Valew Anderson, criei , comenta la! Em 28 de junho de 2011 12:19, Anderson Marques Ferraz < [email protected]> escreveu:
> Cria aí um novo tópico, Tarsis! > > Em 28 de junho de 2011 12:01, tarsis lima <[email protected]>escreveu: > > Acabo por concordar com o Anderson. >> Pelo que andei olhando, na maioria dos casos seria desnecessário algo como >> o Purifier; >> por hora o strip_tags() faz bem o seu papel. Dependendo do projeto, caso >> precise permitir certas tags, meio "perigosas" acho que vem a calhar sim uma >> biblioteca mais especializada. >> >> *Talvez isso mude um pouco o rumo da thread, mas vai: ...* >> >> Apesar de sempre ser cauteloso com relação ao que o usuário pode enviar , >> acabei por voltar um pouco a atenção para esse assunto após ver as recentes >> noticias sobre ataques aos sites do governo. >> >> Acredito que assuntos relacionados á segurança de aplicações deveriam ser >> mais difundidos entre a comunidade, devido á sua grande importância. Pra nos >> defender temos que conhecer as estratégias do inimigo. >> >> Nesse tipo de ataque "denial of service" ou coisa parecida , o site >> recebe um grande número de acessos simultâneos feitos por robôs, tirando >> assim o site do ar. >> Ao contrario do xss esse não parece ser um tipo "previnível" de ataque ... >> ou estou enganado? >> >> Opiniões .... >> >> >> >> Em 28 de junho de 2011 01:00, Anderson Marques Ferraz < >> [email protected]> escreveu: >> >> Adiantadamente, peço desculpas se cometi algum equívoco. >>> >>> Eu não lembro onde, mas li em algum lugar que o Shadowhand disse que >>> tirou o xss_clean simplesmente porque existe um projeto muito melhor, mais >>> completo e open source. Então, é melhor simplesmente incorporar essa outra >>> solução no seu projeto do Kohana do que reescrever código. >>> >>> Ainda assim, Gabriel, eu não acho que através do Request seja feita >>> qualquer filtragem de XSS. Você poderia mostrar um exemplo? >>> >>> Quando o Tarsis falou globais, eu imagino que quis dizer as superglobais, >>> $_GET e $_POST, principalmente. Até porque o método Security::xss_clean() >>> *tinha* como objetivo limpar a entrada do usuário de coisas indesejadas >>> no output. >>> >>> Essa limpeza de html, na minha opinião, não necessariamente é somente pra >>> formulários WYSIWYG ou requisição externa de HTML, mas principalmente pra >>> previnir que um espertalhão coloque alguma bobagem onde não deve. Na maioria >>> dos casos, usar o Purifier não é necessário e sanitizações/validações >>> personalizadas são o suficiente. Mas em algumas situações, como num box de >>> comentários, pode não ser tão simples. Então, nesse caso, o Purifier é mais >>> indicado, suportando até whitelist, o que é interessante. >>> >>> Nunca usei o Purifier em produção, mas não duvido que uma coisa tão >>> completa seja também onerosa em desempenho. Entretanto, é melhor perder um >>> pouco de desempenho do que deixar alguma parte vulnerável. Isso, é claro, se >>> não der pra resolver de uma forma mais simples, como parece ser a maioria >>> dos casos. Se ele quer XSS, deve usar o Purifier. Se é necessário ou não, já >>> me parece uma outra questão. >>> >>> >>> >>> Em 27 de junho de 2011 20:37, Gabriel Reitz Giannattasio < >>> [email protected]> escreveu: >>> >>> Ela tava falando de variaveis globais, se for pra requisição externa de >>>> HTML ou uso de formularios que aceitem WYIWYG, dai o Purifier é show mesmo, >>>> senão ele só vai fazer parser a toa e onerar o desempenho da aplicação. >>>> >>>> >>>> Abraço, >>>> Gabriel R. Giannattasio >>>> [email protected] >>>> Tel: (48) 8415 3555 >>>> >>>> >>>> 2011/6/27 Anderson Marques Ferraz <[email protected]> >>>> >>>>> Ou eu não entendi, ou eu não ache que funcione, Gabriel. Creio que a >>>>> forma mais correta seja utilizando o HTMLPurifier mesmo. >>>>> >>>>> Em 27 de junho de 2011 19:31, Gabriel Reitz Giannattasio < >>>>> [email protected]> escreveu: >>>>> >>>>> Use o REQUEST para filtrar. >>>>>> >>>>>> PARAM -> rota >>>>>> QUERY -> querystring >>>>>> POST -> post >>>>>> >>>>>> http://kohanaframework.org/3.1/guide/api/Request#query >>>>>> >>>>>> Abraço, >>>>>> Gabriel R. Giannattasio >>>>>> [email protected] >>>>>> Tel: (48) 8415 3555 >>>>>> >>>>>> >>>>>> >>>>>> 2011/6/27 Anderson Marques Ferraz <[email protected]> >>>>>> >>>>>>> >>>>>>> http://forum.kohanaframework.org/discussion/7879/securityxss_clean-deprecated-since-v3.0.5-what-to-use-insteads/p1 >>>>>>> >>>>>>> *Remember that you only need to worry about XSS if you are accepting >>>>>>> HTML input and using it as output.* >>>>>>> >>>>>>> http://htmlpurifier.org/ >>>>>>> >>>>>>> https://github.com/shadowhand/purifier >>>>>>> >>>>>>> Em 27 de junho de 2011 13:58, tarsis lima >>>>>>> <[email protected]>escreveu: >>>>>>> >>>>>>> Boa tarde pessoal, >>>>>>>> >>>>>>>> Como voces fazem para filtrar suas variaveis globais no Kohana? >>>>>>>> Ao que parece o security::xss_clean() foi retirado da versão 3.1. >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> -- >>>>>>>> Társis Lima - Programação Php & MySql >>>>>>>> >>>>>>>> -- >>>>>>>> Você está recebendo esta mensagem porque se inscreveu no grupo >>>>>>>> "Kohana Php" dos Grupos do Google. >>>>>>>> Para postar neste grupo, envie um e-mail para >>>>>>>> [email protected]. >>>>>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>>>>> [email protected]. >>>>>>>> Para obter mais opções, visite esse grupo em >>>>>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> -- >>>>>>> Anderson Marques Ferraz >>>>>>> UEFS - Engenharia de Computação - 2006.1 >>>>>>> Linux user #500881 - http://counter.li.org/ >>>>>>> >>>>>>> Money demands that you sell, not your weakness to men's stupidity, >>>>>>> but your talent for their reason. >>>>>>> (Francisco d'Anconia) >>>>>>> >>>>>>> -- >>>>>>> Você está recebendo esta mensagem porque se inscreveu no grupo >>>>>>> "Kohana Php" dos Grupos do Google. >>>>>>> Para postar neste grupo, envie um e-mail para >>>>>>> [email protected]. >>>>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>>>> [email protected]. >>>>>>> Para obter mais opções, visite esse grupo em >>>>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>>>> >>>>>> >>>>>> -- >>>>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>>>> Php" dos Grupos do Google. >>>>>> Para postar neste grupo, envie um e-mail para >>>>>> [email protected]. >>>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>>> [email protected]. >>>>>> Para obter mais opções, visite esse grupo em >>>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> Anderson Marques Ferraz >>>>> UEFS - Engenharia de Computação - 2006.1 >>>>> Linux user #500881 - http://counter.li.org/ >>>>> >>>>> Money demands that you sell, not your weakness to men's stupidity, but >>>>> your talent for their reason. >>>>> (Francisco d'Anconia) >>>>> >>>>> -- >>>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>>> Php" dos Grupos do Google. >>>>> Para postar neste grupo, envie um e-mail para >>>>> [email protected]. >>>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>>> [email protected]. >>>>> Para obter mais opções, visite esse grupo em >>>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>>> >>>> >>>> -- >>>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>>> Php" dos Grupos do Google. >>>> Para postar neste grupo, envie um e-mail para >>>> [email protected]. >>>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>>> [email protected]. >>>> Para obter mais opções, visite esse grupo em >>>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>>> >>> >>> >>> >>> -- >>> Anderson Marques Ferraz >>> UEFS - Engenharia de Computação - 2006.1 >>> Linux user #500881 - http://counter.li.org/ >>> >>> Money demands that you sell, not your weakness to men's stupidity, but >>> your talent for their reason. >>> (Francisco d'Anconia) >>> >>> -- >>> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >>> Php" dos Grupos do Google. >>> Para postar neste grupo, envie um e-mail para >>> [email protected]. >>> Para cancelar a inscrição nesse grupo, envie um e-mail para >>> [email protected]. >>> Para obter mais opções, visite esse grupo em >>> http://groups.google.com/group/kohana-php?hl=pt-BR. >>> >> >> >> >> -- >> Társis Lima - Programação Php & MySql >> >> -- >> Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana >> Php" dos Grupos do Google. >> Para postar neste grupo, envie um e-mail para [email protected] >> . >> Para cancelar a inscrição nesse grupo, envie um e-mail para >> [email protected]. >> Para obter mais opções, visite esse grupo em >> http://groups.google.com/group/kohana-php?hl=pt-BR. >> > > > > -- > Anderson Marques Ferraz > UEFS - Engenharia de Computação - 2006.1 > Linux user #500881 - http://counter.li.org/ > > Money demands that you sell, not your weakness to men's stupidity, but your > talent for their reason. > (Francisco d'Anconia) > > -- > Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana Php" > dos Grupos do Google. > Para postar neste grupo, envie um e-mail para [email protected]. > Para cancelar a inscrição nesse grupo, envie um e-mail para > [email protected]. > Para obter mais opções, visite esse grupo em > http://groups.google.com/group/kohana-php?hl=pt-BR. > -- Társis Lima - Programação Php & MySql -- Você está recebendo esta mensagem porque se inscreveu no grupo "Kohana Php" dos Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected]. Para cancelar a inscrição nesse grupo, envie um e-mail para [email protected]. Para obter mais opções, visite esse grupo em http://groups.google.com/group/kohana-php?hl=pt-BR.
