gototopgototop
HTTP Sniffing - Joomla e segurança (artigo 7) PDF Imprimir E-mail
snifferUma comunicação natural na web é feita por meio de envio e recebimento de informações, que são repartidas em pequenos pedaços chamados de pacotes de dados e difundidos através da internet. Antes dos pacotes chegarem ao destino final, o computador alvo, passam por diversos computadores e roteadores. Isto torna possível que um computador localizado entre o emissor e o alvo, tenha condições de  decodificar os pacotes que passam por ele através de "sniffing".
Os dados transmitidos na web, são encapsulados em pacotes, para depois seram enviados e recebidos através do protocolo "HTTP" (Hypertext Transfer Protocol, que significa Protocolo de Transferência de Hipertexto). Um http sniffer (analisador de tráfegos), reúne e decodifica os pacotes contendo informação no protocolo HTTP. O sniffer, em seguida, recria a sessão HTTP e pode abrir arquivos e dados que ele intercepta.

Sniffing, em rede de computadores, é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo de acordo com o protocolo definido em um  RFC ou uma outra especificação. O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real. (*)

Para um site em Joomla (ou qualquer outro site que tem um login não criptografado), um  "Sniffer" pode interceptar se entrou informação de usuário e senha. Considerando que o seu site em Joomla está publicado na Internet, em um HOST de confiança, é bastante improvável (e muito difícil) que exista um sniffer inline que torne possível tal intercepção. Entretanto, em uma intranet com o  Joomla rodando em uma rede de área local, ou hospedado em um HOST meia boca, as oportunidades e os pontos de penetração aumentam consideravelmente.

Nestas circunstâncias, você deve considerar a compra de um certificado de segurança SSL para permitir a encriptação do tráfego entre o browser e um servidor web. Confira o Web site da VeriSign (www.verisign.com) para uma explicação completa de como os certificados são trabalhaods e a forma como eles fornecem criptografia de dados. Depois de ter instalado o certificado SSL no seu servidor web, você deve ser capaz de acessá-lo com uma URL como https:/ / www.example.com. Entende-se o endereço https:// como "HTTP seguro." A porta padrão utilizada pelo endereço https:// é 443 em vez da porta 80 que é a comum para interação web.

Se você quiser que todos os sites utilizem SSL, basta apontar o Joomla para a raiz do servidor web. No entanto, você pode usar a tecnologia "Joomla`s switchover", que permite alternar as versões de um site em Joomla entre seguro e inseguro. Dessa forma as páginas de login, registo, as informações pessoais entrada, e-commerce, e talvez mesmo a interface do administrador possam ser acessadas via SSL, enquanto o resto da interação com o site é não criptografado.

Para permitir um login seguro em um site Joomla, primeiro você tem que ter o SSL ativo no seu servidor web e o módulo de  login publicado.

Crie um novo item do menu -> Usuário -> Login -> Layout Padrão para Login. Em parâmetros do sistema marque a opção ativado para em SSL. Esta diretiva irá fazer a ligação a partir do menu iniciar com uma https: / /

Isso é tudo! Quando o usuário clica no link do menu, a tela de login será exibida com um pequeno cadeado no canto inferior da janela do navegador, mostrando que o site é seguro.
Até o próximo artigo.
Artigo traduzido e adaptado por Júlio Coutinho. O original, está publicado no capítulo 14 do livro Professional Joomla - Programador para Programador, de Dan Rahmel.
(*) fonte wikipédia.
  divulgue o artigo no orkut
Voltar

Your are currently browsing this site with Internet Explorer 6 (IE6).

Your current web browser must be updated to version 7 of Internet Explorer (IE7) to take advantage of all of template's capabilities.

Why should I upgrade to Internet Explorer 7? Microsoft has redesigned Internet Explorer from the ground up, with better security, new capabilities, and a whole new interface. Many changes resulted from the feedback of millions of users who tested prerelease versions of the new browser. The most compelling reason to upgrade is the improved security. The Internet of today is not the Internet of five years ago. There are dangers that simply didn't exist back in 2001, when Internet Explorer 6 was released to the world. Internet Explorer 7 makes surfing the web fundamentally safer by offering greater protection against viruses, spyware, and other online risks.

Get free downloads for Internet Explorer 7, including recommended updates as they become available. To download Internet Explorer 7 in the language of your choice, please visit the Internet Explorer 7 worldwide page.