Recomendações de segurança para o cliente Web
Muitas aplicações web baseiam-se no registro de informações sensíveis através de cookies. Com programas como o Achilles, podemos fazer a escuta dos dados, e obter login e senha dos usuários que estão registrados em cookies salvos no computador local.
Recomendações de segurança:
Configure o software do cliente Web da maneira mais segura possível, incluindo as seguintes características:
- Desabilite a renderização de conteúdo ativo no software de cliente Web.
- Desabilite a geração de script do ActiveX marcado como ‘safe’.
- Desabilite a renderização dos tags HTML <.META REFRESH.> e <.IFRAME.> no software de cliente Web para evitar visitas não intencionais à página Web estranhas ou a execução de arquivos arbitrários.
- Desabilite ou sugira antes de aceitar os coolies de Web sites que não sejam confiáveis.
- Certifique-se de que os leitores de e-mail estejam configurados com os ajustes de segurança mais extremos.
- Mantenha-se em dia com os patchs de segurança do lado do cliente (navegadores Web, leitores de e-mail, multimídia players, editores de textos, planilhas de dados, softwares de apresentação, sistemas de banco de dados, entre outros).
- Abstenha-se de hábitos de navegação promíscua. Verifique antes de cada clique se o link é realmente verdadeiro e se existe a necessidade de navegar nele.
- Realize uma severa validação de entrada em toda entrada de dados de usuários na aplicação. Em particular, elimine os caracteres <., & e .>, os principais culpados das vulnerabilidades de geração de scripts entre sites.
- Evite implementar códigos do lado do cliente que realizam ações privilegiadas (como ActiveX, Java Applets ou Java Script); tais controles e applets podem ser subvertidos.
- Evite cookies em sua aplicação Web, se for possível. Se você implementar cookies, considere o uso dos mecanismos de criptografia adequados, para impedir que os usuários manipulem trivialmente valores de cookies; não mantenha informações sensíveis ou estabeleça valores relativos a segurança de cookies.
- Não navegue na Internet com a funcionalidade ‘Lembrar-me’, ou ‘armazenamento de senhas para este site’. Isto cria os cookies no seu computador, e através da captura destes arquivos de texto não-criptografados, podemos identificar o site, login e senha do usuário.
- Em Ferramentas/Opções de Internet/Privacidade, escolha um nível de segurança adequado a sua navegação. Evite usar o nível Baixo ou o Aceitar todos os cookies.
Nenhum comentário:
Postar um comentário