Segurana em CGI

A programao em CGI lhe oferece algo surpreendente: to logo seu script esteja online, ele disponibilizado imediatamente para todo o mundo. Qualquer pessoa, de quase qualquer lugar, pode executar o aplicativo que voc criou em seu servidor web. Isso pode chegar a excit-lo, mas tambm deve assust-lo. Nem todos que usam a Internet tm intenes honestas. Crackers (invasores) podem tentar vandalizar suas pginas web, para mostrar a amigos. Competidores ou investidores podem tentar acessar informaes internas sobre sua empresa e seus produtos. Nem todos os aspectos de segurana envolvem usurios malficos. A disponibilidade mundial de seu script CGI significa que algum pode executar seu script sob determinadas circunstncias as quais voc nunca imaginou e, certamente, nunca testou. Seu script web no deve apagar arquivos porque aconteceu de algum colocar uma apstrofe em um campo de formulrio, mas isso possvel e aspectos como esses tambm representam preocupaes com segurana. A importncia da segurana na web Muitos projetistas de CGI no levam a segurana to a srio quando deveriam. Assim, antes de olharmos como tornar scripts CGI mais seguros, vamos ver porque deveramos nos preocupar com segurana, em primeiro lugar: 1. Na Internet, seu web site representa sua imagem pblica. Se suas pginas web no esto disponveis, ou foram vandalizadas, isso afeta as impresses dos outros quanto sua empresa, ainda que o foco de sua empresa nada tenha a ver com a tecnologia da web. 2. Voc pode ter valiosas informaes em seu servidor web. Voc pode ter informaes sensveis ou valiosas disponveis em uma rea restrita que pode querer preservar contra pessoas no autorizadas a acessar. Por exemplo, voc pode ter contedo ou servios disponveis a membros pagantes, que no deseja que clientes no-pagantes ou nomembros acessem. At arquivos que no fazem parte de sua rvore de documentos do servidor web e portanto, no est disponvel online a ningum (por exemplo, nmeros de carto de crdito), podem ser comprometidos. 3. Algum que tenha invadido seu servidor web tem acesso mais fcil ao restante de sua rede. Se voc no tiver informaes valiosas em seu

servidor web, provavelmente voc no pode dizer o mesmo sobre toda a rede. Se algum invadir seu servidor web, muito mais fcil entrar em outro sistema em sua rede, especialmente se o seu servidor web estiver dentro do firewall de sua empresa (o que, por este motivo, em geral uma m idia). 4. Voc sacrifica o rendimento em potencial quando seu sistema est fora do ar. Se a sua empresa gera recursos diretamente de seu web site, certamente voc perde lucros quanto seu sistema est indisponvel. Entretanto, mesmo que voc no caia neste grupo, pode ser que voc oferea literatura mercadolgica. ou informaes de contato online. Clientes em potencial, que no sejam capazes de acessar estas informaes, podem buscar em outro lugar ao tomar suas decises. 5. Voc desperdia tempo e recursos corrigindo problemas. Voc precisa realizar muitas tarefas quando seus sistemas so comprometidos. Primeiro, voc precisa determinar a extenso do prejuzo. Depois, provavelmente, voc precisa recuperar a partir de backups (cpias de segurana). Voc precisa ainda determinar o que aconteceu de errado. Se um cracker conseguiu acesso ao seu servidor web, ento voc precisa determinar como o cracker conseguiu isso, para evitar futuras invases. Se um script CGI tem arquivos danificados, ento voc precisa localizar e corrigir o bug (erro) para evitar futuros problemas. 6. Voc se expe a riscos. Se voc desenvolveu scripts CG I para outras empresas e um daqueles scripts CGI responsvel por um grande problema de segurana, ento voc pode ser considerado o responsvel. No entanto, ainda que seja a sua empresa para quem voc est desenvolvendo scripts CGI, voc pode ser responsabilizado por terceiros. Por exemplo, se algum invadir seu servidor web, pode usar isto como uma base de ataques para outras empresas. Da mesma forma, se sua empresa armazena informaes que outros consideram sensveis (por exemplo, os nmeros de carto de crditos de seus clientes), voc pode ser responsabilizado por ele, se aquelas informaes vazarem.

Estas so apenas algumas das muitas razes pelas quais a segurana da web to importante. Voc mesmo pode ser capaz de ter outros motivos. Assim, agora que voc reconhece a importncia de criar scripts CGI seguros, pode estar imaginando o que torna seguro um script CGI. Isso pode ser resumido em uma mxima simples: nunca confie em

quaisquer dados vindos do usurio. Isso parece bem simples, mas na prtica no . No restante deste captulo, exploraremos como fazer isso.
Nota: esse texto foi retirado do livro: Programao CGI com perl Oreilly

Download feito no site: www.CgiClube.net