[Cascavel-pm] RE: [Cascavel-pm] RE:_[Cascavel-pm]_usar_md5_para_validar_entradas_de_um_formulário

Solli Moreira Honorio shonorio em terra.com.br
Quinta Junho 12 19:53:01 CDT 2003


Alceu,

A tua preocupação é nobre, realmente devemos sempre nos preocupar com a
segurança do que estamos desenvolvendo, afinal a maioria dos problemas
de segurança esta na mão dos programadores.

Esta idéia do hash para a assinatura do formulário é um tanto quanto
interessante também, pois imagina se alguém pega a página de uma
empresa, alterar o conteúdo em alguma parte da página e sair
re-publicando isto por aí, realmente o hash seria muito interessante
para estes casos.

Só não consegui encaixar isto, e nem como lhe ajudar, para o caso do
faus.

Solli 


> -----Original Message-----
> From: cascavel-pm-admin em mail.pm.org
[mailto:cascavel-pm-admin em mail.pm.org]
> On Behalf Of Alceu R. de Freitas Jr.
> Sent: Wednesday, June 11, 2003 1:45 PM
> To: cascavel-pm em mail.pm.org
> Subject: Re: [Cascavel-pm] RE:_[Cascavel-
> pm]_usar_md5_para_validar_entradas_de_um_formulário
> 
>  --- Luis Campos de Carvalho <lechamps em terra.com.br>
> escreveu:
> 
> >    Alceu, exceto no caso de você estar programando
> > alguma coisa
> > supersegura para a NASA (ou coisa que o valha), acho
> > que isso é um exagero.
> 
> Estou programando para o FAUS
> (http://faus.sourceforge.net) ! Eu quero criar uma
> ferramenta que ajude o administrador, não que o deixe
> com as calças nas mãos!
> 
> >    Tenho certeza de que você pode fazer o truque
> > usando uma "tabela de
> > equivalências", de onde você possa pegar os dados
> > "sensíveis" que
> > navegam pela web. Assim, supondo que você esteja
> > vendendo vinhos:
> >
> >    Envie as informações que o usuário precisa para
> > comprar um vinho,
> > retiradas de sua base de dados: a) Código do
> > Produto; b) Preço; c)
> > Fabricante; d) Safra; e) Tipo do vinho;
> >
> >    O usuário vai enviar de volta uma lista de
> > produtos escolhidos, de
> > onde você vai puxar duas informações:
> >
> >    a) Código do produto;  (Taint-check contra sua
> > base de dados)
> >    b) Quantidade desejada; (Taint-check contra
> > m/^\d{1,5}$/o )
> >
> >    Em seguida, envie novamente uma página para o
> > carinha, contendo
> > novamente todas as informações necessárias para a
> > compra, inclusive o
> > preço total do pedido, e peça a confirmação / cartão
> > de crédito /
> > cadastro do cliente.
> 
> Isso já estou fazendo hoje.
> 
> >    Em suma: o cliente sempre enxerga as informações
> > do pedido que ele
> > está manipulando, mas nunca influencia nos dados
> > diretamente. Ele pode
> > dizer qual, mas temos separadamente todos os dados
> > do produto (fora do
> > alcance). O cliente pode dizer quantos, mas sempre
> > temos limites (e
> > vamos tentar completar transações grandes por meios
> > mais confiáveis do
> > que a web).
> 
> A questão é que eu terei que obter os valores de um
> arquivo texto. Eu estava me perguntando o que seria
> mais rápido.
> Eu poderia reler o arquivo texto, jogar tudo para um
> hash e fazer uma pesquisa não-sequencial. Mesmo assim,
> me pintou essa dúvida.
> Mesmo que o FAUS fique um pouco mais lento, eu prefiro
> perder um pouco de performance afim de aumentar a
> segurança dele. Eu não creio que ele vá ser usado por
> mais de 3 pessoas ao mesmo tempo, em média.
> A idéia era usar uma combinação para fazer o hash
> como:
> "itens + frase secreta".
> assim fica difícil o usuário mal-intencioando
> conseguir recalcular o hash correto.
> 
> 
> >    Espero que isso ajude você a pensar sobre o
> > assunto.
> >    Somas MD5 são muito interessantes como
> > aprendizado, e certamente têm
> > muitas aplicações interessantes. Infelizmente, eu
> > não vejo muita
> > utilidade para MD5 em websites que implementam B2C.
> 
> Acho que vou fazer alguns testes. Nenhum site de
> comércio eletrônico usa isso?
> 
> >    Sinta-se à vontade para perguntar tudo o que você
> > quiser saber, tá?
> 
> Já que fui deixado tão à vontade assim, eu preciso de
> algumas referências boas sobre Javascript. Algo que vá
> além de fazer contas e coisas simples, como mostrar
> algumas funções do javascript 1.5. Sei que a lista é
> sobre Perl, mas tenho certeza que alguém aqui deve
> saber sobre isso também!
> 
> >    Ah! Talvez o Hulot (que está quietinho e não se
> > apresentou para a
> > lista ainda) tenha alguma coisa interessante para
> > dizer sobre isso... o
> > pessoal da lista gostaria de saber o que você pensa,
> > Hulot... por favor
> >    escreva alguma coisa para a gente... =-]
> 
> Seria bom ter mais opinições. Acho que nunca vi uma
> mensagem dele: ele está em modo "digest"?
> 
> []´s
> 
> 
> =====
> Alceu Rodrigues de Freitas Junior
> --------------------------------------
> glasswalk3r em yahoo.com.br
> http://www.imortais.cjb.net
>
-----------------------------------------------------------------------
> Please avoid sending me Word or PowerPoint attachments.
> See http://www.fsf.org/philosophy/no-word-attachments.html
> 
>
_______________________________________________________________________
> Yahoo! Mail
> Mais espaço, mais segurança e gratuito: caixa postal de 6MB,
antivírus,
> proteção contra spam.
> http://br.mail.yahoo.com/
> _______________________________________________
> Cascavel-pm mailing list
> Cascavel-pm em mail.pm.org
> http://cascavel.pm.org/mailman/listinfo/cascavel-pm
> 
> ---
> Incoming mail is certified Virus Free.
> Checked by AVG anti-virus system (http://www.grisoft.com).
> Version: 6.0.489 / Virus Database: 288 - Release Date: 6/10/2003
> 

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.489 / Virus Database: 288 - Release Date: 6/10/2003
 




Mais detalhes sobre a lista de discussão Cascavel-pm