Requisito 4: Sem erros para o usuário

Falaremos aqui de outro ponto importantíssimo na questão de segurança que é freqüentemente ignorado pelos desenvolvedores: as mensagens de erro.

As mensagens de erro foram feitas para que o desenvolvedor possa trabalhar de forma mais prática e descobrir o que ele está fazendo de errado. Observem, entretando, que, quando uma aplicação atinge maturidade suficiente para “entrar em produção”, torna-se imperativo que o usuário não visualize mensagens de erro.

A razão disso é muito simples: as mensagens de erro freqüentemente trazem informações sensíveis. Observe como exemplo uma típica mensagem de falha de conexão com a base de dados:

Warning: mysql_connect() [function.mysql-connect]:
Access denied for user 'foo'@'localhost' (using password: YES)
in /usr/local/apache/htdocs/script.php on line 2

Note, através das partes destacadas, que esta mensagem me informa:

1. O tipo de RDBMS: mysql
2. O usuário de conexão com a base: foo
3. Que este usuário está tentando uma conexão de dentro do servidor: localhost
4. O caminho absoluto da raiz web: /usr/local/apache/htdocs
5. O nome do script: script.php

É por isso que, quando colocamos uma aplicação em produção, ocultamos as mensagens de erro e as gravamos diretamente em um arquivo de log. Isto é muito simples de implementar:

Exemplo:

display_errors = Off
log_errors = On
error_log = /log/php_errors.log

Requisito #5: Esconda do servidor web o que ele não precisa acessar

Quantos de nós não usamos em nossas aplicações um arquivo, tipicamente chamado de config.php ou setup.php, onde guardamos, por exemplo, usuário e senha da base de dados?

Não há nada de errado nisso, mas cuidado: se este arquivo não gera saída de informação em HTML, por que deixá-lo acessível via web?

Para esclarecermos o problema, vamos definir 3 coisas:

1. minha raiz web é: /usr/local/apache/htdocs
2. meu arquivo de configuração fica localizado em /usr/local/htdocs/config/config.php
3. este é um código típico que usa este arquivo:

require_once("/urs/local/htdocs/config/config.php");
/* bla bla bla */

Observe que o erro neste caso é confundir interpretador PHP e servidor web. O Apache (ou IIS, Xitami etc) não precisa saber onde está este arquivo. Isto é responsabilidade do interpretador.

Outro problema é que se arquivo fica desnecessariamente exposto, afinal de contas basta eu abrir um navegador e digitar:

http://www.meusite.com.br/config/config.php

Não faz sentido. Por mais que você possa argumentar que não há forma de ler o código-fonte deste arquivo, ainda assim, isto não muda o fato de que ele está desnecessariamente exposto.

A solução é simples: movemos o arquivo para fora da raiz web:

/usr/local/config/config.php

E depois apenas acertamos as permissões e corrigimos nosso código:

require_once("/urs/local/config/config.php");
/* bla bla bla */

A partir de agora nosso arquivo de configuração só pode ser lido por quem precisa dele: o interpretador PHP.

Requisito #6: Use criptografia

Dados sigilosos são chamados assim por um motivo. Quando tratamos especificamente de senhas é impressionante a quantidade de aplicações web que gravam senhas em texto puro na base de dados.

Ora, se a senha possui a importância que tem e quem a escolhe é o usuário, por que alguém mais precisa ler essa senha?

Se a senha possui este peso em nossa aplicação, não podemos nos dar o luxo de fazer com que ela trafegue pela aplicação totalmente exposta.

PHP implementa criptografia de várias formas, mas eu sugiro – para quem puder usar, pois exige instalação e configuração extra – a utilização da função mcrypt.

Os hashes MD5 e SHA-1 são opções válidas, mas o problema é a sua fragilidade: para o MD5 existe até dicionário de dados, enquanto o SHA-1 foi recentemente “quebrado” por um pesquisador chinês.

Conclusão

A implementação de regras básicas de segurança depende apena da boa vontade do desenvolvedor. Você deve ter percebido como a maior parte das soluções aqui apresentadas significam simples mudanças de hábito.

É mais do que tempo de nós, desenvolvedores PHP, deixarmos de lado nossos antigos vícios e começarmos a implementar boas práticas de programação.

Ganha o profissional, ganha a sua aplicação, ganha o seu cliente, ganha o mercado. Só quem perde nessa situação é quem tenta se aproveitar de nossa aplicação.

Referências e links sugeridos

[PHP Security Consortium] – http://phpsec.org/
[PHP RS] – http://www.phprs.com.br/

Er Galvão Abbott trabalha há mais de dez anos com programação de websites e sistemas corporativos com interface web. Autodidata, teve seu primeiro contato com a linguagem HTML em 1995, quando a internet estreava no Brasil. Atualmente, além de lecionar em diversos cursos, tem se dedicado ao desenvolvimento de sistemas baseados na web, tendo nas linguagens PHP, Perl e JavaScript suas principais paixões.

Parte I

Dependemos da encriptação para manter nossos dados seguros, mas isto significa ter várias chaves e senhas que devemos nos preocupar. Uma chave GPG tem uma senha para protegê-lo, mas e as chaves do seu sistema de arquivos ou chaves de autenticação SSH? Manter cópias em dispositivos USB parecem uma boa idéia até que você perde o dispositivo e todas as suas chaves se tornam de domínio público. Até mesmo a chave GPG não fica seguro já que é óbvio que ela significa e a senha pode ser quebrada com ataque de dicionário.

Um arquivo encriptado dos seus dados mais sensíveis tem inúmeras vantagens: tudo fica protegido com uma senha (adicionando uma segunda camada de encriptação no caso de uma chave GPG) e disfarça o conteúdo do arquivo. Alguém que encontre o seu dispositivo USB encontraria dados sem conseguir identificar o significado do seu conteúdo. O Ccrypt (http://ccrypt.sourceforge.net) é uma boa opção para fazer isso, pois possui uma encriptação forte e pode ser usado para encriptar fluxos tar, como em

tar -c file1 file2... | ccencrypt >stuff

e extrair com

ccdecrypt <stuff | tar x

Se você realmente quer ocultar seus dados, use o Steghide (http://steghide.sourceforge.net) para esconder os dados com outro arquivos, como uma foto ou arquivo de música

If you really want to hide your data, use Steghide (http://steghide.sourceforge.net) to hide the data within another file, such as a photo or music file

steghide embed --embedfile stuff --coverfile img_1416.jpg

e extrair com

steghide extract --stegofile img_1416.jpg

Mais em Truques de linha de comando.

Summary Report 2010 « AV-Comparatives weblog

The AV-Comparatives Summary Report for 2010 has been released on our website.

Mente Binária – O que fazer com o C que se aprendeu na faculdade

Criando Relatórios com PHP – Novatec Editora

Dicas-L: Broffice.org – Broffice – Edição de duas ou mais seções de um documento

Sua senha é realmente forte? | LonelySpooky’s Blog

Php Security – Nem tudo que é publicado deve ser seguido – Wagner Elias – Think Security First

fechaTag – Desafio de programação: resolvendo Lights Off

Blog do Márcio d’Ávila » Aplicações Internet Ricas e Acessíveis

Detectando o iPad com PHP e Javascript « Igor Escobar // Blog

Increase your internet speed with Namebench | Ubuntu Geek

Guia de referência de comando em PT-BR | Ubuntu Dicas

Blog do Márcio d’Ávila » Fraude Surpreendo – Proteja seus dados pessoais

São Paulo dos Contrastes | Olhar Sobre o Mundo

RootSudo – Ubuntu Brasil

Associações de provedores se mobilizam para bloquear porta 25 – Internet – IDG Now!

Ripando e Gerando DVDs no Linux de forma simples « jmmwrite – simples e direto

Activate Remote Desktop REMOTELY!!! | commandlinefu.com

Site lista fatos (sic) sobre Richard Stallman

“Depois dos fatos sobre Chuck Norris, sobre Zé Mayer e, mais recentemente, sobre Sonia Abrão, eu descobri acidentalmente um site que lista os Fatos sobre Richard Stallman. Segundo a página, a idéia surgiu depois de o bom doutor ter dito que ele usava o wget para navegar na Internet usando um daemon para enviar-lhe as páginas por e-mail.”

PHP é à quinta-feira – 50 dicas sobre desempenho e segurança | Peopleware

Howto access ext3 partition from Windows | Ubuntu Geek

This tutorial will allow you to access your ext3 partition under Windows, using Sun VirtualBox and Ubuntu.
The tutorial is pretty long due to the images, but they explain things easier sometimes (they are not just meaningless screenshots) (forgive me for your scroll button )

JetDL – Buscador de arquivos no rapidshare, megaupload e outros

Upload Pie – The Simple Image Sharing Tool

Compartilhamento de arquivos com data de vencimento

Mantis Bug Tracker

Gerenciamento de erros

Google Docs e Sites deixarão de dar suporte ao IE6 – Google Discovery

TIOBE Software: Tiobe Index

Índice de relevância das linguagens na internet. As linguagens mais discutidas atualmente.

Usar SSH para conectar a um computador remoto é conveniente, mas há algumas desvantagens. Uma delas é que você precisa digitar a senha a cada vez que você conecta, o que é incômodo num terminal interativo mas inaceitável em um script, pois você precisa que a senha esteja no script. O outro é que uma senha pode ser quebrada. Uma senha longa, aleatório e complexa ajuda, mas torna as autenticações interativas ainda mais incovenientes. É mais seguro ativar o SSH para funcionar sem senhas de uma vez. Primeiro, você precisa ativar um par de chaves para o SSH usando ssh-keygen como este para gerar chaves RSA (mude o argumento para dsa em chaves DSA).

ssh-keygen -t rsa

Serão criados dois arquivos em ~/.ssh, id_rsa (ou id_dsa) com sua chave privada e id_rsa.pub com a sua chave pública. Copie a chave pública para o computador remoto e adicione-a na lista de chaves autorizadas com

cat id_rsa.pub >>~/.ssh/authorized_keys

Agora você pode sair da sessão SSH e iniciá-la novamente. Você não será solicitado a entrar com senha, embora se relacionar uma frase-senha para a chave você será solicitado a digitá-la. Repita isso para cada usuário e cada computador remoto. Você pode fazer isto de maneira ainda mais segura ao adicionar

PasswordAuthentication no

a /etc/ssh/sshd_config. O SSH passará a recusar todas as conexões sem uma chave, tornando a quebra de senhas impossível.

TextFlow

Editor Web Linux

Scripturae Publicações

Encoding from AVI to MPEG format | commandlinefu.com

O mistério da porta 25: por que provedores bloqueiam o acesso?

Portfólios de freelancers para projetos criativos

G1 > Mundo – NOTÍCIAS – Obama promete não atrapalhar fãs de ‘Lost’ com discurso

Ikea Job Interview » CrisDias weblog

Usando o nome da rede wifi para mandar recados para os vizinhos » CrisDias weblog

E Se a Veja Fosse Publicada no Universo Star Wars? « Eu Podia Tá Matando

Color Scheme Designer 3

Esquema de cores com código HTML

OLYMPIKUS – O Maior Mosaico do Mundo

Ninite Easy PC Setup – Download/Install Multiple Programs Fast

Faça um pacote dos seus programas mais usados para instalar facilmente em uma nova máquina.

Ketarin – keep your setup packages up to date

Instalação de programas a granel. É permitido até mesmo instalação offline.

Marc Fleury, fundador do JBoss, critica a campanha de Monty Widenius para “salvar” o MySQL

Monty Widenius, cuja empresa vendeu o MySQL para a Sun, há algumas semanas vem travando uma longa e ruidosa batalha para tentar convencer entidades regulatórias a de alguma forma impedir que a Oracle adquira o MySQL junto no momento em que se concretize a aquisição da Sun por ela.

Microsoft reconhece bug do Windows que existe há 17 anos | Gizmodo Brasil

sso que é procrastinação! Ou melhor, ignorância sobre uma falha básica do próprio sistema operacional por quase duas décadas: um engenheiro do Google descobriu recentemente uma vulnerabilidade no kernel 32-bit do Windows — vulnerabilidade que existe desde 1993.

G1 > Tecnologia – NOTÍCIAS – ’123456′ é senha mais usada na internet, diz estudo

[Lifehacker] Firefox 3.6 disponível oficialmente: mais velocidade, temas com um clique e mais | Gizmodo Brasil

[Lifehacker] Teste de velocidade de navegadores: os resultados Windows 7 | Gizmodo Brasil

Teste com Chrome, Firefox 3.6 e Firefox 3.5.4

Pelo menos aqui no Rio de Janeiro, os taxistas, que teoricamente são os profissionais do trânsito, são, notadamente, os piores motoristas. Algumas pessoas até falam mal dos motoristas de ônibus, mas, em minha concepção, os taxistas estão muito à frente quando se fala em dirigir mal e perigosamente.

Durante A Grande Família de ontem me diverti numa cena que é completamente real: Agostinho (Pedro Cardoso) está muito apreensivo para o exame de renovação da carteira de habilitação. Marilda (Andréa Beltrão) ajuda-o revendo as questões da prova e pergunta:

- O que você deve fazer quando está na pista da esquerda e vem um motorista em maior velocidade?
- Essa é mole. Eu não preciso fazer nada.
- Se você não precisasse fazer nada não seria uma questão do exame, né, Agostinho? Você tem que dar passagem ao invés de ficar se arrastando na pista da esquerda.

Taí o pensamento dos taxistas. Claro que estou generalizando, mas difícil mesmo é algum agir de maneira diferente da do Agostinho.

Outro dia, voltando de madrugada para casa, eu estava numa rua principal de Piedade quando um taxista abruptamente avançou o sinal de uma das ruas laterais para entrar nesta rua principal, inclusive avançando na pista contrária (a rua é de mão dupla). Eu estava um pouco distante, mas com uma boa velocidade porque os sinais estavam todos abertos para mim. Se eu não estivesse atento, certamente bateríamos. Diminuí um pouco a velocidade e fiz questão de buzinar com vontade desde o momento em que o vi avançando o sinal até o momento em que eu o ultrapassei. Ao parar no próximo sinal, ele parou ao meu lado e teve a cara de pau de querer tentar dizer alguma coisa. Eu me antecipei:

- Você é doido? Poderia causar um acidente numa pista a essa hora da noite com a pista livre e os sinais abertos para mim.
- Eu sei que estou errado, mas não tem necessidade de buzinar.
- Você tá errado e não tem direito de falar nada.

Só para não deixar o Agostinho mentir, a atitude do taxista demonstrou que ele ficou incomodado com minha buzina e não com o perigo que corremos pela imprudência dele. Às favas com a direção defensiva.

Vergonhoso.

pdftk – the pdf toolkit

Bem vindo | HDFree Brasil

Hospedagem de páginas gratuitas

Dividindo dados em colunas – Mauro Pichiliani – SQL Server

yfrog – Share your images/videos on Twitter!

Media Converter – the fastest free online audio and video converter

Top 100 Open Source Security Tools