Tag: segurança

Google Analytics: Retenção de dados

Grego?!?!? Acho que não…. deve ser um pouco mais fácil do que Grego… Vamos ver o que conseguimos. Lembrando que já tentei o Grego no passado….. APL…. Gosto disso!

Os ajustes nas politicas de retenção e privacidade de dados parece ser a preocupação do momento. Além das iniciativas da Google com as mudanças no Google Analytics, vemos movimentação do Facebook, Twitter, PythonAnywhere, entre outros.

Parte destes esforços se devem aos vazamentos de informação do Facebook e sua repercussão em especial nos EUA.

O GDPR ( Regulamento Geral sobre a Proteção de Dados (RGPD) ) entrando em vigor agora em Maio de 2018 também impõe providencias para todos os participantes na rede.

Este trabalho como um todo me levou a mudar de nível…. Chegou hora de odiar o Google?

(mais…)

23 de abril de 2018
HTTPS – Site Seguro
Anotações sobre a questão dos navegadores fazendo checagem sobre sites sem a segurança de criptografia.

Os recursos de criptografia quando disponível para o site acessado são identificados e marcados com o cadeado ao lado do endereço. Enquanto os sites sem os recursos de criptografia, normais, são acessados normalmente, sem o cadeado.

Se o site não requer segurança adicional, porque o navegador deveria fazer restrições à navegação nele?

referencias
1. Chrome marcará sites sem criptografia como ‘não seguros’ –
2. Mais proteção para todos os visitantes do seu site –
3. Você sabe o que é um certificado SSL? –
4. Let’s Encrypt is a free, automated, and open Certificate Authority.
5. ZeroSSL Streamlines SSL Certificate Administration –
6. Why HTTPS is Important to Your Site And How Do I Switch To It –
7. A Review and Comparison of the Best SSL Certificate Authorities –
14 de fevereiro de 2018
Senhas – Confirmada a invasão ao Adobe.
Agora está confirmado. O Adobe foi atacado com sucesso. Uma boa quantidade de usuários, senhas, dicas para lembrar da senha, além de informações financeiras como números de cartões de credito, e formas de pagamento, foram comprometidas.
- Trove of Adobe user data found on Web after breach: security firm –
Eu estranho a baixa divulgação pela Adobe sobre o evento. Uma breve nota em seu site. Uma página com explicações e orientações. Será que só isso basta?

A providencia mais óbvia, desabilitar a conta, forçando a reativação foi providenciada pela Adobe no link! Com isso você recebe em sua conta de eMail um link para que você recrie a sua senha.

Mais a fundo! Algo que pode passar desapercebido, é onde está agora as informações “roubadas” da Adobe?! Bom. Na verdade, ela é pública e pode ser lida em ambientes frequentados por “criminosos” como diz o Reuters. Ou seja, o dano é irreparável!

Outra faceta, é a de que a ação compromete o usuário e a Adobe, mas não tem um beneficiado específico. Assim, o invasor busca expor os dados e a fragilidade do processo. Busca a exibição de suas habilidades. Mas, não propriamente se beneficiar os dados diretamente obtidos na invasão. Mas, seres mal-intencionados agora tem uma fonte fácil de dados para as suas maldades. Valendo por fim a máxima: caveat emptor.

Mais uma vez, cabe rever e reforçar os nossos procedimentos quanto ao uso de senhas.
1. Usar a mesma senha para diversas contas pode ser um risco. Por exemplo, no caso com a Adobe, a senha revelada aqui pode ser usado em vários outros lugares.
2. Evite usar senhas simples baseadas em palavras do dicionário
3. Tamanho importa. Sim, vamos considerar aumentar as nossas senhas de tamanho 6 ou 8, para algo bem maior.
4. Tocar a senha com frequência. Os serviços comprometidos não são tão ágeis na divulgação de invasões. Melhor nos anteciparmos e trocar as senhas com frequencia.
5. Nunca clique em pedidos de “redefinição de senha” em e-mails – para fazer isso, acesse diretamente o serviço
6. Cabe questionar porque criar uma senha. Mas, se concordar em criar, cabe questionar quão bem ela vai ser protegida.
Referências:
- LastPass – Um gerenciador de senhas, com Ferramenta de analise de senhas.
- Adobe Password Breach: What You Need to Know –
22 de novembro de 2013
Road Show Aker 2012

Uma geral na plateia do Road Show Aker SP 2012

Gostei muito das apresentações do RoadShow Aker 2012, São Paulo, 2012-04-10. Obrigado Aker.

Em especial, agradecimento à Dra. Patricia Pek pela apresentação esclarecedora.

11 de abril de 2012
sobre o MD5
Ainda escrever mais sobre o MD5, mas tenho aqui as minhas anotações.

No caso de usar MD5 para salvar senhas "criptografadas", o recurso é tã forte quanto a força da própria senha. Se a senha é simples, força bruta ou um dicionário de MD5 bastam para decodificar. O MD5 não foi feito para isso.

Referências:
- MD5 Cracker (How safe is your password?) –
- MD5Crack – using Google to Crack MD5 –
- MD5This – um calculador de MD5.
- MD5Decrypter –
11 de dezembro de 2011