Segurança por Obscuridade

Postado em 21 de September de 2006 por mateus.
Categorias: Microsiga, Segurança.

Os tempos mudaram, a tecnologia evoluiu, e com ela também evoluíram os métodos para teste de segurança. A técnica utilizada há um tempo atrás, de proteger algo pelo fato de ninguém saber como funciona internamente, hoje não dá mais certo. E é impressionante como grandes empresas, como a Microsiga, ainda apostam na Segurança por Obscuridade.

Há uma semana atrás, a Microsiga resolveu implantar seu próprio sistema de Nota Fiscal Eletrônica, a popular NF-e. Mandaram um e-mail para todos os clientes, dizendo para clicar no link para acessar os dados. O problema estava no endereço do link (http://nfe.totvs.com.br/emp00/GU00xxxxUNE.HTM), onde não havia nenhuma proteção contra acessar notas fiscais de outros clientes. Era só trocar o número do arquivo de 0001 à 1859, que qualquer um poderia ver as notas de qualquer empresa.

Esse problema poderia ser simplesmente solucionado acrescentando alguns caracteres randômicos no nome de cada arquivo, por exemplo, GU000001UNE-09fbc20cb30230be8d.htm. Assim, só trocando o número da nota não seria suficiente para acessar outras notas, seria necessário também acertar os caracteres.

Problemas como esse acontecem em qualquer software. Nunca confie que seu usuário é leigo o suficiente para não tentar esse tipo de coisa. E é claro que, o problema acima foi comunicado à Microsiga, que retirou imediatamente o site do ar.

2 comentários.

Galvan

Comment em 21 de September de 2006.

E como não rir de expressões assustadas com os dizeres..
- Sério? oloco..
Bom, fica mais evidente que a cada dia não evoluem somente
grandes empresas de software como a Microsiga, mas também
seus usuários, penso que deveria ser adotado como lema
” Evoluir softwares para usuários evoluídos “, talvez, partindo
destes principios seja mais dificil cometer tais erros.

[]’ss

André Toledo

Comment em 13 de August de 2008.

Mandaram o estagiário fazer o site ou um programador clipper resolveu fazer?!?!

Deixe um comentário

Comentários podem ter alguma coisa de xhtml. Nome e e-mail é obrigatório (e-mails não são publicados), site é opcional.