[OFF] SEGURANCA DADOS PESADELO VIROU REALIDADE?
Pelo amor de Deus, alguém me diga que este furo de segurança em várias ferramentas Microsoft tem solução e fui eu que não procurei direito algum service pack que arruma iston !
Estou verdadeiramente bastante apreensivo pois tem muito programa meu rodando porai vulnerável a isto (tal qual o VBM, assim como mostra a imagem) e não faço idéia de como alertar meus clientes!
Importante salientar as guias do IE8 abertas na imagem; todas são de buscas por informações a respeito de como contornar o problema e tanto a versão nacional quanto americana do MSDN é ignorado o termo [Ô]Revelation[Ô] ou qualquer problema com segurança !
Estou verdadeiramente bastante apreensivo pois tem muito programa meu rodando porai vulnerável a isto (tal qual o VBM, assim como mostra a imagem) e não faço idéia de como alertar meus clientes!
Importante salientar as guias do IE8 abertas na imagem; todas são de buscas por informações a respeito de como contornar o problema e tanto a versão nacional quanto americana do MSDN é ignorado o termo [Ô]Revelation[Ô] ou qualquer problema com segurança !
é Emersom num tem jeito para evita esses tipos de transtorno o recomendado mesmo é criar uma boa politica de segurança
um navegador bem configurado pode evitar isso
um navegador bem configurado pode evitar isso
Citação:JWCELYO escreveu:
é Emersom num tem jeito para evita esses tipos de transtorno o recomendado mesmo é criar uma boa politica de segurança
um navegador bem configurado pode evitar isso
Amigo Jucélio, humildemente peço que aprofunde os conceitos [Ô]polÃtica de segurança[Ô] e principalmente configuração de [Ô]browser[Ô](?) sendo que nem sempre é possÃvel utilizar a segurança integrada do sistema operacional para evitar o uso de qualquer componente que tenha a propriedade text ?
Aplicativos que já testei se existe problema (S/N):
IE8 = S
VB6 = S
VBNET 2005 = S
VBNET 2008 = S
VBNET 2010 FW4.0 = S (Porra !!!)
SQL Server 2008 Express = N
Outlook Express 6.0 = S
Windows Live Mail = S
Windows Live Messenger = N
Firefox = N
Chrome = N
Isto é grave, muito grave !
nesse caso especificamente do IE8 ou 7
você pode debilitar o salva de senha em formulários de login que contenha campos com propridades criptografias do tipo ask 32 bits
para desabilitar vá no seu navegador IE Ferramenta>Opções da Internet
agora clique na aba [Ô]conteúdo[Ô] depois EM PREENCHIMENTO AUTOMÃTICO clique no botão configurações
depois basta desmarque a caixinha NOMES DE USUÃRIOS E EM FORMULÃRIOS
ISSO VAI FAZER COM SENHAS NÃO SEJA MAIS SALVAS AUTOMATICAMENTE
espero te ajudado EMERSON. abraço!!![ S9]
você pode debilitar o salva de senha em formulários de login que contenha campos com propridades criptografias do tipo ask 32 bits
para desabilitar vá no seu navegador IE Ferramenta>Opções da Internet
agora clique na aba [Ô]conteúdo[Ô] depois EM PREENCHIMENTO AUTOMÃTICO clique no botão configurações
depois basta desmarque a caixinha NOMES DE USUÃRIOS E EM FORMULÃRIOS
ISSO VAI FAZER COM SENHAS NÃO SEJA MAIS SALVAS AUTOMATICAMENTE
espero te ajudado EMERSON. abraço!!![ S9]
Não resolve solucionar a questão do IE8, olha o caso do Windows Live Mail como posto nova imagem:
Percebe a real situação que teremos ao exigir que os usuários digitem sempre a senha quando precisarem simplesmente verificar se existe nova mensagem na cx de entrada e todos os softwarwes instalados que utilizem a FW Dotnet e tenham uma caixa de texto encriptada ?
Até mesmo digitar senhas frequentemente causa outro risco, o de ser aprendida por colegas internos o que complica mais ainda o problema pois seriam potenciais hackers todo dia no ambiente !
Percebe a real situação que teremos ao exigir que os usuários digitem sempre a senha quando precisarem simplesmente verificar se existe nova mensagem na cx de entrada e todos os softwarwes instalados que utilizem a FW Dotnet e tenham uma caixa de texto encriptada ?
Até mesmo digitar senhas frequentemente causa outro risco, o de ser aprendida por colegas internos o que complica mais ainda o problema pois seriam potenciais hackers todo dia no ambiente !
Emerson
Sua preocupação é inerente ao conceito do sistema operacional e realmente ela o afeta por completo.
Salvo componentes especificos que são desenvolvidos com tal finalidade, como por exemplo o Lotus Notes, que sei nao permite isso.
Basicamente todo e qualquer componente, seja ele visual ou nao , eh suscetivel a receber o SendMessage, comando basico que circula por todo o sistema operacional e faz a subclasse dos objetos, o que esse programinhas que voce mostrou ai faz , eh justamente isso, ele copia o texto que esta em passwordchar porem o reescreve normalmente.
A api SendMessage eh muito poderosa e foi criada com esta funcionalidade entre varias outras, existem meios de se contornar isso sim, como ? Simples, faca o seu usercontrol de textbox para senhas e garanta que ele nao vai interpretar as mensagens que ele receba (se quiser ser mais neurotico ainda, faca isso a partir de um picturebox, ou seja, nao se tem uma propertie text, mas sim o texto [Ô]impresso[Ô] no componente).
Estudei isso algum tempo atras (pra ser sincero uns 2 anos atras) quando entendi o que o Lotus Notes fazia, e gostei da ideia, mas nao montei um componente para tal, somente entendi o raciocinio (essa eh a parte que magoa : a linha de pensamento eh simples, o sistema operacinal eh que se torna fragil nesse quesito )
Sua preocupação é inerente ao conceito do sistema operacional e realmente ela o afeta por completo.
Salvo componentes especificos que são desenvolvidos com tal finalidade, como por exemplo o Lotus Notes, que sei nao permite isso.
Basicamente todo e qualquer componente, seja ele visual ou nao , eh suscetivel a receber o SendMessage, comando basico que circula por todo o sistema operacional e faz a subclasse dos objetos, o que esse programinhas que voce mostrou ai faz , eh justamente isso, ele copia o texto que esta em passwordchar porem o reescreve normalmente.
A api SendMessage eh muito poderosa e foi criada com esta funcionalidade entre varias outras, existem meios de se contornar isso sim, como ? Simples, faca o seu usercontrol de textbox para senhas e garanta que ele nao vai interpretar as mensagens que ele receba (se quiser ser mais neurotico ainda, faca isso a partir de um picturebox, ou seja, nao se tem uma propertie text, mas sim o texto [Ô]impresso[Ô] no componente).
Estudei isso algum tempo atras (pra ser sincero uns 2 anos atras) quando entendi o que o Lotus Notes fazia, e gostei da ideia, mas nao montei um componente para tal, somente entendi o raciocinio (essa eh a parte que magoa : a linha de pensamento eh simples, o sistema operacinal eh que se torna fragil nesse quesito )
isso num é vulnerabilidade so do windows vários sistemas operacionais tem mesma vulnerabilidade
Não posso dar nenhuma réplica ao que pensam, ainda não tenho idéia do que dizer, mas creio que se existem aplicativos afetados e outros não, portanto deve haver algo a se fazer.
A lista de aplicativos e resultados de vulnerabilidade.
IE (5,6,7,8) = S
VB6 = S
VBNET 2005 = S
VBNET 2008 = S
VBNET 2010 FW4.0 Beta = S
Outlook Express 6.0 = S
Windows Live Mail = S
Windows Messenger = N
Windows Live Messenger = N
Firefox = N
Chrome = N
SQL Server 2008 Express = N
Não existem tantos problemas quando se considera individualmente os aplicativos envolvidos, mas quando se pensa na interligação de dados percebe-se que praticamente todos os processos estão comprometidos.
Os usuários precisam ser alertados a bloquearem suas estações quando ausentes, e nas suas casas pois aplicativos com segurança baseadas apenas no conceito login/senha não estão confiáveis.
Diria que neste momento a privacidade pessoal não existe no ambiente MS.
A lista de aplicativos e resultados de vulnerabilidade.
IE (5,6,7,8) = S
VB6 = S
VBNET 2005 = S
VBNET 2008 = S
VBNET 2010 FW4.0 Beta = S
Outlook Express 6.0 = S
Windows Live Mail = S
Windows Messenger = N
Windows Live Messenger = N
Firefox = N
Chrome = N
SQL Server 2008 Express = N
Não existem tantos problemas quando se considera individualmente os aplicativos envolvidos, mas quando se pensa na interligação de dados percebe-se que praticamente todos os processos estão comprometidos.
Os usuários precisam ser alertados a bloquearem suas estações quando ausentes, e nas suas casas pois aplicativos com segurança baseadas apenas no conceito login/senha não estão confiáveis.
Diria que neste momento a privacidade pessoal não existe no ambiente MS.
Bom Caro Emerson.
Infelizmente quando se trata de segurança em Ambient Microsoft e um pesadelo.
apesar de termos muitas apis de criptografia e tals, ainda existem estas brechas tao tolas que o pessoal microsoft nem se interessa por corrigir.
se voce pudesse, mande um alerta para o pessoa MS, e quem sabe eles nao terao boa vontade de corrigir isso no VS2010;
eu particularmente tneo este programinha Revelations.
Inclusive seu fonte.
um codigo muito besta feito em VB6 na epoca, fazia MUITO estrago na faculdade.
Pelo que vc demonstrou, o Firefox nao apresenta este tipo de problema..Por estas e outras que eu uso ele..
Mas vlw pela iniciativa do post.
Infelizmente quando se trata de segurança em Ambient Microsoft e um pesadelo.
apesar de termos muitas apis de criptografia e tals, ainda existem estas brechas tao tolas que o pessoal microsoft nem se interessa por corrigir.
se voce pudesse, mande um alerta para o pessoa MS, e quem sabe eles nao terao boa vontade de corrigir isso no VS2010;
eu particularmente tneo este programinha Revelations.
Inclusive seu fonte.
um codigo muito besta feito em VB6 na epoca, fazia MUITO estrago na faculdade.
Pelo que vc demonstrou, o Firefox nao apresenta este tipo de problema..Por estas e outras que eu uso ele..
Mas vlw pela iniciativa do post.
Citação:LEVII escreveu:
Bom Caro Emerson.
Infelizmente quando se trata de segurança em Ambient Microsoft e um pesadelo.
apesar de termos muitas apis de criptografia e tals, ainda existem estas brechas tao tolas que o pessoal microsoft nem se interessa por corrigir.
se voce pudesse, mande um alerta para o pessoa MS, e quem sabe eles nao terao boa vontade de corrigir isso no VS2010;
eu particularmente tneo este programinha Revelations.
Inclusive seu fonte.
um codigo muito besta feito em VB6 na epoca, fazia MUITO estrago na faculdade.
Pelo que vc demonstrou, o Firefox nao apresenta este tipo de problema..Por estas e outras que eu uso ele..
Mas vlw pela iniciativa do post.
Levii, eu também não utilizo o IE, apenas chorme e firefox.
Agora, isso , já é assim a muito tempo.
Infelizmente a M$ deixa essas brechas.
Emerson, já fez algum teste no W7(Windos 7) ?
Uma coisa interessante de se pensar eh como tornar sua aplicacao confiavel e segura, ja que o ambiente nao colabora.
Voce pode recusa a interpretacao da api sendmessage atraves de subclasse
Voce pode recusa a interpretacao da api sendmessage atraves de subclasse
Tópico encerrado , respostas não são mais permitidas