quinta-feira, 12 de abril de 2007

Os cookies, aliados ou vilões?

Recomendações de segurança para o cliente Web


Muitas aplicações web baseiam-se no registro de informações sensíveis através de cookies. Com programas como o Achilles, podemos fazer a escuta dos dados, e obter login e senha dos usuários que estão registrados em cookies salvos no computador local.
Recomendações de segurança:

Configure o software do cliente Web da maneira mais segura possível, incluindo as seguintes características:

  • Desabilite a renderização de conteúdo ativo no software de cliente Web.
  • Desabilite a geração de script do ActiveX marcado como ‘safe’.
  • Desabilite a renderização dos tags HTML <.META REFRESH.> e <.IFRAME.> no software de cliente Web para evitar visitas não intencionais à página Web estranhas ou a execução de arquivos arbitrários.
  • Desabilite ou sugira antes de aceitar os coolies de Web sites que não sejam confiáveis.
  • Certifique-se de que os leitores de e-mail estejam configurados com os ajustes de segurança mais extremos.
  • Mantenha-se em dia com os patchs de segurança do lado do cliente (navegadores Web, leitores de e-mail, multimídia players, editores de textos, planilhas de dados, softwares de apresentação, sistemas de banco de dados, entre outros).
  • Abstenha-se de hábitos de navegação promíscua. Verifique antes de cada clique se o link é realmente verdadeiro e se existe a necessidade de navegar nele.
  • Realize uma severa validação de entrada em toda entrada de dados de usuários na aplicação. Em particular, elimine os caracteres <., & e .>, os principais culpados das vulnerabilidades de geração de scripts entre sites.
  • Evite implementar códigos do lado do cliente que realizam ações privilegiadas (como ActiveX, Java Applets ou Java Script); tais controles e applets podem ser subvertidos.
  • Evite cookies em sua aplicação Web, se for possível. Se você implementar cookies, considere o uso dos mecanismos de criptografia adequados, para impedir que os usuários manipulem trivialmente valores de cookies; não mantenha informações sensíveis ou estabeleça valores relativos a segurança de cookies.
  • Não navegue na Internet com a funcionalidade ‘Lembrar-me’, ou ‘armazenamento de senhas para este site’. Isto cria os cookies no seu computador, e através da captura destes arquivos de texto não-criptografados, podemos identificar o site, login e senha do usuário.
  • Em Ferramentas/Opções de Internet/Privacidade, escolha um nível de segurança adequado a sua navegação. Evite usar o nível Baixo ou o Aceitar todos os cookies.
Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)