Universidade de Aveiro
Este blog destina-se a acompanhar o desenvolvimento do projecto "Civitas", integrado na disciplina do 3º Ano de Projecto de NTC.
post anterior
Sexta-feira, 11 de Junho de 2010
Avaliação de segurança versão Beta
Avaliação de segurança projecto Civitas
Introdução
Para a avaliação da segurança da aplicação o grupo entendeu recorrer a um especialista da área, elaborando agora uma síntese das principais conclusões.
Opinião técnica
Foi considerada um boa decisão quanto à escolha da plataforma “drupal”, já que evita problemas de segurança que surgem com as muitas configurações necessárias à interligação das várias tecnologias.
Foi considerada um boa decisão quanto à escolha da plataforma “drupal”, já que evita problemas de segurança que surgem com as muitas configurações necessárias à interligação das várias tecnologias.
Foi detectado um problema por não realização de um update de segurança de segurança mandatório,
Surere-se que seja feito um update de ,(Administer » Reports » Webform 6.x-2.7 ; para a versão 6.x-2.9 (não recomendo a versão beta)).
O Role "comun", "kid" e "member" têm permissões de "change own username", o que pode levar a problemas e pequenos actos de vandalismo, o utilizador muda o próprio nome realiza a acção e depois volta a colocar o seu nome original. Não é um problema grande mas na minha opinião o username nunca deve poder ser trocado pelo próprio utilizador.
O Role "member" tem demasiadas permissões de administração, o utilizador "member" pode por exemplo tornar um utilizador Kid num utilizador Admin, escalando assim as permissões para além das que ele próprio tem. Isto é uma enorme falha de segurança. Recomendo que revejam os roles de segurança!
O Error reporting esta a ser feito tanto para os logs como para o ecrã, em fase de desenvolvimento e testes. É útil mas deve ser desligada a escrita de mensagens de erro para o ecrã.
Não estão a garantir que as passwords utilizadas são seguras, deviam instalar um modulo de drupal como o http://drupal.org/project/password_stren
Não consegui testar nada da componente de criação de utilizadores de forma manual, já que não me foi devolvido o email de confirmação, como tal efectuei os testes com utilizadores criados pelo utilizador com permissões de administração.
As restantes verificações de segurança têm a ver com as configurações realizadas no sistema onde este site foi alojado e as configurações base do drupal, como esse sistema é o da faculdade, e já que toda a instalação do próprio drupal foi feita pelo centro de técnico da mesma, considerou-se que se encontra fora do âmbito deste teste validar as configurações tanto do sistema como do drupal, para alem que para efectuar tais verificações seriam necessárias mais permissões que as que foram fornecidas.
O teste foi realizado com Filipe Miguel Magalhães de Sousa Ribeiro Felisberto
Formado em Eng. Informática pela Escola Superior de Tecnologia e Gestão do Instituto Politécnico de Leiria.
Actualmente a realizar investigação no CIIC e a tirar o Mestrado em Eng. Informática ramo Computação Móvel
Conclusões
O Grupo vai corrigir estas questões seguindo as indicações dadas durante este ensaio de segurança
O grupo Civitas
Comentar: