|
|
Bem-vindo ao PedroCoelho.com!
|
Este é um espaço onde poderão encontrar informações e conteúdos relacionados com a minha actividade profissional, com destaque para a escrita de livros técnicos de informática, bem como para conteúdos diversos relativos aos meus Hobbies. Nesta nova versão do site, recorri a um dos projectos de gestão de conteúdos mais interessantes da actualidade e que vivamente recomendo a todos os que pretendam construir portais e sites dinâmicos, o Joomla. |
|
|
Ataques com SQL Injection |
 |
 |
 |
|
Escrito por PCoelho
|
|
Sábado, 22 Agosto 2009 00:00 |
|
Foi esta semana notícia em alguns órgãos de comunicação social a condenação por um tribunal americano de um grupo de hackers por terem roubado com sucesso cerca de 130 milhões de cartões de crédito e débito, a partir de várias conhecidas entidades financeiras e do retalho. Mais curioso ainda foi a revelação do facto de que foram utilizadas técnicas de SQL injection, seguidas de intrusão e sniffing, para conseguir este objectivo. O SQL injection consiste numa técnica de introdução de dados que uma aplicação Web não está à espera de encontrar (por exemplo num acto de submissão de uma transacção). Este tipo de ataques é conhecido e ocorre há vários anos (uma das versões anteriores do meu PedroCoelho.com chegou a ser quebrada por um ataque deste tipo), e os programadores têm desenvolvido técnicas para evitar ou impedir este tipo de ataques, nomeadamente efectuando validações a toda a informação que é enviada (submetida de forma transaccional), antes que esta chegue à base de dados. O que é preocupante é o facto de, anos após o aparecimento deste tipo de técnicas, ainda existirem na Web e de forma muito generalizada, muitas falhas em aplicações Web disponíveis ao público, e muitas delas contendo informação sensível. Ainda mais grave é o facto de muitas das bases de dados em utilização como base para muitos destes sites, ainda sejam de versões antigas com as quais se consegue ter acesso de administração à base de dados (e portanto a fazer o que se entender com todos os dados) com um simples comando SQL mal formatado!) O problema é que hoje em dia não é necessário ser-se um génio para realizar ataques com SQL injection, embora naturalmente seja sabido que pode haver consequências legais de tais actos, isto porque existem na Web variadas ferramentas capazes de as realizar. A pesquisa de vulnerabilidades pode inclusivamente começar com uma das várias ferramentas de validação online de vulnerabilidades (por exemplo: http://www.zubrag.com/tools/sql-injection-test.php ) seguida depois por um trabalho mais direccionado com uma qualquer tool importada online. Estes ataques tornaram-se mais frequentes à medida que tem aumentado nos últimos anos a segurança física das redes. A utilização generalizada de Firewalls e de tecnologias avançadas de segurança tem tornado mais difícil a vida aos hackers que recorrem assim a portas e meios que estão abertos e disponíveis, apenas não estão é preparados para receber dados da forma como estes são enviados. Todas as entidades com conteúdos e funcionalidades de natureza transacional ou crítica expostos na Web, tem que prestar a máxima atenção à segurança do código, efectuando revisões de segurança do mesmo, e garantindo o hardening dos sistemas e das bases de dados, sob pena de um destes dias também ser notícia pelos piores motivos. |
|
Actualizado em Domingo, 23 Agosto 2009 11:11 |
|
Escrito por PCoelho
|
|
Terça, 21 Julho 2009 14:14 |
|
Temos sido invadidos nas últimas semanas por ondas de especulação e mesmo pânico a propósito da Gripe A, tratada na comunicação social de forma não muito diferente da Peste... O alarmismo e o sensacionalismo são infelizmente um sinal dos tempos, numa altura em que para vender jornais e abrir telejornais não há grandes alternativas. Respondendo a esta onda de alarmismo, as pessoas acabam por alterar os seus hábitos de consumo e de estar, aumentando os problemas já grandes nas economias com a retracção do consumo. O facto é que a Gripe A é menos mortal que a normal gripe sazonal com que nos habituámos a conviver todos os anos, e nunca em tempo algum deixámos de ir ao cinema, visitar locais com concentração de pessoas ou viajar de avião por causa de uma gripe. O que diferencia esta gripe de outras é o elevado potencial pandémico, potenciado pelo facto de que ao contrário das gripes normais, nesta nova H1N1 não existem anti-corpos nos seres humanos pelo facto de que o virus nunca circulou. O site da OMS (http://www.who.int) tem informação clara e precisa sobre este virus e sobre a pandemia, que deve ser lida por todos por ser informação objectiva, não poluida pelo crivo sensacionalista da comunicação social. Uma das coisas que resulta da leitura da informação publicada pela OMS, é o facto de que não são de todo desaconselhadas as viagens, nem sequer para os países que nos habituámos a ver como fontes de Gripe A. Em suma: não há nada que possamos fazer para evitar a epidemia de Gripe A, é só mais uma gripe, e tanto podemos apanhá-la num café em Lisboa como na praia em Cancun, portanto preparemos o melhor possivel o sistema de saúde para tratar os doentes e continuemos com as nossas vidas... |
|
|
As guerras do vídeo no HTML 5 |
|
|
|
|
Escrito por PCoelho
|
|
Terça, 11 Agosto 2009 10:43 |
|
A especificação HTML tem estado há vários anos em revisão por parte do W3C tendo dado origem a um alguns drafts (o ultima de Abril de 2009), uma nova versão conhecida como HTML 5 que estará a ser incorporada nos browsers presentes e futuros. Esta revisão é a maior desde as versões HTML 4.01 e XHTML 1.0, já com alguns anos. Os objectivos do HTML5 vêm de 2004, e eram ambiciosos: tornar obsoletas tecnologias que funcionassem como Plug-in, entre muitas modernizações que resultam de forma muito diferente como se utiliza a Web nos dias de hoje em relação ao início de século. No entanto este processo tem sido ensombrado pela polémica em torno do ponto 4.8.7., que dá pelo nome do “elemento ”. O objectivo dos proponentes era criar um standard de codec de vídeo (gratuito e aberto), o que naturalmente criou algumas reacções adversas. A versão de final de Dezembro de 2007 dizia o seguinte: “User agents should support Ogg Theora video and Ogg Vorbis audio, as well as the Ogg container format” A versão actual diz algo bem diferente: “It would be helpful for interoperability if all browsers could support the same codecs. However, there are no known codecs that satisfy all the current players: we need a codec that is known to not require per-unit or per-distributor licensing, that is compatible with the open source development model, that is of sufficient quality as to be usable, and that is not an additional submarine patent risk for large companies. This is an ongoing issue and this section will be updated once more information is available. “ Esta questão é conhecida como a polémica do formato Ogg, e foi motivada pela pressão exercida directamente pela Nokia e pela Apple, entre outros fabricantes, para que este formato não fosse adoptado como standard. O pretexto foi a possibilidade (muito remota) de que alguma das tecnologias base do OGG pudesse ser mais tarde reclamada como patente por alguém. A ideia que assim deixou de passar a standard, era de tornar universal uma tecnologia de vídeo chamada Theora, uma tecnologia de compressão OpenSource que tem um desempenho muito similar a tecnologias patenteadas como o H.264. A grande diferença é que o uso de tecnologias como o MPEG-4 ou o MP3 está sujeito a royalties que geram muito dinheiro, quando o mesmo pode ser conseguido com uma combinação do Theora (Video) e do Vorbis (Audio), no formato de agrupamento OGG. Esta questão parece estar a levar a mais uma guerra de browsers, uma vez que tanto o Mozilla como o Opera implementam ou estão a implementar OGG, o Google Chrome deverá também implementá-lo, mas o IE e o Safari provavelmente não o farão. |
|
Escrito por PCoelho
|
|
Sexta, 10 Julho 2009 14:19 |
|
Com o anúncio por parte da Google de que vai lançar um sistema operativo (Google Chrome OS) parece ter estalado a guerra total entre os dois gigantes da informática. Depois de ter posto em causa com produtos gratuitos muito competitivos o domínio da Microsoft no campo dos browsers Web (Chrome vs IE), das ferramentas de produtividade (Google Docs), das redes de serviços, motores de pesquisa, sistemas operativos móveis (Android vs Windows Mobile) entre muitas outras coisas, a Google vem agora atacar a Microsoft directamente no seu terreno de eleição, onde o seu domínio é ainda mais evidente: o Sistema Operativo. As experiências anteriores mostram bem até onde a Google é capaz de levar a massificação dos seus produtos, com as impressionantes quotas de utilização alcançadas pelos seus produtos mais emblemáticos, desde o original motor de pesquisa, até ao Google Earth, passando pelos emblemáticos Chrome e Google Talk. Se bem que inicialmente a Google pretenda sobretudo atingir os computadores mais vocacionados para a navegação Web, o risco para a Microsoft é enorme, se a Google conseguir convencer os fabricantes de hardware a estabelecer acordos relevantes de OEM. O facto de ter uma linha completa de produtos gratuitos para utilizadores da Internet que cobrem praticamente todas as necessidades quer pessoais quer colaborativas e empresariais pode levar a Google num futuro muito próximo a conquistar uma fatia muito significativa de mercado à Microsoft, que no entanto é conhecida pela forma engenhosa como posiciona o seu Marketing na defesa dos seus produtos. Uma guerra interessante para seguir por 2010 dentro! |
|
|
|
|
<< Início < Anterior 1 2 Seguinte > Final >>
|
|
Página 1 de 2 |
|
Quem está online?
Temos 3 visitantes em linha
Em Destaque
Quer construir ou alojar um site? Contacte a ISDreams
Tem uma necessidade de um produto ou serviço? Contacte a Arca de soluções!
Visite um site diferente dedicado às artes decorativas: Mostra e Conta
Espante-se com os bolos da Liliana.
|
