Desculpem eu ressuscitar um assunto antigo, mas como é algo que sempre gera polêmica acho que vale a pena.
Bem, no RIACAST 002 eu e os Arquitetos de Informação da DClick damos nossa opinião sobre o assunto - além de falar sobre muitas outras coisas, é claro. http://blog.dclick.com.br/2008/08/18/riacast-002-o-podcast-de-ria-da-dclick/pt/ []'s Beck Novaes On Aug 12, 2:34 am, Eduardo Kraus <[EMAIL PROTECTED]> wrote: > Só o fato de não precisar trabalhar com JavaScript vale qualquer > empenho em aprender oFlex, No inicio foi difícil, mais quando comecei > com o PHP também foi. > > OFlexé uma ferramenta muito boa para desenvolver, porém estão > esquecendo da segurança, inclusive a Adobe em sistemas que possuemFlex, andou > esquecendo deste item em alguns aplicativos dele (Pode-se > fazer download de relatórios sem nenhum Login). Lembrem-se os > HTTPService podem ser rastreados facilmente com ferramentas simples > que são disponibilizados como plug-in do Firefox. > > Estou escrevendo um POST para meu Blog sobre segurança noFlex, O fato > é que estou vendo os mesmos erros cometidos no AJAX, sendo novamente > cometidos noFlex. O AJAX é vendido como beneficio, porém é o > principal caminho para a degradação de um sistema. Tomem cuidado, oFlexsem > segurança cai nos mesmos problemas do AJAX. > > Só integro que, qualquer chamado ao servidor em qualquer ponto da rede > pode ser interceptada, e o mesmo pode ser reconstruida para qualquer > outra aplicação ou chamado para obter os dados ou manipular uma regra > de negocio. > > Já ouviram falar de Proxy e DNS interno? Pois isto existe e é uma > desgraça para desenvolvedor. Como identificar se o Proxy estiver na > mesma maquina que esta sendo executado o sistema? O proxy pode salvar > tudo que passa, e o DNS interno pode direcionar seu site para um IP > especifico que analisa sua página e direciona-la para aplicação > normal!!! Como identificar? Como se proteger? Como Evitar? > > E por ultimo, peço que apaguem a pasta "brouser" do AMFPHP, pois a > mesma da acesso a toda regra server-side existente no servidor, > podendo usuários maliciosos apagar, modificar, ou mesmo roubar > informações por lá. > > Não comentei isto para desanimar ninguém, o HTML é muito mais aberta a > roubo de dados e mesmo a manipulação indevida dos dados. > > Então só para finalizar, se o sistema possui login, faça a verificação > em todos os chamados ao servidor, isto evitará algum destes problemas > de segurança. Muitos utilizam o ScrimCast do vedovelli > (http://www.vedovelli.com.br/?p=74) para referenciar um modo de criar > uma tela de login e senha, porém este é um exemplo simples que não > possui segurança após o login!!!! --~--~---------~--~----~------------~-------~--~----~ Você recebeu esta mensagem porque está inscrito na lista "flexdev" Para enviar uma mensagem, envie um e-mail para [email protected] Para sair da lista, envie um email em branco para [EMAIL PROTECTED] Mais opções estão disponíveis em http://groups.google.com/group/flexdev -~----------~----~----~----~------~----~------~--~---
