O documento discute técnicas para construir aplicações PHP seguras, cobrindo tópicos como: 1) tipos de ataques como XSS e SQL injection e como evitá-los através de filtragem de dados; 2) outros ataques como roubo de sessão e senhas e medidas para proteção; 3) cuidados adicionais como uso seguro de includes e formulários.
Este poema contém 7 poemas curtos de 3 autores portugueses sobre o amor e desejo. Os poemas exploram temas como a paixão, o desejo de estar com o amado, a dor da ausência e o arrependimento de não ter aproveitado melhor os momentos com a pessoa amada.
La comunicación interauricular es un defecto cardíaco congénito que causa un cortocircuito anormal entre las aurículas derecha e izquierda, usualmente de izquierda a derecha. Existen diferentes tipos de defectos. A largo plazo, el cortocircuito puede causar hipertensión pulmonar. El defecto suele ser asintomático en la infancia pero puede manifestarse más tarde con insuficiencia cardiaca. El tratamiento quirúrgico busca prevenir complicaciones y restaurar un flujo sistémico/pulmonar adecu
Este documento describe las instalaciones de una finca rústica ubicada en Tenango del Aire, Estado de México. La finca cuenta con 35 caballerizas de 3x3 metros cada una con puerta de reja, comedero, bebedero y luz, un área de baño para los caballos y un depósito de agua. También incluye una pista de cuatro carriles, gradas techadas y alumbradas, y diez caballerizas para visitantes con pilas de agua.
Camilo Castelo Branco nasceu em Lisboa em 1825. Foi um escritor multifacetado da literatura portuguesa, mas teve uma vida conturbada, marcada por problemas amorosos e financeiros. Refugiou-se nas Taipas em 1860, fugindo da justiça por ter tido um caso amoroso com uma mulher casada. Passou temporadas nas Taipas ao longo da vida, procurando alívio para os seus problemas de saúde.
O documento discute a relação entre gênero e meios digitais. Aponta que gêneros emergem de affordances dos meios e da interação entre uso e tecnologia. No entanto, o que define quais ações e gêneros serão realizados em cada meio permanece em aberto.
El documento proporciona información sobre las quinolonas, incluyendo su mecanismo de acción, indicaciones y efectos adversos. Las quinolonas inhiben las topoisomerasas bacterianas e impiden la replicación del ADN. Se usan para tratar infecciones respiratorias, gastrointestinales, óseas y de piel entre otras. Pueden causar efectos adversos en los sistemas nervioso, gastrointestinal, hepático, muscular y articulaciones.
LivElite International is a multi-level marketing company that sells wellness products. It aims to help people break down barriers and live life to the fullest. The company provides business tools, training, and a lucrative compensation plan to reward distributors for their efforts. The compensation plan includes retail commissions, team commissions on multiple levels, bonuses for team building, and the potential to earn thousands each month based on rank and team performance. LivElite International is committed to distributor success through exclusive products and an exceptional financial opportunity.
Este poema contém 7 poemas curtos de 3 autores portugueses sobre o amor e desejo. Os poemas exploram temas como a paixão, o desejo de estar com o amado, a dor da ausência e o arrependimento de não ter aproveitado melhor os momentos com a pessoa amada.
La comunicación interauricular es un defecto cardíaco congénito que causa un cortocircuito anormal entre las aurículas derecha e izquierda, usualmente de izquierda a derecha. Existen diferentes tipos de defectos. A largo plazo, el cortocircuito puede causar hipertensión pulmonar. El defecto suele ser asintomático en la infancia pero puede manifestarse más tarde con insuficiencia cardiaca. El tratamiento quirúrgico busca prevenir complicaciones y restaurar un flujo sistémico/pulmonar adecu
Este documento describe las instalaciones de una finca rústica ubicada en Tenango del Aire, Estado de México. La finca cuenta con 35 caballerizas de 3x3 metros cada una con puerta de reja, comedero, bebedero y luz, un área de baño para los caballos y un depósito de agua. También incluye una pista de cuatro carriles, gradas techadas y alumbradas, y diez caballerizas para visitantes con pilas de agua.
Camilo Castelo Branco nasceu em Lisboa em 1825. Foi um escritor multifacetado da literatura portuguesa, mas teve uma vida conturbada, marcada por problemas amorosos e financeiros. Refugiou-se nas Taipas em 1860, fugindo da justiça por ter tido um caso amoroso com uma mulher casada. Passou temporadas nas Taipas ao longo da vida, procurando alívio para os seus problemas de saúde.
O documento discute a relação entre gênero e meios digitais. Aponta que gêneros emergem de affordances dos meios e da interação entre uso e tecnologia. No entanto, o que define quais ações e gêneros serão realizados em cada meio permanece em aberto.
El documento proporciona información sobre las quinolonas, incluyendo su mecanismo de acción, indicaciones y efectos adversos. Las quinolonas inhiben las topoisomerasas bacterianas e impiden la replicación del ADN. Se usan para tratar infecciones respiratorias, gastrointestinales, óseas y de piel entre otras. Pueden causar efectos adversos en los sistemas nervioso, gastrointestinal, hepático, muscular y articulaciones.
LivElite International is a multi-level marketing company that sells wellness products. It aims to help people break down barriers and live life to the fullest. The company provides business tools, training, and a lucrative compensation plan to reward distributors for their efforts. The compensation plan includes retail commissions, team commissions on multiple levels, bonuses for team building, and the potential to earn thousands each month based on rank and team performance. LivElite International is committed to distributor success through exclusive products and an exceptional financial opportunity.
Regulamento do concurso o livro da minha vidaEma Paes
Este regulamento estabelece as regras para um concurso literário promovido por professores de uma escola secundária. O objetivo é incentivar hábitos de leitura e escrita entre os alunos, que serão convidados a escrever um texto sobre o livro que mais marcou suas vidas. Os três melhores trabalhos receberão prêmios e serão divulgados na biblioteca e sites da escola. Os textos devem ser enviados eletronicamente até maio e serão avaliados por um júri de acordo com critérios como criatividade e
O documento descreve os vários métodos de comunicação assíncrona utilizados pelos Serviços Bibliotecários e de Informação Documental da Universidade de Aveiro (SBIDM) para fornecer informações à comunidade académica, incluindo boletins, blogs, redes sociais e portais web. O inquérito mostra que os catálogos online e a partilha de informações entre pares são as fontes de informação mais valorizadas.
Los miomas uterinos son tumores benignos que se originan en las células musculares del útero. Son sensibles a los estrógenos y su incidencia es del 20-25% en mujeres en edad reproductiva. Pueden causar hemorragias uterinas anormales y dolor. Su diagnóstico se realiza mediante exploración pélvica, ultrasonido y otros exámenes de imagen. El tratamiento depende del tamaño y ubicación del mioma, y puede incluir medicamentos, miomectomía o histerectomía.
O documento descreve a anatomia do coração humano, incluindo sua estrutura piramidal com átrios e ventrículos separados por válvulas. Ele também explica a circulação do sangue através do coração, com a pequena circulação pulmonar e a grande circulação sistêmica levando o sangue aos pulmões e ao resto do corpo respectivamente.
O documento descreve a história da Internet e da World Wide Web. Começa com uma introdução sobre o que é a Internet e sua abrangência atual. Em seguida, explica que a Internet surgiu da necessidade dos EUA de comunicação durante a Guerra Fria, dando origem à ARPANET. Por fim, destaca a importância fundamental da Internet e da WWW para a sociedade e empresas modernas.
Como uma experiência de compra inesquecível vai rentabilizar sua loja virtual.João Leão
O documento discute como fornecer uma excelente experiência de compra para os clientes de uma loja virtual. Ele destaca a importância de entender o consumidor, oferecer um atendimento personalizado e processos de entrega, troca e devolução simplificados para fidelizar clientes e aumentar as vendas. O documento também fornece dicas como realizar testes com clientes para identificar problemas e melhorar continuamente a jornada de compra.
O documento discute a trajetória intelectual e as concepções de Milton Santos sobre geografia, espaço e território. Apresenta detalhes biográficos de Santos e analisa como ele influenciou a renovação da geografia brasileira nas décadas de 1970 e 1980, introduzindo perspectivas marxistas e conceitos como espaço geográfico. Também examina como suas ideias evoluíram ao longo da carreira e sua importância para a geografia brasileira.
O documento discute as novas formas de comunicação síncrona, assíncrona e multidirecional na era digital, como a internet e as redes sociais permitiram a comunicação entre pessoas em diferentes locais. Também aborda os novos desafios para as bibliotecas de desenvolver serviços e ferramentas online para apoiar os usuários e integrar sistemas de ensino e pesquisa.
Este documento describe los documentos clave utilizados en la compraventa y el cobro de pagos. Incluye el pedido, el albarán y la factura para la compraventa, y el recibo, el cheque, la letra de cambio y el pagaré para el cobro de pagos.
El documento habla sobre los tumores de esófago. Menciona que la mayoría son células escamosas o adenocarcinomas, y que factores como el tabaco, alcohol y reflujo gastroesofágico son predisponentes. Describe los síntomas como disfagia y pérdida de peso, y los métodos de diagnóstico como endoscopia y biopsia. Finalmente, cubre las opciones de tratamiento quirúrgico, de radioterapia y paliativo.
1) O documento discute as capacidades cognitivas e físicas dos idosos, contrariando a visão negativa do senso comum.
2) Embora algumas capacidades se deteriorem com a idade, grande parte se mantém ou evolui, e fatores como inatividade e isolamento social podem explicar quaisquer déficits.
3) Testes cognitivos revelam que os idosos se saem bem quando recebem instruções claras, e a sociedade não deve aceitar que são meros vegetativos.
Relações entre a Administração Tributária e os ContribuintesPedro Amorim
Este documento discute as relações entre a administração tributária e os contribuintes em Portugal. Ele destaca a necessidade de (1) melhorar a transparência e cooperação entre as partes e (2) reduzir a morosidade da justiça fiscal, especialmente por meio de soluções alternativas como a arbitragem tributária.
O documento descreve a família do aluno Domingos, incluindo fotos e detalhes sobre seus pais, irmãs e sobre ele mesmo quando era criança na Guiné-Bissau. O documento enfatiza os laços de amor e respeito entre os membros da família.
O documento discute a importância da segurança de aplicações web, mencionando que 75% dos ataques acontecem na camada da aplicação e que 90% dos sites são vulneráveis a ataques. Também aborda causas comuns de vulnerabilidades, como dados de entrada não validados, e recomendações para desenvolvedores, como validação de dados, testes de segurança e uso de guias como OWASP.
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
O documento discute a vulnerabilidade XSS Injection, incluindo como é a vulnerabilidade mais comum em sistemas web, os tipos de ataque como armazenado e refletido, e as ações que empresas devem tomar como contratar especialistas em segurança e treinar funcionários.
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
O documento discute vários tipos de ataques cibernéticos e como construir aplicações PHP seguras. Ele explica ameaças como XSS, SQL injection e session hijacking, além de dicas como filtrar dados de entrada, usar criptografia e limitar privilégios de acesso ao banco de dados.
Regulamento do concurso o livro da minha vidaEma Paes
Este regulamento estabelece as regras para um concurso literário promovido por professores de uma escola secundária. O objetivo é incentivar hábitos de leitura e escrita entre os alunos, que serão convidados a escrever um texto sobre o livro que mais marcou suas vidas. Os três melhores trabalhos receberão prêmios e serão divulgados na biblioteca e sites da escola. Os textos devem ser enviados eletronicamente até maio e serão avaliados por um júri de acordo com critérios como criatividade e
O documento descreve os vários métodos de comunicação assíncrona utilizados pelos Serviços Bibliotecários e de Informação Documental da Universidade de Aveiro (SBIDM) para fornecer informações à comunidade académica, incluindo boletins, blogs, redes sociais e portais web. O inquérito mostra que os catálogos online e a partilha de informações entre pares são as fontes de informação mais valorizadas.
Los miomas uterinos son tumores benignos que se originan en las células musculares del útero. Son sensibles a los estrógenos y su incidencia es del 20-25% en mujeres en edad reproductiva. Pueden causar hemorragias uterinas anormales y dolor. Su diagnóstico se realiza mediante exploración pélvica, ultrasonido y otros exámenes de imagen. El tratamiento depende del tamaño y ubicación del mioma, y puede incluir medicamentos, miomectomía o histerectomía.
O documento descreve a anatomia do coração humano, incluindo sua estrutura piramidal com átrios e ventrículos separados por válvulas. Ele também explica a circulação do sangue através do coração, com a pequena circulação pulmonar e a grande circulação sistêmica levando o sangue aos pulmões e ao resto do corpo respectivamente.
O documento descreve a história da Internet e da World Wide Web. Começa com uma introdução sobre o que é a Internet e sua abrangência atual. Em seguida, explica que a Internet surgiu da necessidade dos EUA de comunicação durante a Guerra Fria, dando origem à ARPANET. Por fim, destaca a importância fundamental da Internet e da WWW para a sociedade e empresas modernas.
Como uma experiência de compra inesquecível vai rentabilizar sua loja virtual.João Leão
O documento discute como fornecer uma excelente experiência de compra para os clientes de uma loja virtual. Ele destaca a importância de entender o consumidor, oferecer um atendimento personalizado e processos de entrega, troca e devolução simplificados para fidelizar clientes e aumentar as vendas. O documento também fornece dicas como realizar testes com clientes para identificar problemas e melhorar continuamente a jornada de compra.
O documento discute a trajetória intelectual e as concepções de Milton Santos sobre geografia, espaço e território. Apresenta detalhes biográficos de Santos e analisa como ele influenciou a renovação da geografia brasileira nas décadas de 1970 e 1980, introduzindo perspectivas marxistas e conceitos como espaço geográfico. Também examina como suas ideias evoluíram ao longo da carreira e sua importância para a geografia brasileira.
O documento discute as novas formas de comunicação síncrona, assíncrona e multidirecional na era digital, como a internet e as redes sociais permitiram a comunicação entre pessoas em diferentes locais. Também aborda os novos desafios para as bibliotecas de desenvolver serviços e ferramentas online para apoiar os usuários e integrar sistemas de ensino e pesquisa.
Este documento describe los documentos clave utilizados en la compraventa y el cobro de pagos. Incluye el pedido, el albarán y la factura para la compraventa, y el recibo, el cheque, la letra de cambio y el pagaré para el cobro de pagos.
El documento habla sobre los tumores de esófago. Menciona que la mayoría son células escamosas o adenocarcinomas, y que factores como el tabaco, alcohol y reflujo gastroesofágico son predisponentes. Describe los síntomas como disfagia y pérdida de peso, y los métodos de diagnóstico como endoscopia y biopsia. Finalmente, cubre las opciones de tratamiento quirúrgico, de radioterapia y paliativo.
1) O documento discute as capacidades cognitivas e físicas dos idosos, contrariando a visão negativa do senso comum.
2) Embora algumas capacidades se deteriorem com a idade, grande parte se mantém ou evolui, e fatores como inatividade e isolamento social podem explicar quaisquer déficits.
3) Testes cognitivos revelam que os idosos se saem bem quando recebem instruções claras, e a sociedade não deve aceitar que são meros vegetativos.
Relações entre a Administração Tributária e os ContribuintesPedro Amorim
Este documento discute as relações entre a administração tributária e os contribuintes em Portugal. Ele destaca a necessidade de (1) melhorar a transparência e cooperação entre as partes e (2) reduzir a morosidade da justiça fiscal, especialmente por meio de soluções alternativas como a arbitragem tributária.
O documento descreve a família do aluno Domingos, incluindo fotos e detalhes sobre seus pais, irmãs e sobre ele mesmo quando era criança na Guiné-Bissau. O documento enfatiza os laços de amor e respeito entre os membros da família.
O documento discute a importância da segurança de aplicações web, mencionando que 75% dos ataques acontecem na camada da aplicação e que 90% dos sites são vulneráveis a ataques. Também aborda causas comuns de vulnerabilidades, como dados de entrada não validados, e recomendações para desenvolvedores, como validação de dados, testes de segurança e uso de guias como OWASP.
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
O documento discute a vulnerabilidade XSS Injection, incluindo como é a vulnerabilidade mais comum em sistemas web, os tipos de ataque como armazenado e refletido, e as ações que empresas devem tomar como contratar especialistas em segurança e treinar funcionários.
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
O documento discute vários tipos de ataques cibernéticos e como construir aplicações PHP seguras. Ele explica ameaças como XSS, SQL injection e session hijacking, além de dicas como filtrar dados de entrada, usar criptografia e limitar privilégios de acesso ao banco de dados.
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesTchelinux
O documento discute vários tipos de ataques cibernéticos e como construir aplicações PHP seguras. Ele explica ameaças como XSS, SQL injection e session hijacking, além de dicas como filtrar dados de entrada, usar criptografia e limitar privilégios de banco de dados.
Construindo uma Aplicação PHP à Prova de Balas - 2010Rafael Jaques
Palestra apresentada por Rafael Jaques no FISL 11 [Porto Alegre] em 24/07/2010.
O foco da apresentação é atentar o desenvolvedor para brechas que comumente não são consideradas, lembradas ou não tem seu devido valor dado.
Mostra um leque variado de formas de ataque e como se defender destes modos de invasão.
O documento discute o que são "bots" e "botnets", como são criados e usados para ataques de negação de serviço distribuídos e envio de spam. Ele também aborda as vulnerabilidades exploradas por bots, os riscos envolvidos para usuários e organizações, e formas básicas de defesa, como manter antivírus atualizado e não clicar em links desconhecidos.
Badass XSS: Esqueça o alert e vá para mundo realDaniel Marques
Este documento fornece instruções sobre como explorar vulnerabilidades de cross-site scripting (XSS) de forma sutil para redirecionar formulários de login, usar keyloggers e compartilhar arquivos e abas. Também discute como obter acesso remoto através de shells e explorar vulnerabilidades do Java e aplicativos móveis.
A vulnerabilidade de Cross-Site Scripting (XSS) permite que atacantes executem códigos maliciosos nos navegadores da vítimas. Os ataques de XSS mais comuns roubam cookies para sequestrar sessões ou desfigurar sites. É importante validar todos os dados de entrada para prevenir esses ataques.
Este documento discute o que são "Botnets" (redes de bots) e como elas são criadas e usadas para realizar ataques DDoS. Explica que os bots são programas instalados nos computadores de usuários sem seu conhecimento para recrutá-los para uma rede controlada por um atacante. Detalha como os ataques DDoS funcionam usando múltiplas fontes para sobrecarregar alvos, e discute vulnerabilidades comuns e formas de identificar e mitigar esses ataques.
Semelhante a Aplicação php a prova de balas - Rafael Jaques (9)
Do Zero ao YouTube em menos de 10 softwares livres - Vinícius Alves Hax - Tch...Tchelinux
Em 2019 lancei um curso semi-presencial de "Introdução à administração de sistemas Linux". Praticamente todos os passos, desde gravação até edição foram feitos utilizando software livre. O objetivo da palestra é apresentar os bastidores da gravação do curso e ensinar as pessoas que assistirem a palestra a também criarem seus próprios vídeos utilizando software livre.
Vinícius Alves Hax é formado em Engenharia de Computação pela FURG e trabalha atualmente como Analista de TI na reitoria do IFSul. Utiliza Linux há quase quinze anos e tem experiência em desenvolvimento web e como administrador de sistemas, sempre utilizando preferencialmente o sistema livre.
Para mais informações:
http://viniciusah.com.br/
Insegurança na Internet - Diego Luiz Silva da Costa - Tchelinux 2019 Rio GrandeTchelinux
O documento apresenta informações sobre Diego Costa, CEO da Projeto Root, incluindo seus contatos e formação. Ele discute diversos tópicos relacionados à segurança da informação na internet, como riscos de navegação descuidada, como empresas de tecnologia coletam e usam dados pessoais, o caso Edward Snowden, tipos de ataques cibernéticos e como melhorar a segurança online.
Explorando Editores de Texto Open Source - Gabriel Prestes Ritta - Tchelinux ...Tchelinux
O documento discute editores de texto open source como LibreOffice e Apache OpenOffice. Ele apresenta as ferramentas desses softwares para criação de documentos, incluindo formatação de texto, quebra de páginas e estilos. O documento também explica como criar sumários e índices automaticamente.
Desenvolvendo Jogos com PyGame - Jerônimo Medina Madruga - Tchelinux 2019 Rio...Tchelinux
Jogar todo mundo joga. Programar, todo mundo pode. Jogar todo mundo treina. Programar, nem tanto. Mas para jogar é necessário que alguém desenvolva suas habilidades de programador. Nesse bate papo, porque ninguém mais tem paciência para palestras, será apresentada uma forma divertida de desenvolver a programação e conhecer a linguagem Python, construindo jogos, utilizando a biblioteca Pygame e ferramentas open source para desenvolver um jogo.
Jerônimo Medina Madruga trabalha com suporte técnico e treinamento para educação a distância da Universidade Federal de Pelotas (UFPel). Tem formação em Técnico em Eletrônica pelo Instituto Federal Sul-Rio-Grandense (IFSUL) e é ocasionalmente atuante em grupos ligados a divulgação e desenvolvimento de software livre. Já realizou mais de 70 palestras em eventos internacionais, nacionais e regionais, sobre os temas mais variados possíveis, normalmente ligados a educação, programação, comunidades, CMS e administração de sistemas.
Para mais informações:
https://www.linkedin.com/in/jmmadruga/
Me formei. E agora? - Matheus Cezar - Tchelinux 2019 Rio GrandeTchelinux
Palestra focada ao público mais jovem. Através de uma análise do mercado atual, o palestrante traça diferentes caminhos para um desenvolvedor que deseja iniciar a sua carreira.
Matheus Cezar é Técnico em Desenvolvimento de Software pelo IFRS - Campus Rio Grande e Analista de Sistemas formado pela mesma instituição. Já frequentou o mercado do desenvolvimento no estado do Rio Grande do Sul durante alguns anos. Hoje, Analista de TI na Prefeitura Municipal de Rio Grande.
Para mais informações:
https://www.linkedin.com/in/matheus-mendes-cezar-662905132/
APIs, REST e RESTful: O que os programadores precisam saber? - Marcos Echevar...Tchelinux
O documento discute APIs, REST e arquitetura RESTful. Explica que APIs permitem a integração entre sistemas e microserviços estruturam soluções como coleções de serviços levemente acoplados. REST é um estilo de projetar aplicativos da Web fracamente acoplados usando recursos nomeados e métodos HTTP padronizados. Arquitetura RESTful significa que uma aplicação web segue os princípios de design REST.
Shell Script: Seu melhor amigo na automatização de instalações e configuraçõe...Tchelinux
O documento discute como os scripts de shell podem automatizar a instalação e configuração de ambientes Linux, especificamente no projeto AVAPolos. O projeto busca fornecer um ambiente virtual de aprendizagem onde a conexão com a internet é limitada, tornando necessária a automação dos procedimentos de instalação. O autor trabalha no desenvolvimento de scripts de shell para implementar a infraestrutura do projeto de forma reprodutível e facilitar a implantação em diferentes máquinas.
WebRTC: Comunicação aberta em tempo real - Nelson Dutra Junior - Tchelinux 20...Tchelinux
O documento discute a revolução da comunicação em tempo real através da WebRTC, uma API JavaScript que permite comunicação ponto-a-ponto entre navegadores, dispositivos móveis e IoT. A WebRTC oferece áudio e vídeo de alta qualidade de forma barata através de comunicação peer-to-peer e APIs nativas para obter mídia, conexões entre pares e canais de dados. O documento também explica conceitos como signaling, STUN, TURN e ICE que permitem a comunicação mesmo através de firewalls e NATs, al
Introdução à programação funcional com Clojure - Victor Hechel Colares - Tche...Tchelinux
O documento apresenta uma introdução à programação funcional com Clojure, descrevendo os principais conceitos como: imutabilidade, funções de alta ordem, closures e currying. O autor explica as diferenças entre paradigma funcional e imperativo, demonstra um "hello world" em Clojure e apresenta alguns recursos básicos como operadores, loops e interação com Java.
Construindo um Data Warehouse - Vítor Resing Plentz - Tchelinux 2019 Rio GrandeTchelinux
Visa introduzir conceitos básicos envolvidos na criação de um Data Warehouse. A palestra aborda desde o que é um data warehouse, até conceitos de modelagem utilizados na construção do mesmo.
Vítor Resing Plentz está concluindo o curso de Ciência da Computação, já foi presidente da Hut8 (EJ da Computação na UFPel) e atualmente é fundador e Cientista de Dados na Elixir AI, participando também como organizador da comunidade Pelotas Data Science Meetup.
Para mais informações:
https://www.linkedin.com/in/v%C3%ADtor-resing-plentz-438681101
Nas aulas abrimos bastantes "parênteses". Não, não os de código, os de assuntos paralelos mesmo. BIKESHEDDING! Nesses pequenos desvios, fala-se da etimologia dos nomes, das metáforas e filosofias usadas na programação, de fun facts, de tretas no mundo das empresas e da vida dos tech superstars, de idiossincrasias da comunidade de desenvolvimento e tecnologia, enfim, uma miscelânea de assuntos curiosos, que nunca teriam uma disciplina para encaixá-los, mas que agora tem uma palestra de 50 min :)
Márcio Josué Ramos Torres "Eu nasci a dez mil anos atrás", comecei com Basic num CP500 da Prológica - não, não tinha mouse; sem Internet, se aprendia lendo livros e revistas técnicas, escrevendo códigos e fazendo experiências; desenvolvi aplicações comerciais em dBase e então Clipper, sobre a plataforma MS-DOS; joguei Prince of Persia, Wolfenstein e DOOM (o primeiro!) - se usava o DOS/4GW para usar a memória estendida; já montei meu computador - quando se "setava" a IRQ por jumpers; instalei redes com cabo coaxial e conectores BNC; eu vi a ascensão da interface gráfica - adeus caracteres em fósforo verde; instalei o Win95 - malditos 13 disquetes; tive um Kit Multimídia da Creative - e uma Voodoo da 3dfx; migrei sistemas de Clipper para VB e Delphi; usei a Internet quando só existia HTML com "meia dúzia" de tags -sem CSS ou JS; acompanhei a ascensão da Web; eu estava lá, no início do Linux, vi sua evolução e consolidação nos servidores web - junto com CGI, Perl, Apache, MySQL, PHP, etc; instalei o Conectiva e já compilei o Kernel; instalei programas no "muque" - sem apt-get ou "avançar, avançar, ..."; comecei com Java ainda na versão 1.3 - sem enums, generics, autoboxing, etc, e tive meu primero contato (confronto) com OO - adeus velhos hábitos procedimentais; observei a Googlificação - mas usei o Cadê e o AltaVista; eu também estava lá, no crescimento do e-commerce - e no estouro da bolha da Internet; tive minha passagem por .NET e por Java EE e seus "ecosistemas"; atualmente, leciono POO, Patterns e Web no IFRS de Rio Grande e percebo que, na tecnologia, a única constante é o relacionamento com as pessoas.
Para mais informações:
https://www.linkedin.com/in/marcio-josue-ramos-torres/
Produção de textos com Latex - Samuel Francisco Ferrigo - Tchelinux Caxias do...Tchelinux
Este documento apresenta dois palestrantes, Samuel e Artur, e fornece uma introdução sobre o software Latex. Ele descreve as credenciais e interesses de Samuel e Artur, além de explicar como o Latex pode economizar tempo na formatação de documentos acadêmicos e quais editores de Latex existem para Linux, Windows e online.
A tecnologia no futuro e nas mãos de quem ela estará - Jaqueline Trevizan, Ne...Tchelinux
A tecnologia de hoje não é a mesma que existia no passado e também não será a mesma no futuro. Sobre o futuro, sabemos que com o avanço dela novas profissões irão surgir, essas novas profissões, oriundas de demandas ainda não existentes, são fomentadas no presente, à partir da escolha das competências necessárias para os futuros profissionais. As junções das habilidades desenvolvidas em diversas áreas de conhecimento tornará os profissionais aptos a exercerem funções ainda não existentes, seja emocionalmente, intelectualmente ou tecnicamente, para assim estar mais preparado para o mundo do trabalho. Falaremos de projetos que já estão em andamento para que esses novos profissionais estejam aptos para este futuro promissor tecnológico.
Jaqueline Trevizan cursa Análise e desenvolvimento de sistemas na Uniftec, e é apaixonada por tecnologia. Apoia e incentiva o ensino de programação para crianças e adolescentes e a inclusão da mulher na área de TI.
Neiva Kuyven é Doutoranda em Informática na Educação na UFRGS- Universidade Federal do Rio Grande do Sul. Mestre em Ciências da Computação pela Universidade Federal de Santa Catarina (2002), Graduação em Informática pela Universidade Regional do Noroeste do Estado do Rio Grande do Sul (1996) . Coordenadora do Curso de Bacharelado em Engenharia de Computação e do Curso Superior de Tecnologia em Análise e Desenvolvimento de Sistemas do Centro Universitário UNIFTEC. Atua como professora nos cursos que coordena e também nos cursos Superiores de Redes de Computadores e Gestão da Tecnologia. Líder do grupo de pesquisa de Inteligência Artificial do UNIFTEC.
Alexandra Cemin possui Licenciatura Plena em Matemática e Física (UCS), especialista em Psicopedagogia em Gestão Organizacional e Psicopedagogia Clínica (UNILASALLE), com ênfase em dificuldades de aprendizagem matemática, mestrado em Educação (UNILASALLE) e doutoranda em Engenharia e Ciência dos Materiais (UCS). Atua como palestrante nas áreas de educação, é assessora pedagógica da EAD no Uniftec, docente de cálculo nas engenharias, docente de física na educação de jovens e adultos modalidade à distância no SESI/FIERGS e desenvolvedora de conteúdos, ministra disciplinas em cursos de pós-graduação. Pesquisadora na área de inteligência artificial e metodologias de ensino e coordenadora de projetos em robótica e programação para crianças e adolescentes. Experiência como: Coordenadora Pedagógica no Ensino Superior da rede Ftec Faculdades, docente de matemática e física no ensino básico, técnico, jovens e adultos (EAD) e superior, instrutora de robótica educacional e coordenadora de projetos.
Para mais informações:
https://www.linkedin.com/in/jaquelinetrevizan
http://lattes.cnpq.br/6429639409221087
http://lattes.cnpq.br/1958688202287600
oVirt uma solução de virtualização distribuída opensource - Daniel Lara - Tch...Tchelinux
Nesta apresentação conheceremos o oVirt, uma poderosa solução de código aberto de virtualização.
Daniel Lara trabalha como Sysadmin e nas horas de folgas contribui com o Projeto Fedora.
Para mais informações: https://twitter.com/danniellara
Sistemas Embarcados e Buildroot - Renato Severo - Tchelinux Caxias do Sul 2019Tchelinux
Buidroot é uma ferramenta para automação do processo de geração de um sistema Linux para dispositivos embarcados. O objetivo da palestra é dar uma visão geral dos componentes de um sistema embarcado que utiliza Linux e como gerar um sistema Linux embarcado com o Buildroot.
Renato Severo é Engenheiro de Computação pela Unipampa Bagé. Especialista em Sistemas Embarcados pela UERGS Guaíba. Desenvolvedor de Sistemas Embarcados na DATACOM em Eldorado do Sul.
Para mais informações acesse: https://linkedin.com/in/renatossevero/
O TCC... um dia ele chega! (The beautiful and easy LaTeX way.Tchelinux
O documento discute as etapas de conclusão de um TCC, incluindo escolha de tema, normas ABNT, ferramentas de escrita como LATEX e gerenciamento de referências bibliográficas com BibTeX. É recomendado o uso do LATEX ao invés de Word devido a vantagens como controle de versão e facilidade de criação de apresentações com Beamer.
Não deixe para testar depois o que você pode testar antes. Tchelinux
O documento discute testes de software, introduzindo Test Driven Development (TDD), Behavior Driven Development (BDD) e a ferramenta Behave. Explica os conceitos de user stories, critérios de aceitação e ciclo de desenvolvimento de software, além de apresentar a linguagem Gherkin e como implementar testes com Behave.
O documento discute o uso da biblioteca Pygame para desenvolvimento de jogos em Python. Apresenta razões para programação de jogos, escolha de Python e Pygame, e fornece exemplos básicos de como iniciar uma aplicação Pygame, desenhar na tela, criar sprites, tratar eventos de teclado e áudio. O autor também discute outros tópicos importantes como colisões, comportamento de NPCs e cenários.
Este documento discute vários tópicos relacionados à fotografia digital, incluindo processos fotográficos tradicionais e alternativos, captura de imagens, edição, manipulação digital, software livre para conversão RAW, edição e gerenciamento de fotos. O documento também aborda backups, impressão e novas funcionalidades em desenvolvimento para a fotografia digital livre.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
ATIVIDADE 1 - ADSIS - ESTRUTURA DE DADOS II - 52_2024.docx2m Assessoria
Em determinadas ocasiões, dependendo dos requisitos de uma aplicação, pode ser preciso percorrer todos os elementos de uma árvore para, por exemplo, exibir todo o seu conteúdo ao usuário. De acordo com a ordem de visitação dos nós, o usuário pode ter visões distintas de uma mesma árvore.
Imagine que, para percorrer uma árvore, tomemos o nó raiz como nó inicial e, a partir dele, comecemos a visitar todos os nós adjacentes a ele para, só então, começar a investigar os outros nós da árvore. Por outro lado, imagine que tomamos um nó folha como ponto de partida e caminhemos em direção à raiz, visitando apenas o ramo da árvore que leva o nó folha à raiz. São maneiras distintas de se visualizar a mesma árvore.
Tome a árvore binária a seguir como base para realizar percursos que partirão sempre da raiz (nó 1).
Figura 1 - Árvore binária
Fonte: OLIVEIRA, P. M. de; PEREIRA, R. de L. Estruturas de Dados II. Maringá: UniCesumar, 2019. p. .
Com base na árvore anterior, responda quais seriam as ordens de visitação, partindo da raiz:
a) Percorrendo a árvore pelo algoritmo Pré-Ordem.
b) Percorrendo a árvore pelo algoritmo Em-Ordem.
c) Percorrendo a árvore pelo algoritmo Pós-Ordem.
Obs.: como resposta, informar apenas os caminhos percorridos em cada Situação:
a) Pré-ordem: X - Y - Z.
b) Em-ordem: X - Y - Z.
c) Pós-ordem: X - Y - Z.
ATENÇÃO!
- Você poderá elaborar sua resposta em um arquivo de texto .txt e, após revisado, copiar e colar no campo destinado à resposta na própria atividade em seu STUDEO.
- Plágios e cópias indevidas serão penalizados com nota zero.
- As perguntas devem ser respondidas de forma adequada, ou seja, precisam ser coerentes.
- Antes de enviar sua atividade, certifique-se de que respondeu todas as perguntas e não se esqueceu nenhum detalhe. Após o envio, não são permitidas alterações. Por favor, não insista.
- Não são permitidas correções parciais no decorrer do módulo, isso invalida seu processo avaliativo. A interpretação da atividade faz parte da avaliação.
- Atenção ao prazo de entrega da atividade. Sugerimos que envie sua atividade antes do prazo final para evitar transtornos e lentidão nos servidores. Evite o envio de atividade em cima do prazo.
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Aplicação php a prova de balas - Rafael Jaques
1. Construindo
uma aplicação
PHP à Prova de
Balas
Rafael Jaques
TcheLinux - Caxias do Sul - 19/06/10
“Buscai primeiro o reino do Senhor e a sua justiça, e todas as
demais coisas vos serão acrescentadas”
(Mateus 6.33)
domingo, 20 de junho de 2010
2. Pauta
• Um pouco sobre segurança
• Conhecendo os meios de ataque
• Outros tipos de ameaça
• Mais alguns cuidados
• Perguntas
domingo, 20 de junho de 2010
3. 1
Um pouco sobre
segurança
domingo, 20 de junho de 2010
4. O que é segurança?
Segurança baseia-se em três pontos:
domingo, 20 de junho de 2010
5. O que é segurança?
Segurança baseia-se em três pontos:
CONFIDENCIALIDADE
domingo, 20 de junho de 2010
6. O que é segurança?
Segurança baseia-se em três pontos:
CONFIDENCIALIDADE
INTEGRIDADE
domingo, 20 de junho de 2010
7. O que é segurança?
Segurança baseia-se em três pontos:
CONFIDENCIALIDADE
INTEGRIDADE
DISPONIBILIDADE
domingo, 20 de junho de 2010
8. O que é segurança?
Não se iluda. Não
existem aplicações
100% seguras.
Não ouse dizer isso...
Você poderá ter
sérios problemas.
domingo, 20 de junho de 2010
9. O quão segura deve ser
a sua aplicação?
Você deve encontrar um equilíbrio entre
a segurança e a usabilidade do seu sistema.
Crie um sistema com pouca segurança e
ele será invadido.
Crie um sistema com muita segurança e
ele será impossível de usar.
domingo, 20 de junho de 2010
10. O quão segura deve ser
a sua aplicação?
Um sistema invadido pode te render um
final de semana...
domingo, 20 de junho de 2010
11. O quão segura deve ser
a sua aplicação?
Sempre revise o que você projetou
domingo, 20 de junho de 2010
12. Os custos que envolvem
uma aplicação segura
Aplicações seguras tendem a custar caro...
Aplicações não seguras tendem
a custar mais caro ainda...
domingo, 20 de junho de 2010
13. Os custos que envolvem
uma aplicação segura
Entre os custos envolvidos no desenvolvimento
da aplicação, temos os seguintes pontos:
• Maior tempo de projeto e pesquisa
• Programação extendida
• Testes mais minuciosos
• Maior uso de hardware
• Maior uso de banda
• Treinamento de pessoal interno
• Treinamento do usuário
domingo, 20 de junho de 2010
14. não
sacrifique a
usabilidade
do projeto
domingo, 20 de junho de 2010
15. 2
Conhecendo os
meios de ataque
domingo, 20 de junho de 2010
16. Quais os tipos de ataque
que posso sofrer?
Existem diversos tipos de ataque através
da internet. Eis alguns:
• XSS (Cross-site Scripting) • Brute Force
• SQL Injection • Rainbow Table
• Session Hijacking • Password Sniffing
• Cookie Theft • Entre outros...
domingo, 20 de junho de 2010
17. XSS
Cross-site Scripting
domingo, 20 de junho de 2010
18. XSS
Cross-site Scripting
O que é?
Injeção de código arbitrário em uma página.
Como ocorre?
Geralmente através de brechas em formulários
onde os dados enviados ao servidor não são
devidamente filtrados.
domingo, 20 de junho de 2010
19. XSS
Cross-site Scripting
Exemplo
domingo, 20 de junho de 2010
20. XSS
Cross-site Scripting
Exemplo
domingo, 20 de junho de 2010
21. XSS
Cross-site Scripting
Como evitar
Existem funções prontas no PHP para filtrar
strings.
Utilizando-as, além de evitar um XSS, você
garante que o usuário conseguirá expressar o
que realmente intentou.
domingo, 20 de junho de 2010
22. XSS
Cross-site Scripting
Como evitar
Funções que você pode utilizar:
•htmlspecialchars()
•htmlentities()
•filter_input()
Leia mais sobre XSS: http://tinyurl.com/mais-sobre-xss
domingo, 20 de junho de 2010
24. SQL Injection
O que é?
Injeção de código SQL arbitrário dentro de
uma consulta legítima.
Como ocorre?
Na maioria das vezes a injeção de código SQL
se dá a partir de formulários não filtrados, em
que os dados recebidos vão diretamente para
dentro da consulta.
domingo, 20 de junho de 2010
26. SQL Injection
Exemplo
1' OR 1='1
domingo, 20 de junho de 2010
27. SQL Injection
Exemplo
fulano'# ou fulano' --
domingo, 20 de junho de 2010
28. SQL Injection
Como evitar
Novamente... Filtrando os dados enviados
pelo usuário é possível evitar que seja injetado
código dentro do seu SQL.
domingo, 20 de junho de 2010
29. SQL Injection
Como evitar
Funções que você pode utilizar:
•addslashes()
•mysql_real_escape_string()
Leia mais sobre XSS: http://tinyurl.com/mais-sobre-sql-injection
domingo, 20 de junho de 2010
31. Session Hijacking
O que é?
Quando o invasor obtém acesso à sessão de
um usuário autenticado.
Como ocorre?
Sempre que os dados do cliente são
armazenados em sessão é gerado um ID.
Caso alguém o descubra, poderá navegar pelo
site como se fosse o usuário real.
domingo, 20 de junho de 2010
32. Session Hijacking
Atenção...
Hoje, com as configurações padrão do PHP é
bem pouco provável que você sofra um ataque
de roubo de sessão no seu site.
Para tanto você deve estar atento às
seguintes configurações:
domingo, 20 de junho de 2010
33. Session Hijacking
Atenção...
session.use_cookies
session.use_only_cookies
domingo, 20 de junho de 2010
34. Session Hijacking
Exemplo
algumapagina.php?PHPSESSID=1234
domingo, 20 de junho de 2010
35. Session Hijacking
Como evitar
Nunca confie 100% no ID de sessão recebido.
Você pode fazer algumas verificações redudantes, como
comparar o IP e o User-Agent.
Em casos mais vitais você pode sugerir ao usuário que
utilize cookies, intruindo-o e falando da sua importância
para uma navegação mais segura no site.
Leia mais sobre Sess. Hijacking: http://tinyurl.com/mais-sobre-sess-hijacking
domingo, 20 de junho de 2010
37. Cookie Theft
O que é?
A tradução literal é “Roubo de Cookie”. Na verdade a literal
mesmo é “Roubo de Biscoito”. :P
Trata-se capturar cookies na máquina da vítima e utilizá-los
para acessar o local desejado.
Como ocorre?
O roubo de cookie pode possuir duas
naturezas: XSS e vulnerabilidades no próprio
browser.
domingo, 20 de junho de 2010
38. Cookie Theft
Como evitar
O script que foi apresentado anteriormente no
exemplo de XSS é responsável por roubar um
cookie.
Atualmente não são muito comuns falhas de
browsers que permitam o roubo de cookies,
mas no passado houveram muitos.
domingo, 20 de junho de 2010
39. Cookie Theft
Como evitar
No site do PHP Security Consortium [1] você pode
consultar o resumo da newsletter da SecurityFocus [2],
que possui sempre anúncio de novas vulnerabilidades
encontradas.
A partir disso você pode conscientizar os seus usuários
caso perceba que os mesmos utilizem um browser
vulnerável.
[1] http://phpsec.org/projects/vulnerabilities/securityfocus.html
[2] http://securityfocus.com/vulnerabilities
domingo, 20 de junho de 2010
41. Brute Force Attack
O que é?
O ataque por força bruta baseia-se na busca exaustiva da
informação procurada, através de tentativa e erro com
todas as possibilidades existentes.
Como ocorre?
O usuário mal intencionado acessa o formulário no qual irá
tentar o ataque e utiliza um programa, estipulando uma
cadeia de caracteres e um tamanho máximo para a frase.
O programa irá tentar todas as combinações possíveis até que
uma dê certo.
domingo, 20 de junho de 2010
42. Brute Force Attack
Atenção...
Este tipo de ataque é bastante semelhante ao
Ataque de Dicionário. A diferença é que o
dicionário esgota suas possibilidades mais rápido
utilizando apenas palavras existentes e
senhas comuns.
domingo, 20 de junho de 2010
43. Brute Force Attack
Como evitar
Existem dois meios bastante comuns de evitar este tipo de
ataque: limite de tentativas e limite de tempo entre uma
tentativa e outra.
Leia mais sobre Sess. Hijacking: http://tinyurl.com/mais-sobre-brute-force
domingo, 20 de junho de 2010
45. Rainbow Table
O que é?
Semelhante ao ataque de força bruta, porém diretamente a
um hash (md5, sha1, etc).
Como ocorre?
É a mistura de um ataque de força bruta com um ataque de
dicionário. De posse do hash, o invasor utiliza este ataque
para testar combinações que possam gerar o hash procurado
até que se chegue à resposta correta.
domingo, 20 de junho de 2010
46. Rainbow Table
Exemplo
Caso o usuário malicioso obtenha acesso aos
hashs de senha (apenas visualizar), ele ainda
assim terá de descobrir a senha que está ali.
O problema está em confiar apenas na criptografia
de hashs comuns como md5 e sha1.
domingo, 20 de junho de 2010
47. Rainbow Table
Exemplo
Vamos pegar como exemplo a palavra abacaxi.
O hash md5 referente é
4b96d5c1ff312eea069ddc760794963d.
Supondo que obtemos este hash do banco de dados,
basta digitá-lo no Google e em alguns segundos
estamos prontos.
domingo, 20 de junho de 2010
49. Rainbow Table
Como evitar
A técnica mais utilizada e que reduz drasticamente a
chance de este ataque dar certo, é “temperar” suas senhas.
Ao inserir uma string arbitrária antes de criptografar a
senha, este ataque torna-se praticamente inefetivo.
À essa string arbitrária damos o nome de salt.
domingo, 20 de junho de 2010
50. Rainbow Table
Como evitar
Digamos que seu salt será rocknroll.
Ao aplicar a criptografia na sua string, você deverá concatenar
com o seu salt.
md5('rocknroll' . $senha)
Se a senha for abacaxi teremos o seguinte hash:
0a5cefae5c742e8a914f486db9ea45ef.
E pra esse o Google não tem resposta! ;)
Leia mais sobre Rainbow Table: http://tinyurl.com/mais-sobre-rainbow-table
domingo, 20 de junho de 2010
52. Password Sniffing
O que é?
Este ataque baseia-se em capturar na rede um
pacote descriptografado com os dados de
autenticação de algum usuário.
Como ocorre?
Monitorando a rede pode-se visualizar todos
os pacotes. Todas as requisições via POST e
GET normalmente estão abertas à visualização.
domingo, 20 de junho de 2010
53. Password Sniffing
Como evitar
Proteja a sua conexão com SSL. Utilizando este protocolo
você irá assegurar que a comunicação entre o cliente e o
servidor, mesmo que interceptada, não possa ser
decifrada.
Utilize sempre o POST (por ser uma forma mais segura) e
lembre-se de sempre colocar o protocolo HTTPS.
domingo, 20 de junho de 2010
54. Password Sniffing
Como evitar
Você pode também redirecionar o usuário para a página
de login (o formulário em si) sempre com HTTPS.
Não existe nenhuma razão técnica para isso, apenas
psicológica. O usuário costuma sentir-se mais seguro
quando está colocando sua senha em uma página com
cadeado. :)
Leia mais sobre Sniffing: http://tinyurl.com/mais-sobre-sniffing
domingo, 20 de junho de 2010
55. 3
Outros tipos
de ameaça
domingo, 20 de junho de 2010
56. Outros tipos de ameaça
Existem outras ameaças que vão além da alçada do
programador. Outras podem ser evitadas se alguns
cuidados forem tomados.
• Includes
• Abuso de formulários
• Diretrizes (register_globlals, display_errors, etc)
• Exposição do phpinfo
domingo, 20 de junho de 2010
57. Outros tipos de ameaça
Includes
A inclusão de arquivos via include() e require(),
embora muito útil, pode ter consequencias
muito ruins se não utilizada corretamente.
É muito comum a inclusão de arquivos
recebidos via URL sem que a string seja filtrada.
domingo, 20 de junho de 2010
58. Outros tipos de ameaça
Includes
Outro ponto que você deve estar atento é
quanto ao uso de extensões que o seu servidor
web não “conheça”.
Evite extensões do tipo .inc. Se for fazê-lo,
prefira algo do tipo meuarquivo.inc.php.
domingo, 20 de junho de 2010
59. Outros tipos de ameaça
Includes
Funções que você pode utilizar para filtrar os
dados recebidos e evitar um ataque de XSS ou a
exposição do seu código:
• basename()
• file_exists()
domingo, 20 de junho de 2010
60. Outros tipos de ameaça
Abuso de formulários
Esteja sempre atento ao uso de seus formulários.
O maior erro que você pode cometer é colocar os
possíveis e-mails dentro do seu formulário.
Isto abrirá uma brecha em que o usuário mal
intencionado poderá inserir endereços arbitrários
e utilizar o seu formulário como disseminador de
SPAM.
domingo, 20 de junho de 2010
61. Outros tipos de ameaça
Diretrizes
Algumas diretrizes, quando bem configuradas,
podem aumentar a segurança da sua aplicação.
• register_globals
• display_errors
• log_errors
domingo, 20 de junho de 2010
62. Outros tipos de ameaça
Exposição do phpinfo
É incrível o número de páginas espalhadas pela
web que possuem um arquivo phpinfo.php em
sua raiz.
A primeira ação tomada por um usuário mal
intencionado é verificar a existência desse
arquivo e de variantes do seu nome como
info.php, php.php, etc.
domingo, 20 de junho de 2010
63. 4
Mais alguns
cuidados
domingo, 20 de junho de 2010
64. Mais alguns cuidados
Existem mais alguns cuidados que você pode
tomar para assegurar que será mais difícil
conseguir realizar um ataque bem sucedido
contra a sua aplicação.
• Lei do menor privilégio (SQL)
• Ocultação de cabeçalhos HTTP
• Examine sempre os logs
domingo, 20 de junho de 2010
65. Mais alguns cuidados
Lei do menor privilégio (SQL)
Sempre que possível, crie mais de um usuário
para acesso ao banco de dados. Não é uma boa
idéia utilizar o usuário administrador (root) para
acessar o banco através do site.
domingo, 20 de junho de 2010
66. Mais alguns cuidados
Lei do menor privilégio (SQL)
Crie usuários que só tenham permissão de leitura
e usuários que só tenham permissão de escrita.
Caso, devido a algum infortuno do destino,
alguém consiga invadir o seu sistema terá apenas
permissões limitadas.
domingo, 20 de junho de 2010
67. Mais alguns cuidados
Ocultação de cabeçalhos HTTP
Sempre que você acessa uma página, o servidor
envia cabeçalhos HTTP para o seu browser.
Dentro deste cabeçalhos podemos encontrar
algumas informações interessantes.
domingo, 20 de junho de 2010
69. Mais alguns cuidados
Ocultação de cabeçalhos HTTP
Dentro do arquivo httpd.conf do Apache você
pode alterar o nível de exposição da versão das
aplicações instaladas no seu servidor.
Para tanto, você deve alterar a diretiva
ServerTokens.
domingo, 20 de junho de 2010
70. Mais alguns cuidados
Ocultação de cabeçalhos HTTP
ServerTokens valor_desejado
• Prod: Apache
• Major: Apache/2
• Minor: Apache/2.0
• Min: Apache/2.0.59
• OS: Apache/2.0.59 (Unix)
• Full: Apache/2.0.59 (Unix) PHP/5.2.6
domingo, 20 de junho de 2010
71. Mais alguns cuidados
Examine sempre os logs
Esteja atento aos logs e, se possível, utilize
ferramentas de monitoramento de tráfego (como
AWStats e Webalizer) para analisar possíveis
tentativas de ataque à sua página.
domingo, 20 de junho de 2010