Arquivo da tag: web

Programação

Escrevendo com PHP

Deixe um comentário

Este post é bem básico, pois é destinado a quem está começando com PHP.

O primeiro passo para começar a programar com PHP é inicializar o servidor, como vimos em post anterior.

Após inicializar o servidor temos que abrir um editor para escrever nosso código. Vamos usar um bem simples, o Bloco de Notas.

Todo código PHP deve obrigatoriamente estar entre as tags <?php ?>.

Escrevendo o primeiro código

Dentro do Bloco de Notas digite o seguinte comando:

<?php
  echo 'Escrevendo meu primeiro comando';
?>

Após escrever o primeiro comando, salve o arquivo dentro da pasta do servidor para que seja possível visualizar o resultado no navegador.

Clique em Arquivo > Salvar.

Na opção Tipo, altere para Todos os arquivos (*.*), como mostra na imagem abaixo.

php-comandos-echo

 

 

 

 

 

 

 

 

Selecione o local onde este arquivo deve ser salvo. O Xampp tem uma pasta especifica chamada htdocs, que é onde ficam os projetos/arquivos salvos para visualização no navegador.

Selecione o diretório C:/xampp/htdocs

Observação: Se você instalou o servidor em outro diretório, seu caminho pode ser diferente.

Digite o seguinte nome comandoecho.php, não esquecendo de digitar o ‘.php’.

Sua tela deve estar assim:

php-comandos-echo-salvando

Clique em Salvar.

Para visualizar o resultado do código, abra o navegador.

Digite o seguinte endereço: http://localhost/comandoecho.php

php-comandos-echo-navegador

 

Tecnologia

Conheça um dos ”guardiões” da chave que reinicia a web em caso de ataque

Deixe um comentário

Imagine um ataque aos Estados Unidos, que danifique os servidores vitais à segurança da internet. Um hacker então aproveita essa vulnerabilidade e começa a redirecionar endereços para sites maliciosos, provocando o caos em escala global e obrigando sete profissionais selecionados a utilizar smartcards que, juntos, fornecem uma senha para reiniciar a rede. Parece um cenário catastrófico demais para se tornar realidade?

Especialistas em segurança na web acham que não. Tanto que, no final de julho do ano passado, foi apresentado ao mundo pela Icann (sigla em inglês para “Corporação para Atribuição de Nomes e Números na Internet”) um comitê de sete “guardiões” de smartcards especiais – eles são semelhantes a um cartão de crédito comum, daqueles com chip. É preciso reunir ao menos cinco desses guardiões em um banco de dados nos EUA para obter uma senha e reiniciar o protocolo de segurança DNS (“Sistemas de Nomes de Domínio”). O DNS permite que a rede tenha endereços de site legítimos, impedindo assim que um internauta seja levado a um site fraudulento quando digitar o endereço de seu banco, por exemplo.

Entre os sete guardiões está Ondrej Surý, da República Tcheca. Responsável por um dos cartões de segurança, ele é gerente de pesquisas e desenvolvimento em DNS, além de voluntário da Anistia Internacional em Praga. Os outros seis membros de diversas nacionalidades são Bevil Wooding (Trinidad e Tobago), Dan Kaminsky (Estados Unidos), Jiankang Yao (China), Moussa Guebre (Burkina Fasso), Norm Ritchie (Canadá) e Paul Kane (Inglaterra).

Além deles, outras 14 pessoas fazem parte de um grupo dos representantes de confiança da comunidade (TCR, na sigla em inglês) da Icann.

Senha

No caso de um desastre, Surý e os demais membros teriam de se encontrar em um banco de dados nos EUA, onde estão os módulos de segurança de hardware (HSM, na sigla em inglês). Juntos, seus cartões formariam uma senha para utilizar um desses equipamentos, dando assim início ao processo de recuperação do protocolo da internet.

“Para ter redundância, a Icann tem duas instalações em cada lado dos Estados Unidos”, diz Frederico Neves, coordenador técnico do Registro.br, organização que cuida do registro de domínios para a internet no Brasil. Ele também participa do TCR, mas como Oficial de Criptografia da Instalação da costa leste norte-americana. “Estamos lá para assegurar à comunidade que tudo seja feito de acordo com os procedimentos nessas cerimônias de controle de chaves de segurança. A maior parte do trabalho é documentar, auditar e ter um nível de garantia de que tudo está de acordo com as regras”, explica.

Apesar de ser uma posição de confiança, os membros são todos voluntários – até mesmo as passagens para as cerimônias de troca de chaves de segurança saem dos bolsos deles. O especialista tcheco cedeu entrevista ao UOL Tecnologia contando sobre como é ter a segurança da internet em suas mãos, a qual transcrevemos abaixo.

UT – Qual o seu papel nessa comunidade de representantes confiáveis da Icann?

Ondrey Surý – O DNS é um protocolo de internet, algo como as páginas amarelas [da lista telefônica]. Se você digita o nome de um website, ele o converte em um número IP [protocolo de internet], garantindo que o internauta entre em páginas autênticas, receba e-mails e realize outras atividades online. O que o DNS faz é levar o internauta a uma página real. Sem isso, um hacker poderia utilizar um endereço de IP e direcionar as pessoas para um site falso.

Esse sistema precisa ser protegido. Nós operamos a chave principal de segurança do DNS na costa oeste e leste dos Estados Unidos. No improvável caso dos dois módulos de segurança de hardware serem apagados ao mesmo tempo, ao menos cinco pessoas deveriam ir aos EUA e restaurar o backup do sistema.

UT – De repente, você apareceu no mundo inteiro em notícias sobre as “sete chaves da internet no apocalipse”. O que pensou sobre isso?

Surý – É um papel importante, mas não tanto quanto foi colocado pelos artigos ingleses. Para que sejamos acionados, é preciso que as duas unidades nos extremos dos EUA sejam avariadas e deletadas. E eu teria de ir até lá para utilizar minha chave, fazendo o backup do backup. É algo tão improvável que eu não acho que vá acontecer algum dia.

Mas é importante ter essa garantia de segurança. Além disso, os artigos falavam sobre “instalações secretas”, mas não são! Ambas têm endereços públicos, embora sejam de alta segurança. E isso é importante: tanto que uma pessoa não pode abrir os códigos sozinha.

UT – Por que a Icann escolheu você?

Surý – Eu acho que foi porque trabalho com segurança de DNS há algum tempo. Mesmo antes desse processo todo, já estava envolvidos com o assunto. É como se fosse um gesto de gratidão: já fizemos muito para manter o protocolo seguro. Além disso, eles precisavam melhorar alguns fatores e é necessário um nível de conhecimento para saber sobre todos os procedimentos.

Como navegar na web com segurança

UT – O que acontece se você perder este smartcard?

Surý – Seria complicado. Tecnicamente, há mais seis cartões e você precisa de apenas cinco. Mas eu ficaria tão envergonhado que isso me deixaria triste pelo resto da vida.

UT – Mesmo sendo improvável, se acontecer um ataque o que seria preciso fazer?

Surý – Precisamos estar fisicamente juntos e ler o smartcard nos Estados Unidos, porque a chave funciona direto no módulo de segurança de hardware. Nós o usaríamos para restaurar o backup da chave mestra. Para isso, temos de estar no prédio.

UT – E se não funcionar?

Surý – Aí vira caso de emergência, o que seria ruim. Mas há 90 dias para restaurar a chave. É bastante tempo para testes, são três meses para assegurar uma nova operação e tomar alguma ação.

UT – Você acha que algum dia vai precisar usar a chave?

Surý – Não, eu espero não ter de usar, seria muito ruim. Porque algo de errado teria de acontecer com as duas costas dos Estados Unidos ao mesmo tempo e isso acabaria envolvendo a segurança do mundo inteiro.

Fonte: Tecnologia UOL

Informática

Proteja-se dos perigos da web com estas dicas de segurança

Deixe um comentário

Você sabe muitíssimo bem que deve manter o antivírus atualizado para fugir dos trojans, e não é ingênuo o suficiente para baixar qualquer aplicativo de sites desconhecidos, certo?

Mesmo tomando conta dos quesitos básicos, a sensação de insegurança ainda é forte em você. O que fazer? Seguem algumas dicas avançadas de segurança para você se proteger dos ataques mais comuns da atualidade.

Mas lembre-se: segurança é escambo. Ao adotar algumas dessas medidas, esteja pronto para enfrentar algumas inconveniências. Só que o computador é seu, assim como a escolha.

Scripts

Uma dica que deve manter a maioria dos leitores protegida na web: não execute JavaScript em paginas que não conhece.

O JavaScript é bastante popular, e motivos para isso não faltam. Roda em praticamente todos os browsers e transforma a web em algo muito mais dinâmico. Só que ao mesmo tempo o JavaScript pode seduzir o browser e obrigá-lo a executar algo que pode não ser seguro – algo malicioso.

As instruções maliciosas podem desde carregar um elemento hospedado em outra página até tornar viáveis ataques conhecidos por cross-site, que dão ao criminoso a habilidade de se fazer passar por outra pessoa em sites legítimos.

Os ataques JavaScript estão por toda parte. Se você é observador do Facebook, deve ter visto o mais recente deles. Os scammers têm configurado páginas legítimas na rede social e oferecem bônus de 500 dólares para quem copiar e colar determinado código na barra de navegação do browser.

O código em questão é um script em Java e jamais deve ser adicionado ao navegador. O truque é usado para incluir dados em pesquisas não autorizadas, entupir o perfil das redes sociais com spam e até mesmo enviar páginas danosas para o usuário. As explicações foram dadas por um especialista de segurança, Chris Boyd, que integra a equipe de pesquisas na empresa Sunbelt Software.

Os mal intencionados podem recorrer a outras técnicas e inserir códigos JavaScript em páginas invadidas ou maliciosas. Para contornar esse problema, você pode usar um plug-in para Firefox chamado NoScript, que permite controlar quais websites podem ou não executar instruções JavaScript no browser. Com o NoScript, antivírus de qualidade duvidosa e ataques online não vão mais explodir na cara do internauta quando este acessa novos sites.

Drive-by e cross-site

O negócio é negar toda execução de scripts para, depois, criar uma lista de sites confiáveis. Dessa maneira, você ficará passando longe dos chamados drive-by attacks, praga comum atualmente na web.

O NoScript também vem com um bloqueador de cross-site scripting. Esse tipo de script já existe há algum tempo, mas ultimamente os criminosos o tem usado cada vez mais para tomar controle de contas em sites como Facebook e YouTube.

Caso o navegador-padrão de seu computador não seja o Firefox e você não tenha intenção em instalar o browser da Mozilla, pode usar a opção nativa do Chrome, desabilitar a execução de JavaScript e depois criar uma lista de sites confiáveis.

Infelizmente não existe um equivalente ao NoScript para as plataformas IE e Safari. Aos usuários do Internet Explorer fica a opção de configurar as zonas de Internet de maneira a serem consultados cada vez que um script tenta acessar o browser. Na versão 8 do IE foi adicionada uma proteção ao cross-site scripting capaz de deter alguns ataques desse tipo.

Adobe Reader

Outra alternativa interessante é desabilitar a execução de JavaScript no Adobe Reader. De acordo com a Symantec, quase a metade de todos os ataques via web de 2009 deu-se com base em arquivos .pdf maliciosos. Se as vítimas tivessem desabilitado a execução desses scripts, teriam passado ao largo desses ataques.

É fácil desabilitar o script no ambiente do Reader. Basta acionar o menu Editar -> Prefererências -> Java Script e desmarcar a janela que cita o recurso.

Como mencionado acima, a desvantagem nessas configurações é que são pouco convenientes. Desabilitar a execução de JavaScript nos browsers impede a exibição correta de vários conteúdos, como animações, filmes e páginas dinâmicas. Muitos usuários, cansados das intermináveis tentativas de abrir alguns sites e sem conseguir ver o conteúdo, acabam permitindo a execução dos scripts nessas páginas.

O mesmo acontece com o Reader, em que alguns formulários preenchidos na web podem não ser transmitidos de maneira correta sem o JavaScript; em todo caso, muitos não se importam de ter de alterar as configurações de JavaScript no Reader quando necessário e voltar para o normal depois disso.

Fuja dos antivírus falsos

Muitas pessoas têm passado por essa experiência ultimamente: visitam em uma página web completamente legítima quando, do nada, um pop-up explode na tela e avisa que “seu computador está correndo risco”. O internauta fecha a janela, mas não adianta. Outras mensagens implorando para que ele faça já um exame online do contingente de arquivos na máquina continuam surgindo.

Se o visitante der a oportunidade desse programa verificar a presença de vírus na máquina, certamente esse software vai encontrar algum problema e recomendar que o internauta instale imediatamente o programa que vai salvar o sistema.

Como o software é caro, o internauta vai buscar o cartão de crédito para transferir  o dinheiro pedido pela janela de “compre já” e, ao fazê-lo, acaba enchendo os bolsos de algum criminoso. Trata-se de um antivírus falso.

Esses softwares têm sido a principal preocupação referente a segurança nos últimos anos. Aos olhos das vítimas, os pop-ups já parecem uma infecção; cada vez que tentam fechar uma janela, aparece outra em seu lugar.

O que fazer?

Primeiro: Não compre o software. É um placebo, um engodo, e é capaz de danificar o sistema. Pressione o conjunto Alt + F4 para encerrar o browser ou acione o gerenciador de tarefas e feche o aplicativo de navegação. Normalmente, encerrar o browser resolve a questão.

Também é preciso ficar atento quando se busca, na Internet, informações sobre notícias de última hora. Os bandidos da internet costumam ficar de olho no que acontece no Google Trends e nos Trending Topics do Twitter e são capazes de inserir rapidamente uma página no topo da página de resultados do site de buscas Google em questão de horas.

Apesar das tentativas da Google em barrar essas atividades, é difícil fazê-lo quando trata-se de uma história emergente e altamente procurada. “Elimine os riscos acessando apenas sites de notícias em que confia ou, pelo menos, procure por notícias no canal de notícias do buscador”, sugere Boyd.

Leitores PDF

Não fique na dependência do Word e do Adobe Reader.

Sim, os dois programas são tremendamente populares, mas não são – de longe – os mais robustos quando o assunto é segurança. Os dois aplicativos são fracos em avisar quando o arquivo que se quer abrir pode conter alguma vulnerabilidade.

Os piratas da internet têm como alvo sistemas e plataformas populares. Por isso, visam na maioria das vezes plataformas consagradas, como o Windows, e menos os sistemas alternativos como Linux e Mac.

Sair da rota e usar aplicativos menos populares é uma saída razoável para a questão. Não raramente, quem entende bastante de segurança prefere usar programas como o Foxit Reader ou o PDF Studio para visualizar o conteúdo de PDFs.

No caso de documentos do Word, PowerPoint e Excel, sua abertura pode ser feita usando-se a suíte de aplicativos OpenOffice. A desvantagem é visual: é possível que os arquivos não sejam exibidos de maneira idêntica à experimentada no ambiente original. Essa diferença elimina as chances de usar os programas alternativos no dia-a-dia. Mas para horas em que o desconfiômetro entra em alerta, é uma manobra inteligente.

Verifique antes de abrir

Por que especialistas em segurança usam leitores alternativos para PDF e .doc?

Há anos eles vêm nos alertando sobre isso: não abram arquivos de origens desconhecidas. Executáveis sem referências de origem são problema na certa, mas os hackers já descobriram maneiras de invadir as máquinas alheias usando documentos codificados de maneira danosa.

A vasta maioria desses ataques se aproveitam de falhas conhecidas em versões mais antigas de determinado software. Adicionalmente, ocorrem os ataques chamados de zero-day, ou dia zero, em português. É comum que essa onda de ataques aconteça em larga escala e se concentre em brechas recém-descobertas e ainda não solucionadas.

A melhor saída é adotar aplicativos alternativos para abrir os documentos. Se essa não for uma solução viável, há outras.

Deixe a Google fazer o trabalho por você. Encaminhe os arquivos para contas do Gmail e permita que o serviços escaneie o conteúdo. Depois disso, pode converter o arquivo e abri-lo no Google Docs para verificar a autenticidade.

Se quiser, pode submeter os arquivos à varredura online do VirusTotal. Ele examina os documentos com base em 41 motores de antivírus diferentes – se algo for encontrado, você saberá.

Brecha da desatualização

A versão do RealPlayer que você baixou há vários anos pode ser uma lacuna monstruosa no esquema de segurança do PC. Aliás, se não anda usando o player, melhor desinstalar. Faça o mesmo com toda a lista de softwares que andam ociosos em seu PC.

Do ponto de vista da segurança, qualquer software largamente utilizado oferece aos hackers de plantão a plataforma ideal para invasões e quebras de barreiras de segurança. Uma ferramenta útil é a do site Secunia Online Software Inspector, que rastreia e identifica software desatualizado em seu PC.

Mas não pare por aí. A Mozilla criou uma página de serviços que verifica se os plugins que estão instalados na máquina – inclusive pertencentes a outros browsers (IE, Opera, Firefox e Chrome) – devem ser atualizados.

Vale a pena verificar se os aplicativos que instalou no Facebook não estão inchando demais seu perfil. Conecte-se ao site, clique em Conta -> Configuração de aplicativos e veja quais aplicativos você tem instalados. Não usa? Apague.

Guardião de senhas

O tempo todo nós temos de lembrar de um sem-número de senhas na web. Isso não é novidade, mas a maioria de nós contorna essa circunstância usando senhas e nomes de usuário padrão.

Isto é de conhecimento dos hackers, que usam essa informação contra você com água na boca. É comum eles furtarem um nome de usuário e uma senha de acesso e tentar aplicar em contas do Facebook, Gmail, PayPal e Yahoo!.

Ainda bem que existem vários aplicativos para dar conta da tarefa de gerir as 20 senhas diferentes que são pedidas cada vez que você quer enviar um email, fazer uma compra ou simplesmente fofocar.

O KeePass Password Safe é um desses programas que guardam as senhas para você. Eles demandam um pouco mais de trabalho por sua parte, pois exigem que você fique alternando entre a janela do navegador e a interface do gerenciador de senhas. Mas, como tudo na vida, é uma questão de equilíbrio entre custo e benefício.

Usuários do Firefox podem usar o aplicativo KeeFox plug-in, que integra o gerenciamento de senhas do KeePass ao navegador.

Informática

Se desaparecer do Google é impossível, saiba como despistar o “Big Brother” da internet

Deixe um comentário

Após comprar DVDs pornô pela web, um internauta teve seu nome publicado no site de e-commerce. Ao tentar esclarecer uma dúvida com o vendedor, o comprador dos DVDs – estrelados respectivamente por Caroline Miranda e Vivi Ronaldinha – postou o nome completo. Meses depois, ele percebeu que, ao fazer uma busca pelo seu nome, esse era um dos primeiro resultados que aparecia. O homem entrou em contato com o site de comércio eletrônico e pediu para tirarem a menção ao nome. A informação foi excluída. No entanto, no Google ainda aparece a identificação do comprador.

A história é insólita, mas ilustra que não é possível fugir do serviço de busca do Google. Há vários casos semelhantes na internet de pessoas que querem remover citações aos seus nomes – inclusive ameaçando ir até o escritório da empresa em São Paulo para reclamar. Não dá para sumir do Google, mas há maneiras de diminuir a exposição.

Assim como o comprador dos DVDs, se você está em uma lista de aprovados de vestibular ou concurso, tem escrituras em um cemitério municipal, foi citado ou fez comentário em um blog ou já deu entrevista para um jornal impresso que tenha versão online, há grandes chances de seu nome estar na internet, esteja você de acordo ou não.

Isso ocorre pois, constantemente, os serviços de busca indexam – ou numa linguagem mais simples, agregam – sites novos, velhos ou atualizados no “banco de dados” do buscador. Ou seja, não existe um controle. Tudo que estiver relacionado a um nome, por exemplo, estará mais cedou ou mais tarde no Google.

Em dezembro do ano passado, em entrevista à CNBC, Eric Schmidt, CEO do Google, disse: “Se você tem algo que você não quer que ninguém saiba, talvez você não deva publicar isso na internet”, quando perguntado sobre a questão da privacidade na internet. Quanto ao moço dos DVDs, o Google alegou que “apenas organiza as informações” e que “não gera conteúdo”. Como recomendação, em comunicado, o Google sugere ao usuário que pare de clicar no resultado, pois isso pode mantê-lo em evidência nas buscas.

Como fugir

Não há muitas possibilidades para quem quer fugir do Google. Só o fato de o usuário ter uma conta no Twitter ou no Facebook com seu nome completo, durante uma busca é possível acessar o link para acesso ao perfil dessas pessoas nas redes sociais.

Segundo o analista sênior de SEO (Otimização de Motores de Busca) Bruno Galileu – que tem como função melhorar o posicionamento de websites em serviços de busca -, a única solução é se “camuflar”. “O jeito é não participar de nada com o nome real ou, em casos de comentários em blogs, postar como anônimo.” Até porque, na internet, como no momento da prisão, qualquer coisa divulgada pode ser usado para falar sobre você, seja de forma negativa ou positiva.

Há alguns anos, por exemplo, era comum a sobreposição de imagens para que o rosto de famosas e famosos aparecessem sobre corpos nus – mesmo que as celebridades nunca tivessem posado sem roupa. Com o surgimento de redes sociais e blogs, anônimos também viraram alvo dessas brincadeiras (muitas vezes de mau gosto), tendo suas informações e fotos reproduzidas de acordo com o interesse de outros internautas. No orkut, por exemplo, há comunidades em que internautas reclamam de já ter sido vítimas de perfil “roubado”, enquanto no Twitter são inúmeros os casos de contas fake (falsas).

A prova de que internautas podem produzir – de forma voluntária ou involuntária – informações contra eles próprios e pessoas queridas está na criação de Tumblrs, espécie de blog caracterizado por fotos e textos curtos. O cantor Felipe Dylon é atualmente protagonista de um dos Tumblrs mais populares, que reúne fotos postadas em seu blog oficial e também nas páginas de fãs. A intenção é outra, mas o conteúdo acaba sendo satirizado.

O que fazer?

“Com o desenvolvimento tecnológico, a questão da privacidade fica à mercê do juiz que está cuidando do caso e das circunstâncias da ação”, explica o advogado Renato Opice Blum, especialista em direito eletrônico. Ele ressalta que a gravidade do caso pode ser mensurada pelo grau de constrangimento que um texto ou uma imagem pode causar a uma pessoa.

Em linhas gerais, o conselho para quem se sentir lesado por algo na internet é juntar provas (dar prints na tela e salvar) e procurar o autor da injúria ou o portal que hospeda a informação caluniosa. Caso haja recusa, a pessoa deve procurar um advogado.

No entanto, o acesso direto a um site não é a única forma de visualizar um conteúdo. Muitas pessoas procuram informações através de serviços buscadores. “Às vezes um conteúdo pode ser retirado de um site, porém, se você fizer uma busca, você verá que aquele constrangimento sofrido pode estar por lá ainda”, adverte Opice Blum.

Nesse caso, complementa o advogado, o buscador, por não ter indexado as atualizações da página com a difamação se torna co-autor da ação e pode ser submetido a pagar uma indenização à pessoa lesada.

Para saber o que estão falando de você na web há dois aplicativos que ajudam na função. Há o Google Alerts. Basta digitar as palavras que você quer monitorar e cadastrar um e-mail. De estilo semelhante, tem o Social Mention e o Keotag. Ambos fazem buscas em blogs e redes sociais.