« novembro 2006 | Entrada | janeiro 2007 »
dezembro 27, 2006
registada vulnerabilidade número 7000 em 2006
A equipa de segurança da X-Force registou a vulnerabilidade número 7000, a cerca de duas semanas do final do ano. Tendo em conta que no ano passado foram registadas cerca de 5000, facilmente se conclui que ou o software é desenvolvido de forma menos segura e/ou os mecanismos que permitem encontrar / explorar vulnerabilidades se tornaram mais evoluídos.
A informação está no blog da ISS, e quando a notícia foi publicada ainda faltavam duas semanas para acabar o ano...
Publicado por scorpio às 08:31 PM | Comentários (0) | TrackBack
dezembro 21, 2006
SOAP API descontinuada
O Google descontinuou a SOAP API, uma das formas mais utilizadas ultimamente para executar pesquisas automatizadas no seu motor de pesquisa. Em sua substituição, foi disponibilizada uma API AJAX que permite executar as mesmas pesquisas, mas cuja utilização apresenta, para além dos resultados, a imagem (e eventualmente publicidade) do Google.
Este assunto está a ser discutido no slashdot.
Publicado por scorpio às 03:23 PM | Comentários (0) | TrackBack
dezembro 19, 2006
nova versão do pubcookie
Foi lançada uma nova versão do pubcookie, um sistema que se baseia em infra-estruturas de autenticação existentes (actualmente suporta kerberos, LDAP ou NIS) para implementar uma estratégia de Single-Sign On para serviços web.
Este projecto tem a vantagem de se poder integrar com as infra-estruturas de directório existentes, e é composto por um componente de login (que valida as credenciais apresentadas) e módulos para integrar com os vários serviços web (Apache ou IIS) que suportam as aplicações para as quais se pretende garantir a autenticação centralizada.
Este projecto é desenvolvido por um conjunto de pessoas onde se incluem algumas pessoas das Universidades de Carnegie Mellon e Washington, e é distribuído de acordo com a licença Apache.
Publicado por scorpio às 03:21 PM | Comentários (0) | TrackBack
dezembro 17, 2006
suhosin: protecção para instalações PHP
A tecnologia PHP tem sido reconhecida como tendo problemas em termos de segurança, fazendo até parte do top-10 de volnerabilidades na web nos últimos anos. Ainda que grande parte dos problemas sejam relativos a má configuração do motor de PHP, é verdade que a equipa que desenvolve esta tecnologia tem feito esforços no sentido de eliminar os problemas nesta área.
Paralelamente, existem vários projectos cujo objectivo é proteger o motor e as aplicações de problemas conhecidos e até de tentativas de explorar problemas desconhecidos. Um desses projectos, parte do Hardened-PHP Project, é o Suhosin.
Este projecto altera o código do PHP, de forma a permitir a definição de limites em várias áreas, protege as sessões, permite a cifragem automática de cookies, aumenta consideravelmente o nível de logging do comportamento do motor do PHP, etc.
Para além de todas as funcionalidades, existe ainda a possibilidade de funcionar apenas em modo de simulação, no qual não executa qualquer acção mas regista os potenciais ataques e a acção que tomaria para os impedir, possibilitando assim a análise do seu comportamento antes de ser activado.
Publicado por scorpio às 09:24 PM | Comentários (0) | TrackBack
dezembro 12, 2006
monitorizar apache
É possível monitorizar o comportamento do apache, recorrendo às informações disponibilidadas pelos módulos info e status. Estes dois módulos, que podemos mapear em URIs específicos (por omissão /server-info e /server-status, respectivamente) possibilitam a análise da configuração activa (via web) e do estado do servidor web, em tempo real.
A informação disponibilizada por este último módulo permite-nos, por exemplo, saber quantos pedidos por segundo estão a ser efectuados, qual a largura de banda utilizada, quantos processos do servidor web existem actualmente, quais estão activos / em espera, em que estado está cada um dos pedidos efectuados, qual a origem dos pedidos, a que virtualhost foram feitos os pedidos, etc.
Um exemplo deste mecanismo está disponível no próprio servidor da ASF: server-status.
Uma vez que é possível analisar em tempo real o estado do servidor web através destes mecanismos, é também possível guardar um histórico de comportamentos, de forma a que possam ser detectados problemas pela análise de padrões.
Uma das ferramentas que o permite fazer é o apache.mrtg, que utiliza gráficos gerados pela biblioteca RRD para traçar os perfis relativos à evolução de vários parâmetros.
Nota:Para monitorizar o servidor apache através deste mecanismo é necessário activar o parâmetro ExtendedStatus na configuração global.
Publicado por scorpio às 12:21 PM | Comentários (0) | TrackBack
dezembro 06, 2006
Lançada versão 2.1.7 do pound
Foi lançada uma nova versão do pound, um serviço de distribuição de pedidos com balanceamento com base em sessões para servidores web. Este serviço permite ainda fazer distribuição de pedidos para servidores de backend com base no URL, permitindo uma flexibilidade superior aos mecanismos tradicionais de balanceamento.
Publicado por scorpio às 10:33 PM | Comentários (0) | TrackBack
Controlar os robots
Se analisarem com alguma atenção os registos do servidor web, rapidamente chegarão à conclusão que o número de acessos efectuados por bicharada (crawlers, robots ou spiders) é cada vez maior. Se não forem domesticados, estes automatismos podem facilmente sobrecarregar os servidores web e impedir que os utilizadores legítimos consigam utilizar os serviços.
Actualmente, estão registados cerca de 300 destes mecanismos na base de dados de robots na web, o que quer dizer que é possível identificar os objectivos de cada um, bem como a sua forma de funcionamento. Ainda assim, existe um número enorme que não está registado e cujo comportamento pode causar problemas.
Os mecanismos existentes para controlar este tipo de acessos passam pela configuração do servidor web, tipicamente com o mecanismo conhecido como robots.txt. Para tirar partido deste mecanismo, basta criar um ficheiro com este nome na raiz do servidor web (ou do virtualhost em questão) e incluir a configuração relativa a cada robot. Segue-se um exemplo:
User-Agent: GetURL.rexx v1.05
Disallow: /adm
Disallow: /images
User-Agent: Nutch
Disallow: /configuracao
Publicado por scorpio às 10:03 PM | Comentários (0) | TrackBack
Configurar páginas de erro
Tipicamente, as páginas de erro dos serviços web são as páginas instaladas por omissão. Para além de não serem particularmente intuitivas para o utilizador, também não são adaptadas a cada site e não ajudam o utilizador a encontrar o que procura. Descrevemos abaixo algumas regras de boas práticas para a criação de páginas de erro, e porque é importante criá-las.
Tendo em conta que se pretende que os utilizadores não encontrem um beco sem saída se depararem com um erro, faz sentido que a página de erro tenha uma referência directa (e indicada com clareza) para a página principal e/ou para o mapa do site, de forma a que a navegação não seja interrompida quando o utilizador se depara com o erro.
Para além disso, é importante dar a possibilidade ao utilizador de tentar chegar rapidamente ao seu destino. Assim, é interessante que as páginas de erro tenham um formulário de pesquisa (para pesquisas locais) e uma pequena mensagem a descrever o problema.
Se possível, a página de erro deve tentar encontrar possíveis razões para o problema (erro na componente aplicacional, recurso não encontrado, pequenos erros de sintaxe, etc) de forma a que o estigma do erro não fique do lado do utilizador.
Se pelo menos algumas destas medidas forem seguidas, o nosso site ficará um pouco mais agradável para o utilizador, e conseguirá manter o utilizador a navegar no nosso site mais tempo - que é o que todos queremos, naturalmente.
Publicado por scorpio às 07:06 PM | Comentários (0) | TrackBack
dezembro 05, 2006
vulnerabilidades da web no topo
De acordo com um report da mitre, as vulnerabilidades relacionadas com a web ultrapassaram as historicamente recorrentes vulnerabilidades de buffer overflow.
Esta informação acaba por confirmar que o crescimento exponencial da web potenciou a exposição das aplicações, serviços e tecnologias a utilizações indevidas, numa escala até então nunca vista.
De acordo com o report, as primeiras posições são constituídas por Cross-Site Scripting, SQL Injection, PHP includes (cerca de 45% no total) e apenas a seguir temos os buffer overflow, com 8%.
Publicado por scorpio às 11:46 PM | Comentários (0) | TrackBack
dezembro 03, 2006
conferência ApacheCon Europe 2007
Estão abertas as submissões para a ApacheCon Europe 2007 a realizar em Amsterdão, de 1 a 4 de Maio. As propostas devem ser enviadas via web, e podem versar sobre vários tópicos: projectos da Apache Software Foundation, linguagens de scripting (PHP, Java, Perl, Python, Ruby, etc), novas tecnologias (Web 2.0 e afins), segurança; elevada disponibilidade; balanceamento e segurança, comunidades e negócios relacionados.
Este evento será composto por um dia de tutoriais e três dias de conferências. Vemo-nos lá?
Publicado por scorpio às 10:16 PM | Comentários (0) | TrackBack