e um pouco sobre segurança,
SSL (Secure Sockets Layer)uma pequena definição para uma grande solução
➢É uma tecnologia de segurança utilizada para criptografar os dados trafegados entre o computador do usuário e um servidor(onde está o seu site).
➢O protocolo SSL previne que os dados trafegados possam ser capturados ou mesmo modificados no trajeto entre o navegador do usuário e o servidor.
Joomla!, SSL e um pouco sobre segurança
Como funciona o SSLJoomla!, SSL e um pouco sobre segurança
➔Um navegador solicita uma página segura, com https://
➔O servidor web envia sua chave pública junto com o seu certificado
➔O navegador garante que o certificado não esteja expirado ou revogado, que foi emitido por uma entidade confiável e que o nome nele confere com o website ao qual está conectando
➔O navegador cria uma chave simétrica e a envia para o servidor
➔O servidor decripta a chave simétrica recebida do navegador usando sua chave privada
➔O servidor então envia a página encriptada com a chave simétrica
➔O navegador decripta a página usando a chave simétrica e exibe as informações
Pense nisso!Joomla!, SSL e um pouco sobre segurança
“Enviar informações sensíveis sem SSL é como escrevê-las na parte traseira de um cartão postal e deixar cada carteiro ou atacante no caminho para seu destino fazer uma fotocópia do mesmo.
http://www.sslshopper.com/article-ssl-for-newbs.html
Acessando um site com SSL
➢Nota-se o “https” na barra de endereços do navegador;
➢A indicação do “Certificado SSL”, podendo a barra tornar-se verde;
➢Nem todos os navegadores mostram o cadeado na barra.
Joomla!, SSL e um pouco sobre segurança
Certificados SSL, escolhendo corretamente...
Validação de Domínio
(Domain Validation)
Validação da Organização
(Organization Validation)
Validação Extendida (EV)
(Extended Validation)
Validação da Organização
“Coringa” (Wildcard)Valida que o domínio está registrado e que alguém com direitos de administrador está ciente e aprova o pedido do certificado.
Valida a propriedade do domínio, além das informações sobre a organização incluídas no certificado (nome, cidade, estado, país).
Valida a propriedade do domínio e informações da organização, além da existência legal da organização e que a organização está ciente e aprova o pedido do certificado.
Mesmo que a "Validação da Organização"Certifica todos os subdomínios.
Encriptação SSL de até 256 bits
Subdomínio único* Subdomínios Ilimitados
Antes que uma autoridade de certificação emita um Certificado SSL, ela precisa validar as informações fornecidas no pedido do certificado, logo quanto mais completa a validação, maior a confiabilidade do certificado.
Joomla!, SSL e um pouco sobre segurança
O que você precisa saber para solicitar
➢Verifique a viabilidade e custos de instalação com seu provedor de hospedagem;
➢Cada certificado SSL precisa de um endereço IP dedicado, consulte custos;
➢Antes da aquisição é preciso solicitar o CSR (Certificate Signing Request), ou Pedido de Assinatura de Certificado, ao seu provedor de hospedagem;
➢O CSR é enviado para a empresa certificadora;
➢Empresa certificadora faz todas as verificações e envia o Certificado SSL;
➢Seu provedor faz a instalação do Certificado SSL no servidor.
Joomla!, SSL e um pouco sobre segurança
Qual a aparência de um CSR?
✔Certificate Request(requisição de certificado)
✔Certificate(certificado)
✔Private Key(chave privada)
O CSR normalmente é composto por três partes igualmente importantes, confira...
Joomla!, SSL e um pouco sobre segurança
Finalmente o Certificado SSLJoomla!, SSL e um pouco sobre segurança
Compatibilizando o site para o SSL...✔Usar links relativos em módulos, plugins e componentes;
Lembrando:✔ Link relativo: “/arquivo.html”✔ Link absoluto: “http://www.seusite.com.br/arquivo.html”
✔Quando necessário force o redirecionamento de todo o site para “https”;
✔Links para arquivos ou imagens externas a serem carregados pelo site precisam usar o protocolo “https”;
✔Sempre que possível carregue imagens localmente;
✔Formulários precisam postar os dados para a URL segura (https);
✔ Módulos de login precisam ser revisados com muita atenção.
Joomla!, SSL e um pouco sobre segurança
Site compatibilizado: Conexão 100% CriptografadaJoomla!, SSL e um pouco sobre segurança
Site não compatibilizado: Conexão Parcialmente Criptografada
Joomla!, SSL e um pouco sobre segurança
Administração do Joomla! com SSLO Joomla! já está preparado para trabalhar com SSL e isso facilita tudo na hora de tornar o acesso a administração segura.
Joomla!, SSL e um pouco sobre segurança
Lembrem-se de remover o valor da variável “$live_site” no arquivo “configuration.php” do Joomla! antes de habilitar esta opção.
Módulo de Login Nativo do Joomla! SeguroJoomla!, SSL e um pouco sobre segurança
O módulo de login nativo do Joomla! também já vem preparado!
Tornando o Login do Kunena 1.6 SeguroJoomla!, SSL e um pouco sobre segurança
Uma pequena alteração garante um login seguro no fórum Kunena.
➢No arquivo “login.php” faça uma pequena mudança..(pasta “/components/com_kunena/template/default/loginbox/”)
Com JRoute() fica fácil!Joomla!, SSL e um pouco sobre segurança
➢No arquivo “route.php” do Kunena verificamos que ele usa o JRoute() do Joomla!(pasta “/administrator/components/com_kunena/libraries/”)
Usando o VirtueMart com SSLJoomla!, SSL e um pouco sobre segurança
Na configuração do VirtueMart é necessário setar a “URL Segura” e selecionar as áreas que usarão SSL
Normalmente usa-se SSL para:
➢ Account➢ Admin➢ Checkout
Normalmente usa-se SSL para:
➢ Account➢ Admin➢ Checkout
Ajustes no login do VirtueMartJoomla!, SSL e um pouco sobre segurança
O VirtueMart não usa o JRoute() nos módulos atuais mas o acréscimo de uma linha de código nos locais indicados resolve a questão do login seguro.
Ajustes no módulo de login do VirtueMartJoomla!, SSL e um pouco sobre segurança
O módulo de login do VirtueMart (mod_virtuemart_login) também necessita do acréscimo de linhas de código nos locais indicados para tornar o login seguro.
Segurança em Outros CódigosJoomla!, SSL e um pouco sobre segurança
“De modo geral, é preciso garantir que os dados de formulários de login sejam postados para uma URL segura (https)”
Para aplicações críticas:
✔Uma página de login totalmente HTTPS é fundamental;
✔A presença de qualquer mensagem de alerta SSL é uma falha;
✔Conexões HTTP à página de login devem ser descartadas.
ARP Spoofing - O que é ARP spoofing?Joomla!, SSL e um pouco sobre segurança
ARP spoofing, também conhecido como ARP poisoning(envenenamento de ARP) ou ARP attack(ataque ARP), é uma técnica na qual um host em uma LAN pode "envenenar" a tabela ARP do outro host fazendo-o enviar os pacotes para o destino errado. O atacante pode modificar o tráfego na rede de tal maneira que ele será capaz de redirecionar todo o tráfego através dele. O atacante pode então encaminhar o tráfego para o destino certo ou bloqueá-lo causando um ataque DoS à vítima.
Simulação de um ataque ARPJoomla!, SSL e um pouco sobre segurança
Segurança nunca é demais!Joomla!, SSL e um pouco sobre segurança
O roubo de dados e senhas em redes abertas, via sniffers, é um dos problemas considerados ao se decidir pelo SSL em um site!
Quando falamos de e-commerce a preocupação com segurança é ainda maior pois envolve <dinheiro>.
A presença do “cadeado” no navegador já faz com que o usuário sinta-se mais seguro!
“Site seguro significa usuário/cliente seguro!!!”
Opa, aqui a segurança tinha uma brecha...Joomla!, SSL e um pouco sobre segurança
Vamos tratar da segurança do Joomla!... Joomla!, SSL e um pouco sobre segurança
➢Bloqueie o acesso aos arquivos .XML via “.htaccess”;
## Deny access to extension xml files (uncomment out to activate)<Files ~ "\.xml$">Order allow,denyDeny from allSatisfy all</Files>## End of deny access to extension xml files
➢Use bons provedores de hospedagem (“você tem aquilo pelo qual paga”);
➢Defina corretamente as permissões dos arquivos e pastas;➢ Arquivos: 644➢ Pastas: 755
O sh404SEF também atua na segurançaJoomla!, SSL e um pouco sobre segurança
Mesmo sem usar URL´s amigáveis você é protegido pelos recursos do sh404SEF!
Configuração da Segurança no sh404SEFJoomla!, SSL e um pouco sobre segurança
O campo “Check also forms data (POST)” marcado na imagem ao lado está como “não” pois pode causar o erro “Forbidden access (<script> tag in POST)” ao se usar exemplos de código nas postagens, como em fóruns(Kunena).
Parando os SpambotsJoomla!, SSL e um pouco sobre segurança
➢Formas de barrar estes scripts que costumam se registrar em sites e postar em formulários e fóruns:
➢ Usar um sistema de verificação de palavras como o “akismet”;
➢ Uso de serviços de listas negras como Spamhaus e outros;
➢ Bloqueio por IP, nome de usuário e/ou e-mail;
➢ Instalação de um sistema de Captcha.
Parando os Spambots: Registration ValidatorJoomla!, SSL e um pouco sobre segurança
Um plugin que reduziu em mais 95% os meus problemas!
Este pequeno notável, o Registration Validator, faz a verificação de todos que tentam se registrar ou postar dados no site, via Botscout, Undisposable.net, StopForumSpam e Spamhaus, além de verificar o DNS.
Mantém um arquivo de registro de atividades. Ex.:
Referências...tão importante quanto a palestra
Joomla!, SSL e um pouco sobre segurança
- RapidSSL - http://www.rapidssl.com
- GeoTrust - http://www.geotrust.com
- POST from http to https: The hidden security http://kartones.net/blogs/kartones/archive/2010/01/20/post-from-http-to-https-the-hidden-security.aspx
- HTTP POST -> HTTPS = Bad Idea® - http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/
- HTTPS best practices in general - https://www.owasp.org/index.php/SSL_Best_Practices
- SSL For Newbs - http://www.sslshopper.com/article-ssl-for-newbs.html
- Kunena Fórum - http://www.kunena.org
- Brian Teeman - http://brian.teeman.net
- Anything Digital - http://anything-digital.com/sh404sef/seo-analytics-and-security-for-joomla.html
- CEDIT - http://www.cedit.biz/joomla-extensions/18-registration-validator/22-block-disposable-email-addresses
- VirtueMart – http://virtuemart.net - ARP Spoofing - http://www.osischool.com/protocol/arp/arp-spoofing
Sucesso a Todos!!!
Joomla!, SSL e um pouco sobre segurança
● http://www.fernandosoares.com.br● Especialista em Joomla! e VirtueMart● Twitter: @fernando_soares● Skype: fsoarestec● E-mail: [email protected]● Palestras: http://www.slideshare.net/fernandosoares