| O roubo das senhas é uma das principais formas de invasão. Crackers utilizam principalmente 4 ferramentas para conseguir a senha de determinada conta: Keyloggers, Spywares, Brute Force e Code Injection.
Contra os dois primeiros é importante a utilização de um bom anti-vírus ou um sistema operacional menos susceptível à vírus (como o MacOS ou o linux) nos computadores que serão utilizados para gerenciar as contas.
Contra Brute Force já possuímos regras de firewall que impedem a maioria desses ataques, mas sempre é importante a utilização de senhas fortes. É indicada a utilização de senhas de no mínimo 8 caracteres possuindo letras minúsculas, maiúsculas, números e caracteres especiais. Ex.: TgEr$%52
Contra Code Injections é importante verificar se seus scripts estão sendo rodados sob as últimas versões de seus respectivos interpretadores (ou compiladores) e se o banco de dados utilizado também é o mais atualizado. Utilizar sempre a versão mais nova dos serviços impede que suas contas estejam vulneráveis à maioria dos exploits mais conhecidos.
Falando em php, listaremos aqui alguns dos principais problemas de segurança que podem ser configurados no php.ini da conta de cada cliente. Por padrão eles já vem desabilitados em nossos servidores, mas muitos clientes pedem para habilitar para suas contas. Saiba porque isto não é recomendado:
Má programação com register_globals = On: Quando ligada, a diretiva register_globals criará para seus scripts vários tipos de variáveis, como as variáveis oriundas de formulários HTML. Isso, combinado com o fato de que o PHP não requer inicialização de variáveis, significa que é mais fácil escrever código inseguro.
Má programação com allow_url_fopen = On: Esta função permite a execução de arquivos remotos diretamente no servidor. register_glolas = On + allow_url_fopen = On + uma variável não-inicializada = arquivos maliciosos rodando na sua conta.
magici_quotes = On: Esse é o principal meio de se fazer SQL Injection em uma base de dados. Off sempre.
Algumas outras funções que não devem ser habilitadas: show_source, system, shell_exec, passthru, exec, popen, proc_open, symlink
Quanto à permissão dos arquivos e pastas, já utilizamos em nossos servidores o phpsuexec, que faz com que arquivos com permissões diferentes de 644 e pastas diferentes de 755 não possam ser acessadas pelo php.
Esperamos que essas prerrogativas o ajudem a manter suas contas em segurança.
Fonte: Antônio Flávio
|
 Adicionar aos Favoritos
 Imprimir este Artigo
|
Central do Cliente
Área do Cliente
Notícias
Base de Conhecimento
Enviar Ticket
Downloads
Efetuar Pedido