PHPSPCast #2: Segurança, não programe sem ela!

Tuesday, July 28, 2009
By Rafael Dohms

PHPSPCast #2: Segurança

Após um longo periodo de turbulencia estamos de volta com um cast repleto de informações. Desta vez nos reunimos com Er Galvão Abott, líder do PHPBR e Diretor de Conteudo da PHP Conference Brasil para comentar um assunto chave para qualquer desenvolvedor, Segurança. Acompanhe enquanto comentamos estatisticas de segurança da internet, formas diferentes de atacar/defender sites, novas estratégias de segurança e revemos os 2 mandamentos de segurança do PHP.

Links comentados durante o podcast

Escute!

PHPSPCast #2: Segurança, não programe sem ela! [ 1:31:14 ] Play Now | Play in Popup | Download

Assine!

Assine o PHPSPCast: http://feeds2.feedburner.com/phpspcast

No iTunes:

Quer assinar o PHPSPCast em seu iTunes? Clique aqui e saiba como assinar pelo iTunes ou fazer o download pelo iPhone/iPod!

Recados!

Elogios, críticas, sugestões, dúvidas ou #fail sobre este episódio? Idéias, temas e dúvidas para o próximo PHPSPCast? Mande email para phpspcast@phpsp.org.br ou um recado de voz para phpspcast@phpsp.org.br pelo Google Talk.

Rafael Dohms

Rafael Dohms é um Evangelista PHP e membro ativo da Comunidade PHP. Ele ajudou na fundação de dois Grupos de Usuários de PHP ao longo do tempo e hoje compatilha a coordenação do PHPSP. Desenvolvedor, gamer e apaixonado por código ele também é host do primeiro podcast de PHP do Brasil: PHPSPCast. Atualmente ele trabalha na equipe SWAT do grupo MIH, uma equipe de experts que fornecem conhecimento técnico para o grupo além de trabalhar com P&D buscando novos nichos da internet e tecnologia. Seu papel como Desenvolvedor Sênior é codar, treinar e auxiliar outras empresas e se divertir enquanto faz isso.

Website - Twitter - More Posts

Tags: , , , ,

This entry was posted on Tuesday, July 28th, 2009 at 14:11 and is filed under PHPSPCast. You can follow any responses to this entry through the RSS 2.0 feed.

  • http://blog.will.eti.br William G. Comnisky (PHPSC)

    Saudações! Parabéns ao pessoal do PHPSP pelo cast. Um post meu comentando um problema que ocorreu com um site conhecido e bastante utilizado a respeito das senhas utilizando MD5 ‘simples’ e como evitar o problema:
    http://blog.will.eti.br/2009/seguranca-em-aplicacoes-web/

    abraço

  • http://twitter.com/davidchc David CHC

    Demorou, mas valeu a pena esperar,rs. Esse é um tema de primeira importância em qualquer aplicação, que é a segurança. Esse tema daria vários cast’s. Vcs levantaram pontos importantes e esclarecedores.

    Parabéns pelo cast, que venham outros cast.

  • http://www.fabiosribeiro.com.br Fábio

    Muito bom o CAST!!!!

    As tiradas do Galvão é de ferra mesmo.

    Estão de parabéns…

  • http://www.crosi.com.br Marcelo Araujo

    Qual o problema de usar extract() ?

  • http://blog.renangoncalves.com Renan Gonçalves

    Demorou, mas chegou com ótimo conteúdo!
    Parabéns pelo trabalho.

    A solução contra o md5 e até mesmo o sha1 é utilizar uma string de salto.
    No CakePHP é padrão todas os hashes criados fazer o seguinte:
    md5(Salt + Password) ou sha1(Salt + Password)

    Abraços!

  • ricardo

    register_globals vem off por padrão desde a vs 4.2.1

  • http://itatux.blogspot.com Erick Belluci Tedeschi

    Uma dica para os que usam Apache+PHP e tem uma aplicação web com falhas de segurança (em produção).
    Todos sabemos que dar manutenção em uma aplicação envolve fase de desenvolvimento, fase de homologação e somente depois servidor de produção (ou seja muito tempo). Enquanto o camarada desenvolve as correções, a aplicação que está em produção poderá sofrer ataques. Então para mitigar os riscos de segurança é recomendável o uso de um WAF (Web Application Firewall).
    Um bom exemplo é o mod_security do Apache. Com algumas regras o mod_security resolve de forma rápida muitas vulnerabilidades.
    Agora a dica da dica! Não vai achar que colocando um WAF você vai resolver sua vida, é apenas uma “garantia” a mais de segurança.

    http://www.modsecurity.org/
    http://www.cgisecurity.com/modsecurity.html

    Falows, t+

  • http://www.ivanrosolen.com/ Ivan Rosolen

    Marcelo Araujo,

    No caso eu falei de não utilizar o extract() para recuperar $_GET e $_POST.

    Existe uma utilização correta mas no phpspcast comentei que seria para não usar no caso de recuperar variáveis não confiáveis.

    Segue link: http://www.php.net/manual/en/function.extract.php

    Warning

    Do not use extract() on untrusted data, like user-input ($_GET, …). If you do, for example, if you want to run old code that relies on register_globals temporarily, make sure you use one of the non-overwriting extract_type values such as EXTR_SKIP and be aware that you should extract in the same order that’s defined in variables_order within the php.ini.

  • Robson

    Ótimo cast parabéns ,
    tem uma previsão de quando será o próximo Cast ?

    Abraço a todos

  • http://www.dteruel.com.br Mingo Max

    Aeeeee demorou, mas chegou mais um excelente podcast!

    Parabéns pelo trabalho. To terminando de ouvir ainda…

  • http://www.rafaeldohms.com.br Rafael Dohms

    Robson,

    Já estamos preparando para gravar o proximo, mas o processo de edição demora um pouco, acedito que dentro de 2 ou 3 semanas tenhamos mais um episodio

  • http://www.phpmobile.com.br PorKaria

    Ae,

    Tem que ter um cast direto do maior phpinga de todos os tempos. Em santos, no último da PHP Conference Brasil.

    Claro, gravariamos o cast na primeira hora de phpinga, pq depois 1 hora.. já sabe… hahahaha

  • http://www.fabiosribeiro.com.br/ Fábio

    Concordo com o PorKaria… em Santos o PHPCast vai ser o melhor de todos…

    Vou ver se consigo uma filmadora.

    O ruim vai ser os podres de todos no YouTube.

    FLW

  • leo barcellos

    Muito bom!
    Fiquei ouvindo o PodCast programando aqui.. achei BEM interessante! É bem legal o ‘ambiente’ formado.

    Parabéns!

  • Andre

    Incrível…
    Trabalho com php faz pouquissimo tempo, e me indicaram este evento (PHPConference Brasil 2008)
    Participei de 2 Mao na Massa, e entre eles comecei a conversar com o Galvão… mas até entao, totalmente desconhecido pra mim… depois do evento, dei umas googladas… porra!
    em resumo…
    Parabéns pelo cast e só ressaltando, não existe quem seja inacessível, há outras maneiras falar com o nego, se quer atencao, xingue a mae dele… uahauhauah brincadeiras a parte.
    Parabéns!

  • http://www.linkedline.com.br/desenvolvedor-evangelista/?p=5 Desenvolvedor Evangelista » Blog Archive » PHP: Noções básicas de segurança

    [...] Podcast PHP sobre segurança (PHPSPCast) [...]

  • dudufantastico

    Galera,

    só queria dizer que gostei muito do cast.

    parabéns.

    abraço

  • http://www.tiagocarmo.net/ Tiago Carmo

    Pessoal,

    gostei muito do podcast, conheci ele a pouco procurando sobre segurança no Google e achei super interessante.

    Vocês estão de parabéns!

  • Tiago Davi

    Muito bom, ouvi metade e vou ouvir a outra metade depois pois é bem extenso e de muito boa qualidade, parabéns.