Link

Dicas para uma postura digital mais segura – Segurança

Olá pessoal,

Dando aquele refresh diário nos meus feeds, achei “9 dicas para uma postura digital mais segura”. Originalmente postado pela b2b magazine.

Fique atento!  🙂

1- Evite o uso de dispositivos móveis em redes abertas. A segurança da comunicação de dados por cada um dos aplicativos não pode ser identificada facilmente.

2- Não utilize os serviços de nuvem para informações confidenciais, você não sabe como elas estão sendo armazenadas.

3- Lembre-se de perguntar antes de utilizar um novo serviço ou dar acesso as suas informações a esse serviço: ‘Será que se essa informação for capturada por outra pessoa, vou me sentir constrangido ou terão acesso a algo que eu não quero que acessem?’.

4- Instale um aplicativo de localização de seu dispositivo para casos de perda ou roubo. Dessa forma você poderá apagar os dados armazenados se necessário.

5- Tenha cautela ao usar seu dispositivo pessoal para armazenar e ou acessar informações corporativas, isso pode gerar punição da empresa em alguns casos.

6- Desabilite o wireless/bluetooth do seu aparelho quando não utilizado. Essas tecnologias abrem portas para serem exploradas indevidamente.

7- Mantenha seu dispositivo e seus aplicativos atualizados. As atualizações corrigem falhas de segurança conhecidas pelo desenvolvedor do app.

8- Leia as informações de acesso que os aplicativos solicitam ao serem instalados em seu dispositivo e avalie a coerência. Por exemplo: um aplicativo de localização não necessita do acesso aos contatos do seu telefone para indicar o melhor caminho para um destino.

9- Se você perceber que algum dos seus serviços não está funcionando adequadamente em determinada rede, desconecte-se imediatamente.

Debug php – Debugger php – phpdbg!

Olá pessoal,

Fazendo uma rápida leitura nos novos recursos do php 5.6.0, encontrei o phpdbg.
O projeto iniciou em 2013, porem eu ainda desconhecia. Dei uma ‘passada de folhas’ no site do projeto e vi muita coisa interessante. Irei testar alguns dias e com certeza irei compartilhar a experiencia dessa nova ferramenta.
Sinto ótimas expectativas em relação a forma de debugar que a ferramenta oferece (óbvio! o nome é phpdbg).
Deixo site do projeto pra a galera dar um saque: phpdbg
Aguardem post sobre 🙂

James Hunter em Salvador – Liderança Servidora

Olá pessoal,

Salvador irá receber uma ilustre presença dia 24 de setembro de 2014. James Hunter, autor do Best Seller O Monge e o Executivo, fará uma palestra sobre LIDERANÇA SERVIDORA a nível internacional!
O evento que acontecerá no Hotel Fiesta em Salvador, terá a palestra Gestão Criativa da Reputação Online como tema de abertura. Esta será ministrada pelo meu irmão, amigo, chefe e mentor Pedro Cordier, CEO da Equilibra Digital.

Aos interessados, segue link para inscrição: www.omongeeoexecutivo.com

Eu estarei lá!! o/

Cinco ótimos recursos ‘escondidos’ no Laravel – php

Olá pessoal,

Sempre descobrindo um pouquinho mais. E o pessoal do Tuts+ sempre trazendo informações sensacionais.
Dessa vez, trouxe 5 importantes recursos do framework Laravel que não está na documentação. Vale ouro!!
Gostei muito da filtragem em coleções. Permite ter um controle muito maior sobre os dados após o retorno da consulta na base de dados.
Venho trabalhando com o Laravel há algum tempo e sempre descobrindo belas formas de utiliza-lo.
This framework is amazing and beautiful!! 😀

http://goo.gl/RP89b1

Segurança da Informação no History Channel

Ola pessoal,
Estou entusiasmado em saber que um canal como History Channel irá dedicar um documentário focado em segurança da informação.
Nesse fim de semana, dia 23 e 24, tenho meu encontro marcado com o sofá! Como disse a galera do Coruja de TI, até o nome já deixa uma expectativa imensa: “Luta contra os Hackers”.
Com certeza não irão deixar a desejar pois boa parte dos documentários que eles produzem são ótimos!
Provavelmente a linguagem será para todos os publicos. Então, vale a pena dar uma olhada!!

P.S.: Queria que todos os fins de semana alguma emissora abordasse algo focado em segurança/tecnologia. 🙂

Fonte e mais informações: http://blog.corujadeti.com.br/documentario-sobre-hackers-no-history-channel/

Prevenção de Timing Attack no php

Olá pessoal,
Hoje irei abrir mão das consultinhas rápidas pra replicar um artigo muito importante sobre segurança em PHP publicado no blog do Rubens Takiguti. Blog ótimo com muitas referências a linguagem php.
Vale a pena dar uma olhada: http://rubsphp.blogspot.com.br/
Segurança é muito importante e cada vez mais precisamos estar atentos a pontos minuciosos em nossos scripts.
Vamos nessa!!

Introdução
Timing Attack (ataque baseado em tempo) é um tipo de ataque a sistemas. Ele é pouco conhecido e normalmente é realizado por crackers mais avançados. Neste artigo, veremos o que são estes tipos de ataque e como podem ser prevenidos no PHP.

O que é Timing Attack?
Timing Attack, como o nome diz, é um tipo de ataque baseado no tempo. Basicamente o ataque consiste em tentar descobrir informações relevantes de um sistema analisando o tempo que o sistema leva para realizar determinadas operações.

Como o computador funciona com um processador baseado em ciclos, o tempo gasto para realizar o mesmo conjunto de operações mais de uma vez é praticamente idêntico. Então se a pessoa consegue interagir com o sistema passando um dado de entrada diferente, ele consegue analisar o tempo que levou para processar aquela informação.

O que pode ser descoberto com Timing Attacks?
Normalmente, este tipo de ataque está associado à descoberta de senhas. Ou seja, a pessoa tenta explorar o formulário de “login” do sistema passando senhas diferentes e analisando o tempo que o sistema levou para dizer que a senha é inválida.

A ideia central deste ataque é explorar um comportamento dos sistemas durante a comparação de strings. Normalmente as linguagens de programação oferecem um mecanismo para comparação de strings que percorre caractere por caractere, comparando-os e retornando false assim que encontra uma diferença. Ou seja, se o primeiro caractere de duas strings já forem diferentes, a operação levará pouquíssimo tempo para descobrir que as strings são diferentes. Porém, se as duas strings forem grandes e os 100 primeiros caracteres forem iguais, mas o 101º for diferente, então a operação levará mais tempo, pois precisará percorrer 100 caracteres até perceber a diferença.

Como prevenir Timing Attacks no PHP?
Bom, se o ataque é baseado no tempo, então a solução não poderia ser diferente: ela também é baseada no tempo. Ou seja, a solução é fazer com que determinada operação sensível ao tempo seja realizada em um tempo que não ajude ninguém a descobrir informações, por exemplo, realizando a operação em um tempo constante ou então realizando em um tempo totalmente aleatório.

No exemplo citado anteriormente, da descoberta de senhas, isso pode ser feito fazendo uma função para comparar string que percorra toda a string para então devolver um resultado. Sim, ela terá uma performance pior do que a comparação tradicional, mas é uma quantidade de tempo insignificante. Veja um exemplo:


function comparar_string_tempo_constante($str_secreta, $str_usuario) {
$len_secreta = strlen($str_secreta);
$len_usuario = strlen($str_usuario);

$resultado = 0;
for ($i = 0; $i < $len_usuario; $i++) {
$ord_secreta = isset($str_secreta[$i]) ? ord($str_secreta[$i]) : ord($str_usuario[$i]);
$ord_usuario = ord($str_usuario[$i]);
$resultado |= $ord_secreta ^ $ord_usuario;
}
$resultado |= $len_secreta ^ $len_usuario;

return ($resultado === 0);
}

Observe que percorremos todos os caracteres da string passada pelo usuário e comparamos caractere por caractere com a string secreta. Caso a string secreta seja menor que a do usuário, utilizamos o mesmo caractere da string secreta para ser comparada (note que no operador ternário fazemos operações similares, para gastar o mesmo tempo). Por fim, também comparamos o tamanho das strings para garantir se são realmente iguais. Neste exemplo, a função retornará o resultado em um tempo diretamente proporcional ao tamanho da string passada pelo usuário. Se ele passar uma string pequena, será rápido e se passar uma string grande, levará mais tempo. Ou seja, o tempo para comparar não é diretamente proporcional à posição em que existe diferenças entre as duas strings.

Observação
No PHP 5.6, no entanto, foi criada a função hash_equals na extensão hash. Ela faz exatamente isso que precisamos, ou seja, uma comparação segura quanto ao tempo para comparar hashes de senhas.

Funções variaveis e/ou funções dinâmicas em php

Olá pessoal,
Sempre que faço a releitura do manual php me impressiono com alguns recursos da linguagem.
Hoje vou compartilhar um trecho de código que está no próprio site do php (php.net).
O conceito é relativamente simples. Se você tem uma variável nomeada ‘algo’ com o valor ‘retornaAlgo’, você pode chamar essa variável com parenteses no final e o php irá procurar um função com o nome que está atribuido nessa variável.
Parece complicado mas na prática é simples. Abaixo mesmo exemplo citado no site:


function foo() {
echo "Chamou foo()
n";
}

function bar($arg = '')
{
echo "Chamou bar(); com argumento '$arg'.
n";
}

// Essa eh uma funcao wrapper para echo()
function echoit($string)
{
echo $string;
}

$func = 'foo';
$func(); // Chama foo()

$func = 'bar';
$func('test'); // Chama bar()

$func = 'echoit';
$func('test'); // Chama echoit()

Lindo né não? A reutilização e utilização de ‘funções dinâmicas fica sensacional!
🙂