Cria aí um novo tópico, Tarsis! Em 28 de junho de 2011 12:01, tarsis lima <[email protected]> escreveu:
> Acabo por concordar com o Anderson. > Pelo que andei olhando, na maioria dos casos seria desnecessário algo como > o Purifier; > por hora o strip_tags() faz bem o seu papel. Dependendo do projeto, caso > precise permitir certas tags, meio "perigosas" acho que vem a calhar sim uma > biblioteca mais especializada. > > *Talvez isso mude um pouco o rumo da thread, mas vai: ...* > > Apesar de sempre ser cauteloso com relação ao que o usuário pode enviar , > acabei por voltar um pouco a atenção para esse assunto após ver as recentes > noticias sobre ataques aos sites do governo. > > Acredito que assuntos relacionados á segurança de aplicações deveriam ser > mais difundidos entre a comunidade, devido á sua grande importância. Pra nos > defender temos que conhecer as estratégias do inimigo. > > Nesse tipo de ataque "denial of service" ou coisa parecida , o site > recebe um grande número de acessos simultâneos feitos por robôs, tirando > assim o site do ar. > Ao contrario do xss esse não parece ser um tipo "previnível" de ataque ... > ou estou enganado? > > Opiniões .... > > > > Em 28 de junho de 2011 01:00, Anderson Marques Ferraz < > [email protected]> escreveu: > > Adiantadamente, peço desculpas se cometi algum equívoco. >> >> Eu não lembro onde, mas li em algum lugar que o Shadowhand disse que tirou >> o xss_clean simplesmente porque existe um projeto muito melhor, mais >> completo e open source. Então, é melhor simplesmente incorporar essa outra >> solução no seu projeto do Kohana do que reescrever código. >> >> Ainda assim, Gabriel, eu não acho que através do Request seja feita >> qualquer filtragem de XSS. Você poderia mostrar um exemplo? >> >> Quando o Tarsis falou globais, eu imagino que quis dizer as superglobais, >> $_GET e $_POST, principalmente. Até porque o método Security::xss_clean() >> *tinha* como objetivo limpar a entrada do usuário de coisas indesejadas >> no output. >> >> Essa limpeza de html, na minha opinião, não necessariamente é somente pra >> formulários WYSIWYG ou requisição externa de HTML, mas principalmente pra >> previnir que um espertalhão coloque alguma bobagem onde não deve. Na maioria >> dos casos, usar o Purifier não é necessário e sanitizações/validações >> personalizadas são o suficiente. Mas em algumas situações, como num box de >> comentários, pode não ser tão simples. Então, nesse caso, o Purifier é mais >> indicado, suportando até whitelist, o que é interessante. >> >> Nunca usei o Purifier em produção, mas não duvido que uma coisa tão >> completa seja também onerosa em desempenho. Entretanto, é melhor perder um >> pouco de desempenho do que deixar alguma parte vulnerável. Isso, é claro, se >> não der pra resolver de uma forma mais simples, como parece ser a maioria >> dos casos. Se ele quer XSS, deve usar o Purifier. Se é necessário ou não, já >> me parece uma outra questão. >> >> >> >> Em 27 de junho de 2011 20:37, Gabriel Reitz Giannattasio < >> [email protected]> escreveu: >> >> Ela tava falando de variaveis globais, se for pra requisição externa de >>> HTML ou uso de formularios que aceitem WYIWYG, dai o Purifier é show mesmo, >>> senão ele só vai fazer parser a toa e onerar o desempenho da aplicação. >>> >>> >>> Abraço, >>> Gabriel R. Giannattasio >>> [email protected] >>> Tel: (48) 8415 3555 >>> >>> >>> 2011/6/27 Anderson Marques Ferraz <[email protected]> >>> >>>> Ou eu não entendi, ou eu não ache que funcione, Gabriel. Creio que a >>>> forma mais correta seja utilizando o HTMLPurifier mesmo. >>>> >>>> Em 27 de junho de 2011 19:31, Gabriel Reitz Giannattasio < >>>> [email protected]> escreveu: >>>> >>>> Use o REQUEST para filtrar. >>>>> >>>>> PARAM -> rota >>>>> QUERY -> querystring >>>>> POST -> post >>>>> >>>>> http://kohanaframework.org/3.1/guide/api/Request#query >>>>> >>>>> Abraço, >>>>> Gabriel R. Giannattasio >>>>> [email protected] >>>>> Tel: (48) 8415 3555 >>>>> >>>>> >>>>> >>>>> 2011/6/27 Anderson Marques Ferraz <[email protected]> >>>>> >>>>>> >>>>>> http://forum.kohanaframework.org/discussion/7879/securityxss_clean-deprecated-since-v3.0.5-what-to-use-insteads/p1 >>>>>> >>>>>> *Remember that you only need to worry about XSS if you are accepting >>>>>> HTML input and using it as output.* >>>>>> >>>>>> http://htmlpurifier.org/ >>>>>> >>>>>> https://github.com/shadowhand/purifier >>>>>> >>>>>> Em 27 de junho de 2011 13:58, tarsis lima >>>>>> <[email protected]>escreveu: >>>>>> >>>>>> Boa tarde pessoal, >>>>>>> >>>>>>> Como voces fazem para filtrar suas variaveis globais no Kohana? >>>>>>> Ao que parece o security::xss_clean() foi retirado da versão 3.1. >>>>>>> >>>>>>> >>>>>>> >>>>>>> -- >>>>>>> Társis Lima - Programação Php & MySql >>>>>>> >>>>>>> -- >>>>>>> Você está recebendo esta mensagem porque se inscreveu no grupo >>>>>>> "Kohana Php" dos Grupos do Google. >>>>>>> Para postar neste grupo, envie um e-mail para >>>>>>> [email protected]. >>>>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>>>> [email protected]. >>>>>>> Para obter mais opções, visite esse grupo em >>>>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>>>> >>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> Anderson Marques Ferraz >>>>>> UEFS - Engenharia de Computação - 2006.1 >>>>>> Linux user #500881 - http://counter.li.org/ >>>>>> >>>>>> Money demands that you sell, not your weakness to men's stupidity, but >>>>>> your talent for their reason. >>>>>> (Francisco d'Anconia) >>>>>> >>>>>> -- >>>>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>>>> Php" dos Grupos do Google. >>>>>> Para postar neste grupo, envie um e-mail para >>>>>> [email protected]. >>>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>>> [email protected]. >>>>>> Para obter mais opções, visite esse grupo em >>>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>>> >>>>> >>>>> -- >>>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>>> Php" dos Grupos do Google. >>>>> Para postar neste grupo, envie um e-mail para >>>>> [email protected]. >>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>> [email protected]. >>>>> Para obter mais opções, visite esse grupo em >>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>> >>>> >>>> >>>> >>>> -- >>>> Anderson Marques Ferraz >>>> UEFS - Engenharia de Computação - 2006.1 >>>> Linux user #500881 - http://counter.li.org/ >>>> >>>> Money demands that you sell, not your weakness to men's stupidity, but >>>> your talent for their reason. >>>> (Francisco d'Anconia) >>>> >>>> -- >>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>> Php" dos Grupos do Google. >>>> Para postar neste grupo, envie um e-mail para >>>> [email protected]. >>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>> [email protected]. >>>> Para obter mais opções, visite esse grupo em >>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>> >>> >>> -- >>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>> Php" dos Grupos do Google. >>> Para postar neste grupo, envie um e-mail para >>> [email protected]. >>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>> [email protected]. >>> Para obter mais opções, visite esse grupo em >>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>> >> >> >> >> -- >> Anderson Marques Ferraz >> UEFS - Engenharia de Computação - 2006.1 >> Linux user #500881 - http://counter.li.org/ >> >> Money demands that you sell, not your weakness to men's stupidity, but >> your talent for their reason. >> (Francisco d'Anconia) >> >> -- >> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >> Php" dos Grupos do Google. >> Para postar neste grupo, envie um e-mail para [email protected] >> . >> Para cancelar a inscrição nesse grupo, envie um e-mail para >> [email protected]. >> Para obter mais opções, visite esse grupo em >> http://groups.google.com/group/kohana-php?hl=pt-BR. >> > > > > -- > Társis Lima - Programação Php & MySql > > -- > Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana Php" > dos Grupos do Google. > Para postar neste grupo, envie um e-mail para [email protected]. > Para cancelar a inscrição nesse grupo, envie um e-mail para > [email protected]. > Para obter mais opções, visite esse grupo em > http://groups.google.com/group/kohana-php?hl=pt-BR. > -- Anderson Marques Ferraz UEFS - Engenharia de Computação - 2006.1 Linux user #500881 - http://counter.li.org/ Money demands that you sell, not your weakness to men's stupidity, but your talent for their reason. (Francisco d'Anconia) -- Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana Php" dos Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected]. Para cancelar a inscrição nesse grupo, envie um e-mail para [email protected]. Para obter mais opções, visite esse grupo em http://groups.google.com/group/kohana-php?hl=pt-BR.
