[Cascavel-pm] RE:_[Cascavel-pm]_usar_md5_para_validar_entradas_de_um_formulário
Alceu R. de Freitas Jr.
glasswalk3r em yahoo.com.br
Quarta Junho 11 11:45:22 CDT 2003
--- Luis Campos de Carvalho <lechamps em terra.com.br>
escreveu:
> Alceu, exceto no caso de você estar programando
> alguma coisa
> supersegura para a NASA (ou coisa que o valha), acho
> que isso é um exagero.
Estou programando para o FAUS
(http://faus.sourceforge.net) ! Eu quero criar uma
ferramenta que ajude o administrador, não que o deixe
com as calças nas mãos!
> Tenho certeza de que você pode fazer o truque
> usando uma "tabela de
> equivalências", de onde você possa pegar os dados
> "sensíveis" que
> navegam pela web. Assim, supondo que você esteja
> vendendo vinhos:
>
> Envie as informações que o usuário precisa para
> comprar um vinho,
> retiradas de sua base de dados: a) Código do
> Produto; b) Preço; c)
> Fabricante; d) Safra; e) Tipo do vinho;
>
> O usuário vai enviar de volta uma lista de
> produtos escolhidos, de
> onde você vai puxar duas informações:
>
> a) Código do produto; (Taint-check contra sua
> base de dados)
> b) Quantidade desejada; (Taint-check contra
> m/^\d{1,5}$/o )
>
> Em seguida, envie novamente uma página para o
> carinha, contendo
> novamente todas as informações necessárias para a
> compra, inclusive o
> preço total do pedido, e peça a confirmação / cartão
> de crédito /
> cadastro do cliente.
Isso já estou fazendo hoje.
> Em suma: o cliente sempre enxerga as informações
> do pedido que ele
> está manipulando, mas nunca influencia nos dados
> diretamente. Ele pode
> dizer qual, mas temos separadamente todos os dados
> do produto (fora do
> alcance). O cliente pode dizer quantos, mas sempre
> temos limites (e
> vamos tentar completar transações grandes por meios
> mais confiáveis do
> que a web).
A questão é que eu terei que obter os valores de um
arquivo texto. Eu estava me perguntando o que seria
mais rápido.
Eu poderia reler o arquivo texto, jogar tudo para um
hash e fazer uma pesquisa não-sequencial. Mesmo assim,
me pintou essa dúvida.
Mesmo que o FAUS fique um pouco mais lento, eu prefiro
perder um pouco de performance afim de aumentar a
segurança dele. Eu não creio que ele vá ser usado por
mais de 3 pessoas ao mesmo tempo, em média.
A idéia era usar uma combinação para fazer o hash
como:
"itens + frase secreta".
assim fica difícil o usuário mal-intencioando
conseguir recalcular o hash correto.
> Espero que isso ajude você a pensar sobre o
> assunto.
> Somas MD5 são muito interessantes como
> aprendizado, e certamente têm
> muitas aplicações interessantes. Infelizmente, eu
> não vejo muita
> utilidade para MD5 em websites que implementam B2C.
Acho que vou fazer alguns testes. Nenhum site de
comércio eletrônico usa isso?
> Sinta-se à vontade para perguntar tudo o que você
> quiser saber, tá?
Já que fui deixado tão à vontade assim, eu preciso de
algumas referências boas sobre Javascript. Algo que vá
além de fazer contas e coisas simples, como mostrar
algumas funções do javascript 1.5. Sei que a lista é
sobre Perl, mas tenho certeza que alguém aqui deve
saber sobre isso também!
> Ah! Talvez o Hulot (que está quietinho e não se
> apresentou para a
> lista ainda) tenha alguma coisa interessante para
> dizer sobre isso... o
> pessoal da lista gostaria de saber o que você pensa,
> Hulot... por favor
> escreva alguma coisa para a gente... =-]
Seria bom ter mais opinições. Acho que nunca vi uma
mensagem dele: ele está em modo "digest"?
[]´s
=====
Alceu Rodrigues de Freitas Junior
--------------------------------------
glasswalk3r em yahoo.com.br
http://www.imortais.cjb.net
-----------------------------------------------------------------------
Please avoid sending me Word or PowerPoint attachments.
See http://www.fsf.org/philosophy/no-word-attachments.html
_______________________________________________________________________
Yahoo! Mail
Mais espaço, mais segurança e gratuito: caixa postal de 6MB, antivírus, proteção contra spam.
http://br.mail.yahoo.com/
Mais detalhes sobre a lista de discussão Cascavel-pm