Editar codigo fonte protege o site?

Locked
karolinah
Joomla! Apprentice
Joomla! Apprentice
Posts: 15
Joined: Fri Jan 13, 2012 6:17 pm
Location: São Paulo/Brasil

Editar codigo fonte protege o site?

Post by karolinah » Fri Feb 10, 2012 7:39 pm

Bom, talvez o que eu diga seja uma grande besteira, e talvez não.

Muitos sites do governo brasileiro estão sendo feitos em joomla e wordpress. Ao acessar um deles, tentei dar uma olhada no código fonte, para tentar descobrir qual era o módulo que estavam a usar em uma certa posição que me chamou a atenção, e notei que havia MUITA POUCA INFORMAÇÃO no mesmo, pouco mesmo se levar em conta a quantidade de conteúdo que aquela página exibe...

Acessei meu site, e notei que comparado ao site do governo, o meu parece uma biblia... se fosse imprimir, daria um livro...

Outra coisa, é que uso um app do google e firefox para identificar qual o cms usado, e nos sites em questão, ele não consegue identificar.

Como isso é feito? Como se chama isso para que eu possa ler e entender como posso fazer isso em meus sites também?

Obrigada, e desculpe a "Noobisse"...

User avatar
fititnt
Joomla! Hero
Joomla! Hero
Posts: 2350
Joined: Sat Jul 15, 2006 1:41 am
Location: Porto Alegre - RS - Brazil
Contact:

Re: Editar codigo fonte protege o site?

Post by fititnt » Mon Feb 13, 2012 2:45 am

Bem, desde o joomla até cada módulo e plugin exige uma alteração especifica, quer seja via hack, o que desaconselho, ou via algum plugin do tipo sytem.

Esse tipo de coisa, provavelmente deve ter em alguma extensão no JED [http://extensions.joomla.org/]. Creio que se der uma procurada, deva encontrar. E quanto aos módulos e plugins, provavelmente vai exigir que você faça uma sobreposição de template [http://docs.joomla.org/How_to_override_ ... omla!_core ]

E se isso faz diferença na segurança? É relativo. Esse tema que você está questionando é relativo a "segurança por obscuridade", e tem um artigo na wikipedia, em inglês, que fala sobre isso http://en.wikipedia.org/wiki/Security_through_obscurity.

De fato, esse tipo de coisa protege contra alguns bots que pesquisam no google e tentam descobrir de forma automática falhas de segurança, mas, em um ataque mais especifico, com um humano e especialista por trás, eu posso te garantir que é bem complicado conseguir mascarar totalmente qual o CMS usado. O simples faço de tentar acessar um arquivo real típico do Joomla, como um arquivo em PHP ou um manifest de xml, em vez de uma página aleatória e ter um resultado diferente já é um indicativo suficiente para determinar exatamente qual CMS está sendo usado.

E sobre os sites do governo que foram atacados em 2011, nenhum dos que foram invadidos por uma falha causada por um Joomla pelo menos atualizado (:
Emerson da Rocha Luiz
Moderador aposentado, 2008-2014 | Membro do JUGRS
http://www.fititnt.org

User avatar
lekreator
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Tue Mar 02, 2010 3:21 pm
Location: São Paulo
Contact:

Re: Editar codigo fonte protege o site?

Post by lekreator » Wed Feb 15, 2012 2:46 am

Como o colega fititnt respondeu, esconder uma coisa ou outra do codigo fonte evita bots de varredura, mas passa longe de ser uma solução contra ataques.

Provavelmente o site que você visitou estava "encodado" com algum encoder, tipo o Ioncube (http://www.ioncube.com/). Muito desenvolvedor utiliza encoder, mas geralmente você vê isso em componentes, módulos... (como alguns da joomlart, que são encodados com ioncube, para evitar de serem crackeados). Ja encodar código fonte com ele, nunca vi ninguém, mas é possível.

Eu trabalhei em alguns sites do governo de São Paulo (sites da área de educação) e utilizávamos outro CMS, em ASP, chamado DotnetNuke (você pode ver esse CMS em ação em sites como são paulo faz escola e rede do saber). A segurança pra esse tipo de organização é monstro. Pra você ter idéia, o Ldap se comunicava com vários webfarm instalados em vários servidores que, estratégicamente, estavam em bairros bem distantes do prédio onde trabalhavamos. Mas porque isso é estratégico? Em caso de terremeto, ataque terrorista (ou qualquer ameaça do tipo) se um prédio desaba, os outros tão de pé e continuam logando, encaminhando usuário, fazendo backup, executando rotinas... e por ai vai. Só para, se tudo vier pro chão.

E ainda assim, com tanta segurança, os sites são invadidos... na época que trabalhei lá, não fiquei sabendo de uma ocorrência sequer, mas tentivas... vixi... centenas por dia.

O que recomendo é manter os componentes do site sempre atualizados, baixar os patchs de segurança lançados e etc... o virtuemart, teve época que chegou a lançar quase 8 patchs de correção em uma semana... o ideal é sempre atualizar.

Abraços
http://www.leandrodias.com.br/site
Leandro Dias - Designer Gráfico


Locked

Return to “Segurança”