Existe um princípio fundamental de segurança que nos diz que todo o input é suspeito! Isto é especialmente verdadeiro no que se refere a aplicações Web em virtude da maioria do input ser efectuado remotamente por utilizadores desconhecidos.
Ao efectuarmos o desenho da nossa aplicação, temos que ter em mente que não poderemos esperar qualquer tipo de segurança por parte de um browser. Actualmente os browsers já restringem determinadas situações mas nenhum deles poderá ser considerado como seguro. Existem sempre formas e aplicações disponíveis que nos permitem alterar o fluxo de dados recebido ou envidado pelos browsers. O cliente poderá enviar qualquer URL, headers, cookies, etc que de uma forma ou outra poderá influenciar na execução das páginas e/ou javascript. Por isso, qualquer input deverá ser considerado como suspeito e desta forma deveremos validar tudo o que for possível antes de efectuarmos alguma decisão.
posted on Monday, May 28, 2007 2:53 PM