• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

nuno_couto

Imagem de Segurança

13 mensagens neste tópico

Tava aqui a pensar e fiquei curioso com uma coisa.

Estive a fazer um script de captcha para um site com registo. Segundo os tutoriais que aí andam a circular, o sistema gera um codigo aleatorio que vai escrever na imagem. Depois encripta esse código e abre uma sessão com o código encriptado.

O objectivo disto tudo é impedir um bot de fazer o registo por ele nao conseguir reconhecer o texto da imagem...

A comparação feita é entre o post do texto escrito pelo user (que é novamente encriptado para comparar) com o valor existente na sessão.

Se um humano fizer um registo e "captar" a sessão, não consegue a seguir pôr o bot a abrir uma sessão igual e a mandar sempre esse código?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Mas da próxima vez o código será diferente , visto ser atríbuido aleatoriamente.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Mas a questão é que um "hacker" pode alterar a sessão para o valor que ele quiser... (penso que não estou a dizer disparate)

Não é por acaso que num sistema de login não se deve basear o login numa sessão com o id do cliente (p.ex...) a variavel nao deve ser 25 mas sim md5("codigo_aleatorio_25")... Porque é que isto acontece? Penso que é pelo facto de o hacker poder captar essa sessão e voltar a abri-la, alterando o cookie (com software especifico pra isso).

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

para isso, podes associar à sessao um endereco de ip, o que nao deve ser facil de fazer.

se alguem tiver o codigo disso, poste aqui sff

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sim, estive a ler à uns dias sobre isso, e penso que vi qualquer coisa parecida com o que tu disseste. 

Daqui a pouco já pesquiso sobre isso. :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

vocês preocupam-se tanto com sessions e segurança que até me fazem rir :P Quando mais se preocuparem com segurança mais o você sistema ou site vai ficar vulneravel.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

kingless, antes de dares uma opinião sobre um assunto convém estares informado. Não dúvido dos teus conhecimentos, mas se leres sobre segurança de CAPTCHAs, vais ver que existe uma forma de um hacker roubar os dados sobre o código, tendo assim informação suficiente para o ultrapassar. Já não sei qual era o método, mas quando encontrar de novo a página, eu meto aqui para todos verem.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

kingless, antes de dares uma opinião sobre um assunto convém estares informado. Não dúvido dos teus conhecimentos, mas se leres sobre segurança de CAPTCHAs, vais ver que existe uma forma de um hacker roubar os dados sobre o código, tendo assim informação suficiente para o ultrapassar. Já não sei qual era o método, mas quando encontrar de novo a página, eu meto aqui para todos verem.

Não estou a falar do captcha :P  Existe um modo de ultrapassar o captcha que é utilizar um programa/script que identifica as letras da imagem mas é muito dificil e o programa não funciona a 100%... Eu estou a falar é da vossa preocupação com a segurança... sessions, cookies.. isso...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Eu ainda nem programo em PHP, por isso nem sei bem como funcionam as sessions mas tenho uma vaga ideia.

Os CAPTCHAs podem ser ultrapassados com OCR, mas isso requer muiiitoo trabalho e numa boa implementação nunca chega a 100% de eficácia. Existe outra forma de derrotar os CAPTCHAs que é com replay attacks. Quem quiser saber mais sobre o assunto, pesquise! :P

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

kingless a segurança é importante... Acho que é uma preocupação necessária. Neste exemplo do captcha, se ele não existir (e funcionar...) é muito fácil alguem criar um bot que faça milhares de registos para "encher" as bases de dados com lixo... Ter uma protecção contra isto é fundamental.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Quanto à questão em si, alguem sabe se é "possível" abrir uma sessão ou alterar uma sessão existente para um valor pretendido?

Ou isso é reservado ao servidor? É que, se for reservado ao servidor deixa de haver problema... Nesse caso seria suficiente "limpar" a variável da sessão quando o utilizador acerta na sequência.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

kingless a segurança é importante... Acho que é uma preocupação necessária. Neste exemplo do captcha, se ele não existir (e funcionar...) é muito fácil alguem criar um bot que faça milhares de registos para "encher" as bases de dados com lixo... Ter uma protecção contra isto é fundamental.

A segurança é importante mas acho que não se devem preocupar tanto eu tenho visto alguns posts onde algumas pessoas estão sempre precoupadas com a ID das sessions, com as variaveis da url e acho que não deviam preocupar-se tanto porque isso é uma coisa muito simples.

Nas SESSIONS se a ID for sempre regenerada não existe nenhum problema, quando um sessão é criada o usuario não consegue alterar o valor dessa sessão quem altera é o servidor e não o usuario. No input de variaveis pela URL (/index.php?xyz=abcd) só é preciso preocupar-se com as variaveis globais que estão no script  e com as variveis que estão no  $_GET e $_POST e $_REQUEST do script.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Sim mas eu referia-me especificamente a um "hacker".

Imagina, se a sessão na qual for baseado um login for $_SESSION[id]="123456789";

Imaginando que essa sessão se mantem inalterada (p.ex existe um if($user_pass=="ok") {$_SESSION[id]="123456789";}

(estou a dar um exemplo simplificado)

Mesmo que o hacker saiba que todo e qualquer login tem esta sessão, é possível que ele crie esta sessão sem introduzir a password? Eu estive a ver um vídeo de segurança e fiquei com a sensação que sim...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora