×
Ir ao conteúdo
  • Cadastre-se

Testando a Segurança do seu Site – Parte 2


     18.476 visualizações    Redes    2 comentários
Testando a Segurança do seu Site – Parte 2

Formulários de Contato

Formulários de contato previnem que programas de spam coletem seu endereço de e-mail. No entanto, se eles não forem construídos corretamente, eles podem expor seu endereço de e-mail mesmo assim. E, se o script por trás do formulário apresentar uma falha de segurança, hackers poderão explorá-la, usando seu site para enviar spams. Esse é um problema sério e, infelizmente, muito comum. Se o seu site for usado para enviar spams, em questão de minutos seu domínio será incluído em listas negra e você terá problemas para enviar e-mails legítimos.

Primeiro, vamos falar sobre o básico. O código HTML do formulário de contato não deve expor qualquer endereço de e-mail. Na Figura 1, você pode ver o código de um formulário de contato de um site que apresenta esse problema. Note, onde colocamos setas vermelhas, que os endereços de e-mail dos destinatários estão presentes no código HTML. Isso significa que, quando o usuário selecionar o “departamento para contato”, o formulário fará a conversão entre o departamento e o endereço de e-mail correspondente. Isso não deveria acontecer, pois, como foi explicado, os endereços de e-mail serão expostos publicamente dessa maneira.

Endereços de e-mail expostos em um formulário de contato
Figura 1: Endereços de e-mail expostos em um formulário de contato

Em vez disso, o endereço de e-mail não deve ficar exposto no código HTML e o script para onde os dados são enviados deve ser capaz de decodificar esse requerimento e enviar a mensagem para o endereço de e-mail adequado. Em outras palavras, a conversão entre um nome (“departamento”) e um endereço de e-mail deve ser feito por trás dos panos, longe dos olhos de curiosos.

É claro que você não deve usar um nome que seja apenas a primeira parte de um endereço de e-mail ou usar um endereço óbvio, já que eles são muito fáceis de serem descobertos por programas de spam. Por exemplo, se você tem uma opção de contato (“departamento”) chamada “sac”, não crie um e-mail chamado sac@seusite.com.br; ele é muito óbvio e fácil de descobrir.

A adição de códigos de verificação em formulários de contato, também conhecido como CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart ou Teste Turing Público Completamente Automatizado para diferenciar Computadores de Humanos), é indispensável. Você provavelmente já viu muito disso, como uma imagem com letras e números aleatórios que deverão ser redigitados ou uma pergunta como “qual é o resultado de 1 + 1 - 2?”. Isso deve ser feito para evitar que programas de spam tentem enviar spams automaticamente através do seu formulário de contato. Mesmo que seu formulário não apresente uma falha de segurança que permita o uso de seu formulário de contato para enviar spams para terceiros, você acabará recebendo muitos spams em seu e-mail vindo do seu formulário de contato.

Uso de um código CAPTCHA
Figura 2: Uso de um código CAPTCHA 


Comentários de usuários

Respostas recomendadas

"Você não deve publicar endereços de e-mail em seu site, já que pessoas que enviam spams rodam programas que varrem a Internet à procura de endereços de e-mail para a construção de um banco de dados para enviar spams ou para vender esse banco de dados..."

Comentários são bem-vindos.

Olá!

Embora não seja tão díficil acertar os endereços de departamento de uma empresa, as ferramentas hoje em dia são automatizadas para através do domínio executar os endereços automaticamente, inclusive excluindo os retornos; além disso, base de dados de domínios e endereços eletrônicos são vendidos "gratuitamente" na rede ou na Santa Efigênia.

É uma segurança na balança sobre dois pesos. Se a empresa não divulga não tem resultados financeiros satisfatórios, se divulga corre o risco de levar Spams.

Pior que isso são os usuários que, por algúm motivo alheio a segurança tem sua caixa de entrada lotada de Spams advindos de empresas.

Se correr o bicho pega, se ficar o bicho come!

A coisa está feia... ;)

Link para o comentário
Compartilhar em outros sites

"Seja promíscuo com o seu endereço de e-mail

Eu acabei de passar por uma trabalheira tentando conseguir um orçamento com algumas empresas.

Eu visitei 8 sites. 6 deles escondiam seu endereço de e-mail. Eles usavam formulários de uma forma ou outra. Uma empresa se recusou a aceitar mais de 500 caracteres na caixa “Como podemos ajudá-lo?”, enquanto outras 3 queriam saber em qual estado eu estava, etc.

Contato por e-mail é como um primeiro encontro. Se você aparece com uma prancheta em um questionário, tem algo errado, eu fico com medo.

Se você vende algo, crie um endereço como “vendas@xyz.com.br”. Coloque esse e-mail na sua página inicial, “Contate-nos se você está procurando por mais informações ou um orçamento.”.

Com certeza você receberá alguns spams, mas deletar spam é muito mais fácil do que conseguir clientes.

Seth Godin"

Prefiro um filtro antispam.

Link para o comentário
Compartilhar em outros sites



Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Como se tornar um desenvolvedor full-stack

EBOOK GRÁTIS!

CLIQUE AQUI E BAIXE AGORA MESMO!