Arnaldo Nascimento

My digital world…

Informações são ativos que, como qualquer outro ativo importante para os negócios,
possuem valor para uma organização e consequentemete precisam ser protegidos adequadamente.

As informações podem existir sob muitas formas. Podem ser impressas ou escritas em papel, armazenadas eletronicamente,
enviadas pelo correio eletronico,ou usando meios e eletrônicos, mostradas em filmes, ou faladas em conversas.
Qualquer forma que seja que as informações assumam, ou os meios, pelos quais sejam compartilhadas ou armazenadas,
elas devem ser sempre protegidas adequadamente.

A segurança de informações protege as informações contra uma ampla gama de ameaças, para assegurar a continuidade dos negócios,
minimizar prejuízos e maximizar o retorno de investimentos e oportunidades comerciais.

Características

A segurança de informações é caracterizada como a preservação de:

• confidencialidade: garantir que as informações sejam acessíveis apenas àqueles autorizados a terem acesso;
• integridade: salvaguardar a exatidão e intereireza das informações e métodos de processamento;
• disponibilidade: garantir que os usuários autorizados tenham acesso às infomações e ativos associados quando necessário.

Conclusão

A segurança das informações é obtida através da implantação de um conjunto adequado de controles, que podem ser políticas,
práticas, procedimentos, estruturas organizacionais e funções e funções de software.
Esses controles precisam ser estabelecidos para assegurar que os objetivos de segurança
específicos da organização sejam alcançados.

Vou abrir a categoria de segurança em programação PHP falando da técnica Spoofed Form Submission.

Esta técnica consiste em alterar um form HTML de forma a eliminar restrições ou scripts que executariam um filtro de validação rudimentar dos dados.

Abaixo um exemplo inofensivo

Agora um exemplo perigoso…

Solução

• Sempre revalide os parâmetros de entrada
• Valide tipos de dados corretos, como números

Configurar o acesso ao sistema de arquivos juntamente com entrada do usuário é perigoso, portanto, é melhor evitar isso como um todo, projetando seu aplicativo para usar um banco de dados e nomes de arquivos gerados ocultos. No entanto, isso nem sempre é possível. Abaixo segue um exemplo válido de uma rotina que valida nomes de arquivos. Usa expressões regulares para assegurar que somente caracteres válidos sejam usados no nome do arquivo e verifica especificamente a ocorrência de caracteres ponto ponto: ...

function isValidFileName($file) {
/* não permita .. e permita qualquer caractere de “palavra” \ / */
return preg_match(’/^(((?:\.)(?!\.))|\w)+$/’, $file);

}