Tópico: Foi descoberta uma sabotagem na versão xoopers - XT e XM...
Ver Resposta Única
Antigo 30-11-2007, 06:42 PM
  post #26 (permalink)
topet05
Novato
 
Avatar de topet05
 
Registrado em: Nov 2007
Localização: 127.0.0.1 - Localhost - São Paulo - SP
Postagens: 5
Entradas no Blog: 2
Thanks: 0
Thanked 1 Time in 1 Post
Reputação: 0 @ 15
topet05 is on a distinguished road
Enviar mensagem via ICQ para topet05 Enviar mensagem via Windows Live Messenger para topet05 Enviar mensagem via Skype para topet05
Padrão
Oi!
Este é meu primeiro post no X-Trad
Complementando o post do Izzy sobre segurança em módulos Xoops:

No módulo XT-Conteúdo (o qual eu desenvolvi em 2004) e outros módulos antigos de conteúdo QUE USEM O EDITOR VISUAL SPAW, o problema não está nos módulos em si, mas sim no SPAW. Portanto, se alguém usa algum destes módulos de conteúdo e acha o processo de migração para outro módulo muito trabalhoso, basta deletar o arquivo admin/spaw/spaw_control.class.php e desativar o editor visual (WYSIWYG) nas preferências do módulo que você voltará a estar seguro (falando especificamente no caso do XT-Conteúdo) :-) Mas é sempre bom ver as outras opções de módulos de conteúdo que tem por aí...

Novamente complementando, até onde eu sei, não há falha de segurança neste mundo que pode expor as senhas dos usuários do seu site, já que na pior das hipóteses, o Xoops salva a senha do usuário em MD5 (hash de criptografia que teoricamente não tem retorno).

Por isso é importante que os usuários não definam senhas fáceis (palavras de dicionário, por exemplo), pois se alguém invadir seu site e tiver acesso ao banco de dados, ele verá as senhas criptografadas, mas se tiver algum usuário em especial que o invasor queira conseguir a senha, ele poderá usar projetos como o md5oogle - Md5 hash converter para tentar descobrir o significado da senha em MD5 que ele tem em mãos...

Exemplo prático:
Vamos supor que minha senha é fernando e alguém invadiu meu site.
O invasor teve acesso ao banco de dados e, no lugar da minha senha, ele viu isso:
cebdd715d4ecaafee8f147c2e85e0754
Agora experimente ir em md5oogle - Md5 hash converter e procurar pelo MD5 que acabei de citar...

Você verá que pelo fato de eu estar usando uma senha BÁSICA, ele vai conseguir descriptografar normalmente... agora e se minha senha fosse fernandosantos2007 ?
O md5 seria este: 237bc0b69f5b6a18fdfdf7d542404cb4 e meliante algum conseguiria descriptografar (pelo menos não assim, bagunçado).

Por isso digo que os usuários não devem vacilar com senhas fáceis... e não há vulnerabilidade neste mundo que exponha as senhas dos usuários em texto puro (pelo menos no Xoops).

No fim, a conclusão que chegamos é que mais uma vez dependemos do bom senso do usuário para manter seu site seguro.

Se quiser brincar de criptografar strings e depois procurar no md5oogle, acesse:
http://www.mastop.com.br/md5.php

Abraços!!
Última edição por topet05; 30-11-2007 às 06:58 PM.
topet05 está offline   Responder com Quote