Your SlideShare is downloading. ×
0
,   e um pouco sobre segurança
Joomla!, SSL e um pouco sobre segurança                          SSL (Secure Sockets Layer)                          uma p...
Joomla!, SSL e um pouco sobre segurança                         Acessando um site com SSL     ➢         Nota-se o “https” ...
Joomla!, SSL e um pouco sobre segurança          Certificados SSL, escolhendo corretamente...   Antes que uma autoridade d...
Joomla!, SSL e um pouco sobre segurança               O que você precisa saber para solicitar   ➢   Verifique a viabilidad...
Joomla!, SSL e um pouco sobre segurança                           Qual a aparência de um CSR? O CSR normalmente é composto...
Joomla!, SSL e um pouco sobre segurança                        Finalmente o Certificado SSL
Joomla!, SSL e um pouco sobre segurança                 Compatibilizando o site para o SSL...     ✔   Usar links relativos...
Joomla!, SSL e um pouco sobre segurança   Site compatibilizado: Conexão 100% Criptografada
Joomla!, SSL e um pouco sobre segurança      Site não compatibilizado: Conexão Parcialmente                      Criptogra...
Joomla!, SSL e um pouco sobre segurança                  Administração do Joomla! com SSL   O Joomla! já está preparado pa...
Joomla!, SSL e um pouco sobre segurança          Módulo de Login Nativo do Joomla! Seguro   O módulo de login nativo do Jo...
Joomla!, SSL e um pouco sobre segurança              Tornando o Login do Kunena 1.6 Seguro   Uma pequena alteração garante...
Joomla!, SSL e um pouco sobre segurança                              Com JRoute() fica fácil!   ➢   No arquivo “route.php”...
Joomla!, SSL e um pouco sobre segurança                       Usando o VirtueMart com SSL   Na configuração do VirtueMart ...
Joomla!, SSL e um pouco sobre segurança                       Ajustes no login do VirtueMart   O VirtueMart não usa o JRou...
Joomla!, SSL e um pouco sobre segurança            Ajustes no módulo de login do VirtueMart   O módulo de login do VirtueM...
Joomla!, SSL e um pouco sobre segurança                       Segurança em Outros Códigos   “De modo geral, é preciso gara...
Joomla!, SSL e um pouco sobre segurança                          Segurança nunca é demais!   O roubo de dados e senhas em ...
Joomla!, SSL e um pouco sobre segurança            Opa, aqui a segurança tinha uma brecha...
Joomla!, SSL e um pouco sobre segurança                Vamos tratar da segurança do Joomla!...  ➢Bloqueie o acesso aos arq...
Joomla!, SSL e um pouco sobre segurança              O sh404SEF também atua na segurança                                  ...
Joomla!, SSL e um pouco sobre segurança            Configuração da Segurança no sh404SEF                                  ...
Joomla!, SSL e um pouco sobre segurança                               Parando os Spambots   ➢   Formas de barrar estes scr...
Joomla!, SSL e um pouco sobre segurança         Parando os Spambots: Registration Validator   Um plugin que reduziu em mai...
Joomla!, SSL e um pouco sobre segurança                                              Referências                          ...
Joomla!, SSL e um pouco sobre segurança ●   http://www.fernandosoares.com.br ●   Especialista em Joomla! e VirtueMart ●   ...
Upcoming SlideShare
Loading in...5
×

Joomla!, SSL e um pouco sobre segurança

3,054

Published on

Apresentação do Joomla!Day Brasil 2011

Published in: Economy & Finance
2 Comments
2 Likes
Statistics
Notes
No Downloads
Views
Total Views
3,054
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
72
Comments
2
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Joomla!, SSL e um pouco sobre segurança"

  1. 1. , e um pouco sobre segurança
  2. 2. Joomla!, SSL e um pouco sobre segurança SSL (Secure Sockets Layer) uma pequena definição para uma grande solução ➢ É uma tecnologia de segurança utilizada para criptografar os dados trafegados entre o computador do usuário e um servidor(onde está o seu site). ➢ O protocolo SSL previne que os dados trafegados possam ser capturados ou mesmo modificados no trajeto entre o navegador do usuário e o servidor.
  3. 3. Joomla!, SSL e um pouco sobre segurança Acessando um site com SSL ➢ Nota-se o “https” na barra de endereços do navegador; ➢ A indicação do “Certificado SSL”, podendo a barra tornar-se verde; ➢ Nem todos os navegadores mostram o cadeado na barra.
  4. 4. Joomla!, SSL e um pouco sobre segurança Certificados SSL, escolhendo corretamente... Antes que uma autoridade de certificação emita um Certificado SSL, ela precisa validar as informações fornecidas no pedido do certificado, logo quanto mais completa a validação, maior a confiabilidade do certificado. Validação de Domínio Validação da Validação Extendida Validação da Organização (EV) Organização (Domain Validation) (Organization Validation) (Extended Validation) “Coringa” (Wildcard) Valida que o domínio está Valida a propriedade do Valida a propriedade do Mesmo que a "Validação da registrado e que alguém com domínio, além das domínio e informações da Organização" direitos de administrador informações sobre a organização, além da Certifica todos os está ciente e aprova o organização incluídas no existência legal da subdomínios. pedido do certificado. certificado (nome, cidade, organização e que a estado, país). organização está ciente e aprova o pedido do certificado. Encriptação SSL de até 256 bits Subdomínio único* Subdomínios Ilimitados
  5. 5. Joomla!, SSL e um pouco sobre segurança O que você precisa saber para solicitar ➢ Verifique a viabilidade e custos de instalação com seu provedor de hospedagem; ➢ Cada certificado SSL precisa de um endereço IP dedicado, consulte custos; ➢ Antes da aquisição é preciso solicitar o CSR (Certificate Signing Request), ou Pedido de Assinatura de Certificado, ao seu provedor de hospedagem; ➢ O CSR é enviado para a empresa certificadora; ➢ Empresa certificadora faz todas as verificações e envia o Certificado SSL; ➢ Seu provedor faz a instalação do Certificado SSL no servidor.
  6. 6. Joomla!, SSL e um pouco sobre segurança Qual a aparência de um CSR? O CSR normalmente é composto por três partes igualmente importantes, confira...✔Certificate Request ✔Certificate ✔ Private Key (requisição de certificado) (certificado) (chave privada)
  7. 7. Joomla!, SSL e um pouco sobre segurança Finalmente o Certificado SSL
  8. 8. Joomla!, SSL e um pouco sobre segurança Compatibilizando o site para o SSL... ✔ Usar links relativos em módulos, plugins e componentes; Lembrando: ✔ Link relativo: “/arquivo.html” ✔ Link absoluto: “http://www.seusite.com.br/arquivo.html” ✔ Quando necessário force o redirecionamento de todo o site para “https”; ✔ Links para arquivos ou imagens externas a serem carregados pelo site precisam usar o protocolo “https”; ✔ Sempre que possível carregue imagens localmente; ✔ Formulários precisam postar os dados para a URL segura (https); ✔ Módulos de login precisam ser revisados com muita atenção.
  9. 9. Joomla!, SSL e um pouco sobre segurança Site compatibilizado: Conexão 100% Criptografada
  10. 10. Joomla!, SSL e um pouco sobre segurança Site não compatibilizado: Conexão Parcialmente Criptografada
  11. 11. Joomla!, SSL e um pouco sobre segurança Administração do Joomla! com SSL O Joomla! já está preparado para trabalhar com SSL e isso facilita tudo na hora de tornar o acesso a administração segura. Lembrem-se de remover o valor da variável “$live_site” no arquivo “configuration.php” do Joomla! antes de habilitar esta opção.
  12. 12. Joomla!, SSL e um pouco sobre segurança Módulo de Login Nativo do Joomla! Seguro O módulo de login nativo do Joomla! também já vem preparado!
  13. 13. Joomla!, SSL e um pouco sobre segurança Tornando o Login do Kunena 1.6 Seguro Uma pequena alteração garante um login seguro no fórum Kunena. ➢ No arquivo “login.php” faça uma pequena mudança.. (pasta “/components/com_kunena/template/default/loginbox/”)
  14. 14. Joomla!, SSL e um pouco sobre segurança Com JRoute() fica fácil! ➢ No arquivo “route.php” do Kunena verificamos que ele usa o JRoute() do Joomla! (pasta “/administrator/components/com_kunena/libraries/”)
  15. 15. Joomla!, SSL e um pouco sobre segurança Usando o VirtueMart com SSL Na configuração do VirtueMart é necessário setar a “URL Segura” e selecionar as áreas que usarão SSL Normalmente usa-se SSL para: Normalmente usa-se SSL para: ➢ Account Account ➢ ➢ Admin ➢ Admin ➢ Checkout ➢ Checkout
  16. 16. Joomla!, SSL e um pouco sobre segurança Ajustes no login do VirtueMart O VirtueMart não usa o JRoute() nos módulos atuais mas o acréscimo de uma linha de código nos locais indicados resolve a questão do login seguro.
  17. 17. Joomla!, SSL e um pouco sobre segurança Ajustes no módulo de login do VirtueMart O módulo de login do VirtueMart (mod_virtuemart_login) também necessita do acréscimo de linhas de código nos locais indicados para tornar o login seguro.
  18. 18. Joomla!, SSL e um pouco sobre segurança Segurança em Outros Códigos “De modo geral, é preciso garantir que os dados de formulários de login sejam postados para uma URL segura (https)” Para aplicações críticas: ✔ Uma página de login totalmente HTTPS é fundamental; ✔ A presença de qualquer mensagem de alerta SSL é uma falha; ✔ Conexões HTTP à página de login devem ser descartadas.
  19. 19. Joomla!, SSL e um pouco sobre segurança Segurança nunca é demais! O roubo de dados e senhas em redes abertas, via sniffers, é um dos problemas considerados ao se decidir pelo SSL em um site! Quando falamos de e-commerce a preocupação com segurança é ainda maior pois envolve <dinheiro>. A presença do “cadeado” no navegador já faz com que o usuário sinta-se mais seguro! “Site seguro significa usuário/cliente seguro!!!”
  20. 20. Joomla!, SSL e um pouco sobre segurança Opa, aqui a segurança tinha uma brecha...
  21. 21. Joomla!, SSL e um pouco sobre segurança Vamos tratar da segurança do Joomla!... ➢Bloqueie o acesso aos arquivos .XML via “.htaccess”; ## Deny access to extension xml files (uncomment out to activate) <Files ~ ".xml$"> Order allow,deny Deny from all Satisfy all </Files> ## End of deny access to extension xml files ➢Use bons provedores de hospedagem (“você tem aquilo pelo qual paga”); ➢Defina corretamente as permissões dos arquivos e pastas; ➢ Arquivos: 644 ➢ Pastas: 755
  22. 22. Joomla!, SSL e um pouco sobre segurança O sh404SEF também atua na segurança Mesmo sem usar URL´s amigáveis você é protegido pelos recursos do sh404SEF!
  23. 23. Joomla!, SSL e um pouco sobre segurança Configuração da Segurança no sh404SEF O campo “Check also forms data (POST)” marcado na imagem ao lado está como “não” pois pode causar o erro “Forbidden access (<script> tag in POST)” ao se usar exemplos de código nas postagens, como em fóruns(Kunena).
  24. 24. Joomla!, SSL e um pouco sobre segurança Parando os Spambots ➢ Formas de barrar estes scripts que costumam se registrar em sites e postar em formulários e fóruns: ➢ Usar um sistema de verificação de palavras como o “akismet”; ➢ Uso de serviços de listas negras como Spamhaus e outros; ➢ Bloqueio por IP, nome de usuário e/ou e-mail; ➢ Instalação de um sistema de Captcha.
  25. 25. Joomla!, SSL e um pouco sobre segurança Parando os Spambots: Registration Validator Um plugin que reduziu em mais 95% os meus problemas! Este pequeno notável, o Registration Validator, faz a verificação de todos que tentam se registrar ou postar dados no site, via Botscout, Undisposable.net, StopForumSpam e Spamhaus, além de verificar o DNS. Mantém um arquivo de registro de atividades. Ex.:
  26. 26. Joomla!, SSL e um pouco sobre segurança Referências ...tão importante quanto a palestra RapidSSL - http://www.rapidssl.com GeoTrust - http://www.geotrust.com POST from http to https: The hidden security http://kartones.net/blogs/kartones/archive/2010/01/20/post-from-http-to-https-the-hidden-security.aspx HTTP POST -> HTTPS = Bad Idea® - http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/ HTTPS best practices in general - https://www.owasp.org/index.php/SSL_Best_Practices Kunena Fórum - http://www.kunena.org VirtueMart – http://virtuemart.net Brian Teeman - http://brian.teeman.net Anything Digital - http://anything-digital.com/sh404sef/seo-analytics-and-security-for-joomla.html CEDIT - http://www.cedit.biz/joomla-extensions/18-registration-validator/22-block-disposable-email-addresses
  27. 27. Joomla!, SSL e um pouco sobre segurança ● http://www.fernandosoares.com.br ● Especialista em Joomla! e VirtueMart ● Twitter: @fernando_soares ● Skype: fsoarestec ● E-mail: fsoares@fsoares.com.br ● Palestras: http://www.slideshare.net/fernandosoares Sucesso a Todos!!!
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×