Mostrando entradas 1 para 10 de 17
Próximo 7 Entradas mais antigos »
Displaying posts with tag: Segurança (reset)
MySQL e o GDPR

O que é o GDPR? A Global Data Protection Regulation ou Regulamento Geral sobre Proteção de Dados é uma regulamentação, criado pela União Européia, mas, com abrangência global. Antes de ser uma regulamentação, é acima de tudo, um belo conjunto de boas práticas que deveria ser adotado por toda empresa que, de alguma forma, coleta e … Continue lendo MySQL e o GDPR →

Desenvolvimento seguro?

No cenário atual de segurança da informação, percebemos que devemos estar preparados contra os possíveis ataques. Nesse contexto, um grande aliado contra as ameaças na integração de segurança no ciclo de desenvolvimento é a metodologia OWASP Software Security Assurance Process, também descrita pela sigla OSSAP.

Neste artigo, iremos falar um pouco sobre desenvolvimento seguro e como podemos mitigar algumas ameaças já no processo de desenvolvimento.

Por onde começar?

Para saber do que precisamos nos proteger e como devemos nos proteger, precisamos entender quais são as vulnerabilidades mais encontradas em aplicações web. Para tanto, utilizamos como base o guia Open Web Application Security Project, mais conhecido como …

[Leia mais]
Validando componentes vulneráveis com Maven

Tivemos a Semana da Segurança na Concrete, e para continuar debatendo o tema, hoje vou mostrar como configurar um projeto Maven para validarmos o uso de bibliotecas e frameworks vulneráveis, usando o OWASP Dependency Check.

Um pouco sobre o projeto OWASP Dependency Check

Dependency Check é uma solução open-source que leva em conta o OWASP Top 10 A-9 “Uso de Componentes com Vulnerabilidades Conhecidas”. Atualmente, a solução pode ser usada para escanear aplicações Java e .NET em busca de componentes vulneráveis conhecidos. Em fase experimental, devido às taxas de falsos positivos e falsos negativos, também pode ser usada para aplicações Python, Ruby, PHP (Composer) e Node.js. …

[Leia mais]
Como trabalhar com Secrets no Docker 1.13.x

Em 18 de janeiro foi lançada a versão 1.13 do Docker com um monte de funcionalidades novas e matadoras. Uma das que eu mais gostei foi a possibilidade de gerenciar secrets no Swarm Mode e é sobre ela que vou discorrer nesse artigo.

O que é o secret?

Quando estamos trabalhando em um projeto e precisamos passar informações sensíveis para o ambiente, tais como senhas, chaves privadas, tokens, chaves de APIs e afins sempre passamos pelo problema de não podermos deixar no controle de versão e devemos sempre utilizar uma maneira segura de trafegar esses segredos.

Muitas vezes, acabamos trabalhando com variáveis de ambiente para guardar essas informações, o que não é recomendado por alguns motivos.

Diogo Monica, que é um dos engenheiros de software da Docker, mencionou em um …

[Leia mais]
Dominando OAuth 2.0

OAuth 2.0 é o padrão de fato para autenticar usuários com sites de terceiros. Se você quiser acessar os dados de um usuário no Google ou Facebook, por exemplo, OAuth 2.0 é o que você precisa. Mas vamos encarar um fato: OAuth 2.0 não é fácil e, para piorar as coisas, parece que todos têm uma implementação ligeiramente diferente, tornando a interoperabilidade um pesadelo. Felizmente, a PHP League of Extraordinary Packages lançou a biblioteca league/oauth2-client. Visando à simplicidade e facilidade de uso, a league/oauth2-client fornece uma interface comum para acessar muitos provedores OAuth 2.0.

OAuth resolve um problema específico: minimiza a exposição a credenciais. Ele consegue isso através de subvenções de autorização. Você concede a um website acesso às informações de sua conta de outro site. O site do beneficiário, então, usa credenciais temporárias chamadas tokens de acesso para acessar suas Informações …

[Leia mais]
6 práticas de segurança para WordPress

Segurança é um tópico importante para qualquer proprietário de sites. Infelizmente, esse é um assunto pelo qual muitas pessoas se interessam apenas após terem passado por algum grande susto. Para termos uma ideia da quantidade de sites maliciosos presentes na web, o Google tem em suas listas negras mais de 20 mil sites de malware e cerca de 50 mil phishing. Além disso, o WordPress é extremamente popular e essa característica faz com que a plataforma seja alvo de ataques específicos.

Ter seu site WordPress hackeado pode causar sérios danos tanto à receita  quanto à reputação do seu negócio. Hackers podem roubar informações de usuários, senhas, instalar software malicioso, podendo inclusive distribuir malware para seus usuários. Em alguns casos, você pode ter que pagar uma espécie de resgate para hackers, só para recuperar o acesso ao seu site. Aqui estão reunidas 6 dicas úteis para quem zela pela segurança dos …

[Leia mais]
MySQL 5.7 – Mudanças: Instalação e Segurança

Diversas mudanças vieram com esta nova versão do SGBD, principalmente no que diz respeito da gestão de usuários e configurações de segurança que vem para solucionar alguns problemas que muitos DBA tinham antes.

Instalação

Uma das mudanças é na hora da instalação. Considerando que usuários sem privilégios administrativos no nível do sistema operacional não têm acesso a determinados arquivo de log – especificamente acesso de leitura ao arquivo de log de erros do MySQL, que inicialmente se encontra em /var/log – após fazer a instalação do servidor de bancos de dados, o arquivo .mysql_secret não será mais gerado no diretório /home do usuário efetivo da instalação do MySQL.

Após a instalação, basta iniciar o serviço. Ao abrir o arquivo de log, verá um evento parecido com este:

[Warning] A temporary password is generated for root@localhost: 4RT_l.h7*p

[Leia mais]
MySQL 5.7 – Mudanças: Instalação e Segurança

Diversas mudanças vieram com esta nova versão do SGBD, principalmente no que diz respeito da gestão de usuários e configurações de segurança que vem para solucionar alguns problemas que muitos DBA tinham antes.

Instalação

Uma das mudanças é na hora da instalação. Considerando que usuários sem privilégios administrativos no nível do sistema operacional não têm acesso a determinados arquivo de log – especificamente acesso de leitura ao arquivo de log de erros do MySQL, que inicialmente se encontra em /var/log – após fazer a instalação do servidor de bancos de dados, o arquivo .mysql_secret não será mais gerado no diretório /home do usuário efetivo da instalação do MySQL.

Após a instalação, basta iniciar o serviço. Ao abrir o arquivo de log, verá um evento parecido com este:

[Warning] A temporary password is generated for root@localhost: 4RT_l.h7*p

[Leia mais]
Blindando o MySQL: Configurações de segurança

O banco de dados é parte importante e fundamental de um ou vários sistemas de uma empresa, provendo informações necessárias para tomadas de decisões, lançamentos de produtos e regras de negócios, ou seja, é no banco de dados onde estão a informações mais valiosas de uma empresa.

É fato que tanta informação valiosa em um mesmo local não é algo seguro por natureza e é ai que você, DBA, deve agir com inteligência e elaborar estratégias de segurança como: Políticas de senhas, firewall, SO, SGBD e até a própria cultura do local onde você trabalha, pois, não adianta de nada você cuidar da segurança e a sua equipe ficar trafegando o usuário e senha em plain text pela rede.

Criando uma boa estratégia de segurança você evita dores de cabeça como: Acessos indevidos, roubo ou exclusão de dados e indisponibilidade no serviço. Então hoje estarei ensinando alguns truques e passando algumas dicas de como deixar …

[Leia mais]
Blindando o MySQL: Configurações de segurança

O banco de dados é parte importante e fundamental de um ou vários sistemas de uma empresa, provendo informações necessárias para tomadas de decisões, lançamentos de produtos e regras de negócios, ou seja, é no banco de dados onde estão a informações mais valiosas de uma empresa.

É fato que tanta informação valiosa em um mesmo local não é algo seguro por natureza e é ai que você, DBA, deve agir com inteligência e elaborar estratégias de segurança como: Políticas de senhas, firewall, SO, SGBD e até a própria cultura do local onde você trabalha, pois, não adianta de nada você cuidar da segurança e a sua equipe ficar trafegando o usuário e senha em plain text pela rede.

Criando uma boa estratégia de segurança você evita dores de cabeça como: Acessos indevidos, roubo ou exclusão de dados e indisponibilidade no serviço. Então hoje estarei ensinando alguns truques e passando algumas dicas de como deixar …

[Leia mais]
Mostrando entradas 1 para 10 de 17
Próximo 7 Entradas mais antigos »