Atenção a todos os desenvolvedores ASP.NET!

A Microsoft anunciou esta semana sobre uma falha crítica em todas as versões do framework.

Ocorre o seguinte, segundo alguns hackers que descobriram o problema, arquivos de configuração - como Web.Config, por exemplo - podem ser acessados e lidos. Ou seja, se houver alguma informação sigilosa ali, normalmente é onde os programadores adicionam as "connection strings" (linha de comando de acesso ao Banco de Dados), ela pode ser acessada e utilizada por alguém mal intencionado.

A falha é acessível por meio de telas de erro (famosas telas amarelas do ASP.NET), então como medida temporária, a Microsoft lançou uma atualização que inibe que essa tela apareça. Alterando-a para o alerta abaixo:

O problema é que se o servidor onde seu sistema está hospedado tiver sido atualizado, enquanto essa falha não for corrigida, as telas de erro ficam inacessíveis e muitos desenvolvedores utilizam as informações ali mostradas para diagnosticar erros. Mas antes isso, a perder um sistema para um hacker mal intencionado.

Uma dica para quem desenvolve, altere arquivo Web.Config da sua aplicação da seguinte forma:

<customErrors defaultRedirect="PaginaPadraoDeErro.htm" mode="Off"></customErrors> 

Dessa forma, toda vez que houver um erro na aplicação, o usuário será redirecionado para uma página de erro padrão.

Assim que tivermos mais informações, postamos.

[ATUALIZAÇÃO]

A Microsoft solucionou o caso e já liberou a atualização. Então, atualizem seus servidores ou entrem em contato com seu provedor de hospedagem caso ainda não tenha sido resolvido o problema.

Mais informações em: http://www.microsoft.com/technet/security/advisory/2416728.mspx

Em um projeto recente desenvolvemos uma pequena aplicação em ASP.NET que deveria ser disponibilizada em portais parceiros. Esta aplicação foi instalada no nosso site e diversos parceiros, por questão de usabilidade e layout, decidiram inserir esta aplicação em um IFRAME. Essa aplicação dependia de algumas informações armazenadas na Session do usuário para o seu funcionamento correto, principalmente dados de autenticação.

No Firefox e no Google Chrome a aplicação funcionou corretamente, mas no IE (6.0, 7.0 e 8.0) o sistema não funcionava, pois as variáveis de Session não eram mantidas durante a navegação da aplicação.

Pesquisando pela WEB descobri que se trata de uma diretiva de segurança do IE que não permite que aplicações rodando em IFRAME e que estejam hospedadas em sites de terceiros armazenem Cookies na máquina do cliente, e como as variáveis de Session do ASP.NET, no seu uso padrão, dependem de Cookies, a utilização de Session ficou prejudicada. Esta diretiva de segurança é baseada na especificação P3P (Plataform for Privacy Preferences), da W3C (World Wide Web Consortium), e diz que somente sites que tenham descrito claramente como utilizarão os dados recebidos pelo IFRAME poderão ter acesso aos Cookies através de IFRAME. Esta descrição é em formato de código, e pode ser inserida no header da aplicação.

Em termos práticos, basta adicionar a linha abaixo ao seu código ASP.NET (normalmente no método PAGE_LOAD da MasterPage de uma página ASPX):

Response.AddHeader("P3P", "CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");

Outro ponto que achei importante repassar é que em um POST que eu li (infelizmente perdi o link deste POST), o usuário diz que o CHARSET da página que chama o IFRAME e das páginas internas do IFRAME devem ser o mesmo.

Mais informações em:

http://support.microsoft.com/kb/293222/

http://www.w3.org/P3P/

Abs,

Até a próxima.

Fernando D'Angelo

Fala, galera!

Pesquisando sobre segurança de aplicações WEB, encontrei uma matéria muito bacana sobre como proteger uma aplicação WEB de ataques Spoofing. Nesta matéria, o autor discute a técnica conhecida como “word-verification technology” (Tecnologia de Verificação de Frase), vantagens e desvantagens de implementação. O CAPTCHA, desenvolvido pela Carnegie Mellon University que tem por finalidade diferenciar humanos de computadores, apresenta um problema simples para os humanos resolverem, mas extremamente complexo para que os computadores resolvam em um curto período de tempo. Os usuários lêem o texto que se encontra na imagem e o digitam novamente nos formulários de login para realizar a validação.

Leia mais em http://www.microsoft.com/brasil/msdn/Tecnologias/aspnet/Spoofing.mspx.

Abraços!