[SP-pm] DBIx::Class

Mon Sep 16 05:25:34 PDT 2013

Não entendi ainda..

quase todos sites que eu fiz cadastro até hoje, dizem se o e-mail já esta
em uso ou não:
http://i.imgur.com/gZqNmhu.png

Não vou nem dizer que não precisa dizer se é o e-mail ou a senha que estão
errado, a mensagem padrão é a mais correta ("usuario ou senha errados",
"login inválido", etc)

Porém, lembro de alguns sites que, ao pedir seu e-mail, não dizem se existe
ou não, e te enviam uma confirmação, e só depois dessa confirmação que você
continua o cadastro (colocando senha, etc)

isso também é legal, mas é mais trabalhoso.

2013/9/16 Solli Honorio <shonorio at gmail.com>

>
>
> Em 16 de setembro de 2013 01:29, Eden Cardim <eden at insoli.de> escreveu:
>
> >>>>> "Solli" == Solli Honorio <shonorio at gmail.com> writes:
>>
>>     Solli> Acho esta afirmação parcialmente verdadeira. Conhecer que
>>     Solli> existe um email na tua base é inevitável quando vc a está
>>     Solli> utilizando como uma chave para o sistema, e nem preciso ser
>>     Solli> um hacker para isto.
>>
>> A questão não é *você* saber, o problema é um *terceiro* saber. O
>> email da conta é metade da informação necessária pra entrar na conta e
>> viabiliza profiling, phising, força bruta, etc.
>>
>
> Todos os sistema de autenticação precisam informar que aquela chave já
> está em uso no momento do cadastro. Todo mundo sabe que os sistemas unix
> tem o usuário root, e o ambiente Windows o usuário 'Administrator', mas
> isto não os fazem ser vulneráveis por este conhecimento. Faz sim estes
> usuário serem alvos de ataques (como vc bem escreveu). Então o meu ponto é
> que você precisa implementar um processo para reduzir o poder destes
> ataques.
>
>
>>
>>     Solli> Qualquer um pode saber quais são os emails que estão
>>     Solli> cadastrado no Amazon.com e no Twitter, por exemplo, mas
>>     Solli> isto não é considerado uma falha de segurança da Amazon.
>>
>> Da última vez que eu olhei, nem o twitter nem a amazon te dão feedback
>> sobre a existência de um email em particular. O feedback é sempre
>> ambíguo, do tipo "houve um problema com seu email/senha" e não "senha
>> errada" ou "email errado" em isolamento. Isso seria sim uma falha de
>> segurança, porque permite que um terceiro descubra o email de uma
>> conta arbitrária através de probing.
>>
>
> Na hora do cadastro sim, eles informam na hora que o email já existe na
> base, mas claro que na hora de logar eles mostram a mensagem 'usuário ou
> senha inválida'.
>
> A quem possa interessar, recomendo fortemente os documentos do OWASP para
> leitura e pesquisa https://www.owasp.org/index.php/Cheat_Sheets
>
>
>>
>> --
>> Eden Cardim -- Insolide Soluções de TI Ltda.
>> +55 11 9644 8225
>> http://insoli.de
>> =begin disclaimer
>>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
>> =end disclaimer
>>
>
>
>
> --
> "o animal satisfeito dorme". - Guimarães Rosa
>
> =begin disclaimer
>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end disclaimer
>
>

-- 
Saravá,
Renato CRON
http://www.renatocron.com/blog/
@renato_cron <http://twitter.com/#!/renato_cron>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mail.pm.org/pipermail/saopaulo-pm/attachments/20130916/b0974ee4/attachment.html>