Segurança de Aplicações Web
E ainda mais sobre as passwords…
Simple Passwords Remain Popular, Despite Risk of Hacking – NYTimes.com
Ainda sobre a questão das passwords, aqui fica mais um artigo sobre a insegurança das passwords e o tipo de passwords que os utilizadores optam por escolher. Continua a ser muito complicado levar os utilizadores a usarem de boas práticas aquando da escolha da sua password, apesar de existirem ferramentas de software que geram passwords seguras, e de outros verificam a robustez das passwords que estão a ser introduzidas pelo utilizador.
Continua a existir um importante trade-off entre a segurança de uma password e a capacidade que o utilizador tem para a decorar. Definir e empregar uma boa política de gestão de passwords é meio caminho andado para a segurança das aplicações e de sistemas.
Diga-se em abono da verdade que a aplicação ou sistema que deixe que os seus utilizadores utilizem passwords com um só carácter (‘0′), ou em que todos os caracteres são iguais (‘111111′) está mesmo “a pedir” para ser posta à prova.
É incompreensível de facto.
Just in case, aqui ficam alguns conselhos para a escolha de passwords mais seguras (apenas um exemplo), e para evitar que este tipo de passwords vulneráveis a ataques de dicionário ou de força bruta (com baixa complexidade) possam ocorrer.
| Print article | This entry was posted by Carlos Serrao on January 21, 2010 at 5:03 pm, and is filed under OWASP. Follow any responses to this post through RSS 2.0. You can skip to the end and leave a response. Pinging is currently not allowed. |
No comments yet.
XSS demo para roubar passwords no Firefox
about 5 months ago - No comments
E aqui fica uma demo sobre como usar Cross Site Scripting (XSS) para roubar passwords do gestor de passwords do Firefox (aliás, técnicas semelhantes podem ser usadas para o Internet Explorer, Safari, Chrome, Opera e outros).
Mais um motivo para não usar a opção de deixar que o browser memorize as passwords por nós.
Revisões de Código
about 1 year ago - No comments
Neste bom artigo, podemos perceber um pouco melhor porque é que rever e auditar o código desenvolvido pode ser uma prática que permite acrescentar maior segurança às aplicações desenvolvidas.
Na maior parte das vezes, os programadores não desenvolvem o código a pensar em segurança, e muitas das vezes os mesmos nem sequer são especialistas no
Segurança nos serviços de redução do tamanho dos URL
about 1 year ago - No comments
Este artigo, discute alguns dos problemas de segurança relacionados com os serviços de redução do tamanho de URL (URL shortning services).
Um dos principais problemas destes serviços, que agora surgem em número bastante considerável devido ao sucesso do Twitter, prende-se com o facto do utilizador perder um pouco o controlo sobre alguma informação que a URL
Polícia Judiciária andou à pesca em Lisboa
about 1 year ago - No comments
Um dos ataque mais comuns dos nossos dias dá pelo nome de phishing. O phishing é um ataque que leva o utilizador a revelar as suas credenciais de autenticação quando confrontado com informação que lhe parece ser fidedigna e legítima. É muitas das vezes aplicado para levar os utilizadores dos sites de homebanking a revelarem
Problemas de Segurança no Google Docs
about 1 year ago - No comments
Apesar de ser uma excelente ferramenta de produtividade e de partilha de documentos, e de ser suportado pelo gigante de software e de aplicação web, que dá pelo nome de Google, o Google Docs não está isento de falhas de software.
Recentemente um consultor de segurança descobriu um conjunto de vulnerabilidades de segurança na aplicação Google
OWASP AntiSamy comprometido?
about 1 year ago - No comments
A ferramenta da AntiSamy é um projecto do OWASP que serve para filtrar o input que as aplicações web recebem por parte de utilizadores. Existem aplicações web que permitem a introdução de conteúdo em HTML e CSS. A ferramenta AntiSamy permite filtrar esse mesmo conteúdo introduzido de acordo com um conjunto de regras pré-estabelecido. Isto
