Escolar Documentos
Profissional Documentos
Cultura Documentos
Valparaiso de Goias / GO
2013
SIGAE
O sistema SIGAE (Sistema Gerenciador de Auto Escola) foi desenvolvido numa arquitetura
moderna, um sistema on-line e roda no navegador de Internet.
O sistema no necessita de instalao no computador.
A segurana das informaes um dos principais fatores que garante a qualidade do software.
O SIGAE realiza backups de hora em hora para servidores remotos.
Plasticidade no acesso do sistema
Relatrios, consultas principalmente de gesto so muito importantes para o acompanhamento
dos trabalhos, dos processos e, alm disso, auxilia o empresrio na tomada de decises.
O controle financeiro, o acompanhamento do fluxo de caixa como tambm as contas a receber
fazem um grande diferencial.
Outros itens que destacamos a praticidade e facilidade na consulta de clientes e
acompanhamento do seu processo.
Ambiente Operacional
Padres de Desenvolvimento
Nome do
Sistema
Banco de Servidor de
Modelagem
Linguagem de
Sistema
Operacional
Dados
Aplicao
Utilizada
Programao
Sigae
Windows xp
MySql
Sigae
Css
PHP
Xhtml
Levantamento de Requisitos
1. Qual e o nome da empresa?
2. Qual a sua funo?
3. Em que o sistema operacional o programa executado?
4. Qual o tipo de sistema utilizado?
5. Qual o nome do sistema ou software utilizado?
6. Como funciona o sistema em termo de execuo?
Integridade
Ameaas
Confidenciabilida Negao de
Autenticao
de
Servio
- modificao de
- eavesdropping
- bloqueio da
dados do usurio
- roubo de
conexo
personificao
- browser cavalo de
info/dado do
- inundao da
de usurios
Tria
servidor/cliente
mquina com
legtimos
- modificao
- info da
de memria
configurao da
- modificao
rede/mquinas...
isolamento mqui
de dados
de mensagens
- info de qual
na por ataques a
em trnsito
Consequnci
as
- perda de info
- perda de
- interrupo
- m
- compromete a
informao
- aborrecimento
representao
mquina
- perda
realizar seu
- crena
outras ameaas
trabalho
que informa
o falsa
verdadeira
Medidas
- tcnicas
criptogrficas
ico
Integridade
Ataques contra integridade consistem em alteraes maliciosas de dados, programas,
mensagens e at mesmo informaes da memria. Este tipo de ataque devastador. Na
maioria dos sistemas, este tipo de ataque permite ao atacante ler/modificar/remover qualquer
arquivo, enviar mensagem, etc, enfim ter total controle de seu computador.
Confidenciabilidade
Este ataque tenta revelar informaes confidenciais para terceiros. Um atacante pode tentar
obter estas informaes na mquina do usurio ou no servidor. Normalmente, assumimos que
informaes em nossas mquinas locais so privadas, mas poucos tm cincia de que uma vez
que voc esteja conectado Internet estas informaes podem no se tornar to confidenciais
assim. Por exemplo, os "browsers" normalmente mantm caches locais de visitas efetuadas
pelos usurios a servidores Web que podem revelar alguns "hbitos" deste usurio.
Negao de Servio
Esta uma das mais srias ameaas na Web e a mais difcil de prevenir. Este tipo de ataque
consiste em aes maliciosas que desviam acessos a um determinado servio que se encontra
disponvel. Web spoofing um exemplo tpico deste tipo de ataque, acessos feitos a
determinado servidor Web so desviados para um outro servidor, normalmente um clone.
Veja o exemplo abaixo:
Autenticao
Neste caso, o atacante se faz passar por outro, obtendo a senha do usurio por algum mtodo
qualquer, como por exemplo, filtrando pacotes na rede e capturando senhas no
criptografadas.
Segurana no Servidor
Em um ambiente cliente/servidor as atenes normalmente esto direcionadas para o
servidor, onde residem as informaes e portanto foco de ameaas. Os clientes na Web esto
fora de nossa guarda e assim fora do nosso controle. A proteo do cliente, no o grande
objetivo, a no ser quando se trata de sua privacidade. Segurana no servidor Web consiste,
em geral, em um ponto crtico em relao para algumas organizaes que tem a Web a sua
principal fonte de renda.
Os assuntos de segurana tratados aqui so direcionados ao servidor Apache em ambiente
Unix por ser o mais utilizado na Internet. Mas, a maioria das recomendaes, tpicos,
sugestes, etc. mencionada vlida para outros servidores Web.
Configuraes Bsicas
Um dos maiores problemas de segurana, assim como com outros servios de rede, o mau
gerenciamento. Sistemas distribudos com uma m configurao pode significar um desastre.
Sistemas crescem e tambm crescem em sua complexidade. Se no se tem uma boa
configurao torna-se difcil o emprego de uma poltica de gerenciamento satisfatria.
Arquivos de configuraes contm diretivas que so tratadas pelo daemon httpd. Estas
diretivas controlam o comportamento de funes do servidor, como: controle de
acesso a pginas (nomes e senhas), disponibilizao de recursos, etc.
Alguns cuidados devem ser levados em considerao: saiba o que j vem previamente
configurado em seu servidor ao instal-lo; comente (iniba) o desnecessrio e conhea bem o
que voc tem configurado em seu servidor Web; configure seu servidor para tratar acessos
indevidos; no esquea de checar seus logs constantemente, etc.
Estrutura de Diretrios
A estrutura hierrquica de diretrios de um servidor Web composta de dois diretrios. Os
diretrios:
gera a sada
O tamanho deste arquivo 34564 bytes
gera a sada
Este um exemplo de texto de um outro arquivo
<< texto includo >>
Texto acima foi includo do arquivo arquivo.shtml
SSIs so bastante teis, mas podem tambm ser "caros" computacionalmente, acabam com a
portabilidade e podem abrir srios furos de segurana. Se esta funcionalidade no necessria
para o seu servidor, melhor desabilit-la.
Autenticao
Em geral, servios Web so muito dependentes de servidores de nomes. Se um servidor de
nome atacado, servidores Web dependentes deste servio podem ter sua autenticao
comprometida.
Autenticao Bsica
Um servio que prov autenticao bsica utiliza a identificao do usurio (username) e a
senha, que passa as claras (sem criptografia) pela rede. No mximo, em alguns casos, alguns
pequenos "mascaramentos" so utilizados como o redirecionamento para uuencode do Unix.
Algumas restries de acesso podem ser utilizadas via arquivo .htaccess. Este arquivo contm
diretivas, palavras chaves que norteiam o acesso do httpd.
Uma vez autenticado, vem a autorizao. Existem dois tipos de autorizao: por diretrio e
por servidor. Por diretrio, significa restrio de acesso a um determinado diretrio dentro de
sua rvore do seu web space. Veja exemplo de um .htaccess:
AuthGroupFile /usr/local/httpd/etc/group
AuthUserFile /usr/local/httpd/etc/user
AuthName Empresa ABC
AuthType Basic
order allow,deny
allow from all
deny from .badguy.com.br
require
user antonio
require
group suporte
Autorizaes por servidor somente muda a localizao das diretivas, agora definidas no
servidor, que podem ser sobrepostas por outras por diretrio.
Digest Authentication
Diferentemente do que ocorre em Autenticao Bsica, em DA a senha no passa pela rede
as claras. A comunicao entre as partes envolvidas, neste esquema, contm um checksum,
por default MD5 (http://ds.internic.net/rfc/rfc1321.txt), o username, a senha, o mtodo HTTP,
e um autenticador nico (geralmente um nmero randmico longo), alm da URL requisitada.
O objetivo melhorar a segurana de senhas.
CGI Scripts
Quase todo servidor Web que se visita utiliza algum tipo de contedo ativo. Common
Gateway Interface (CGI), um tipo de metalinguagem ou middleware, que permite a
interoperabilidade requerida por este contedo. um mecanismo independente de plataforma
provido pelo servidores Web que permitem executar programas/scripts a partir de uma URL.
Estes scripts so geralmente escritos em Perl, Shell, Tcl, Java, Python ou C (maioria escritos
em linguagem interpretadas) e localizados normalmente em um diretrio /cgi-bin.
Aplicaes CGI escritas sem cuidados com segurana podem causar srios problemas a
vulnerabilidades de servidores Web.
Um CGI script sendo executado sob o mesmo UID do servidor Web no necessariamente
um fato ruim, mas se alguma aplicao CGI possui um furo de segurana que permite que um
atacante execute programas sob UID do servidor Web, isso pode acarretar um problema
bastante srio ao seu site.
Disponibilidade do Sistema Web
01.O que devo observar para otimizar uma aplicao Web?
Em termos de problemas de uma tpica arquitetura Web devemos observar a estatstica
mostrada onde ocorrem a maioria dos problemas. Com isto fica mais fcil atacar os possveis
problemas ou mais comuns que giram em torno de 90% da maioria dos problemas de
escalabilidade Web.
Possveis solues:
> verifique todas as transaes, as sncronas e assncronas, pois podem estar aumento o uso da
fila na CPU (queuing) e sobrecarregando a CPU
02. Problema: Alta Atividade (em uso/chamada) dos Sistemas no A.S., mas com baixo
indicador de "page-per-second" para paginas dinmicas
Indicador: Veja todos indicadores de uso da CPU disponveis
Possveis solues:
possvel programao/codificao ineficiente: muitos loops, chamadas a funes
desnecessrias, pginas dinmicas que poderiam ser estticas, etc.
03. Problema: Baixa atividade no A.S., grandes tempos de respostas, muitos timeouts
observados nas mquinas clientes.
Concluso
Aps o trmino desta atividade, o grupo melhorou muito o conhecimento individual com
relao ao sistema de uma empresa. Alm de conhecer novas tcnicas, metodologias que so
implantadas em cada empresa como ela atua para se manter no mercado de trabalho buscando
sempre inovao e tcnicas de aprimoramento empresarial. Pois se for observado, no dia-adia, no existem empresas organizadas sem um bom sistema para fazer o seu controle,
organizao e tarefas.
Bibliografia
A.D. Rubin, D. Geer, and M.J. Ranum, Web Security Sourcebook, John Wiley & Sons, New
York, 1997.
A.D. Rubin, D. Geer, A Survey of Web Security, Computer, September 1998, pp 34-41.
B. Laurie and P. Laurie, Apache: The Definite Guide, 2nd Edition, O'Reilly, 1999.
MOLINARI, Leonardo. Gerncia de Configurao - Tcnicas e Prticas no Desenvolvimento
do Software, Editora Visual Books, 2007, Florianpolis, 85-7502-210-5.
Gerncia de Projetos - Tcnicas e Prticas com nfase em Web, Editora rica, 2004, So
Paulo, 85-7194-0050.
BTO - Otimizao da Tecnologia de Negcio, Editora rica, 2003, So Paulo, 85-7194-9506.
Testes de Software - Produzindo Sistemas Melhores e Mais Confiveis, Editora rica, 2006,
3a Edio, So Paulo, 85-7194-959X.
STICKYMINDS. Endereo: http://www.stickyminds.com/.