Segurança: Item primordial

Veja neste artigo onde irei abordar um item muito importante, Segurança, simples hábitos que nos podem poupar muita dor de cabeça.

por Roberto Pereira do Vale

Veja neste artigo onde irei abordar um item muito importante, Segurança, simples hábitos que nos podem poupar muita dor de cabeça.

Durante algumas analises de segurança nos arquivos publicados em servidores aqui na empresa que presto serviço, identificamos várias falhas que talvez podem estar acontecendo com qualquer pessoa, talvez não seja do conhecimento de todos ou até hábitos adquiridos que depois são difíceis de abandonar é válido que todos saibam e mudemos a cultura desde já caso se enquadre na situação que encontrei aqui.

Encontrei nos servidores arquivos renomeados vejam abaixo alguns exemplos:

- Excel_bkp08062011.asp;

- buscador.asp_bkp16082011;

- Participantes.bkp;

- App_Web_carrinhoconfirmacao.aspx..bkp;

- video2bkp.old;

- btt_fecharpedido.gif.mno;

- configuraca.bkp;

- configuraca.bak;

- configuraca.old;

- web.config.bak;

- web.config.homologacao;

- NOMEBANCO.dmp;

... e por ai uma infinidade de arquivos malucos.

Entendo que muitas vezes construímos sistemas para intranet, por isso não nos importamos com determinados hábitos, fazer backup dos arquivos antes de mandar os arquivos novos muitas vezes é uma pratica salvadora, porem quando utilizamos esta alternativa descrita acima mesmo em sistemas inernos estamos indo contra todo tipo de boa pratica de programação e pior ainda quando nossos servidores estão com acesso externos.

Aqui na empresa ouvi a pergunta... -"Como alguém vai saber que eu tenho um arquivo .bak no servidor ou old ???" -  Simples, para pessoas mal intencionadas  é só fazer um teste abrindo uma pagina .asp e na seqüência tentar mudar a extensão pra .old, .txt ou bak ou data ou qualquer outra ferramenta. Eu que jamais procurei este tipo de ferramenta conheço umas duas ou três ferramentas e até mesmo o google se utilizado de forma procurar este tipo de falha ajuda bastante estas pessoas mal intencionadas.

A recomendação é que NUNCA, NUNCA, NUNCA, NUNCA, e NUNCA(5x nunca), deixemos os backup, arquivos renomeados no servidor. Principalmente arquivos que tem dados de conexão com banco de dados, informações de pagamento e todo e qualquer dado sigiloso.

Ainda tenho muito a aprender quanto a esse critério de segurança.... Esse foi só um bate papo inicial que acredito que todos podem contribuir.

È isso espero que seja útil.

Roberto Vale