FireFox - Plugin - WebDeveloper

[Arzanardi 0]

Olá Pessoal!

 

Estou postando este tópico para tirar algumas dúvidas e esclarecimento sobre essa nova febre: FireFox

 

Eu instalei o FireFox e também alguns plugins e um deles é o Web Developer (Alguém conhece?)

 

O Browser e os Plugins saõ muito bons...show mesmo...

 

Mas alguns recursos me despertaram um certo medo. São eles:

 

Forms >> Convert POST to GET (ou vice e versa)

- Esse recurso permite converter o metodo de envio do form POST para GET ou vice versa, sendo assim...da pra ver pela url o que eu gostaria de passar por POST...alguem sabe de alguma outra forma de se passar variáveis para outra página sem que o usuario veja sem ser pelo POST?

 

Forms >> Show passwords

- Ele transforma os campos do Form que são password para text, assim da pra ver, por exemplo, o que a pessoa ta digitando, uma senha.

 

E muitos outros, como: ver todas as caracteristicas da página (classes, cookies, css, imagens etc)

 

Não sei se eu estou fazendo rebuliço, mas gostaria das informações de alguem sobre o assunto ou de soluções de segurança para trabalhar com trafego de dados pelas páginas.

 

agradeço desde já a atenção

 

até mais http://forum.imasters.com.br/public/style_emoticons/default/joia.gif

 

Arzanardi

[fast 0]

o negócio do show password eu não vejo problema... eh soh você ver se ninguém tah te vendo digitar .. se você deixar alguém ver eh pq você eh lerdo mesmo...agora o outro lance do post eh estranho.. o jeito eh usar session.. ou passar os dados encriptados....

[rodurma 0]

O negocio é sempre usar $_POST['etcetc'] e $_GET['etcetc']Register_global tem que tá OFF....num sei quem invento esse register_global....não curto ele...sempre usoos $_POST e $_GETEntão se o cara tentar mandar post por get num vai funcionar. ;)

[Leandro Vieira Pinho 0]

Cara!Amo o Firefox é o melhor do browser do mundo.E estou ficando muito feliz pois o ieca vem caindo bastante hehehehQuanto a extensão webdeveloper tenho instaldo e é fantátisco para nos desenvolvendores.Não acredito que usuaários comun vão instalar, pois não sabem nem o que é post ou get

[Arzanardi 0]

o negócio do show password eu não vejo problema... eh soh você ver se ninguém tah te vendo digitar .. se você deixar alguém ver eh pq você eh lerdo mesmo...agora o outro lance do post eh estranho.. o jeito eh usar session.. ou passar os dados encriptados....

mas como eu vou "Submeter" meu form para guardar as variáveis na Sessions ou para encripta-las? Se num form tem apenas o metodo GET e POST?você poderia me ajudar nessa?Valeu cara...t+

[Arzanardi 0]

O negocio é sempre usar $_POST['etcetc'] e $_GET['etcetc']Register_global tem que tá OFF....num sei quem invento esse register_global....não curto ele...sempre usoos $_POST e $_GETEntão se o cara tentar mandar post por get num vai funcionar. ;)

Entendi...mas o problema não é a forma que eu irei receber e sim a forma de envio...pois com o metodo GET é possivel ver as variaveis na barra de endereços, por exemplo: http://www.pagina.com.br/login.php?user=Fulano&senha=123Essa é minha duvida...tem alguma solução pra isso...Valeu por su resposta...t+

[dokkalfr 0]

Se o cara é mau intencionado ele ve o fonte da página e le os campos que são hidden sem problema.Como alguém já disse essa ferramenta é muito boa para DESENVOLVEDORES e o público comum não se interessa por ela. Ela permite depuração fácil do HTML. Nenhuma das informações que ele mostra são secretas, e normalmente se eu quisesse saber quais os cookies que estão ativos em um ponto da página eu teria que ficar interrompendo a página e dando print_r() ... não é risco nenhum pra segurança!

[Arzanardi 0]

Se o cara é mau intencionado ele ve o fonte da página e le os campos que são hidden sem problema.Como alguém já disse essa ferramenta é muito boa para DESENVOLVEDORES e o público comum não se interessa por ela. Ela permite depuração fácil do HTML. Nenhuma das informações que ele mostra são secretas, e normalmente se eu quisesse saber quais os cookies que estão ativos em um ponto da página eu teria que ficar interrompendo a página e dando print_r() ... não é risco nenhum pra segurança!

Certo...mas não podemos nos acomodar pq pessoas comuns não se interessam..mas muitos desenvolvedores ou hackers mal intencionados podem querer fazer alguma coisas para burlar o sistema.O que ta me pegando a veia é só o fato de se uma pessoa trocar os metodos POST para GET , sei lá, se algum cara estiver espiando meu micro, se eu não perceber, ele pode ver o que eu digitei, ai é fogo.[]'s

[fast 0]

eh dokkalfr jah disse.. não tem problema em transformar o post pra get ... o kra veria isso de qualquer jeito ao abrir o html da página do form...

[Marcio Leandro 0]

naum to entendendo qual o problema em se ver na barra de endereços os dados q se digitou no form.... Dados q precisam de segurança maior devem ser criptografados

[hinom 5]

eu acho que ninguém entendeu o Arzanardiessa opção do Firefox é um problemapor exemplo:num internet café, onde as máquinas tem o bendito firefox instaladoum hacker qualquer pode entrar no estabelecimento apenas com o intuito de trocar a configuração do browser. No caso, o envio de dados do método POST para o método GET.pronto! basta fazer isso em todas as máquinas.Muitas pessoas ("os leigos", "os que não manjam muito") acessam contas de e-mail em internet cafés e.. até mesmo contas de bancoentenderam agora a preocupação do nosso amigo Arzanardi ??se o internet café for muito movimentado, então, com certeza o "hacker" obterá diversos dados importantespara resolver isso não use o firefox e bloqueie-o de suas páginas restritas.isso não é nem metade das gambiarras do firefox

[Arzanardi 0]

eh dokkalfr jah disse.. não tem problema em transformar o post pra get ... o kra veria isso de qualquer jeito ao abrir o html da página do form...

sim...mas ele verá o código fonte e não o que eu digitei e submeti...so verá se for pela URL

[Arzanardi 0]

naum to entendendo qual o problema em se ver na barra de endereços os dados q se digitou no form....

Dados q precisam de segurança maior devem ser criptografados

Tem problema sim cara...são informações suas que alguem pode ver...mas a saída de criptografar é legal.

 

Tipo...eu tbm sou um pouco leigo nessa área de segurança...e já aproveito para tirar uma dúvida: Como eu submeto um form passando os dados criptografados? Tipo num login e Senha?

 

Obrigado!

[Arzanardi 0]

eu acho que ninguém entendeu o Arzanardiessa opção do Firefox é um problemapor exemplo:num internet café, onde as máquinas tem o bendito firefox instaladoum hacker qualquer pode entrar no estabelecimento apenas com o intuito de trocar a configuração do browser. No caso, o envio de dados do método POST para o método GET.pronto! basta fazer isso em todas as máquinas.Muitas pessoas ("os leigos", "os que não manjam muito") acessam contas de e-mail em internet cafés e.. até mesmo contas de bancoentenderam agora a preocupação do nosso amigo Arzanardi ??se o internet café for muito movimentado, então, com certeza o "hacker" obterá diversos dados importantespara resolver isso não use o firefox e bloqueie-o de suas páginas restritas.isso não é nem metade das gambiarras do firefox

É mais ou menos isso hinom...não tão radical de excluir o fireFox...mas qto a atenção que devemos dar...Eu queria passar essa idéia mesmo, e você captou...Obrigado

[fast 0]

agora eu entendi... eh soh você tomar cuidado mesmo.. o problema eh para os leigos...

[Arzanardi 0]

Bom...acho que está claro a minha dúvida...

 

Agora peço a ajuda de vocês:

Como eu posso resolver isso num form?

 

Eu sou meio leigo...tem alguma saida para não mostrar a url?

 

Valeu pessoal

 

T+

[fast 0]

se eu entendi direito e o kra tiver esse plugin no firefox, e você não tiver como desabilitar.. eu acho q não tem solução naum.. hehe... vai aparecer de qualquer jeito

[dokkalfr 0]

Com certeza não tem solução ... só se via JS tu conseguires desativar a extensão, mas daí o cara desativa JS na página ... =/

[rodurma 0]

eu acho que ninguém entendeu o Arzanardiessa opção do Firefox é um problemapor exemplo:num internet café, onde as máquinas tem o bendito firefox instaladoum hacker qualquer pode entrar no estabelecimento apenas com o intuito de trocar a configuração do browser. No caso, o envio de dados do método POST para o método GET.pronto! basta fazer isso em todas as máquinas.Muitas pessoas ("os leigos",  "os que não manjam muito") acessam contas de e-mail em internet cafés e.. até mesmo contas de bancoentenderam agora a preocupação do nosso amigo Arzanardi ??se o internet café for muito movimentado, então, com certeza o "hacker" obterá diversos dados importantespara resolver isso não use o firefox e bloqueie-o de suas páginas restritas.isso não é nem metade das gambiarras do firefox

O negócio é que o "Hacker" terá que habilitar o "Post to Get" na hora que o cara for logar em algum sistema.... não é uma coisa que fica pra sempre.... baixei a extenssão e ví que funciona dessa maneira.Outra coisa se a pessoa quer ver quais variáveis serão criadas é só olhar co código fonte do site e ver o "form" .Pode ficar tranquilo ai que isso num da em nada.[]'s :)

[Lukas 0]

Se o cara for um hacker de verdade não há firefox ou internet explorer que segure naum !!! Isso ai é so pra lammer !!! Se o cara quer robar as senhas mesmo coloca um sniffer ai pronto !!! Entendeu !!!