Palestra apresentada por Rafael Jaques no FISL 12 [Porto Alegre] em 01/07/2011.
A apresentação visa mostrar ao desenvolvedor que o foco dos crackers não é mais a aplicação e sim os usuários da mesma.
Fornece um bom panorama, fala um pouco sobre engenharia social e técnicas para evitar o caos.
Explorando O Potencial Das Linguagens De Programação Open Source
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
1. PHP Sob Ataque:
Técnicas de Programação
Defensiva
Rafael Jaques
FISL 12 – Porto Alegre – 01/07/11
“Mas, a todos quantos o receberam, deu-lhes o poder de serem feitos
filhos de Deus, aos que crêem no seu nome” (João 1.12)
3. Data dos eventos em 2011
Bagé 28/05
Bento Gonçalves 13/08
Rio Grande 27/08
Caxias do Sul 24/09
Porto Alegre A definir
Santana do Livramento A definir
Alegrete A definir
Pelotas A definir
4. Essa palestra é uma continuação
da realizada no ano passado...
http://www.slideshare.net/rafajaques
6. Objetivo
●
Ao final dessa palestra, é possível que você
saiba alguma dessas coisas:
●
Técnicas para evitar o caos
●
Técnicas para proteger o seu valoroso usuário
●
Uma base sobre engenharia social
●
Os riscos que estamos correndo na web
●
O porquê de o caos se instalar tão facilmente
PHP Sob Ataque: Técnicas de Programação Defensiva – Rafael Jaques – FISL 12 Porto Alegre
7. Pauta
I. Conceito
II. Comofas/
III. Engenharia social
IV. Inteligência coletiva x Aplicação
V. Protegendo o usuário
VI. Onde pedir ajuda
VII. Considerações finais
VIII. Dúvidas, críticas, sugestões...
PHP Sob Ataque: Técnicas de Programação Defensiva – Rafael Jaques – FISL 12 Porto Alegre
9. O que é Programação Defensiva,
manolo?
Conjunto de técnicas de projeto e programação
objetivando a estabilidade e a segurança de um software
independentemente do imprevisível.
O objetivo é reduzir ou eliminar a influência exercida pelas
Leis de Murphy sobre a sua aplicação.
Essas técnicas começaram a ser desenvolvidas quando
sistemas de software passaram a possibilitar efeitos
catastróficos.
Adaptado da Wikipedia (http://pt.wikipedia.org/wiki/Programa
%C3%A7%C3%A3o_defensiva)
PHP Sob Ataque: Técnicas de Programação Defensiva – Rafael Jaques – FISL 12 Porto Alegre
11. Se uma pessoa (que não você)
consegue entender o código que foi
criado, já é um bom começo.
12. Se em algum momento você “supor”
algo, já é um problema. Nunca
subestime o usuário.
13.
14. Lembre-se que o seu
código é inseguro.
●
Por natureza, seu código será inseguro
●
Ao publicá-lo, lembre-se que ele será inseguro
●
Ao melhorá-lo, lembre-se que ele é inseguro
●
Depois que testá-lo e certificar-se de que ele é
seguro, ainda assim será inseguro
28. ●
Evite usar para proteger
informações vitais do sistema
●
Prefira o Google Webmaster
Tools para desindexar algo
robots.txt – muito cuidado ao usar!
31. ●
Clientes chatos
●
Falta de vontade
●
Término do estoque de café
●
Aproximação do final de tarde
●
Véspera de feriado / fim de semana
●
Área comercial vendendo produtos imaginários
●
Falta de tempo / Prazos Jack Bauer
Fonte: Desciclopédia
65. PHP Sob Ataque: Técnicas de Programação Defensiva – Rafael Jaques – FISL 12 Porto Alegre
66. Obrigado
Rafael Jaques
phpit.com.br
rafa@php.net
@rafajaques
PHP Sob Ataque: Técnicas de Programação Defensiva – Rafael Jaques – FISL 12 Porto Alegre
67. Fontes Consultadas
● http://pt.wikipedia.org/wiki/Programa%C3%A7%C3%A3o_defe
● http://www.slideshare.net/gscheibel/programao-defensiva
● http://jmmwrite.wordpress.com/tag/programacao-defensiva/
● http://www.ibm.com/developerworks/br/library/os-php-5goodh
● http://www.wellho.net/mouth/1694_Defensive-coding-techniq
● http://en.wikipedia.org/wiki/Defensive_programming
● http://www.phpclasses.org/blog/post/65-8-defensive-programm
● http://www.phpclasses.org/blog/post/66-More-defensive-prog
● http://www.slideshare.net/ergalvao/php-e-segurana-uma-unio-
● http://www.slideshare.net/ergalvao/implementando-segurana-
PHP Sob Ataque: Técnicas de Programação Defensiva – Rafael Jaques – FISL 12 Porto Alegre