Já pensou em fazer seguro?

Sempre fui um sujeito fissurado por questões de segurança envolvendo aplicações web. Sou daqueles que gosta de se meter a besta e encontrar brechas e problemas causados por má programação ou até mesmo problemas de uma plataforma específica (furos de produtos). O hábito de pensar em segurança deve estar sempre presente quando estamos desenvolvendo qualquer pedaço de código que ficará exposto em um servidor de produção público – um website principalmente.

Este hábito obviamente se reflete nos meus servidores e nas minhas aplicações feitas em ColdFusion, que modéstia à parte são seguras (pelo menos eu creio que sim… :o).

Desde quando me considero “gente” na arquitetura CF, venho percebendo que pouquíssimas pessoas tomam o cuidado que deveriam ter. Cuidados estes que não são exclusividade do ColdFusion Server e da programação em CFML, mas em qualquer servidor/linguagem server-side tal como ASP, JSP, PHP, etc. Já encontrei diversos sites (nacionais e internacionais) com problemas de código inseguro e má configuração de servidor, incluindo alguns grandes como o da RIAA (aquela que fechou o Napster…) veja o meu post a respeito. Nos sites tupiniquins a coisa é pior… Já encontrei inúmeros sites também com problema, não vale a pena aqui dizer quais, porém adianto que em todos eles entrei em contato pessoalmente explicando o problema.

O foco da problemática está nos serviços de hospedagem compartilhada, no estilo DigiWeb, Fulano’s Net, etc, etc e tantas outras. Realmente me preocupa essa história de “as tags CFFILE, CFEXECUTE, blá, blá, estão desabilitadas no plano ColdFusion“. O provedor, na verdade quer dizer (só que usando outras palavras) com isso que: “nosso servidor ColdFusion não usa Advanced Security e não define nenhuma sandbox. Por isso mesmo somos um convite a clientes mau intencionados”. Ou seja, estão lá com o CFServer (muitas vezes a versão Professional) usando a “boa e velha” Basic Security, apenas desabilitando algumas tags sensíveis… Estão 100% seguros? Ledo engano… Para se ter um servidor ColdFusion em ambiente compartilhado, você deve usar a versão ColdFusion Server Enterprise e Advanced Security e saber como tornar o seu servidor seguro num ambiente onde outras pessoas (seus clientes) estarão colocando arquivos. Usar o ColdFusion com a basic security em um servidor compartilhado significa oferecer, de mão beijada, uma verdadeira ferramenta de invasões e de outras sacanagens virtuais.

Como configurar e usar estes recursos de segurança do ColdFusion está fora do escopo destes posts. Para isso existem diversas fontes de informação, a começar pelo MM Desdev (link ao lado). Dessa maneira tentarei, numa seqüência de posts, disponibilizar algumas informações sobre alguns pequenos problemas que existem no ColdFusion Server rodando em basic security e também os erros mais comuns de programação que levam à sua aplicação dar boas vindas a essas pragas chamadas “crackers”, “lammers” e outros idiotas de plantão. Fique ligado.