PHPSPCast #2: Segurança, não programe sem ela!
Após um longo periodo de turbulencia estamos de volta com um cast repleto de informações. Desta vez nos reunimos com Er Galvão Abott, líder do PHPBR e Diretor de Conteudo da PHP Conference Brasil para comentar um assunto chave para qualquer desenvolvedor, Segurança. Acompanhe enquanto comentamos estatisticas de segurança da internet, formas diferentes de atacar/defender sites, novas estratégias de segurança e revemos os 2 mandamentos de segurança do PHP.
Links comentados durante o podcast
- Segundo encontro PHPMG
- PHP Conference Brasil
- OWASP
- PHP Brasil Comunidades
- Curso Top 10 OWASP
- Curso PHP OO
Escute!
Assine!
Assine o PHPSPCast: http://feeds2.feedburner.com/phpspcast
No iTunes:
Quer assinar o PHPSPCast em seu iTunes? Clique aqui e saiba como assinar pelo iTunes ou fazer o download pelo iPhone/iPod!
Recados!
Elogios, críticas, sugestões, dúvidas ou #fail sobre este episódio? Idéias, temas e dúvidas para o próximo PHPSPCast? Mande email para phpspcast@phpsp.org.br ou um recado de voz para phpspcast@phpsp.org.br pelo Google Talk.
Saudações! Parabéns ao pessoal do PHPSP pelo cast. Um post meu comentando um problema que ocorreu com um site conhecido e bastante utilizado a respeito das senhas utilizando MD5 ’simples’ e como evitar o problema:
http://blog.will.eti.br/2009/seguranca-em-aplicacoes-web/
abraço
Demorou, mas valeu a pena esperar,rs. Esse é um tema de primeira importância em qualquer aplicação, que é a segurança. Esse tema daria vários cast’s. Vcs levantaram pontos importantes e esclarecedores.
Parabéns pelo cast, que venham outros cast.
Muito bom o CAST!!!!
As tiradas do Galvão é de ferra mesmo.
Estão de parabéns…
Qual o problema de usar extract() ?
Demorou, mas chegou com ótimo conteúdo!
Parabéns pelo trabalho.
A solução contra o md5 e até mesmo o sha1 é utilizar uma string de salto.
No CakePHP é padrão todas os hashes criados fazer o seguinte:
md5(Salt + Password) ou sha1(Salt + Password)
Abraços!
register_globals vem off por padrão desde a vs 4.2.1
Uma dica para os que usam Apache+PHP e tem uma aplicação web com falhas de segurança (em produção).
Todos sabemos que dar manutenção em uma aplicação envolve fase de desenvolvimento, fase de homologação e somente depois servidor de produção (ou seja muito tempo). Enquanto o camarada desenvolve as correções, a aplicação que está em produção poderá sofrer ataques. Então para mitigar os riscos de segurança é recomendável o uso de um WAF (Web Application Firewall).
Um bom exemplo é o mod_security do Apache. Com algumas regras o mod_security resolve de forma rápida muitas vulnerabilidades.
Agora a dica da dica! Não vai achar que colocando um WAF você vai resolver sua vida, é apenas uma “garantia” a mais de segurança.
http://www.modsecurity.org/
http://www.cgisecurity.com/modsecurity.html
Falows, t+
Marcelo Araujo,
No caso eu falei de não utilizar o extract() para recuperar $_GET e $_POST.
Existe uma utilização correta mas no phpspcast comentei que seria para não usar no caso de recuperar variáveis não confiáveis.
Segue link: http://www.php.net/manual/en/function.extract.php
Warning
Do not use extract() on untrusted data, like user-input ($_GET, …). If you do, for example, if you want to run old code that relies on register_globals temporarily, make sure you use one of the non-overwriting extract_type values such as EXTR_SKIP and be aware that you should extract in the same order that’s defined in variables_order within the php.ini.
Ótimo cast parabéns ,
tem uma previsão de quando será o próximo Cast ?
Abraço a todos
Aeeeee demorou, mas chegou mais um excelente podcast!
Parabéns pelo trabalho. To terminando de ouvir ainda…
Robson,
Já estamos preparando para gravar o proximo, mas o processo de edição demora um pouco, acedito que dentro de 2 ou 3 semanas tenhamos mais um episodio
Ae,
Tem que ter um cast direto do maior phpinga de todos os tempos. Em santos, no último da PHP Conference Brasil.
Claro, gravariamos o cast na primeira hora de phpinga, pq depois 1 hora.. já sabe… hahahaha
Concordo com o PorKaria… em Santos o PHPCast vai ser o melhor de todos…
Vou ver se consigo uma filmadora.
O ruim vai ser os podres de todos no YouTube.
FLW
Muito bom!
Fiquei ouvindo o PodCast programando aqui.. achei BEM interessante! É bem legal o ‘ambiente’ formado.
Parabéns!
Incrível…
Trabalho com php faz pouquissimo tempo, e me indicaram este evento (PHPConference Brasil 2008)
Participei de 2 Mao na Massa, e entre eles comecei a conversar com o Galvão… mas até entao, totalmente desconhecido pra mim… depois do evento, dei umas googladas… porra!
em resumo…
Parabéns pelo cast e só ressaltando, não existe quem seja inacessível, há outras maneiras falar com o nego, se quer atencao, xingue a mae dele… uahauhauah brincadeiras a parte.
Parabéns!
[...] Podcast PHP sobre segurança (PHPSPCast) [...]
Galera,
só queria dizer que gostei muito do cast.
parabéns.
abraço