Comentários sobre: O mínimo que você deveria aprender para se defender de ataques de injeção de SQL no PostgreSQL http://www.midstorm.org/~telles/2008/06/27/o-minimo-que-voce-deveria-aprender-para-se-defender-de-ataques-de-injecao-de-sql-no-postgresql/ Ideas not commited yet! Fri, 21 Nov 2008 04:17:45 +0000 http://wordpress.org/?v=2.6.3 Por: Wagner Elias http://www.midstorm.org/~telles/2008/06/27/o-minimo-que-voce-deveria-aprender-para-se-defender-de-ataques-de-injecao-de-sql-no-postgresql/#comment-1761 Wagner Elias Fri, 11 Jul 2008 22:43:42 +0000 http://www.midstorm.org/~telles/?p=233#comment-1761 Excelente artigo! Eu sou o líder do capítulo Brasil da OWASP, provavelmente você já conheça, mas fica a referência do top ten em português. http://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf Excelente artigo! Eu sou o líder do capítulo Brasil da OWASP, provavelmente você já conheça, mas fica a referência do top ten em português.

http://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf

]]> Por: Telles http://www.midstorm.org/~telles/2008/06/27/o-minimo-que-voce-deveria-aprender-para-se-defender-de-ataques-de-injecao-de-sql-no-postgresql/#comment-1740 Telles Wed, 09 Jul 2008 14:18:32 +0000 http://www.midstorm.org/~telles/?p=233#comment-1740 Realmente, as observações são muito pertinentes... sempre escapa alguma coisa... ;-) Valeu pelos comentários. Realmente, as observações são muito pertinentes… sempre escapa alguma coisa… ;-)

Valeu pelos comentários.

]]> Por: Fernando ike http://www.midstorm.org/~telles/2008/06/27/o-minimo-que-voce-deveria-aprender-para-se-defender-de-ataques-de-injecao-de-sql-no-postgresql/#comment-1739 Fernando ike Wed, 09 Jul 2008 14:02:22 +0000 http://www.midstorm.org/~telles/?p=233#comment-1739 Sobre criptografia... Em muitos casos é usado criptografia por dentro do programa via a linguagem de programação que foi desenvolvido. Por enquanto o PostgreSQL somente suporta md5 ou crypt sem usar o módulo de criptografia que está no contrib do código-fonte, o ideal é usar SHA ou DES seja pela aplicação ou pelo SGDB. Usar MD5 não é recomendável pois é possível gerar um hash semelhante ao de uma senha (por exemplo) através de uma outro valor, o problema está no algoritmo do MD5. Vale ressaltar que muitas aplicações corporativas estão usando LDAP para autenticação e é interessante que seja fortificado a segurança desse canal também com TLS ou SSL. Também é interessante que ao autenticar na aplicação seja usado no momento de validação da senha SSL. ;) Sobre criptografia…

Em muitos casos é usado criptografia por dentro do programa via a linguagem de programação que foi desenvolvido. Por enquanto o PostgreSQL somente suporta md5 ou crypt sem usar o módulo de criptografia que está no contrib do código-fonte, o ideal é usar SHA ou DES seja pela aplicação ou pelo SGDB.

Usar MD5 não é recomendável pois é possível gerar um hash semelhante ao de uma senha (por exemplo) através de uma outro valor, o problema está no algoritmo do MD5. Vale ressaltar que muitas aplicações corporativas estão usando LDAP para autenticação e é interessante que seja fortificado a segurança desse canal também com TLS ou SSL.

Também é interessante que ao autenticar na aplicação seja usado no momento de validação da senha SSL. ;)

]]>