Autor Tópico: Segurança contra invasões e outras ameaças  (Lida 2147 vezes)


Alexandre Pereira Bühler

  • Expert
  • *****
  • Mensagens: 1642
  • Nunca estabeleça um teto para os seus rendimentos.
    • Simão & Bühler Ltda
    • Email
Re:Segurança contra invasões e outras ameaças
« Responder #16 Online: Novembro 09, 2016, 01:52:39 am »
Atualizando o tópico pois corre no grupo do whatsapp um relato sobre conseguir tudo que foi desenvolvido no Scriptcase quando é usada a instalação padrão com sqlite com um servidor disponível na internet.

Isto não é uma falha de segurança do SCRIPTCASE e sim do administrador do site que deixou esta falha de segurança em aberto.
Há maneiras de proteger um banco sqlite num servidor web.
Mas fica a sugestão a netmake de podermos escolher o diretório onde instalar o arquivo sqlite do scriptcase IDE.


Suponho que o relato no grupo do whatsapp seja  o método de baixar a base principal do Scriptcase: XX_XXXXXXXXXX.db. Que está em sqlite.
Bem, quando usamos sqlite o ideal e deixar a base num lugar inacessível no servidor. Mas o scriptcase não permite escolher o lugar onde irá ficar sua base sqlite.
Ou seja se a pessoa colocar o link certo baixará toda a base do scriptcase com senhas, projetos e tudo o mais.

Como resolver sem ter que instalar o scriptcase novamente usando outro banco de dados?

Use .htaccess


Em nosso servidor nossos usuários tem como proteger diretórios de forma simples pelo ISPCONFIG. E podemos auxiliar nossos usuários nesta configuração

Ao tentar acessar o aplicativos ou mesmo fazer download da base XX_XXXXXXXXXX.db o acesso será bloqueado e somente liberado mediante usuário e senha específico.

Eu mesmo uso este tipo de proteção no meu scriptcase desenvolvimento pois prefiro sqlite que facilita o backup.
Não vou ensinar como fazer .htaccess para autenticação de forma manual pois tem vários tutoriais na internet como este http://www.devin.com.br/htaccess/

Observação: .htaccess somente funciona com Apache.
No Nginx tem como fazer mas não é tão simples e somente usando módulos de terceiros.
Logo, não tem como garantir a segurança. No nginx use o Scriptcase IDE instalado com MySQL por exemplo.


« Última modificação: Novembro 09, 2016, 02:11:15 am por Alexandre Pereira Bühler »
--
Alexandre Pereira Bühler
https://www.simaoebuhler.com.br
Hospedagem compartilhada Scriptcase desenvolvimento e produção. Temos servidores dedicados Scriptcase.
Eu RTFM todo dia e você?

Jailton

  • Expert
  • *****
  • Mensagens: 2038
Re:Segurança contra invasões e outras ameaças
« Responder #17 Online: Novembro 09, 2016, 08:47:42 am »
Parabéns pela dica Alexandre.
O Princípio da Vibração. "Nada está parado, tudo se move, tudo vibra". Caibalion.

Willian Fernando

  • Expert
  • *****
  • Mensagens: 1149
  • .....
    • Email
Re:Segurança contra invasões e outras ameaças
« Responder #18 Online: Novembro 09, 2016, 10:02:30 am »
Pois é Fui eu quem levantou a questão , e demonstrei o problema rsrs "gerei panico na galera".

Mas sim vale lembrar que é problema do ADMINISTADOR e não do Scritpcase.

Tem outras coisas , por exemplo é possível alterar o nome do SQLITE da Instalação sem perder os dados, ou ate mesmo (pra quem é mais entendido de DBA) pode migrar o SQLITE para MySQL , e sem precisar reinstalar o Scriptcase é possível alterar a conexão dele.

Daves Vieira

  • Novato
  • *
  • Mensagens: 44
    • Email
Re:Segurança contra invasões e outras ameaças
« Responder #19 Online: Novembro 09, 2016, 12:28:17 pm »
No nginx tem como evitar o download de alguns arquivos. Isso já inibe alguns acessos. Ex:

Código: [Selecionar]
server {
...
       # Evita download de .zip
        location ~ \.zip$ {
             rewrite / permanent;
       }

      # Evita o download de qualquer arquivo da pasta files
       location ~ ^/(?P<files>.*)/ {
            rewrite / permanent;
       }

      # Evita o download de extensões zip e abc dentro da pasta files
       location ~ ^/(?P<files>.*)/(.*?)\.(zip|abc)$ {
            rewrite / permanent;
       }

}

Alexandre Pereira Bühler

  • Expert
  • *****
  • Mensagens: 1642
  • Nunca estabeleça um teto para os seus rendimentos.
    • Simão & Bühler Ltda
    • Email
Re:Segurança contra invasões e outras ameaças
« Responder #20 Online: Novembro 09, 2016, 03:19:28 pm »
Obrigado pelas contribuições no tópico.
Willian o pessoal se preocupa com roubo dos códigos fontes mais pelos direitos autorais.
Eu me preocupo com roubo das informações dos meus clientes.
Roubo dos meus códigos é minha propriedade intelectual vazando. Somente isto.
Dados dos clientes é um processo nas minhas costas.
E lógico que tendo meus fontes fica mais fácil estudar como obter os dados dos meus clientes.
Mas, não quer dizer necessariamente que possuir o código fonte terá acessos aos dados.
--
Alexandre Pereira Bühler
https://www.simaoebuhler.com.br
Hospedagem compartilhada Scriptcase desenvolvimento e produção. Temos servidores dedicados Scriptcase.
Eu RTFM todo dia e você?

Haroldo

  • Expert
  • *****
  • Mensagens: 6276
  • Conhecimento diminui limitações.△TFA△
    • Infinitus Web Gestão Empresarial/Gestão ITIL/Consultoria Scriptcase
Re:Segurança contra invasões e outras ameaças
« Responder #21 Online: Novembro 09, 2016, 05:24:25 pm »
Sómente como comentário.

Se uma aplicação estiver com o botão excluir por exemplo desabilitado (escondido), se inspecionar o elemento de qualquer botão na barra de ferramentas e troca o valor da onclick para

nm_atualiza ('excluir')   , basta clicar no botão para excluir o registro, isso serve para outros comando também.

por isso que não desejam que o registro seja excluso adicionem no evento onbeforeDelete uma mensagem de erro, mesmo escondendo o botão.

 

Alexandre Pereira Bühler

  • Expert
  • *****
  • Mensagens: 1642
  • Nunca estabeleça um teto para os seus rendimentos.
    • Simão & Bühler Ltda
    • Email
Re:Segurança contra invasões e outras ameaças
« Responder #22 Online: Novembro 09, 2016, 06:25:42 pm »
Haroldo,
Vou tentar fazer como sugerido por você!
Se não conseguir peço ajuda.
--
Alexandre Pereira Bühler
https://www.simaoebuhler.com.br
Hospedagem compartilhada Scriptcase desenvolvimento e produção. Temos servidores dedicados Scriptcase.
Eu RTFM todo dia e você?