apresentação vii secomp e 3º seel - jataí - go

e um pouco sobre segurança,

SSL (Secure Sockets Layer)uma pequena definição para uma grande solução

➢É uma tecnologia de segurança utilizada para criptografar os dados trafegados entre o computador do usuário e um servidor(onde está o seu site).

➢O protocolo SSL previne que os dados trafegados possam ser capturados ou mesmo modificados no trajeto entre o navegador do usuário e o servidor.

Joomla!, SSL e um pouco sobre segurança

Como funciona o SSLJoomla!, SSL e um pouco sobre segurança

➔Um navegador solicita uma página segura, com https://

➔O servidor web envia sua chave pública junto com o seu certificado

➔O navegador garante que o certificado não esteja expirado ou revogado, que foi emitido por uma entidade confiável e que o nome nele confere com o website ao qual está conectando

➔O navegador cria uma chave simétrica e a envia para o servidor

➔O servidor decripta a chave simétrica recebida do navegador usando sua chave privada

➔O servidor então envia a página encriptada com a chave simétrica

➔O navegador decripta a página usando a chave simétrica e exibe as informações

Pense nisso!Joomla!, SSL e um pouco sobre segurança

“Enviar informações sensíveis sem SSL é como escrevê-las na parte traseira de um cartão postal e deixar cada carteiro ou atacante no caminho para seu destino fazer uma fotocópia do mesmo.

http://www.sslshopper.com/article-ssl-for-newbs.html

Acessando um site com SSL

➢Nota-se o “https” na barra de endereços do navegador;

➢A indicação do “Certificado SSL”, podendo a barra tornar-se verde;

➢Nem todos os navegadores mostram o cadeado na barra.


Certificados SSL, escolhendo corretamente...

Validação de Domínio

(Domain Validation)

Validação da Organização

(Organization Validation)

Validação Extendida (EV)

(Extended Validation)

Validação da Organização

“Coringa” (Wildcard)Valida que o domínio está registrado e que alguém com direitos de administrador está ciente e aprova o pedido do certificado.

Valida a propriedade do domínio, além das informações sobre a organização incluídas no certificado (nome, cidade, estado, país).

Valida a propriedade do domínio e informações da organização, além da existência legal da organização e que a organização está ciente e aprova o pedido do certificado.

Mesmo que a "Validação da Organização"Certifica todos os subdomínios.

Encriptação SSL de até 256 bits

Subdomínio único* Subdomínios Ilimitados

Antes que uma autoridade de certificação emita um Certificado SSL, ela precisa validar as informações fornecidas no pedido do certificado, logo quanto mais completa a validação, maior a confiabilidade do certificado.


O que você precisa saber para solicitar

➢Verifique a viabilidade e custos de instalação com seu provedor de hospedagem;

➢Cada certificado SSL precisa de um endereço IP dedicado, consulte custos;

➢Antes da aquisição é preciso solicitar o CSR (Certificate Signing Request), ou Pedido de Assinatura de Certificado, ao seu provedor de hospedagem;

➢O CSR é enviado para a empresa certificadora;

➢Empresa certificadora faz todas as verificações e envia o Certificado SSL;

➢Seu provedor faz a instalação do Certificado SSL no servidor.


Qual a aparência de um CSR?

✔Certificate Request(requisição de certificado)

✔Certificate(certificado)

✔Private Key(chave privada)

O CSR normalmente é composto por três partes igualmente importantes, confira...


Finalmente o Certificado SSLJoomla!, SSL e um pouco sobre segurança

Compatibilizando o site para o SSL...✔Usar links relativos em módulos, plugins e componentes;

Lembrando:✔ Link relativo: “/arquivo.html”✔ Link absoluto: “http://www.seusite.com.br/arquivo.html”

✔Quando necessário force o redirecionamento de todo o site para “https”;

✔Links para arquivos ou imagens externas a serem carregados pelo site precisam usar o protocolo “https”;

✔Sempre que possível carregue imagens localmente;

✔Formulários precisam postar os dados para a URL segura (https);

✔ Módulos de login precisam ser revisados com muita atenção.


Site compatibilizado: Conexão 100% CriptografadaJoomla!, SSL e um pouco sobre segurança

Site não compatibilizado: Conexão Parcialmente Criptografada


Administração do Joomla! com SSLO Joomla! já está preparado para trabalhar com SSL e isso facilita tudo na hora de tornar o acesso a administração segura.


Lembrem-se de remover o valor da variável “$live_site” no arquivo “configuration.php” do Joomla! antes de habilitar esta opção.

Módulo de Login Nativo do Joomla! SeguroJoomla!, SSL e um pouco sobre segurança

O módulo de login nativo do Joomla! também já vem preparado!

Tornando o Login do Kunena 1.6 SeguroJoomla!, SSL e um pouco sobre segurança

Uma pequena alteração garante um login seguro no fórum Kunena.

➢No arquivo “login.php” faça uma pequena mudança..(pasta “/components/com_kunena/template/default/loginbox/”)

Com JRoute() fica fácil!Joomla!, SSL e um pouco sobre segurança

➢No arquivo “route.php” do Kunena verificamos que ele usa o JRoute() do Joomla!(pasta “/administrator/components/com_kunena/libraries/”)

Usando o VirtueMart com SSLJoomla!, SSL e um pouco sobre segurança

Na configuração do VirtueMart é necessário setar a “URL Segura” e selecionar as áreas que usarão SSL

Normalmente usa-se SSL para:

➢ Account➢ Admin➢ Checkout

Normalmente usa-se SSL para:

➢ Account➢ Admin➢ Checkout

Ajustes no login do VirtueMartJoomla!, SSL e um pouco sobre segurança

O VirtueMart não usa o JRoute() nos módulos atuais mas o acréscimo de uma linha de código nos locais indicados resolve a questão do login seguro.

Ajustes no módulo de login do VirtueMartJoomla!, SSL e um pouco sobre segurança

O módulo de login do VirtueMart (mod_virtuemart_login) também necessita do acréscimo de linhas de código nos locais indicados para tornar o login seguro.

Segurança em Outros CódigosJoomla!, SSL e um pouco sobre segurança

“De modo geral, é preciso garantir que os dados de formulários de login sejam postados para uma URL segura (https)”

Para aplicações críticas:

✔Uma página de login totalmente HTTPS é fundamental;

✔A presença de qualquer mensagem de alerta SSL é uma falha;

✔Conexões HTTP à página de login devem ser descartadas.

ARP Spoofing - O que é ARP spoofing?Joomla!, SSL e um pouco sobre segurança

ARP spoofing, também conhecido como ARP poisoning(envenenamento de ARP) ou ARP attack(ataque ARP), é uma técnica na qual um host em uma LAN pode "envenenar" a tabela ARP do outro host fazendo-o enviar os pacotes para o destino errado. O atacante pode modificar o tráfego na rede de tal maneira que ele será capaz de redirecionar todo o tráfego através dele. O atacante pode então encaminhar o tráfego para o destino certo ou bloqueá-lo causando um ataque DoS à vítima.

Simulação de um ataque ARPJoomla!, SSL e um pouco sobre segurança

Segurança nunca é demais!Joomla!, SSL e um pouco sobre segurança

O roubo de dados e senhas em redes abertas, via sniffers, é um dos problemas considerados ao se decidir pelo SSL em um site!

Quando falamos de e-commerce a preocupação com segurança é ainda maior pois envolve <dinheiro>.

A presença do “cadeado” no navegador já faz com que o usuário sinta-se mais seguro!

“Site seguro significa usuário/cliente seguro!!!”

Opa, aqui a segurança tinha uma brecha...Joomla!, SSL e um pouco sobre segurança

Vamos tratar da segurança do Joomla!... Joomla!, SSL e um pouco sobre segurança

➢Bloqueie o acesso aos arquivos .XML via “.htaccess”;

## Deny access to extension xml files (uncomment out to activate)<Files ~ "\.xml$">Order allow,denyDeny from allSatisfy all</Files>## End of deny access to extension xml files

➢Use bons provedores de hospedagem (“você tem aquilo pelo qual paga”);

➢Defina corretamente as permissões dos arquivos e pastas;➢ Arquivos: 644➢ Pastas: 755

O sh404SEF também atua na segurançaJoomla!, SSL e um pouco sobre segurança

Mesmo sem usar URL´s amigáveis você é protegido pelos recursos do sh404SEF!

Configuração da Segurança no sh404SEFJoomla!, SSL e um pouco sobre segurança

O campo “Check also forms data (POST)” marcado na imagem ao lado está como “não” pois pode causar o erro “Forbidden access (<script> tag in POST)” ao se usar exemplos de código nas postagens, como em fóruns(Kunena).

Parando os SpambotsJoomla!, SSL e um pouco sobre segurança

➢Formas de barrar estes scripts que costumam se registrar em sites e postar em formulários e fóruns:

➢ Usar um sistema de verificação de palavras como o “akismet”;

➢ Uso de serviços de listas negras como Spamhaus e outros;

➢ Bloqueio por IP, nome de usuário e/ou e-mail;

➢ Instalação de um sistema de Captcha.

Parando os Spambots: Registration ValidatorJoomla!, SSL e um pouco sobre segurança

Um plugin que reduziu em mais 95% os meus problemas!

Este pequeno notável, o Registration Validator, faz a verificação de todos que tentam se registrar ou postar dados no site, via Botscout, Undisposable.net, StopForumSpam e Spamhaus, além de verificar o DNS.

Mantém um arquivo de registro de atividades. Ex.:

Referências...tão importante quanto a palestra


- RapidSSL - http://www.rapidssl.com

- GeoTrust - http://www.geotrust.com

- POST from http to https: The hidden security http://kartones.net/blogs/kartones/archive/2010/01/20/post-from-http-to-https-the-hidden-security.aspx

- HTTP POST -> HTTPS = Bad Idea® - http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/

- HTTPS best practices in general - https://www.owasp.org/index.php/SSL_Best_Practices

- SSL For Newbs - http://www.sslshopper.com/article-ssl-for-newbs.html

- Kunena Fórum - http://www.kunena.org

- Brian Teeman - http://brian.teeman.net

- Anything Digital - http://anything-digital.com/sh404sef/seo-analytics-and-security-for-joomla.html

- CEDIT - http://www.cedit.biz/joomla-extensions/18-registration-validator/22-block-disposable-email-addresses

- VirtueMart – http://virtuemart.net - ARP Spoofing - http://www.osischool.com/protocol/arp/arp-spoofing

Sucesso a Todos!!!


● http://www.fernandosoares.com.br● Especialista em Joomla! e VirtueMart● Twitter: @fernando_soares● Skype: fsoarestec● E-mail: [email protected]● Palestras: http://www.slideshare.net/fernandosoares

apresentação vii secomp e 3º seel - jataí - go

Technology