dica: faça um teste no The Password Meter, um sistema que analisa a senha criada e atribui um nível de segurança baseado em vários critérios. Seja exigente, e não se contente com menos de 100% .

1. Keylogging e spyware. Formas de malware que são escritas especificamente para, sub-repticiamente, recolher, observar e registar as acções das pessoas nos seus computadores;
2. Backdoor ou command/control. Ferramentas que permitem acesso remoto e/ou controlo de computadores infectados, que são desenhadas para ‘correr’, também elas, sub-repticiamente;
3. SQL injection. Uma técnica de ataque utilizada para explorar fragilidades na comunicação entre as páginas web, e as bases de dados que contêm a informação que suporta os sites;
4. Abuso de autorizações de acesso/privilégios. Abuso deliberado e malicioso de recursos, acessos, ou privilégios, concedidos a um indivíduo por uma organização;
5. Acesso não-autorizado através de credenciais predefinidas. Situações em que um atacante ganha acesso a um sistema (ou dispositivo) protegido por passwords standard, bem conhecidas, que são predefinidas por omissão;
6. Violação de políticas de utilização aceitável, entre outras. Desrespeito e actuação, acidental ou propositada, em oposição a políticas de segurança estabelecidas;
7. Acesso não-autorizado através de listas de controlo de acesso (ACLs) mal configuradas ou fracas. Quando as ACLs não são bem definidas, os atacantes podem ter acesso a recursos e praticar acções que não foram previstas nem autorizadas pelas suas vítimas;
8. Packet sniffer. Observa e captura a informação em trânsito numa rede;
9. Acesso não-autorizado através de credenciais capturadas. Situações em que um atacante ganha acesso a um sistema (ou dispositivo) protegido, utilizando credenciais válidas que foram obtidas de forma ilegítima;
10. Engenharia social. Técnicas de manipulação através das quais um atacante cria um cenário para persuadir, manipular, e convencer uma vítima a realizar uma acção ou a divulgar informação;
11. Transposição dos controlos de autenticação. Acesso não-autorizado a um sistema, transpondo os mecanismos normais de autenticação;
12. Roubo. Roubo, no sentido físico, de um computador, disco, ou outro activo do sistema de informação;
13. Ataque de ‘força bruta’. Um processo automatizado que visa testar múltiplas combinações (nome de utilizador, password) até acertar nas que são correctas;
14. RAM scraper. Uma forma recente de malware desenhada para capturar dados na memória de um sistema; e
15. Phishing et al. Uma forma de engenharia social em que um atacante utiliza comunicações fraudulentas (normalmente, correio electrónico), para manipular a sua vítima e convencê-la a divulgar informação (e.g. passwords).

in 2009 Supplemental Data Breach Investigations Report: An Anatomy of a Data Breach.

Fonte: Miguel Almeida ]]> http://spotgeek.net/os-15-ataques-mais-comuns-em-2009-segundo-a-verizon/feed/ 0 http://spotgeek.net/download-php-6/ http://spotgeek.net/download-php-6/#comments Sat, 10 Oct 2009 04:26:27 +0000 Filipe Teixeira Nunes http://spotgeek.net/?p=465 O php 6 sofreu alterações importantes a nível de segurança, que vem melhor em muito esta linguagem de programação, abaixo poderão ver a lista de alteraçoes. esta nova versão 6 só deve estar disponível no final do ano.

http://www.ibm.com/developerworks/opensource/library/os-php-future/?ca=dgr-lnxw01PHP-Future

Download php

Se bem que as opções pré-definidas que são instaladas são suficientes para a maior parte dos utilizadores, se estão preocupados com a segurança do vosso computador nada como reverem estas opções.

Se mesmo assim ainda não se sentirem seguros, há mais alguns programas que podem instalar e que vos ajudarão a dormir descansados à noite.

Fonte:abertoatedemadrugada