seguranca – Página: 3 – O Desenvolvedor

Demand OpenID

Publicado 17 de maio de 2008 por gserrano

Você é um desses que sonha em poder usar seu login/senha em todos os sistemas da web, não tendo que criar contas novas, login diferentes e senhas complicadas – e se esquecer de tudo depois? Mais ainda: ter o mesmo perfil em todos as redes sociais, não precisando recriar toda sua rede de contatos e tudo mais?

É o que o OpenID promete. Como o próprio nome já deixa claro, é um ID (de identificador) aberto, acessível a todos os sistemas. O serviço é mantido pela OpenID Foundation – que cuida da infra-estrutura, aspectos legais e do suporte e divulgação do serviço. Qualquer um pode fazer uso do framework oferecido por eles. Vantagens? Uso de um sistema de login/senha já existente, funcional, e que tende a ser um padrão na web nos próximos anos.

O melhor site em protuguês de referência para o OpenID fala sobre vantagens e desvantagens:

Quais as vantagens desse sistema?
A ideia do OpenID é simplicar o processo de registo e de autenticação nos vários sites que visitamos. Assim, sempre que quiser experimentar um novo serviço online, bastará introduzir o seu endereço OpenID e selecionar os dados que quer devolver a esse site. E se quiser mudar os seus dados, ou a sua password, basta-lhe mudar no seu fornecedor e ísso será actualizado em todos os serviços .

Muito bem, e as desvantagens?
Enquanto ter a sua autenticação toda reunida num sitío pode ser bom em alguns casos, noutros pode não ser tão boa ideia. Não deverá utilizar OpenIDs em serviços que envolvam transferências monetárias, o que incluí bancos, lojas online e serviços onde queira manter a sua privacidade. Uma alternativa será criar OpenIDs exclusivos para esse fim, mas apenas se confiar no seu fornecedor.

Referência: http://openid.ideias3.com/pt-PT/

Demand OpenID

Foi lançado um site bacana, o Demand OpenID, que através de reports dos usuários tem-se um termômetro de quais são os serviços da web que deveriam implementar o OpenID (por enquanto, poucos o fazem: FlickR, Blogger e WordPress são os mais famosos que já utilizam). Segue a dica do site, bem como um leve reforço na idéia de, quem sabe, nós desenvolvedores nos utilizarmos do OpenID quando formos fazer nosso próximo que requer login e senha 😉

Post inspirado após ler esse texto.

Como fazer um login em ASP sem banco de dados

Publicado 14 de maio de 2008 por gserrano

Buenas povo!

Aqui vai um exemplo prático de como fazer um sistema de login simples em ASP [bb] , com dois níveis de usuários (e apenas dois usuários) mas sem utilizar Banco de Dados [bb]

Vamos iniciar fazendo o formulário de login, que ficará no arquivo default.asp, e será assim:

<form action="login.asp?a=login" method="post" name="flogin" id="flogin">
<p>Usuário
<input type="text" name="usuario" id="usuario">
</p>
<p>Senha
<input type="text" name="senha" id="senha">
</p>
<input type="submit" name="Login" id="Login" value="Login">
</form>
<%
response.write session("mensagem")
session("mensagem") = ""
%>

Perceba que a página do formulário imprime a sessão "mensagem", logo você vai entender o motivo. Com o formulário criado, precisamos de uma página que vá:

Receber os dados do formulário
Verificar o usuário e a senha
Criar os cookies ou sessões para autenticar o usuário

A página que fará isso se chamará login.asp, e o código dela:

<%
if request.querystring("a") = "login" then
    dim user
    dim senha
    user = request.form("usuario")
    senha = request.form("senha")
    ´Verifica se é o administrador
    if user = "andafter" then
        if senha = "senhaaqui" then
            ´ Se usuário e senha conferem cria as sessões e redireciona para a página logado.asp
            session("usuarioOD") = "andafter"
            session("nivelOD") = 10
            response.redirect "logado.asp"
        else
            ´ Se a senha não conferir manda devolta para o formulário, com a sessão mensagem informando erro no usuário ou senha
            session("mensagem") = "Usuário ou senha não encontrados"
            response.redirect "default.asp"
        end if
    end if
    if user = "odesenvolvedor" then
        if senha = "blabla" then
            session("usuarioOD") = "odesenvolvedor"
            session("nivelOD") = 5
            response.redirect "logado.asp"
        else
            session("mensagem") = "Usuário ou senha não encontrados"
            response.redirect "default.asp"
        end if
    end if
    ´Se não veio com ação nenhuma envia para o formulário
    session("mensagem") = "Usuário ou senha não encontrados"
    response.redirect "default.asp"
end if
%>

Agora o usuário já está "logado" e o que falta é impedir o acesso as páginas restritas para quem não estiver logado. Vamos fazer isso verificando a existência da session "nivelOD".

Como essa verificação é necessária em todas as páginas, vamos criar um arquivo chamado seguro.asp que fará a verificação, depois usando include vocêd eve adicionar esse arquivo em todas as páginas restritas do site.

Código do seguro.asp:

<%
if session("nivelOD") = "" then
    session("mensagem") = "Você não está autorizado a acessar esta página."
    response.redirect "default.asp"
end if
%>

Pronto, os usuários que não estiverem logados serão redirecionados para a default.asp, tudo o que você precisa fazer é dar um include da página seguro.asp no início de todas as página protegidas.

Fácil, não?

Se tiverem dúvidas ~~perguntem pro~~ ~~Chris Benseler~~, críticas e sugestões utilizem os comentários.

Adorei ler isso: Spammer condenado a 9 anos nos EUA

Publicado 4 de março de 2008 por gserrano

Essa foi a melhor notícia que li nos últimos dias, o spammer Jeremy Jayne foi condenado nos EUA pelo envio de 50 mil e-mails a assinantes da AOL em três dias no ano de 2003.

Foi a primeira condenação por envio de SPAM nos EUA, e aconteceu dia 29/03 (sexta feira passada), agora eu penso, se nos EUA a primeira condenação aconteceu só semana passada quanto tempo leva para isso acontecer no Brasil? 🙁

Jeremy Jaynes cumprirá nove anos de prisão por infringir o limite de e-mails enviados em um período de 24 horas (dez mil e-mails) e por falsificar informações dessas mensagens. Em 2003, ele enviou 12.197 e-mails no dia 16/07; 24.172 no dia 19/07 e mais 19.104 no dia 26/07.

IDG NOW

Apesar de ser um grande ~~filho da~~ chato, Jayne não era de todo bobo: para cade e-mail enviado foi criado um remetente falso (easy…) usando milhares de endereços IP (ok, demais pra mim, Jayne) e links de sites diferentes.

Ele poderia ser condenado a 20 anos, mas pegou apenas 9. Agora você pergunta se vale a pena, pegar 9 anos de prisão para "fazer propaganda invasiva". Pode valer.

Fui pesuisar sobre e no Junkfax, e…

"… Jeremy lists his net worth at $24 million and he was making at least $500K/mo in his spamming business before being arrested."

Junkfax

Tradução livre: vale a pena pra caral*** Jeremy foi para a prisão aposentado, digamos assim.

Todas as vítimas eram clientes da AOL, na casa do spammer foram encontrados cds com 176 milhões de endereços de e-mails; 1,3 bilhão de nomes de usuários de e-mails e outras informações privadas de clientes da AOL (IDG Now informa…).

Uma curiosidade que mostra o tamanho do problema dos spams é um anúncio do diretor técnico de operaçõs de e-mail da AOL (Brian Sullivan): a empresa recebe de sete a dez milhões de reclamação de spam por dia, que pepino, hein?

Precisa de mais motivos para denunciar os spammers?
Denuncie!

Só denunciando é possível levantar dados – e combater – este problema. Faça sua parte por uma internet melhor, vamos ver mais "enlarge…" atrás das grades. 😉

Agora é esperar nove anos para poder sair, Jayne.

Boa sorte.

Via IDG NOW

Como você pode ajudar combater o SPAM?

Publicado 22 de fevereiro de 2008 por gserrano

Spam você deve saber o que é, mensagens indesejadas que entopem nossa caixa de entrada do e-mail, consomem banda do servidor e só atrasam o nosso dia.

Você sabia que 96% dos emails que circulam na internet são SPAMs?
Lamentável, não? Mas o que você faz para ajudar? Mandar para o Lixo Eletrônico não ajuda muito.

Vou dar duas dicas de como prejudicar e infernizar a vida destes spammers que tanto me incomodam.

1. Denunciar

A primeira maneira é denunciar o spammer.

Como denunciar?
Pedir para sair da lista ou tentar responder a mensagem é inútil e só vai piorar a situação – você vai dar certeza que seu e-mail é válido e vai continuar recebendo (talvez até mais) e-mails não solicitados.

Para denunciar um spammer você precisa primeiro abrir o cabeçalho da mensagem e copiar os dados, feito isso você pode fazer a denuncia.

Denunciar para quem?
A denúncia deve ser feita diretamente no servidor utilizado para o envio das mensagens. Para descobrir o servidor você precisa do IP que está no cabeçalho do e-mail.

Como descobrir qual o provedor do IP?

Através do SpamCOP você faz um cadastro para receber uma autorização e com esta autorização você pode denunciar spammers.

Acabei de fazer minha conta e denunciar dois spammers (em servidores brasileiros). Tudo o que eu precisei fazer foi copiar o cabeçalho inteiro do e-mail, o SpamCOP identifia o servidor e com mais um clique eu fiz a denúncia diretamente para o servidor e também para o CERT. Eficiente, não?

Fazendo isso você ajuda a dificultar a vida dos spammers, eles acabam sendo punidos por seus servidores (é o que se espera, né?) e os servidores entram em blacklists, evitando que outras centenas de milhares de pessoas recebam este mesmo e-mail.

No meu caso denunciei um cliente da DIVEO, de um spam que recebo SEMANALMENTE. Agora basta esperar para ver se a Diveo é uma empresa séria e vai punir/banir seus clientes ou se é uma porcaria e isto vai continua.

Vou esperar para ver e publicar a atitude da empresa.

Porquê você deve denunciar?
Pelo mesmo motivo que você deve fazer queixa na polícia. O seu problema pode não ser resolvido naquele momento, mas você vai ajudar a produzir estatísticas reais e também a previnir que outras pessoas (e até você mesmo) sejam vítimas do mesmo problema.

Então fica a dica do SpamCOP para denunciar spammers, beleza? 😉

2. Enganar bots que coletam e-mail
Agora a dica que eu li no Dicas Online, que é o Spam Poison. O nome já diz o que faz: envenena o spam.

Como funciona o Spam Poison?
Os spammers utilizam robôs (spiders) que navegam pelas páginas em busca de e-mails que são cadastrados em suas bases de dados. Estes robôs vão "clicando em tudo" e coletando dados, certo?

O Spam Poison redireciona estes robôs para um loop infinito de diversas páginas (sempre com urls diferentes, para enganar a máquina) com dezenas de e-mails diferentes.

O resultado é que o spider armazena milhares de e-mails que não existem, ao disparar o spam todos estes e-mails irão voltar para o spammer. Isso vai gerar enorme desperdício de tempo, banda no servidor e principalmente trabalho para o spammer.

Como eu posso ajudar?
É simples, seu site só precisa ter um link como este:

Espalhe este link e ajude a combater o spam!

Agora é só colocar este link no blog, no site da empresa, no portfólio… Que tal convencer seus clientes a utilizarem também? 😉

Para mais informações sobre o Spam Poison no site oficial.

Será que se a maioria dos usuários (só os mais geeks mesmo, que passam horas navegando) fizessem isso para a maior parte dos spams que recebe acho que estes 96% reduziriam bastante?

Acredito que sim.
Mas só pelo fato de dificultar a vida destes malditos eu já me sinto feliz…

Entrevista com Rodrigo Lacerda (responsável pelo Vírus do Orkut)

Publicado 21 de dezembro de 2007 por gserrano

Rodrigo Lacerda escreve no blog Blog Ctrl+C e foi o responsável pelo ataque do Vírus do Orkut que aconteceu esses dias. O assunto já foi esclarecido em diversos blogs, inclusive no dele, mas resolvi fazer algumas perguntas ao Rodrigo e ele aceitou responder.

AA – Você já disse ser programador, certo? Você trabalha em alguma empresa ou como autônomo? Tem medo que o que você fez possa prejudicar sua carreira ou acredita que isso pode trazer novas oportunidades?

RL – Eu não sou programador profissional, faço por lazer mas já trabalhei com isso, tanto como freelancer como em uma empresa.

AA – Muitas pessoas ficaram brabas e difamaram todas as suas próximas gerações enquanto outras te vangloriavam pelo feito. O que você tem a dizer aos que acharam um ato sem noção, ofensivo, malvado bobo-chato-feio?

RL – Não tenho nada a dizer, elas têm o direito de ter essa opinião. Se todo mundo achasse que foi legal, não teria a menor graça.

AA – Existem comunidades criadas no Orkut (bem antes do fato) te acusando de hackers e dizendo que você é procurado, de onde vem isso? Pode dizer até onde isso é verdade?

RL – Em novembro do ano passado eu criei um script que ficou conhecido como "Orkut Cookie Exploit". Ele transferia todas as comunidades da vítima para o atacante de forma automática e enviava por mensagem privada os cookies da vítima. Na mensagem era colocado o meu nome "Rodrigo Lacerda", e como isso foi usado contra vários "justiceiros" no orkut, eles acharam que eu era quem estava roubando as comunidades deles. Esse episódio, inclusive, pode ter ajudado no meu último emprego como programador.

AA – Quantos e quais blogs você tem? Bloga por dinheiro? Do ponto de vista rentabilidade o ataque compensou para o CTRL+C? E das visitas?
(Se você puder disponibilizar um gráfico das visitas, pode ser sem números só para acompanhar o crescimento)

RL- Tenho apenas o Blog do CTRL+C. Mantenho ele não para viver, não sou problogger, mas para cobrir alguns gastos pessoais mesmo. O número de visitas subiu assustadoramente, mas por incrível que pareça, os ganhos não, se mantiveram na mesma faixa (ok um pouco acima), meu CTR despencou.
Eu tenho um sistema que "montei" que mostra gráficos dos pageviews do Analytics junto com ganhos do AdSense e HOTWords. Quando atualizar eu mando para você. Logo mais faço isso.

AA – Assim que o Rodrigo me enviar os gráficos eu coloco aqui, estou com um outro post quase pronto com os gráficos daqui referente a exploração de palavras chaves certas. SEO com sensacionalismo, uma beleza! Por aqui explorei bem o hype – como eu já tinha escrito um post sobre "bug no Orkut" e estava no topo do Google as visitas subiram assustadoramente. Fiquei algum tempo no topo para "vírus no orkut" também o que ajudou bastante. Mas logo que blogs com mais força subiram perdi a posição e consequentemente as visistas. O CTR despencou aqui também e do ponto de vista financeiro a banda consumida não compensou… haha

AA – No Brasil condenação por crime digital não é comum, mas você não tem medo de alguma coisa deste tipo? Está arrependido de alguma forma do que fez? Repetiria o feito?

RL – Não é comum mesmo. Conheço algumas coisas sobre crimes digitais, mas leis que eu creio serem antigas. Mas pelo pouco que conheço isso não se encaixa em nenhuma delas. Mas o que eu fico pensando é que as pessoas recebem spam todos os dias, milhares de pessoas são infectadas por verdadeiros vírus que roubam seus dados, e nada é feito. Não me arrependo do que fiz, só não digo que faria denovo porque não teria mais graça.

AA – Espaço livre, mensagem, foto, link…

RL – Eu tenho a dizer que as pessoas tomem cuidado. Ficou claro que é possível usar esse tipo de falha sem que o usuário precise clicar em nada, basta ler scraps, e isso todo mundo faz, e não é para deixar de fazê-lo. Peço também desculpas pelo descuido com o filtro, isso deve ter irritado muita gente. E um beijo para a minha futura esposa, Lih! =)

É isso aí, Rodrigo é humano e bem humorado, pelo visto. Apesar de ter se incomodado com meu último post sobre o assunto (já me desculpei) respondeu as perguntas, valeu pela paciência e tempo que tomei, abraço e sucesso!

E não esqueçam do blog dele: Blog Ctrl+C

ps: Parabéns pelo "futura esposa", Felicidades ao casal!