[SP-pm] DBIx::Class

Eden Cardim eden at insoli.de
Sun Sep 15 21:29:30 PDT 2013


>>>>> "Solli" == Solli Honorio <shonorio em gmail.com> writes:

    Solli> Acho esta afirmação parcialmente verdadeira. Conhecer que
    Solli> existe um email na tua base é inevitável quando vc a está
    Solli> utilizando como uma chave para o sistema, e nem preciso ser
    Solli> um hacker para isto.

A questão não é *você* saber, o problema é um *terceiro* saber. O
email da conta é metade da informação necessária pra entrar na conta e
viabiliza profiling, phising, força bruta, etc.

    Solli> Qualquer um pode saber quais são os emails que estão
    Solli> cadastrado no Amazon.com e no Twitter, por exemplo, mas
    Solli> isto não é considerado uma falha de segurança da Amazon.

Da última vez que eu olhei, nem o twitter nem a amazon te dão feedback
sobre a existência de um email em particular. O feedback é sempre
ambíguo, do tipo "houve um problema com seu email/senha" e não "senha
errada" ou "email errado" em isolamento. Isso seria sim uma falha de
segurança, porque permite que um terceiro descubra o email de uma
conta arbitrária através de probing.

-- 
Eden Cardim -- Insolide Soluções de TI Ltda.
+55 11 9644 8225
http://insoli.de


More information about the SaoPaulo-pm mailing list