[Cascavel-pm] RE:_[Cascavel-pm]_usar_md5_para_validar_entradas_de_um_formulário

[Alceu R. de Freitas Jr.]

 --- Luis Campos de Carvalho <lechamps em terra.com.br>
escreveu: 
 
>    Alceu, exceto no caso de você estar programando
> alguma coisa 
> supersegura para a NASA (ou coisa que o valha), acho
> que isso é um exagero.

Estou programando para o FAUS
(http://faus.sourceforge.net) ! Eu quero criar uma
ferramenta que ajude o administrador, não que o deixe
com as calças nas mãos!
 
>    Tenho certeza de que você pode fazer o truque
> usando uma "tabela de 
> equivalências", de onde você possa pegar os dados
> "sensíveis" que 
> navegam pela web. Assim, supondo que você esteja
> vendendo vinhos:
> 
>    Envie as informações que o usuário precisa para
> comprar um vinho, 
> retiradas de sua base de dados: a) Código do
> Produto; b) Preço; c) 
> Fabricante; d) Safra; e) Tipo do vinho;
> 
>    O usuário vai enviar de volta uma lista de
> produtos escolhidos, de 
> onde você vai puxar duas informações:
> 
>    a) Código do produto;  (Taint-check contra sua
> base de dados)
>    b) Quantidade desejada; (Taint-check contra
> m/^\d{1,5}$/o )
> 
>    Em seguida, envie novamente uma página para o
> carinha, contendo 
> novamente todas as informações necessárias para a
> compra, inclusive o 
> preço total do pedido, e peça a confirmação / cartão
> de crédito / 
> cadastro do cliente.

Isso já estou fazendo hoje.

>    Em suma: o cliente sempre enxerga as informações
> do pedido que ele 
> está manipulando, mas nunca influencia nos dados
> diretamente. Ele pode 
> dizer qual, mas temos separadamente todos os dados
> do produto (fora do 
> alcance). O cliente pode dizer quantos, mas sempre
> temos limites (e 
> vamos tentar completar transações grandes por meios
> mais confiáveis do 
> que a web).

A questão é que eu terei que obter os valores de um
arquivo texto. Eu estava me perguntando o que seria
mais rápido.
Eu poderia reler o arquivo texto, jogar tudo para um
hash e fazer uma pesquisa não-sequencial. Mesmo assim,
me pintou essa dúvida.
Mesmo que o FAUS fique um pouco mais lento, eu prefiro
perder um pouco de performance afim de aumentar a
segurança dele. Eu não creio que ele vá ser usado por
mais de 3 pessoas ao mesmo tempo, em média.
A idéia era usar uma combinação para fazer o hash
como:
"itens + frase secreta".
assim fica difícil o usuário mal-intencioando
conseguir recalcular o hash correto.

 
>    Espero que isso ajude você a pensar sobre o
> assunto.
>    Somas MD5 são muito interessantes como
> aprendizado, e certamente têm 
> muitas aplicações interessantes. Infelizmente, eu
> não vejo muita 
> utilidade para MD5 em websites que implementam B2C.

Acho que vou fazer alguns testes. Nenhum site de
comércio eletrônico usa isso?
 
>    Sinta-se à vontade para perguntar tudo o que você
> quiser saber, tá?

Já que fui deixado tão à vontade assim, eu preciso de
algumas referências boas sobre Javascript. Algo que vá
além de fazer contas e coisas simples, como mostrar
algumas funções do javascript 1.5. Sei que a lista é
sobre Perl, mas tenho certeza que alguém aqui deve
saber sobre isso também!
 
>    Ah! Talvez o Hulot (que está quietinho e não se
> apresentou para a 
> lista ainda) tenha alguma coisa interessante para
> dizer sobre isso... o 
> pessoal da lista gostaria de saber o que você pensa,
> Hulot... por favor 
>    escreva alguma coisa para a gente... =-]

Seria bom ter mais opinições. Acho que nunca vi uma
mensagem dele: ele está em modo "digest"?

[]´s


=====
Alceu Rodrigues de Freitas Junior
--------------------------------------
glasswalk3r em yahoo.com.br
http://www.imortais.cjb.net
-----------------------------------------------------------------------
Please avoid sending me Word or PowerPoint attachments.
See http://www.fsf.org/philosophy/no-word-attachments.html

_______________________________________________________________________
Yahoo! Mail
Mais espaço, mais segurança e gratuito: caixa postal de 6MB, antivírus, proteção contra spam.
http://br.mail.yahoo.com/