Olá leitores,

Primeiramente, estou iniciando esta coluna e espero poder contar com a colaboração de todos. Comentem, critiquem, de sugestôes... assim a gente cresce juntos! Bem, vamos ao assunto da semana:

Então você tem um site na internet, que está começando a crescer, a ter muitos usuários e ser bem divulgado? Que ótimo! E a segurança dos dados desses usuários? Cuidado, quanto maior o número de usuários e mais conhecido seu "site" estiver, mais gente interessada em conseguir "informações" de seus usuários vão aparecer! Se você ainda nao se preocupou com a segurança, é melhor tomar certos cuidados.

Bom, se o mundo fosse perfeito, ninguem precisaria de senhas não é verdade? Mas infelizmente isso não é verdade, então você é obrigado a guardar em local seguro (de preferência apenas na sua cabeça) várias senhas e logins dos mais diversos sites que você precisa utilizar... Você tem uma senha para cada site ? Se tem, como que vc consegue lembrar de todas elas ? Bom, chega de perguntas! Você sabe, como eu também, que a maioria das pessoas utiliza uma, duas ou no máximo 3 senhas diferentes, as variações são mínimas, e as excessões também... A senha do banco só não é a mesma do messenger porque o banco obriga a muda-la e impõe algumas regras não é ? :)

Bom.. .sabemos que nós usuários somos assim, que se preocupem com segurança os desenvolvedores e os "donos" dos sites. Então meu amigo desenvolvedor, não decepcione seus usuários, cuide da segurança deles!

Vamos a um exemplo prático:

Seu usuário digita o seu email que é o "User name", a sua senha secreta e pronto, tem todas as possibilidades! E se não for o usuáio que deveria ser? Vamos nos preocupar com isso! Primeiramente, o PHP corrigiu uma grande falha de segurança das suas versões anteriores: as variáveis globais:

Crie um arquivo e imprima o valor de uma variavel qualquer, utilizando a forma global ($variavel) e pelo seu escopo, por exemplo $_GET['variavel], e chame esse arquivos enviando a variavel pela URL com o valor 123.

Se seu servidor estiver configurado corretamente você só deverá ver a variável GET, se o valor 123 aparecer na variável GLOBAL, é melhor você começar a se preocupar pois dessa forma, o valor de uma variável que "deveria" esta vindo de determinado formulário por exemplo, pode estar vindo de qualquer lugar, até mesmo da URL e isso é uma porta escancarada para invadirem os dados de seus usuários! Com um mínimo de esforço, poderiam desenvolver um programa que enviasse os valores pela URL, digamos, tentando achar a senha começando de 0 até 999999. O emaiil é fácil de se descobrir pois pode ser visto no "Banco de usuários", e o esforço é apenas para descobrir a sequência correta de números da senha!

Bom, mas desabilitar as variáveis globais não é tudo... Vamos a mais algumas dicas:

- Não dificulte a vida de seus usuários criando um sistema de senhas mirabolante, você vai acabar com menos usuários pois não terão paciência para gravar a senha gerada.
- Email = User Name ? Pode ser, em casos de exigência de uma segurança maior, o "user name" diferente é como uma senha a mais no sistema.
- Como já falado, desabilite as variáveis globais, dificulte a vida de quem quer invadir seu sistema.
- Insira um campo de verificação, onde o valor digitado tem q ser "VISTO" ou calculado por uma pessoa, assim você "quebra" grande parte dos programas automáticos para descobrir senhas! Esses campos são aquelas imagens com números difíceis de ver.
- Depois de certo número de tentativas, não permita mais o login do usuário, ele terá que realizar certo procedimento para reativar seu cadastro.

Com essas medidas simples, que não exigem nenhum código complicado demais, seu site estará muito mais seguro e confiável.

Abraço a todos,
Humberto Cruz