Ainda sobre a questão das passwords, aqui fica mais um artigo sobre a insegurança das passwords e o tipo de passwords que os utilizadores optam por escolher. Continua a ser muito complicado levar os utilizadores a usarem de boas práticas aquando da escolha da sua password, apesar de existirem ferramentas de software que geram passwords seguras, e de outros verificam a robustez das passwords que estão a ser introduzidas pelo utilizador.

Continua a existir um importante trade-off entre a segurança de uma password e a capacidade que o utilizador tem para a decorar. Definir e empregar uma boa política de gestão de passwords é meio caminho andado para a segurança das aplicações e de sistemas.

Diga-se em abono da verdade que a aplicação ou sistema que deixe que os seus utilizadores utilizem passwords com um só carácter (‘0′), ou em que todos os caracteres são iguais (‘111111′) está mesmo “a pedir” para ser posta à prova.

É incompreensível de facto.

Just in case, aqui ficam alguns conselhos para a escolha de passwords mais seguras (apenas um exemplo), e para evitar que este tipo de passwords vulneráveis a ataques de dicionário ou de força bruta (com baixa complexidade) possam ocorrer.

Na maior parte das vezes, os programadores não desenvolvem o código a pensar em segurança, e muitas das vezes os mesmos nem sequer são especialistas no tópico. Igualmente as pressões que são colocadas sobre o desenvolvimento para ter um produto a funcionar no mais curto espaço de tempo, leva por vezes a tomar decisões e fazer compromissos que não são de todo favoráveis à segurança do mesmo.

É por isso importante, adoptar um conjunto de medidas que envolvem a revisão e a auditoria do código que está a ser desenvolvido, como uma forma de minimizar os riscos de segurança do mesmo e aumentar a sua qualidade. Esta deveria ser uma preocupação que estaria presente desde o primeiro dia de desenvolvimento, como forma de evitar que o produto final tenha problemas que levem ao comprometimento do mesmo e dos dados que estão a seu cargo.

Infelizmente, muitas vezes, não é isto que acontece. É por isso que a leitura deste artigo pode ajudar a perceber melhor as principais necessidades de fazer revisões e auditorias ao código desenvolvido.

Um dos principais problemas destes serviços, que agora surgem em número bastante considerável devido ao sucesso do Twitter, prende-se com o facto do utilizador perder um pouco o controlo sobre alguma informação que a URL pode conter sobre a localização para onde o utilizador será redireccionado.

Muito interessante. Vale a pena a leitura.

Segundo o TEK.Sapo, a Policia Judiciária “pescou” em Lisboa dois phishers que se aproveitaram desta técnica para usurpar algum dinheiro a alguns utilizadores mais incautos.

Nunca é demais lembrar que apesar destes ataques estarem a ficar cada vez mais evoluídos, nunca deve revelar as suas credenciais de autenticação, sempre que tenha a mínima dúvida em relação à legitimidade e honestidade do meio que as solicita. Acima de tudo, desconfie sempre se este tipo de solicitações forem provenientes por email.

Recentemente um consultor de segurança descobriu um conjunto de vulnerabilidades de segurança na aplicação Google Docs, mais concretamente, três vulnerabilidades:

• Quando se introduz uma imagem num documento protegido, a mesma é carregada num servidor, a que mesmo pessoas sem acesso ao ficheiro, podem aceder à imagem, visualizá-la e descarregá-la;
• Em segundo lugar, se se partilhar um documento com um diagrama, a pessoa com quem se partilhou o documento pode ter acesso a todas as versões desse mesmo diagrama, para além da que está no documento partilhado;
• A terceira vulnerabilidade descoberta tem que ver com as permissões de acesso ao documento. Se retirar a permissão a uma pessoa para aceder aos seus documentos, este podem, em alguns casos, ter acesso posterior aos documentos sem o conhecimento do dono do mesmo.

O nível de gravidade das duas primeiras vulnerabilidades é consideravelmente baixo. No entanto, a terceira vulnarabilidade, a persistir, é uma vulnerabilidade muito séria que compromete a integridade de todo o Google Docs.

Entretanto a Google já se manifestou sobre estes problemas.

Aparentemente, alguém descobriu agora que existe uma forma de efectuar o bypass do controlo oferecido pelo AntiSamy. O método consistem em comprometer uma das bibliotecas Java, nas quais o AntiSamy se baseia, para corromper a forma como funciona. Mais detalhes podem ser encontrados aqui.