USUÁRIO:      SENHA:        SALVAR LOGIN ?    Adicione o VBWEB na sua lista de favoritos   Fale conosco 

 

  Dicas

  ASP - Active Server Page    (Miscelâneas)

Título da Dica:  Segurança com dados
Postada em 13/10/2003 por ^HEAVY-METAL^            
Essa dica será menos técnico que as demais, porém creio que até mais importante. É necessário que você tenha plena noção dos meios para passar/receber dados pelas páginas.

Sabemos que as formas usadas para passar dados são através de POST (formulários) e através da URL (site.asp?campo=valor). Pois bem, a forma para requisitar informações é Request("campo"), e só isso basta para pegar dados, não há nada além. O problema é que de qualquer forma que você mande campo para a página, ela pegará o valor. Não existe segurança alguma pra aceitar apenas o valor de determinada página.

Neste artigo falo a respeito disso, que a requisição do valor é apenas pelo nome do campo, e não há qualquer preocupação em de onde vem o envio de tal dado, nem algo explicito que se possa fazer para bloquear.

Entenda melhor: fiz um teste em um site um grande portal, com um form que tinha apenas os campos idênticos, e a página aceitou meus dados como eu queria sem qualquer erro. Imagine a situação de uma loja virtual, em que o carrinho de compras recebe dados do produto (valor, quantidade, etc), e guarda para posteriormente na conclusão gerar o pedido. Se houvesse um envio externo, manipulando dados como o preço, a loja teria que vender pelo valor.. desagradável não?

Mas e como evitar isso? Eu escrevi um artigo a respeito disso (Como bloquear o acesso externo), que no início da página verifica se o cliente vem do mesmo servidor ou se o valor vem nulo (no caso de um aplicativo fazer o post), e então bloquea a página, parando tudo. Porém, tive um contato, informando que há maneira de manipular o cabeçalho, apesar de não saber como fazê-lo, não ignoro isso.

Outra coisa útil é a utilização de uma sessão, criada logo na página de entrada, e as seguintes verificarem a existência do mesmo. Os Sessions eu creio que não haja como alterar, pois é algo exclusivo dentro do servidor, mas isso por si só não resolveria, pois criaria a sessão na entrada e de outro site fazendo o POST ele aceitaria... Então o melhor seria unir a requisição do Session junto a requisição da origem do visitante.

Não é 100% seguro (e o que é?) mas evita coisas bastante desagradáveis, que também é muito importante.


T+,
 


CyberWEB Network Ltda.    © Copyright 2000-2019   -   Todos os direitos reservados.
Powered by HostingZone - A melhor hospedagem para seu site
Topo da página