[SP-pm] DBIx::Class

Tiago Peczenyj tiago.peczenyj at gmail.com
Mon Sep 16 05:29:41 PDT 2013


não eh soh legal, vc valida se o email existe e funciona.


2013/9/16 Renato Santos <renato.cron at gmail.com>

> Não entendi ainda..
>
> quase todos sites que eu fiz cadastro até hoje, dizem se o e-mail já esta
> em uso ou não:
> http://i.imgur.com/gZqNmhu.png
>
>
> Não vou nem dizer que não precisa dizer se é o e-mail ou a senha que estão
> errado, a mensagem padrão é a mais correta ("usuario ou senha errados",
> "login inválido", etc)
>
>
> Porém, lembro de alguns sites que, ao pedir seu e-mail, não dizem se
> existe ou não, e te enviam uma confirmação, e só depois dessa confirmação
> que você continua o cadastro (colocando senha, etc)
>
> isso também é legal, mas é mais trabalhoso.
>
>
>
>
>
> 2013/9/16 Solli Honorio <shonorio at gmail.com>
>
>>
>>
>> Em 16 de setembro de 2013 01:29, Eden Cardim <eden at insoli.de> escreveu:
>>
>> >>>>> "Solli" == Solli Honorio <shonorio at gmail.com> writes:
>>>
>>>     Solli> Acho esta afirmação parcialmente verdadeira. Conhecer que
>>>     Solli> existe um email na tua base é inevitável quando vc a está
>>>     Solli> utilizando como uma chave para o sistema, e nem preciso ser
>>>     Solli> um hacker para isto.
>>>
>>> A questão não é *você* saber, o problema é um *terceiro* saber. O
>>> email da conta é metade da informação necessária pra entrar na conta e
>>> viabiliza profiling, phising, força bruta, etc.
>>>
>>
>> Todos os sistema de autenticação precisam informar que aquela chave já
>> está em uso no momento do cadastro. Todo mundo sabe que os sistemas unix
>> tem o usuário root, e o ambiente Windows o usuário 'Administrator', mas
>> isto não os fazem ser vulneráveis por este conhecimento. Faz sim estes
>> usuário serem alvos de ataques (como vc bem escreveu). Então o meu ponto é
>> que você precisa implementar um processo para reduzir o poder destes
>> ataques.
>>
>>
>>>
>>>     Solli> Qualquer um pode saber quais são os emails que estão
>>>     Solli> cadastrado no Amazon.com e no Twitter, por exemplo, mas
>>>     Solli> isto não é considerado uma falha de segurança da Amazon.
>>>
>>> Da última vez que eu olhei, nem o twitter nem a amazon te dão feedback
>>> sobre a existência de um email em particular. O feedback é sempre
>>> ambíguo, do tipo "houve um problema com seu email/senha" e não "senha
>>> errada" ou "email errado" em isolamento. Isso seria sim uma falha de
>>> segurança, porque permite que um terceiro descubra o email de uma
>>> conta arbitrária através de probing.
>>>
>>
>> Na hora do cadastro sim, eles informam na hora que o email já existe na
>> base, mas claro que na hora de logar eles mostram a mensagem 'usuário ou
>> senha inválida'.
>>
>> A quem possa interessar, recomendo fortemente os documentos do OWASP para
>> leitura e pesquisa https://www.owasp.org/index.php/Cheat_Sheets
>>
>>
>>>
>>> --
>>> Eden Cardim -- Insolide Soluções de TI Ltda.
>>> +55 11 9644 8225
>>> http://insoli.de
>>> =begin disclaimer
>>>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>>>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>>>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
>>> =end disclaimer
>>>
>>
>>
>>
>> --
>> "o animal satisfeito dorme". - Guimarães Rosa
>>
>> =begin disclaimer
>>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
>> =end disclaimer
>>
>>
>
>
> --
> Saravá,
> Renato CRON
> http://www.renatocron.com/blog/
> @renato_cron <http://twitter.com/#!/renato_cron>
>
> =begin disclaimer
>    Sao Paulo Perl Mongers: http://sao-paulo.pm.org/
>  SaoPaulo-pm mailing list: SaoPaulo-pm at pm.org
>  L<http://mail.pm.org/mailman/listinfo/saopaulo-pm>
> =end disclaimer
>
>


-- 
Tiago B. Peczenyj
Linux User #405772

http://about.me/peczenyj
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mail.pm.org/pipermail/saopaulo-pm/attachments/20130916/f9746759/attachment-0001.html>


More information about the SaoPaulo-pm mailing list