[Arquivado]Segurança Em Ot Websites

Então o que acham dos atuais sistemas de website?

Quais são os principais erros?

Bela iniciativa, tô criando um servidor com um gesior aí e quero saber os principais erros. ;x

Eu não lembro todos os bugs porque o meu já está arrumado já faz tempo, mas segue esse tuto de um bug de redireciona o gesior para outro site, dai quando abre seu site aparece outro, sim, é muita fdputage.

http://www.xtibia.com/forum/topic/193940-protegendo-o-xampp-e-gesior/

Falando de uma forma geral, a questão da segurança hoje é bem definida. Não vou citar especificamente os bugs e/ou falhas de segurança de algum sistema em específico, afinal, não trabalho com frameworks e/ou plataformas "pré-fabricadas". É uma questão pessoal, não tenho nada contra quem é adepto de alguma. Mas voltando ao tema do tópico, um bom site deve ter sistemas básicos de pré-defesa no próprio script como:

• Sistema de proteção contra SQL Injection, para sites que utilizam bancos de dados baseados em SQL.
• Proteção contra requisições robóticas (isso envolve captcha, bloqueio de IP, log de acessos e etc)
• Verificação sistemática de arquivos tanto na aquisição quanto no fornecimento (à exemplo: verificação do mime e escaneamento de arquivos de upload)
• .htaccess bem definido, criando a primeira camada contra acesso indevido à diretórios e arquivos, permissões de URL
• Sistema de login baseado em sessões, caso seja em cookies, triplicar a atenção nessa parte. Não preciso nem citar a necessidade de tokens e criptografia né?
• Cuidado com sistemas que envolvam AJAX.
• Filtro de dados e variáveis GET/POST.

Bom, existem milhares de pontos à serem vistos, nenhum website será perfeito nessa questão, mas devemos atentar aos principais. Na parte mais gerencial do servidor temos:

• Um bom firewall é insubstituível, o mesmo equivale para boas regras de IO do firewall, o que depende do administrador do servidor.
• Constante manutenção e update do SGDB.
• No caso da estruturação de um banco de dados, não fazer como a maioria faz, ir criando tabelas e dbs in code time, isso exige um processo de planejamento com precisão quase que cirúrgica na organização dos dados, verificação de como e se eles vão se relacionar, verificar a codificação de caracteres, quais dados cada campo irá armazenar possibilitando assim escolher seu melhor tipo e configuração e etc.
• Em sistemas Linux, sempre usar o cron para gerar os tokens.
• Proteção contra ataques DDoS, para os bons programadores e gerenciadores de servidores isso já integra a defesa contra brutal force attack
• Se possível, utilizar sempre protocolos seguros como https, ftps, ssl (ou atualmente tsl), ssh.

Sei que disse pouco da questão de segurança, mas não é a toa que existem livros dedicados à isso, a questão é bem complexa. Resumindo: faça o mesmo caminho que os dados fazem, tanto na direção servidor-cliente quanto cliente-servidor (é claro, podemos incluir proxy no meio, mas varia de caso para caso), assim você pode verificar quais são os riscos dos dados serem corrompidos/furtados durante a transmissão e tomar as devidas providências para evitar isso.