Segurança

Funções PHP Bloqueadas

Todos sabem que a segurança dos dados hoje em dia é indispensável e que deve haver prioridade máxima no assunto. É por isto que adotamos uma série de medidas desde o último ano para aumentar a segurança. Uma destas medidas é bloquear as funções mais "perigosas" do PHP.

Veja abaixo alguns tipos de invasões:

Invasões: Client Side

Apesar dos inúmeros avisos quanto à permissões e à CAUTELA na utilização de scripts desconhecidos, isto é perfeitamente possível de acontecer já que o script é a porta de entrada para o visitante.

Invasões: Server Side

Neste tipo de invasão (mais rara), o "hacker" (na verdade, um "lammer") tenta invadir qualquer área do servidor e, apesar de não conseguir as senhas, consegue acesso à pasta do cliente (web site). Este tipo de invasão não ocorreu até o presente momento, porém, caso o cliente desatento permita que sua conta seja invadida, esta pode se tornar porta de entrada para a invasão de outros web sites.

O que fazer?

Há diversas medidas para garantir a não-invasão do servidor (server side) e dos clientes (client side). Todas as medidas possíveis foram aplicadas nos servidores Linux e Windows, mas é necessário tomar algumas precauções, como por exemplo JAMAIS aplicar permissão (chmod via FTP) maior que 644 em arquivos e 755 em pastas, pois o servidor já está configurado com permissão de escrita e leitura por padrão em TODOS os sites.

Solução Definitiva

Uma solução definitiva de segurança foi aplicada para ajudar a melhorar a segurança e algumas funções do PHP também foram bloqueadas. Caso o cliente receba o erro abaixo, então é possível que seu script necessite de alguma destas funções:

Error: has been disabled for security reasons

Onde "" refere-se ao nome da função bloqueada, exemplo: phpinfo(), exec(), etc.

Alguns scripts que necessitam de funções consideradas perigosas (por exemplo: shell(), shell_exec())

Grande parte dos maiores scripts do mundo atualmente necessitam de atenção especial. É o caso do script Magento, por exemplo (loja virtual). Também podemos citar o Joomla (em alguns casos, alguns componentes podem necessitar de determinadas funções especiais), Horde (webmail), etc.

Também há scripts como OpenX (antigo adsnew, que nada mais é do que um adversting server (servidor de propagandas)). Também a maioria dos scripts CRM, como Sugar, Virgos, Vtiger, etc.

O que fazer se eu receber o erro de "Função bloqueada por medidas de segurança (xxxx has been disabled for security reasons)"?

Basta enviar um e-mail para seu suporte ou abrir um ticket, anexando o erro (o erro informado acima) e então, o caso será avaliado e a função poderá ser desbloqueada ESPECIFICAMENTE para a aplicação (raíz do site ou pasta do script).

A/C Revendedores

Srs. Revendedores,

É de inteira responsabilidade de vossa parte a garantia de segurança para com os clientes, visando reduzir o número baixíssimo de incidentes. Também é de responsabilidade dos revendedores TRANSMITIR as informações enviadas periodicamentepor nossa equipe, à fim de igualar o conhecimento entre Empresa -> Cliente.

Lembrando que é completamente permissiva a reutilização dos nossos e-mails como base no enfoque da transmissão da mensagem.

Qualquer dúvida ou problema, por favor, entre em contato conosco.

Date Published : 08/06/2010 23:39