[MASOCH-L] Bloquear softwares como WebZip, Web Reaper em servidores web

Lisandro Weissheimer lisandro at weissheimer.eti.br
Fri Sep 30 16:27:52 BRT 2005 

Obrigado pela resposta.

Já imaginava que não seria uma batalha fácil

Abraço,
______________________________________
Lisandro Weissheimer
lisandro at weissheimer.eti.br
http://www.weissheimer.eti.br
MSN: lisandroweissheimer at hotmail.com
ICQ: 124160866
Skype: lisandrow
_______________________________________
Visite meu fórum:
http://www.weissheimer.eti.br/forum
Sugira tópicos, envie um mail para
forum at weissheimer.eti.br
_______________________________________
----- Original Message ----- 
From: "Leonardo Rodrigues Magalhães" <leolistas at solutti.com.br>
To: "Mail Aid and Succor, On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Sent: Friday, September 30, 2005 4:14 PM
Subject: Re: [MASOCH-L] Bloquear softwares como WebZip, Web Reaper em 
servidores web




Lisandro Weissheimer escreveu:

>Olá Pessoal!
>
>Os softwares acima são os famosos usados para baixar sites inteiros para
>computadores e navegar neles offline. Porém isso traz alguns problemas.
>Alguns desenvolvedores colocam as strings de conexão em arquivos dentro da
>hospedagem sem criptografia ou quando criptografam é necessário colocar a
>chave de descriptografia junto. Com isso se baixarmos um site e pegarmos
>esses dados teremos as senhas de banco do cliente e acessar áreas 
>restritas.
>
>Isso abre uma brecha de segurança, que por muitos já é conhecida.
>
>Minha pergunta é:
>
>Existe alguma maneira de impedir a ação desses programas (WebZip, Web 
>Reaper
>e Teleport, por exemplo) num webserver rodando Windows Server 2000 com IIS
>5.0 ou Windows Server 2003 com IIS 6.0?
>
>

    Acho difícil ....... a princípio você poderia até tentar bloquear a
identificação de navegador que eles usam, mas todos esses softwares
permitem que você configure como ele deve se identificar ... como IE,
como Netscape ou com qualquer texto que você digitar. Desse jeito, é
impossível você reconhecer, no servidor, se é um IE de verdade ou algum
outro agente se passando por IE.

    Quanto a desenvolvedores colocarem as senhas dentro dos scripts,
isso não é um problema real SE o desenvolvedor tiver o mínimo de noção
de programação segura.

    Num PHP por exemplo, se voce definir o arquivo conexao.inc e jogar
os trecos lá e der um include nele, o cara vai realmente conseguir
baixar o conexao.inc se souber o endereço dele. Porém se esse arquivo
chamar eusouburro.inc o cara provavelmente nunca vai achar ele, a não
ser que ele esteja linkado em algum lugar. Mas se voce chamar de
conexao.inc.php e criar algo assim:

<?php
$userdb = 'usuario';
$senhadb = 'senha';
?>

    E alguem chamar o conexao.inc.php no navegador, esse arquivo será
INTERPRETADO pelo engine PHP e vai retornar uma inútil tela em branco. O
cara só vai conseguir ver o código FONTE do seu PHP se ele usar alguma
vulnerabilidade e fizer isso, nada haver com o fato de estar ou não
usando um Teleport da vida.

    Se um arquivo existe dentro do site mas não possui nenhum LINK pra
ele, nenhum 'roubador' de sites vai descobrir que esse arquivo está lá.

    Não é tarefa simples evitar o uso desses softwares. Também não é
tarefa simples (pra não dizer que é impossível) proteger sites
desenvolvidos por desenvolvedores burros que não possuem a MENOR noção
de segurança e de como desenvolver aplicações que funcionem de forma segura.

-- 


Atenciosamente,
Leonardo Rodrigues
Solutti Tecnologia
http://www.solutti.com.br

Minha armadilha de SPAM, NÃO mandem email
gertrudes at solutti.com.br
My SPAMTRAP, do not email it




__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list