<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">Em 16 de setembro de 2013 01:29, Eden Cardim <span dir="ltr"><<a href="mailto:eden@insoli.de" target="_blank">eden@insoli.de</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im">>>>>> "Solli" == Solli Honorio <<a href="mailto:shonorio@gmail.com">shonorio@gmail.com</a>> writes:<br>
<br>
</div> Solli> Acho esta afirmação parcialmente verdadeira. Conhecer que<br>
Solli> existe um email na tua base é inevitável quando vc a está<br>
Solli> utilizando como uma chave para o sistema, e nem preciso ser<br>
Solli> um hacker para isto.<br>
<br>
A questão não é *você* saber, o problema é um *terceiro* saber. O<br>
email da conta é metade da informação necessária pra entrar na conta e<br>
viabiliza profiling, phising, força bruta, etc.<br></blockquote><div><br></div><div>Todos os sistema de autenticação precisam informar que aquela chave já está em uso no momento do cadastro. Todo mundo sabe que os sistemas unix tem o usuário root, e o ambiente Windows o usuário 'Administrator', mas isto não os fazem ser vulneráveis por este conhecimento. Faz sim estes usuário serem alvos de ataques (como vc bem escreveu). Então o meu ponto é que você precisa implementar um processo para reduzir o poder destes ataques. </div>
<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
Solli> Qualquer um pode saber quais são os emails que estão<br>
Solli> cadastrado no Amazon.com e no Twitter, por exemplo, mas<br>
Solli> isto não é considerado uma falha de segurança da Amazon.<br>
<br>
Da última vez que eu olhei, nem o twitter nem a amazon te dão feedback<br>
sobre a existência de um email em particular. O feedback é sempre<br>
ambíguo, do tipo "houve um problema com seu email/senha" e não "senha<br>
errada" ou "email errado" em isolamento. Isso seria sim uma falha de<br>
segurança, porque permite que um terceiro descubra o email de uma<br>
conta arbitrária através de probing.<br></blockquote><div><br></div><div>Na hora do cadastro sim, eles informam na hora que o email já existe na base, mas claro que na hora de logar eles mostram a mensagem 'usuário ou senha inválida'. </div>
<div><br></div><div>A quem possa interessar, recomendo fortemente os documentos do OWASP para leitura e pesquisa <a href="https://www.owasp.org/index.php/Cheat_Sheets">https://www.owasp.org/index.php/Cheat_Sheets</a></div>
<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div class=""><div class="h5"><br>
--<br>
Eden Cardim -- Insolide Soluções de TI Ltda.<br>
<a href="tel:%2B55%2011%209644%208225" value="+551196448225">+55 11 9644 8225</a><br>
<a href="http://insoli.de" target="_blank">http://insoli.de</a><br>
=begin disclaimer<br>
Sao Paulo Perl Mongers: <a href="http://sao-paulo.pm.org/" target="_blank">http://sao-paulo.pm.org/</a><br>
SaoPaulo-pm mailing list: <a href="mailto:SaoPaulo-pm@pm.org">SaoPaulo-pm@pm.org</a><br>
L<<a href="http://mail.pm.org/mailman/listinfo/saopaulo-pm" target="_blank">http://mail.pm.org/mailman/listinfo/saopaulo-pm</a>><br>
=end disclaimer<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>"o animal satisfeito dorme". - Guimarães Rosa
</div></div>