• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Joomla!, SSL e um pouco sobre segurança
 

Joomla!, SSL e um pouco sobre segurança

on

  • 3,277 views

Apresentação do Joomla!Day Brasil 2011

Apresentação do Joomla!Day Brasil 2011

Statistics

Views

Total Views
3,277
Views on SlideShare
3,218
Embed Views
59

Actions

Likes
2
Downloads
64
Comments
2

4 Embeds 59

http://www.joomlaclube.com.br 32
http://paper.li 15
http://us-w1.rockmelt.com 10
http://a0.twimg.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

12 of 2 previous next

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Joomla!, SSL e um pouco sobre segurança Joomla!, SSL e um pouco sobre segurança Presentation Transcript

    • , e um pouco sobre segurança
    • Joomla!, SSL e um pouco sobre segurança SSL (Secure Sockets Layer) uma pequena definição para uma grande solução ➢ É uma tecnologia de segurança utilizada para criptografar os dados trafegados entre o computador do usuário e um servidor(onde está o seu site). ➢ O protocolo SSL previne que os dados trafegados possam ser capturados ou mesmo modificados no trajeto entre o navegador do usuário e o servidor.
    • Joomla!, SSL e um pouco sobre segurança Acessando um site com SSL ➢ Nota-se o “https” na barra de endereços do navegador; ➢ A indicação do “Certificado SSL”, podendo a barra tornar-se verde; ➢ Nem todos os navegadores mostram o cadeado na barra.
    • Joomla!, SSL e um pouco sobre segurança Certificados SSL, escolhendo corretamente... Antes que uma autoridade de certificação emita um Certificado SSL, ela precisa validar as informações fornecidas no pedido do certificado, logo quanto mais completa a validação, maior a confiabilidade do certificado. Validação de Domínio Validação da Validação Extendida Validação da Organização (EV) Organização (Domain Validation) (Organization Validation) (Extended Validation) “Coringa” (Wildcard) Valida que o domínio está Valida a propriedade do Valida a propriedade do Mesmo que a "Validação da registrado e que alguém com domínio, além das domínio e informações da Organização" direitos de administrador informações sobre a organização, além da Certifica todos os está ciente e aprova o organização incluídas no existência legal da subdomínios. pedido do certificado. certificado (nome, cidade, organização e que a estado, país). organização está ciente e aprova o pedido do certificado. Encriptação SSL de até 256 bits Subdomínio único* Subdomínios Ilimitados
    • Joomla!, SSL e um pouco sobre segurança O que você precisa saber para solicitar ➢ Verifique a viabilidade e custos de instalação com seu provedor de hospedagem; ➢ Cada certificado SSL precisa de um endereço IP dedicado, consulte custos; ➢ Antes da aquisição é preciso solicitar o CSR (Certificate Signing Request), ou Pedido de Assinatura de Certificado, ao seu provedor de hospedagem; ➢ O CSR é enviado para a empresa certificadora; ➢ Empresa certificadora faz todas as verificações e envia o Certificado SSL; ➢ Seu provedor faz a instalação do Certificado SSL no servidor.
    • Joomla!, SSL e um pouco sobre segurança Qual a aparência de um CSR? O CSR normalmente é composto por três partes igualmente importantes, confira...✔Certificate Request ✔Certificate ✔ Private Key (requisição de certificado) (certificado) (chave privada)
    • Joomla!, SSL e um pouco sobre segurança Finalmente o Certificado SSL
    • Joomla!, SSL e um pouco sobre segurança Compatibilizando o site para o SSL... ✔ Usar links relativos em módulos, plugins e componentes; Lembrando: ✔ Link relativo: “/arquivo.html” ✔ Link absoluto: “http://www.seusite.com.br/arquivo.html” ✔ Quando necessário force o redirecionamento de todo o site para “https”; ✔ Links para arquivos ou imagens externas a serem carregados pelo site precisam usar o protocolo “https”; ✔ Sempre que possível carregue imagens localmente; ✔ Formulários precisam postar os dados para a URL segura (https); ✔ Módulos de login precisam ser revisados com muita atenção.
    • Joomla!, SSL e um pouco sobre segurança Site compatibilizado: Conexão 100% Criptografada
    • Joomla!, SSL e um pouco sobre segurança Site não compatibilizado: Conexão Parcialmente Criptografada
    • Joomla!, SSL e um pouco sobre segurança Administração do Joomla! com SSL O Joomla! já está preparado para trabalhar com SSL e isso facilita tudo na hora de tornar o acesso a administração segura. Lembrem-se de remover o valor da variável “$live_site” no arquivo “configuration.php” do Joomla! antes de habilitar esta opção.
    • Joomla!, SSL e um pouco sobre segurança Módulo de Login Nativo do Joomla! Seguro O módulo de login nativo do Joomla! também já vem preparado!
    • Joomla!, SSL e um pouco sobre segurança Tornando o Login do Kunena 1.6 Seguro Uma pequena alteração garante um login seguro no fórum Kunena. ➢ No arquivo “login.php” faça uma pequena mudança.. (pasta “/components/com_kunena/template/default/loginbox/”)
    • Joomla!, SSL e um pouco sobre segurança Com JRoute() fica fácil! ➢ No arquivo “route.php” do Kunena verificamos que ele usa o JRoute() do Joomla! (pasta “/administrator/components/com_kunena/libraries/”)
    • Joomla!, SSL e um pouco sobre segurança Usando o VirtueMart com SSL Na configuração do VirtueMart é necessário setar a “URL Segura” e selecionar as áreas que usarão SSL Normalmente usa-se SSL para: Normalmente usa-se SSL para: ➢ Account Account ➢ ➢ Admin ➢ Admin ➢ Checkout ➢ Checkout
    • Joomla!, SSL e um pouco sobre segurança Ajustes no login do VirtueMart O VirtueMart não usa o JRoute() nos módulos atuais mas o acréscimo de uma linha de código nos locais indicados resolve a questão do login seguro.
    • Joomla!, SSL e um pouco sobre segurança Ajustes no módulo de login do VirtueMart O módulo de login do VirtueMart (mod_virtuemart_login) também necessita do acréscimo de linhas de código nos locais indicados para tornar o login seguro.
    • Joomla!, SSL e um pouco sobre segurança Segurança em Outros Códigos “De modo geral, é preciso garantir que os dados de formulários de login sejam postados para uma URL segura (https)” Para aplicações críticas: ✔ Uma página de login totalmente HTTPS é fundamental; ✔ A presença de qualquer mensagem de alerta SSL é uma falha; ✔ Conexões HTTP à página de login devem ser descartadas.
    • Joomla!, SSL e um pouco sobre segurança Segurança nunca é demais! O roubo de dados e senhas em redes abertas, via sniffers, é um dos problemas considerados ao se decidir pelo SSL em um site! Quando falamos de e-commerce a preocupação com segurança é ainda maior pois envolve <dinheiro>. A presença do “cadeado” no navegador já faz com que o usuário sinta-se mais seguro! “Site seguro significa usuário/cliente seguro!!!”
    • Joomla!, SSL e um pouco sobre segurança Opa, aqui a segurança tinha uma brecha...
    • Joomla!, SSL e um pouco sobre segurança Vamos tratar da segurança do Joomla!... ➢Bloqueie o acesso aos arquivos .XML via “.htaccess”; ## Deny access to extension xml files (uncomment out to activate) <Files ~ ".xml$"> Order allow,deny Deny from all Satisfy all </Files> ## End of deny access to extension xml files ➢Use bons provedores de hospedagem (“você tem aquilo pelo qual paga”); ➢Defina corretamente as permissões dos arquivos e pastas; ➢ Arquivos: 644 ➢ Pastas: 755
    • Joomla!, SSL e um pouco sobre segurança O sh404SEF também atua na segurança Mesmo sem usar URL´s amigáveis você é protegido pelos recursos do sh404SEF!
    • Joomla!, SSL e um pouco sobre segurança Configuração da Segurança no sh404SEF O campo “Check also forms data (POST)” marcado na imagem ao lado está como “não” pois pode causar o erro “Forbidden access (<script> tag in POST)” ao se usar exemplos de código nas postagens, como em fóruns(Kunena).
    • Joomla!, SSL e um pouco sobre segurança Parando os Spambots ➢ Formas de barrar estes scripts que costumam se registrar em sites e postar em formulários e fóruns: ➢ Usar um sistema de verificação de palavras como o “akismet”; ➢ Uso de serviços de listas negras como Spamhaus e outros; ➢ Bloqueio por IP, nome de usuário e/ou e-mail; ➢ Instalação de um sistema de Captcha.
    • Joomla!, SSL e um pouco sobre segurança Parando os Spambots: Registration Validator Um plugin que reduziu em mais 95% os meus problemas! Este pequeno notável, o Registration Validator, faz a verificação de todos que tentam se registrar ou postar dados no site, via Botscout, Undisposable.net, StopForumSpam e Spamhaus, além de verificar o DNS. Mantém um arquivo de registro de atividades. Ex.:
    • Joomla!, SSL e um pouco sobre segurança Referências ...tão importante quanto a palestra RapidSSL - http://www.rapidssl.com GeoTrust - http://www.geotrust.com POST from http to https: The hidden security http://kartones.net/blogs/kartones/archive/2010/01/20/post-from-http-to-https-the-hidden-security.aspx HTTP POST -> HTTPS = Bad Idea® - http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/ HTTPS best practices in general - https://www.owasp.org/index.php/SSL_Best_Practices Kunena Fórum - http://www.kunena.org VirtueMart – http://virtuemart.net Brian Teeman - http://brian.teeman.net Anything Digital - http://anything-digital.com/sh404sef/seo-analytics-and-security-for-joomla.html CEDIT - http://www.cedit.biz/joomla-extensions/18-registration-validator/22-block-disposable-email-addresses
    • Joomla!, SSL e um pouco sobre segurança ● http://www.fernandosoares.com.br ● Especialista em Joomla! e VirtueMart ● Twitter: @fernando_soares ● Skype: fsoarestec ● E-mail: fsoares@fsoares.com.br ● Palestras: http://www.slideshare.net/fernandosoares Sucesso a Todos!!!