Segurança. Site de acesso restrito

[cprezia 0]

Boa Tarde,Trabalho para o site de um jornal da minha cidade. Estamos com um projeto de para o mes que vem, bloquear os acessos das materias apenas para assinantes. Gostaria de saber qual é a melhor forma de proteger essas paginas? Gostaria algo semelhante ao UOL. que você coloca o usuario e a senha. e caso você tente acessar a pagina ele o encaminha para aquela pagina de login.Gostaria de saber mesmo é o que usara programação esta em ASp com banco SQLAgradeço desde já a atenção de todosCaio

[Salgado 4]

Isso é simples de ser implementado, é só você no topo de cada página fazer um teste, tipo:

if session("usuario")= "" then response.redirect "login.asp" end if

Esse teste verifica se existe uma session chamada "usuario", que será criada no momento do login, compreendeu?

QQ coisa Poste aqui

 

 

Valeu?

[cprezia 0]

Obrigado pela atençao em responder.mas esse controle de acsso é muito facil de ser burlado.terá que ser implantado um sistema de alta segurança. contrrole com sessions sao muito faceis de se passar. Qualquer progrmador ou um simples hacker consegue ter acesso a isso...um jeito de fazer isso usando session, é criar uma session diferente a cada usuario que entrar, criand como se fosse um "ticket" pra ela navegar pelo site.... mas mesmo assim, ja descobri janelas que conseguem burlar isso...agradeço a sua atenção mesmo assim!.valew!

[Salgado 4]

Poderia me explicar como se burla uma session?

Só para eu aprender a me proteger, já que é tão inseguro.

[cprezia 0]

Nao é que a session e tao insegura. Depende do tamanho da segurança que queremos no nosso sistema.Eu mesmo, no meu site, na area de acesso restrito, uso sessions tb para proteção. Apesar que eu uso sessions que nao tenho um nome fixo. eu crio o nome da session quando o usuario entra a site e essa sessio so fica valida enquanto ele estiver navegando.agora, qd temos uma session fixa, e dependendo de onde nosso site fica hospedado, aí é que entra o perigo...pois hj em dia , você concordam que é muito simples fazermos downloads de arquivos de sites que nao tem muita segurança no servidor. Ou ate uns programas que nos retornam os codigos ASP da pagina...agora imagina que eu tenha o acesso a esse codigo. e eu fico sabendo o nome da session usada no sistema.aí é so eu fazer um arquivo "bobo" declarando essa session, e linkando pra pagina protegida. Pronto! Entrei no sistema!Agora, qd estamos lidando com sistema que precisam ser realmente protegidos, as session se tornam vulneraveis. Por isso que eu disse que um jeito um pouco mais seguo de usar session, é criando ela dinamicamente, mas mesmo assim, para o sistema que eu preciso, nao é seguro suficiente.bom, espero ter conseguido expor a ideia..abraço a todos!Caio

[gastao 0]

num é tao fácil assim nao, caro amigo.....faço uma session normal, e quero ver você burlar...

[Salgado 4]

você está dizendo que se eu criar uma session aqui no meu server e linkar para uma página que use essa session eu consigo passar o valor para o outro server?

Gostaria de deixar claro que não estou criticando nem nada, só estou querendo aprender, uma vez que estou aprendendo asp!

[cprezia 0]

Na boa pessoal...a minha intenção aqui é trocar ideias numa boa e aprender sempre um com o outro e nao ter essa competição de "duvido que você burle a minha session"eu trabalho com segurança em internet a 4 anos. e ja vi coisas e invasões de sistemas que jamais pensariams que podiam ser invadidos, inclusive de bancos. Aqui onde trabalho, nossos servidores tem em media, 200 tentativas de invasão por dia.!Então.......Uma session é sim facil de ser burlada!!... ou vcs acham que um banco usa uma session para proteger seu dinheiro??e tem uma coisa que eu sempre aprendi nessa area de segurança.....o melhor perfil para se trabalhar com isso é humildade. Jamais pensar que nsso sistema nao vai ser invadido ou que ele seja impossivel de ser invadido.O que isso nos faz?.... ja que meu sistema pode ser invadido, entao é melhor eu saber o quanto ele é invadido e quem esta me invadindo.Como vcs podem ver, varios hackers conseguiram entrar em contas de banco, mas você podem ver que praticamente todos eles foram pegos! pq?...pq o banco sabe q o sistema dele VAI ser invadido, mas ele temn ue saber quem esta invadindo.entao quando pesnamos "minha session pode ser burlada?" ... é errado, devemos pensar "a minha session vai ser burlada" e como vou fazer para melhorar esse sistema e saber quem esta invadindo e como e pq. Pq se você cria um sistema que gerencia essas invasoes, você vai descobrir a "janela" pela qual o ladrão esta entrando no sistema. O bom disso tudo é isso. você conhecer esse sistema, pq se soubessemos como pode ser invadido, nao fariamos dessa forma.Entao pessoal, nos da area de desenvolvimento web, devemos ter muita humildade e sempre pensar que o que sabemos, é a ponta de um Iceberg de conhecimento.respondendo a pergunta: uma session de um server nao pode ser passada para outra. Agora quem acha que é dificil fazer um ftp animo para o servidor??.... e jogar esse seu arquivo lá....abraços a todos

[Salgado 4]

Meu amigo realmente sou iniciante, e esse tipo de informação realmente ajuda a aprimorar nossos trabalhos.

Não é da minha conta mas então pq tanta segurança com noticias, seria para demonstrar confiabilidade para o cliente?

Eu acredito que o sistema que você falou com sessions personalizadas para cada usuário deva servir, ou realmente é necessário alta segurança nessas noticias?

[biber 0]

Cara já que a discussão em torno de session está muito quente, então porque você não faz um include de select em cada page a ser protegida e se validado o select tu mostra a page, caso não vai para o login.Se a ideia valer, falow

[cprezia 0]

Na verdade nao sao apenas noticias!mas o problema maior é que isso envolve muito setor e de duas empresas.Entao você concorda que se for um sistema fragil, diversos departamentos serão prejudicados?por exemplo, o de assinatura do conteudo, maiketingm, comercial, financeiro...entao, é uma responsabilidade muito grande esse sistema, independente do que ele irá proteger... entende...por isso que aqui no departamento de desenvolvimento, nos temos 3 caras que trabalham só com a parte de segurança. E o que cada um faz, no final dos testes, é cada um tentar invadir o sistema do outro. Pq nem sempre você pensa em algo que o outro pensou... uma falha , uma janela etc.a session criada dinamicamente ela melhora muito (mas muito mesmo) a segurança. Nem se compara com a session ja declarada, mas como eu te disse antes, para esse sistema, ainda achamos que isso nao é suficiente.um abraço!

[cprezia 0]

Cara já que a discussão em torno de session está muito quente, então porque você não faz um include de select em cada page a ser protegida e se validado o select tu mostra a page, caso não vai para o login.

 

olá...

colocarmos o sistema na mao de um select é muito arriscado. Como eu disse anteriormente, a pessoa pode pegar o codigo e ver o seu SQL.

Inclusive, em termos de segurança, uma regra geral é JAMAIS termos codigos sql no arquivo. Tudo deve ser feito em Stored Procedure, para que as rotinas rodem no servidor e nao quando a pessoa acessar a pagina e o sql ser ativado.

e tem mais....

se for pensar em termos de perfomance: imagin um select ser ativado toda vez que um usuario entrar na pagina??...... se nao deu para ter noção, imaginem 5000 usuarios acessando essa pagina em um mesmo momento. Serão 5000 requisições do servidor! ....... e a perfomance vai pro saco..... concorda.....

 

abraço

[Salgado 4]

Opa calma para todos, todos estamos aqui para aprender e não para discutirmos sem ir a lugar nenhum!

Ok Para todos?

[cprezia 0]

Amigo,

me desculpe se você se ofendeu. nao foi minha intenção.

Como você pode ver em todas as mensagens que eu escrevi, a minha intenção foi trocar conhecimentos, que é o objetivo desse forum.

você escreveu isso "Mas duvido que você burle o sistema que eu faço! Duvide-o-dó!"

me desculpe, mas isso nao é uma opinão.......

basta ver as mensagens que eu troquei com o Salgado. Foi um troca de ideias. que me fez pensar tb em cima do que eu estou fazendo aqui.

se eu fosse arrogante, nao teria postado uma mensagem no forum.....

repito: a minha intenção nao foi te ofender!

 

 

abs

[gastao 0]

to com o meu socio e nao largo.....valeu bike!!!!!

[TucaZ 0]

Hum...As sessions são criadas no servidor e nele permanecem, certo? Se eu descobrir o nome da session e criar no meu servidor (servidor1), tentar através de um link acessar uma página protegido por session no servidor2 acho que não vou conseguir, não é isso mesmo? Pois a session foi criada no meu server, localmente, e não funciona em servidores remotos?A única forma de passar por isso seria criar um arquivo no servidor2 para poder passar pelo sistema, mas isso não é tão simples. Só é possível se houver acesso ao servidor2, correto?Já me disseram que com o Mozilla podemos "modificar" sessions com o browser aberto e isso seria uma solução para burlar o sistema. Alguém tem alguma informação sobre isso?Abraços!!!

[cprezia 0]

Eu ja li artigos sobre isso tb!ja cheguei a fazer um teste que nao funcionou. Mas tenho relatos de amigos da area que disseram que isso é possivel.Entao eu acho que depende muito desse server...mas é sempre bom fazermos os sistemas pensando que isso épossivel e que invasores vao tentar entrar dessa forma..abraços

[alphamek 2]

Sem confusão galera!!! ordem na bagaça aqui... heehheeheh !!! Bom brother, burlar Session é realmente dificil (hehehe!!), mais não é impossivel. Certo. Pois cada servidor possui sua configuração de IIS para a Session, e session de uma não funciona na outra e vice-versa. Mais como na informática nada é impossivel... capaz que possa acontecer isso. Mais vamos ao assunto que te interessa. Segurança. Estudei muito isso em ASP cara, é o melhor modo de você proteger mesmo um site é fazer esses passos que vou falar abaixo. 1º) Sempre utilize Sessions. Cookies podem ser porta de entrada para outros usuários. 2º) Utilize funções de Seguranção para verificar o usuários e guarda-las em DLLs, isso tb não é 100% seguro. Mais é muito eficaz e muito, muito dificil de brular. 3º) Utilize controle em banco de dados para controlar usuários do site e visitantes.. tipo. usuario = membros, usuario = visitante. isso ajuda muito tb. 4º) Protega a pasta do seu banco de dados, para ninguem fazer downloads via http, pq isso qq um faz. e se seu servidor suportar, protega tb a pasta WWW/ADMIN... isso ajuda tb. 5º) Se tiver o servidor em mãos, reconfigure o IIS, tempo de execusão das sessions, cookies, pasta e etc... ajuda muito tb. Não instale componentes que não necessita no servidor. como FRONTPAGE Extesions, MTS.. e etc... claro que se não utilizar. Bom cara, isso já te ajudará muito a proteger seu portal.. tem outros vários truques tb que ajuda, e funções. OK... qq coisa, manda e-mail, pois curto segurança ASP. E-mail: rodrigo@clickmidia.com Isso server para todos, OK, quem quizer discutir segurança, é só mandar e-mail... Abraços pros ceis... hehehe

[biber 0]

cARA, é o seguinte.Até agora demos várias idéias para o seu super-Hiper Sistema de Segurança que inclue diversos setores como assinatura do conteudo, maiketingm, comercial, financeiro.Você como especialista na área, " e nao venha com historia de humildade" trabalha com mais 3 caras, que solução você acha que a globo.com, a infoexame, utilizam para validar entradas de usuários em suas áreas restrita.Ah. post a url do site pra gente ver, falow

[Penna 0]

Minha opinião.Vamos fazer um teste, criaremos duas paginas, em servers diferentes.Minha pagina vai criar uma session.Vai ser criada no servidor1.Vou passar para outra pagina, pedindo a mesma session, a session vai estar salva no navegador, e não no server, uma prova disso é apertando o botão voltar do seu navegador.Pra mim, só vai ser possivel a invasão se conseguirmos insrir code ASP no server para criar essa session. Se não como vai ser criada a session no outro server? Na minha opinião descarto essa insegurança.E uma session para cada, usa aquela session id. Já viram isso??Agora o conflito.se a session esta salva no navegador, o que acham se não formos para a pagina restrita e sim para a pagina que cria as sessions??Pensem um pouco...O problema pode não ser o nosso code da pg restrita e sim o que cria...Pensou???A session é criada a partir do bd...Session("Nome") = Rs("Nome")O php tem aquela vunerabilidade que todos conhecem que é o SQL Injection. Nós não temos esse problema.Falow...Alex...