Em 16 de setembro de 2013 06:41, Tiago Peczenyj <[email protected]>escreveu:
> muitas aplicações sao vulneraveis a ataques de exaustao de recursos e > ataques "ddos". > > Todas as aplicações são vulneráveis a ataques de DDOS, ou ataque de exaustão. Isto é um cabo de guerra, onde quem tem o maior poder de recurso de infra-estrutura ganha. Se você tiver numa Amazon e não tiver limite no cartão, poderá espalhar as tuas máquinas por todos os centros deles e dividir o load a um custo bem elevado. Mesmo assim uma parte dos seus usuário sofrerá com a instabilidade. > para isso precisa-se de, entre outras coisas, de um balanceador de carga > bem configurado com maxconn, rajada, etc. monitoração e umas regras marotas > de iptables/nginx/etc. eh divertido de brincar com isso quando vc tem tempo > livre, pode ficar retornando erros aleatorios quando o cara ta forcando a > barra. > Para o cara que está fazendo DDOS, mensagem de erro não significa nada. O cara quer é tirar o serviço do ar, e não ter acesso aos dados do serviço, e para isto ele utiliza-se de script que não tem o menor desejo de tratar erro. Na minha opinião, não devolver erro é a melhor solução, além é claro de ter um cartão de crédito sem limite. > > > 2013/9/16 Solli Honorio <[email protected]> > >> >> >> Em 16 de setembro de 2013 00:53, Eduardo Verissimo >> <[email protected]>escreveu: >> >> Depende, Solli. >>> >>> Eu penso em um caso típico: um site para quem quer ter casos fora do >>> casamento. Ao colocar e-mail e senha, tudo o que esse site pode dizer é que >>> a combinação e-mail/senha não existe no banco de dados. Afirmar que o >>> e-mail existe seria sim uma falha de segurança, com implicações >>> possivelmente terríveis para o usuário. >>> >>> >> Sim, para algum aplicação sim. Então neste caso ela não deveria ter o >> email como chave primaria do sistema dela. Você até pode argumentar em >> fazer a validação do email em 2 etapas, mas isto vai depender muito da >> aplicação e portanto não considero uma falha de segurança. >> >> >>> >>> Em 15 de setembro de 2013 23:15, Solli Honorio <[email protected]>escreveu: >>> >>> >>>> >>>> Em 15 de setembro de 2013 21:28, Leonardo Ruoso >>>> <[email protected]>escreveu: >>>> >>>> Deve haver alguma aplicação onde o benefício de guardar o valor do md5 >>>>> de uma string como BINARY/BYTEA em oposição ao próprio valor da string e >>>>> deixar o índice BTREE fazer seu trabalho compensará → provavelmente é a >>>>> mesma aplicação que vai notar benefício real em adotar largura fixa em >>>>> detrimento de XML para intercâmbio de dados. Felizmente eu ainda não tive >>>>> de colocar minhas mãos em nenhuma delas. Infelizmente eu já tive de lidar >>>>> com CNAB e com chaves artificiais onde cabiam chaves naturais suficientes >>>>> na minha vida… >>>>> >>>>> Acabamos de modelar aqui um sistema, em que algumas tabelas contém >>>>> milhões de registros… >>>>> >>>>> Adivinha qual vai ser a chave das regiões brasileiras (hierarquia >>>>> desde país até setor censitário passando por região, uf, meso, micro, >>>>> municipio, distrito e subdistrito)? >>>>> >>>>> >>>>> br.se.sp.regiao-metropolitana-de-sao-paulo.sao-paulo.sao-paulo.moema-indianapolis.moema.av-indianapolis-2000-2200 >>>>> >>>>> Servidor com 32 cores e 64GB de RAM? >>>>> >>>>> R$ 10 mil reais por ano >>>>> >>>>> Custo de manutenção de sistemas? >>>>> >>>>> Incalculável! >>>>> >>>>> Galera: >>>>> >>>>> Chave natural é tudo de bom! >>>>> Chave composto é lindo e funciona! >>>>> >>>>> Não se esqueça que dizer para os usuários que um email já está >>>>> cadastrado permite atacar sua base de usuários :) >>>>> >>>>> >>>> Acho esta afirmação parcialmente verdadeira. Conhecer que existe um >>>> email na tua base é inevitável quando vc a está utilizando como uma chave >>>> para o sistema, e nem preciso ser um hacker para isto. >>>> >>>> Qualquer um pode saber quais são os emails que estão cadastrado no >>>> Amazon.com e no Twitter, por exemplo, mas isto não é considerado uma falha >>>> de segurança da Amazon. >>>> >>>> >>>>> >>>>> >>>>> Em 15 de setembro de 2013 17:17, Lucas Mateus < >>>>> [email protected]> escreveu: >>>>> >>>>> >>>>>> É disso que to falando, usar o MD5 mesmo (binário) e não md5 >>>>>> em hexadecimal, e acho sim muito comum emails com mais de 16 bytes. >>>>>> >>>>>> E se executar a query já passado o email com o md5, sem >>>>>> precisar usar a função do BD é ainda melhor, ja que o BD faz o hex por >>>>>> conta própria. >>>>>> >>>>>> >>>>>> mysql> show create table users_2; >>>>>> >>>>>> +---------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ >>>>>> | Table | Create Table >>>>>> >>>>>> | >>>>>> >>>>>> +---------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ >>>>>> | users_2 | CREATE TABLE `users_2` ( >>>>>> `email` varchar(60) default NULL, >>>>>> `email_md5` binary(16) default NULL, >>>>>> KEY `idx_email` (`email`), >>>>>> KEY `idx_email_md5` (`email_md5`) >>>>>> ) ENGINE=InnoDB DEFAULT CHARSET=utf8 | >>>>>> >>>>>> +---------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ >>>>>> 1 row in set (0.00 sec) >>>>>> >>>>>> >>>>>> mysql> select email from users_2 where email = ' >>>>>> [email protected]'; >>>>>> +------------------------+ >>>>>> | email | >>>>>> +------------------------+ >>>>>> | [email protected] | >>>>>> +------------------------+ >>>>>> 1 row in set (0.21 sec) >>>>>> >>>>>> mysql> select email from users_2 where email_md5 = unhex(md5(' >>>>>> [email protected]')); >>>>>> +------------------------+ >>>>>> | email | >>>>>> +------------------------+ >>>>>> | [email protected] | >>>>>> +------------------------+ >>>>>> 1 row in set (0.00 sec) >>>>>> >>>>>> >>>>>> Em 15/09/2013, às 16:44, Eden Cardim <[email protected]> escreveu: >>>>>> >>>>>> >>>>>> "Lucas" == Lucas Mateus <[email protected]> >>>>>> writes: >>>>>> > >>>>>> > Lucas> Show Eden, mas seu teste não tem absolutamente nada a >>>>>> > Lucas> ver com o que eu disse =) >>>>>> > >>>>>> > A única diferença do que você mostrou é que no meu caso, o campo >>>>>> > email_md5 não existe porque não precisa, o índice resolve. E eu >>>>>> > coloquei valores md5 no campo email pra ter alguma aleatoriedade no >>>>>> > teste. >>>>>> > >>>>>> > -- >>>>>> > Eden Cardim -- Insolide Soluções de TI Ltda. >>>>>> > +55 11 9644 8225 >>>>>> > http://insoli.de >>>>>> > =begin disclaimer >>>>>> > Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ >>>>>> > SaoPaulo-pm mailing list: [email protected] >>>>>> > L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> >>>>>> > =end disclaimer >>>>>> >>>>>> =begin disclaimer >>>>>> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ >>>>>> SaoPaulo-pm mailing list: [email protected] >>>>>> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> >>>>>> =end disclaimer >>>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> Leonardo Ruoso >>>>> Journalist, Perl developer and business consultant >>>>> Media, UFC/2006; Telecom, IFCE/1998 >>>>> >>>>> =begin disclaimer >>>>> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ >>>>> SaoPaulo-pm mailing list: [email protected] >>>>> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> >>>>> =end disclaimer >>>>> >>>>> >>>> >>>> >>>> -- >>>> "o animal satisfeito dorme". - Guimarães Rosa >>>> >>>> =begin disclaimer >>>> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ >>>> SaoPaulo-pm mailing list: [email protected] >>>> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> >>>> =end disclaimer >>>> >>>> >>> >>> =begin disclaimer >>> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ >>> SaoPaulo-pm mailing list: [email protected] >>> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> >>> =end disclaimer >>> >>> >> >> >> -- >> "o animal satisfeito dorme". - Guimarães Rosa >> >> =begin disclaimer >> Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ >> SaoPaulo-pm mailing list: [email protected] >> L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> >> =end disclaimer >> >> > > > -- > Tiago B. Peczenyj > Linux User #405772 > > http://about.me/peczenyj > > =begin disclaimer > Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ > SaoPaulo-pm mailing list: [email protected] > L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> > =end disclaimer > > -- "o animal satisfeito dorme". - Guimarães Rosa
=begin disclaimer Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ SaoPaulo-pm mailing list: [email protected] L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> =end disclaimer
