Os tempos mudaram, a tecnologia evoluiu, e com ela também evoluíram os métodos para teste de segurança. A técnica utilizada há um tempo atrás, de proteger algo pelo fato de ninguém saber como funciona internamente, hoje não dá mais certo. E é impressionante como grandes empresas, como a Microsiga, ainda apostam na Segurança por Obscuridade.
Há uma semana atrás, a Microsiga resolveu implantar seu próprio sistema de Nota Fiscal Eletrônica, a popular NF-e. Mandaram um e-mail para todos os clientes, dizendo para clicar no link para acessar os dados. O problema estava no endereço do link (http://nfe.totvs.com.br/emp00/GU00xxxxUNE.HTM), onde não havia nenhuma proteção contra acessar notas fiscais de outros clientes. Era só trocar o número do arquivo de 0001 à 1859, que qualquer um poderia ver as notas de qualquer empresa.
Esse problema poderia ser simplesmente solucionado acrescentando alguns caracteres randômicos no nome de cada arquivo, por exemplo, GU000001UNE-09fbc20cb30230be8d.htm. Assim, só trocando o número da nota não seria suficiente para acessar outras notas, seria necessário também acertar os caracteres.
Problemas como esse acontecem em qualquer software. Nunca confie que seu usuário é leigo o suficiente para não tentar esse tipo de coisa. E é claro que, o problema acima foi comunicado à Microsiga, que retirou imediatamente o site do ar.
Galvan
E como não rir de expressões assustadas com os dizeres..
- Sério? oloco..
Bom, fica mais evidente que a cada dia não evoluem somente
grandes empresas de software como a Microsiga, mas também
seus usuários, penso que deveria ser adotado como lema
” Evoluir softwares para usuários evoluídos “, talvez, partindo
destes principios seja mais dificil cometer tais erros.
[]’ss
Mandaram o estagiário fazer o site ou um programador clipper resolveu fazer?!?!
