[OFF] SEGURANCA DADOS PESADELO VIROU REALIDADE?

EMERSONTADEU 17/10/2009 11:52:22
#325563
Pelo amor de Deus, alguém me diga que este furo de segurança em várias ferramentas Microsoft tem solução e fui eu que não procurei direito algum service pack que arruma iston !
Estou verdadeiramente bastante apreensivo pois tem muito programa meu rodando porai vulnerável a isto (tal qual o VBM, assim como mostra a imagem) e não faço idéia de como alertar meus clientes!

Importante salientar as guias do IE8 abertas na imagem; todas são de buscas por informações a respeito de como contornar o problema e tanto a versão nacional quanto americana do MSDN é ignorado o termo [Ô]Revelation[Ô] ou qualquer problema com segurança !



JWCELYO 17/10/2009 12:07:36
#325566
é Emersom num tem jeito para evita esses tipos de transtorno o recomendado mesmo é criar uma boa politica de segurança
um navegador bem configurado pode evitar isso
EMERSONTADEU 17/10/2009 14:35:59
#325578
Citação:

JWCELYO escreveu:
é Emersom num tem jeito para evita esses tipos de transtorno o recomendado mesmo é criar uma boa politica de segurança
um navegador bem configurado pode evitar isso



Amigo Jucélio, humildemente peço que aprofunde os conceitos [Ô]política de segurança[Ô] e principalmente configuração de [Ô]browser[Ô](?) sendo que nem sempre é possível utilizar a segurança integrada do sistema operacional para evitar o uso de qualquer componente que tenha a propriedade text ?

Aplicativos que já testei se existe problema (S/N):



IE8 = S
VB6 = S
VBNET 2005 = S
VBNET 2008 = S
VBNET 2010 FW4.0 = S (Porra !!!)
SQL Server 2008 Express = N
Outlook Express 6.0 = S
Windows Live Mail = S
Windows Live Messenger = N
Firefox = N
Chrome = N

Isto é grave, muito grave !
JWCELYO 17/10/2009 15:12:13
#325579
nesse caso especificamente do IE8 ou 7
você pode debilitar o salva de senha em formulários de login que contenha campos com propridades criptografias do tipo ask 32 bits

para desabilitar vá no seu navegador IE Ferramenta>Opções da Internet
agora clique na aba [Ô]conteúdo[Ô] depois EM PREENCHIMENTO AUTOMÁTICO clique no botão configurações
depois basta desmarque a caixinha NOMES DE USUÁRIOS E EM FORMULÁRIOS

ISSO VAI FAZER COM SENHAS NÃO SEJA MAIS SALVAS AUTOMATICAMENTE

espero te ajudado EMERSON. abraço!!![ S9]
EMERSONTADEU 17/10/2009 18:54:09
#325587
Não resolve solucionar a questão do IE8, olha o caso do Windows Live Mail como posto nova imagem:

Percebe a real situação que teremos ao exigir que os usuários digitem sempre a senha quando precisarem simplesmente verificar se existe nova mensagem na cx de entrada e todos os softwarwes instalados que utilizem a FW Dotnet e tenham uma caixa de texto encriptada ?

Até mesmo digitar senhas frequentemente causa outro risco, o de ser aprendida por colegas internos o que complica mais ainda o problema pois seriam potenciais hackers todo dia no ambiente !

WEBMASTER 17/10/2009 22:57:54
#325596
Emerson

Sua preocupação é inerente ao conceito do sistema operacional e realmente ela o afeta por completo.
Salvo componentes especificos que são desenvolvidos com tal finalidade, como por exemplo o Lotus Notes, que sei nao permite isso.
Basicamente todo e qualquer componente, seja ele visual ou nao , eh suscetivel a receber o SendMessage, comando basico que circula por todo o sistema operacional e faz a subclasse dos objetos, o que esse programinhas que voce mostrou ai faz , eh justamente isso, ele copia o texto que esta em passwordchar porem o reescreve normalmente.

A api SendMessage eh muito poderosa e foi criada com esta funcionalidade entre varias outras, existem meios de se contornar isso sim, como ? Simples, faca o seu usercontrol de textbox para senhas e garanta que ele nao vai interpretar as mensagens que ele receba (se quiser ser mais neurotico ainda, faca isso a partir de um picturebox, ou seja, nao se tem uma propertie text, mas sim o texto [Ô]impresso[Ô] no componente).

Estudei isso algum tempo atras (pra ser sincero uns 2 anos atras) quando entendi o que o Lotus Notes fazia, e gostei da ideia, mas nao montei um componente para tal, somente entendi o raciocinio (essa eh a parte que magoa : a linha de pensamento eh simples, o sistema operacinal eh que se torna fragil nesse quesito )
JWCELYO 17/10/2009 23:21:03
#325599
isso num é vulnerabilidade so do windows vários sistemas operacionais tem mesma vulnerabilidade
EMERSONTADEU 18/10/2009 10:34:49
#325607
Não posso dar nenhuma réplica ao que pensam, ainda não tenho idéia do que dizer, mas creio que se existem aplicativos afetados e outros não, portanto deve haver algo a se fazer.

A lista de aplicativos e resultados de vulnerabilidade.

IE (5,6,7,8) = S
VB6 = S
VBNET 2005 = S
VBNET 2008 = S
VBNET 2010 FW4.0 Beta = S
Outlook Express 6.0 = S
Windows Live Mail = S

Windows Messenger = N
Windows Live Messenger = N
Firefox = N
Chrome = N
SQL Server 2008 Express = N

Não existem tantos problemas quando se considera individualmente os aplicativos envolvidos, mas quando se pensa na interligação de dados percebe-se que praticamente todos os processos estão comprometidos.
Os usuários precisam ser alertados a bloquearem suas estações quando ausentes, e nas suas casas pois aplicativos com segurança baseadas apenas no conceito login/senha não estão confiáveis.

Diria que neste momento a privacidade pessoal não existe no ambiente MS.
LEVII 19/10/2009 17:49:24
#325722
Bom Caro Emerson.

Infelizmente quando se trata de segurança em Ambient Microsoft e um pesadelo.
apesar de termos muitas apis de criptografia e tals, ainda existem estas brechas tao tolas que o pessoal microsoft nem se interessa por corrigir.

se voce pudesse, mande um alerta para o pessoa MS, e quem sabe eles nao terao boa vontade de corrigir isso no VS2010;
eu particularmente tneo este programinha Revelations.
Inclusive seu fonte.
um codigo muito besta feito em VB6 na epoca, fazia MUITO estrago na faculdade.

Pelo que vc demonstrou, o Firefox nao apresenta este tipo de problema..Por estas e outras que eu uso ele..

Mas vlw pela iniciativa do post.

FOXMAN 20/10/2009 07:57:14
#325754
Citação:

LEVII escreveu:
Bom Caro Emerson.

Infelizmente quando se trata de segurança em Ambient Microsoft e um pesadelo.
apesar de termos muitas apis de criptografia e tals, ainda existem estas brechas tao tolas que o pessoal microsoft nem se interessa por corrigir.

se voce pudesse, mande um alerta para o pessoa MS, e quem sabe eles nao terao boa vontade de corrigir isso no VS2010;
eu particularmente tneo este programinha Revelations.
Inclusive seu fonte.
um codigo muito besta feito em VB6 na epoca, fazia MUITO estrago na faculdade.

Pelo que vc demonstrou, o Firefox nao apresenta este tipo de problema..Por estas e outras que eu uso ele..

Mas vlw pela iniciativa do post.



Levii, eu também não utilizo o IE, apenas chorme e firefox.

Agora, isso , já é assim a muito tempo.
Infelizmente a M$ deixa essas brechas.

Emerson, já fez algum teste no W7(Windos 7) ?






WEBMASTER 20/10/2009 13:39:58
#325796
Uma coisa interessante de se pensar eh como tornar sua aplicacao confiavel e segura, ja que o ambiente nao colabora.
Voce pode recusa a interpretacao da api sendmessage atraves de subclasse
Página 1 de 2 [15 registro(s)]
Tópico encerrado , respostas não são mais permitidas