[Cascavel-pm] RE:_[Cascavel-pm]_usar_md5_para_validar_entradas_de_um_formulário

Luis Campos de Carvalho lechamps em terra.com.br
Quarta Junho 11 09:38:58 CDT 2003 

> A filtragem de dados eu já recebo. A questão é
> garantir que um usuário copie localmente o formulário
> gerado pelo CGI, altere-o quanto aos valores padrões.
> Por exemplo, um usuário poderia alterar o valor de um
> produto de um site que faça vendas pela Internet.
 >
 > O md5 seria usado para calcular um hash dos valores
 > criados pelo CGI, e esse hash seria enviado como
 > "hidden". Quando o CGI receber esses valores, ele
 > recalcula o hash e compara com o recebido.
 >

   Alceu, exceto no caso de você estar programando alguma coisa 
supersegura para a NASA (ou coisa que o valha), acho que isso é um exagero.

   Tenho certeza de que você pode fazer o truque usando uma "tabela de 
equivalências", de onde você possa pegar os dados "sensíveis" que 
navegam pela web. Assim, supondo que você esteja vendendo vinhos:

   Envie as informações que o usuário precisa para comprar um vinho, 
retiradas de sua base de dados: a) Código do Produto; b) Preço; c) 
Fabricante; d) Safra; e) Tipo do vinho;

   O usuário vai enviar de volta uma lista de produtos escolhidos, de 
onde você vai puxar duas informações:

   a) Código do produto;  (Taint-check contra sua base de dados)
   b) Quantidade desejada; (Taint-check contra m/^\d{1,5}$/o )

   Em seguida, envie novamente uma página para o carinha, contendo 
novamente todas as informações necessárias para a compra, inclusive o 
preço total do pedido, e peça a confirmação / cartão de crédito / 
cadastro do cliente.

   Em suma: o cliente sempre enxerga as informações do pedido que ele 
está manipulando, mas nunca influencia nos dados diretamente. Ele pode 
dizer qual, mas temos separadamente todos os dados do produto (fora do 
alcance). O cliente pode dizer quantos, mas sempre temos limites (e 
vamos tentar completar transações grandes por meios mais confiáveis do 
que a web).

   Espero que isso ajude você a pensar sobre o assunto.
   Somas MD5 são muito interessantes como aprendizado, e certamente têm 
muitas aplicações interessantes. Infelizmente, eu não vejo muita 
utilidade para MD5 em websites que implementam B2C.

   Sinta-se à vontade para perguntar tudo o que você quiser saber, tá?

   Ah! Talvez o Hulot (que está quietinho e não se apresentou para a 
lista ainda) tenha alguma coisa interessante para dizer sobre isso... o 
pessoal da lista gostaria de saber o que você pensa, Hulot... por favor 
   escreva alguma coisa para a gente... =-]

   []'z!
-- 
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
   Luis Campos de Carvalho
   Computer Scientist,
   Unix Sys Admin & Certified Oracle DBA
   http://br.geocities.com/monsieur_champs/
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Mais detalhes sobre a lista de discussão Cascavel-pm