
<div dir="ltr">não eh soh legal, vc valida se o email existe e funciona.</div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/9/16 Renato Santos <span dir="ltr"><<a href="mailto:renato.cron@gmail.com" target="_blank">renato.cron@gmail.com</a>></span><br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Não entendi ainda..<div><br></div><div>quase todos sites que eu fiz cadastro até hoje, dizem se o e-mail já esta em uso ou não:</div>


<div><a href="http://i.imgur.com/gZqNmhu.png" target="_blank">http://i.imgur.com/gZqNmhu.png</a><br>


</div><div><br></div><div><br></div><div>Não vou nem dizer que não precisa dizer se é o e-mail ou a senha que estão errado, a mensagem padrão é a mais correta ("usuario ou senha errados", "login inválido", etc)</div>


<div><br></div><div><br></div><div>Porém, lembro de alguns sites que, ao pedir seu e-mail, não dizem se existe ou não, e te enviam uma confirmação, e só depois dessa confirmação que você continua o cadastro (colocando senha, etc)</div>


<div><br></div><div>isso também é legal, mas é mais trabalhoso.</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><div><div class="h5"><br><br><div class="gmail_quote">2013/9/16 Solli Honorio <span dir="ltr"><<a href="mailto:shonorio@gmail.com" target="_blank">shonorio@gmail.com</a>></span><br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">Em 16 de setembro de 2013 01:29, Eden Cardim <span dir="ltr"><<a href="mailto:eden@insoli.de" target="_blank">eden@insoli.de</a>></span> escreveu:<div>


<br>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div>>>>>> "Solli" == Solli Honorio <<a href="mailto:shonorio@gmail.com" target="_blank">shonorio@gmail.com</a>> writes:<br>


<br>

</div>    Solli> Acho esta afirmação parcialmente verdadeira. Conhecer que<br>

    Solli> existe um email na tua base é inevitável quando vc a está<br>

    Solli> utilizando como uma chave para o sistema, e nem preciso ser<br>

    Solli> um hacker para isto.<br>

<br>

A questão não é *você* saber, o problema é um *terceiro* saber. O<br>

email da conta é metade da informação necessária pra entrar na conta e<br>

viabiliza profiling, phising, força bruta, etc.<br></blockquote><div><br></div></div><div>Todos os sistema de autenticação precisam informar que aquela chave já está em uso no momento do cadastro. Todo mundo sabe que os sistemas unix tem o usuário root, e o ambiente Windows o usuário 'Administrator', mas isto não os fazem ser vulneráveis por este conhecimento. Faz sim estes usuário serem alvos de ataques (como vc bem escreveu). Então o meu ponto é que você precisa implementar um processo para reduzir o poder destes ataques. </div>


<div>


<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<br>

    Solli> Qualquer um pode saber quais são os emails que estão<br>

    Solli> cadastrado no Amazon.com e no Twitter, por exemplo, mas<br>

    Solli> isto não é considerado uma falha de segurança da Amazon.<br>

<br>

Da última vez que eu olhei, nem o twitter nem a amazon te dão feedback<br>

sobre a existência de um email em particular. O feedback é sempre<br>

ambíguo, do tipo "houve um problema com seu email/senha" e não "senha<br>

errada" ou "email errado" em isolamento. Isso seria sim uma falha de<br>

segurança, porque permite que um terceiro descubra o email de uma<br>

conta arbitrária através de probing.<br></blockquote><div><br></div></div><div>Na hora do cadastro sim, eles informam na hora que o email já existe na base, mas claro que na hora de logar eles mostram a mensagem 'usuário ou senha inválida'. </div>


<div><br></div><div>A quem possa interessar, recomendo fortemente os documentos do OWASP para leitura e pesquisa <a href="https://www.owasp.org/index.php/Cheat_Sheets" target="_blank">https://www.owasp.org/index.php/Cheat_Sheets</a></div>


<div>


<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div><div><br>

--<br>

Eden Cardim -- Insolide Soluções de TI Ltda.<br>

<a href="tel:%2B55%2011%209644%208225" value="+551196448225" target="_blank">+55 11 9644 8225</a><br>

<a href="http://insoli.de" target="_blank">http://insoli.de</a><br>

=begin disclaimer<br>

   Sao Paulo Perl Mongers: <a href="http://sao-paulo.pm.org/" target="_blank">http://sao-paulo.pm.org/</a><br>

 SaoPaulo-pm mailing list: <a href="mailto:SaoPaulo-pm@pm.org" target="_blank">SaoPaulo-pm@pm.org</a><br>

 L<<a href="http://mail.pm.org/mailman/listinfo/saopaulo-pm" target="_blank">http://mail.pm.org/mailman/listinfo/saopaulo-pm</a>><br>

=end disclaimer<br>

</div></div></blockquote></div></div><br><br clear="all"><div><div><br></div>-- <br>"o animal satisfeito dorme". - Guimarães Rosa

</div></div></div>

<br>=begin disclaimer<br>

   Sao Paulo Perl Mongers: <a href="http://sao-paulo.pm.org/" target="_blank">http://sao-paulo.pm.org/</a><br>

 SaoPaulo-pm mailing list: <a href="mailto:SaoPaulo-pm@pm.org" target="_blank">SaoPaulo-pm@pm.org</a><br>

 L<<a href="http://mail.pm.org/mailman/listinfo/saopaulo-pm" target="_blank">http://mail.pm.org/mailman/listinfo/saopaulo-pm</a>><br>

=end disclaimer<br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br></div></div><div><span style="color:rgb(51,51,51);font-size:x-small">Saravá,</span></div><div><span style="color:rgb(51,51,51);font-size:x-small">Renato CRON</span></div>


<div><div style="text-align:right"><font size="1" color="#333333"><a href="http://www.renatocron.com/blog/" target="_blank">http://www.renatocron.com/blog/</a></font></div></div><div style="text-align:right"><font size="1" color="#333333"><a href="http://twitter.com/#!/renato_cron" target="_blank">@renato_cron</a></font></div>


</div>

<br>=begin disclaimer<br>

   Sao Paulo Perl Mongers: <a href="http://sao-paulo.pm.org/" target="_blank">http://sao-paulo.pm.org/</a><br>

 SaoPaulo-pm mailing list: <a href="mailto:SaoPaulo-pm@pm.org">SaoPaulo-pm@pm.org</a><br>

 L<<a href="http://mail.pm.org/mailman/listinfo/saopaulo-pm" target="_blank">http://mail.pm.org/mailman/listinfo/saopaulo-pm</a>><br>

=end disclaimer<br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Tiago B. Peczenyj<br>Linux User #405772<br><br><a href="http://about.me/peczenyj" target="_blank">http://about.me/peczenyj</a>

</div>