[SP-pm] DBIx::Class

Solli Honorio shonorio at gmail.com
Mon Sep 16 02:50:19 PDT 2013 

Em 16 de setembro de 2013 01:29, Eden Cardim <eden em insoli.de> escreveu:

> >>>>> "Solli" == Solli Honorio <shonorio em gmail.com> writes:
>
>     Solli> Acho esta afirmação parcialmente verdadeira. Conhecer que
>     Solli> existe um email na tua base é inevitável quando vc a está
>     Solli> utilizando como uma chave para o sistema, e nem preciso ser
>     Solli> um hacker para isto.
>
> A questão não é *você* saber, o problema é um *terceiro* saber. O
> email da conta é metade da informação necessária pra entrar na conta e
> viabiliza profiling, phising, força bruta, etc.
>

Todos os sistema de autenticação precisam informar que aquela chave já está
em uso no momento do cadastro. Todo mundo sabe que os sistemas unix tem o
usuário root, e o ambiente Windows o usuário 'Administrator', mas isto não
os fazem ser vulneráveis por este conhecimento. Faz sim estes usuário serem
alvos de ataques (como vc bem escreveu). Então o meu ponto é que você
precisa implementar um processo para reduzir o poder destes ataques.


>
>     Solli> Qualquer um pode saber quais são os emails que estão
>     Solli> cadastrado no Amazon.com e no Twitter, por exemplo, mas
>     Solli> isto não é considerado uma falha de segurança da Amazon.
>
> Da última vez que eu olhei, nem o twitter nem a amazon te dão feedback
> sobre a existência de um email em particular. O feedback é sempre
> ambíguo, do tipo "houve um problema com seu email/senha" e não "senha
> errada" ou "email errado" em isolamento. Isso seria sim uma falha de
> segurança, porque permite que um terceiro descubra o email de uma
> conta arbitrária através de probing.
>

Na hora do cadastro sim, eles informam na hora que o email já existe na
base, mas claro que na hora de logar eles mostram a mensagem 'usuário ou
senha inválida'.

A quem possa interessar, recomendo fortemente os documentos do OWASP para
leitura e pesquisa https://www.owasp.org/index.php/Cheat_Sheets


>
> --
> Eden Cardim -- Insolide Soluções de TI Ltda.
> +55 11 9644 8225
> http://insoli.de
> =begin disclaimer
>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>  SaoPaulo-pm mailing list: SaoPaulo-pm em pm.org
>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end disclaimer
>



-- 
"o animal satisfeito dorme". - Guimarães Rosa
-------------- Pr?xima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://mail.pm.org/pipermail/saopaulo-pm/attachments/20130916/2b7d268b/attachment.html>

More information about the SaoPaulo-pm mailing list