Em 16 de setembro de 2013 01:29, Eden Cardim <[email protected]> escreveu:
> >>>>> "Solli" == Solli Honorio <[email protected]> writes: > > Solli> Acho esta afirmação parcialmente verdadeira. Conhecer que > Solli> existe um email na tua base é inevitável quando vc a está > Solli> utilizando como uma chave para o sistema, e nem preciso ser > Solli> um hacker para isto. > > A questão não é *você* saber, o problema é um *terceiro* saber. O > email da conta é metade da informação necessária pra entrar na conta e > viabiliza profiling, phising, força bruta, etc. > Todos os sistema de autenticação precisam informar que aquela chave já está em uso no momento do cadastro. Todo mundo sabe que os sistemas unix tem o usuário root, e o ambiente Windows o usuário 'Administrator', mas isto não os fazem ser vulneráveis por este conhecimento. Faz sim estes usuário serem alvos de ataques (como vc bem escreveu). Então o meu ponto é que você precisa implementar um processo para reduzir o poder destes ataques. > > Solli> Qualquer um pode saber quais são os emails que estão > Solli> cadastrado no Amazon.com e no Twitter, por exemplo, mas > Solli> isto não é considerado uma falha de segurança da Amazon. > > Da última vez que eu olhei, nem o twitter nem a amazon te dão feedback > sobre a existência de um email em particular. O feedback é sempre > ambíguo, do tipo "houve um problema com seu email/senha" e não "senha > errada" ou "email errado" em isolamento. Isso seria sim uma falha de > segurança, porque permite que um terceiro descubra o email de uma > conta arbitrária através de probing. > Na hora do cadastro sim, eles informam na hora que o email já existe na base, mas claro que na hora de logar eles mostram a mensagem 'usuário ou senha inválida'. A quem possa interessar, recomendo fortemente os documentos do OWASP para leitura e pesquisa https://www.owasp.org/index.php/Cheat_Sheets > > -- > Eden Cardim -- Insolide Soluções de TI Ltda. > +55 11 9644 8225 > http://insoli.de > =begin disclaimer > Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ > SaoPaulo-pm mailing list: [email protected] > L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> > =end disclaimer > -- "o animal satisfeito dorme". - Guimarães Rosa
=begin disclaimer Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ SaoPaulo-pm mailing list: [email protected] L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> =end disclaimer
