• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

nuno_couto

Segurança no registo de utilizadores

14 mensagens neste tópico

Viva.

A minha questão tem a ver com a segurança dos sistemas de registo de utilizadores.

Como é que se garante que um "bot" não consiga criar automaticamente novos utilizadores?

Estava a pensar em criar um script que obrigue ao envio de um email que contenha um link de confirmação do registo, e para alem disso não permita dois emails iguais... Mas acho que isto não deve ser suficiente.

O famoso sistema da confirmação dos caracteres da imagem é aconselhável? E já agora, o que se deve fazer para que o bot não possa identificar a imagem e apartir poder ser programado para introduzir o texto "x" para a imagem "x"?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

confirmação por email evita esse tipo de problemas.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O Código de segurança é muito bom porque e os bots não conseguem identificar imagens...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Em relação à confirmação por email, o bot não poderá estar feito para criar contas de email ou redireccionamentos de email num determinado domínio e receber as confirmações?

E relativamente às imagens, se existirem (por exemplo) 20 imagens, 01.jpg 02.jpg ... etc... o bot não pode estar programado para verificar qual o ficheiro e ter já o texto introduzido pelo programador que o criou?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

quanto às imagens, eu nao tenho a certeza, mas acho que ele cria a img, tipo as sigs interactivas, com um numero random, introduz esse numero numa BD, e associa-o a uma session id...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Por falar em segurança de registo de utilzadores para nao estar a criar um topic novo aproveito este, ate que ponto é seguro ou náo ter a password encriptada com md5 ou sha1 or whatever na base de dados?

Ja vi sites em que na parte que toca a segurança convem ser mto bem protegida e ao fazermos "recuperar a password" ele enviam-nos para o e-mail a nossa password, ou seja para enviar-nos a nossa password ela nao deve estar encriptada na base dados, digo eu...  :hmm:

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

mesmo ke esteja encriptada, eles devem usar um algoritmo próprio, do qual têm o decriptador...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

pois ou isso, um dia destes vou eu inventar a minha maneira de encriptar textos que no futuro possa desencriptar xD é um desfafio bacano eheh

tks

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

mesmo ke esteja encriptada, eles devem usar um algoritmo próprio, do qual têm o decriptador...

md5 e sha não são algoritmos de encriptação... sao algoritmos de hashing... ou seja... algoritmos de um só sentodo em que a insformação se perde.

Assim sendo não existe nenhum decriptador destes algoritmos.

Os sites que enviam a pass por email não a podem ter guardade depois de u algoritmo de hash.

md5 e sha não permitem devolver a situção, mas há tecnicas para encontrar um palavra que valide com o mesmo md5 que a original.

Normalmente os ataques são por força bruta... coisa que um bom webmaster prevê e evita, por exemplo com um limite temoporal de 10 segundos.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

mesmo ke esteja encriptada, eles devem usar um algoritmo próprio, do qual têm o decriptador...

md5 e sha não são algoritmos de encriptação... sao algoritmos de hashing... ou seja... algoritmos de um só sentodo em que a insformação se perde.

Assim sendo não existe nenhum decriptador destes algoritmos.

Os sites que enviam a pass por email não a podem ter guardade depois de u algoritmo de hash.

md5 e sha não permitem devolver a situção, mas há tecnicas para encontrar um palavra que valide com o mesmo md5 que a original.

Normalmente os ataques são por força bruta... coisa que um bom webmaster prevê e evita, por exemplo com um limite temoporal de 10 segundos.

o md5 e sha não deixam de ser encriptadores e ja existem alguns desencriptadores de md5 :D

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

esse tipo de desincriptadores cheira-me que é igual aos muitos que andam por ai que apenas procuram em base de dados enormes por alguma hash que tenham, se não tiverem registo dela, não descobrem.

Mas já existe um algoritmo para descodificar hashes md5... há algum tempo e eu não fazia ideia até à uns dias atras lol e que o código para isso tava na net... vou começar a mudar tudo pa sha-1 pk ai acho que ainda não conseguem descobrir nada.

http://it.slashdot.org/article.pl?sid=05/11/15/2037232

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

esse tipo de desincriptadores cheira-me que é igual aos muitos que andam por ai que apenas procuram em base de dados enormes por alguma hash que tenham, se não tiverem registo dela, não descobrem.

Mas já existe um algoritmo para descodificar hashes md5... há algum tempo e eu não fazia ideia até à uns dias atras lol e que o código para isso tava na net... vou começar a mudar tudo pa sha-1 pk ai acho que ainda não conseguem descobrir nada.

http://it.slashdot.org/article.pl?sid=05/11/15/2037232

eu nao conheco nenhum algoritmo pa desencriptar md5, so conheco uma cena ke se chama rainbow tables, tabelas que podem chegar a ter 30gb(sim, gigas) de tamanho, onde tao todos os hashes possiveis e imaginarios ate um determinado numero de caracteres

Fika aki o exemplo duma estrutura: (os hashes tao a balda)

portugal - 123456789123456789123456

a - 987654321987654321

programar - 25454651451212121

dps e so buscar o hash que tamos a procura, e ver qual a palavra ou expressao ke kom ele coincide

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora