[MASOCH-L] RES: RES: script php
Renato Frederick
frederick at dahype.org
Mon Jun 8 14:02:57 BRT 2009
Pessoal, creio que não é necessário tanta preocupacao, um servidor dentro da empresa, em que o 'usuario avancado' vai se logar na web no php, que vai usar o sudo para gravar o local.cf do spamd....
Realmente É necessário uma solução simples, já existe PHP e apache para o sistema de email. Simplicidade neste caso esta pesando mais do que a segurança. Não adianta também fazer o procedimento mais complexo do mundo, exigir um token, senha de 48digitos mais impressão digital se isto vai dificultar tanto o cliente, que está pagando, que ele vai ficar insatisfeito.
Tem hora que temos que realmente pensar simples.. :-)
> -----Mensagem original-----
> De: MARLON BORBA [mailto:MBORBA at trf3.jus.br]
> Enviada em: segunda-feira, 8 de junho de 2009 14:00
> Para: Renato Frederick; On-line Comfort and Help Mail Aid and Succor
> Assunto: Re: [MASOCH-L] RES: script php
>
> Se é assim, devo propor alguns cuidados. Use credenciais de usuário bem
> fortes e difíceis de "adivinhar", "login" bloqueado por poucas
> tentativas com erro, e um bom sistema de "captcha", do contrário o seu
> "script" sofrerá ataques de dicionário e de força-bruta.
>
> De qualquer forma, sugiro pensar numa solução na qual se requeira o
> menor privilégio possível para a execução da tarefa.
>
> Eu preferiria perder alguns dias treinando o usuário em um editor
> amigável (por exemplo, o Alpine) e no uso do Secure Shell. É bem mais
> rápido, você não precisa de PHP e de página Web, e corre menos perigo
> de
> "efeitos adversos".
>
>
> --
>
> Abraços,
>
> Marlon Borba, CISSP, APC DataCenter Associate
> Técnico Judiciário · Segurança da Informação
> Comissão Local de Resposta a Incidentes - CLRI
> TRF 3 Região
> (11) 3012-1581
> --
> Practically no IT system is risk free.
> (NIST Special Publication 800-30)
> --
>
>
> Em 8/6/2009 às 12:12, Renato Frederick <frederick at dahype.org> gravou:
>
> [...]
>
> > O php será protegido por .htaccess, então pode ter milhões de furos
> de
> > segurança, que so será executado por quem tiver login/senha, no caso
> o
> > administrador
>
> [...]
More information about the masoch-l
mailing list