• View
• Edit
• History
• Print

ProtegendoConteudo

Restringindo o acesso a conteúdos hospedados num sítio

Espaço privado

Geralmente as pastas do seu usuário não estão disponíveis via web e os arquivos do seu sítio ficam na pasta site, wiki, moin, drupal ou de outro gerenciador de conteúdo que você possuir (veja os disponíveis em http://demo.sarava.org). Então, tudo o que você não colocar nessas pastas a princípio não estará disponível publicamente via web.

Mas, se você estiver em dúvida quanto à segurança dos arquivos que você quiser manter no seu espaço privado, contate a equipe do sarava.org.

Robots.txt

Crie o arquivo robots.txt na pasta a partir da qual você não quer que os mecanismos de busca acessem seus arquivos:

  User-agent: *
  Disallow: /

Detalhes a esse respeito estão em http://www.robotstxt.org/.

Evitando listagem de pastas

Evitando listagem de pastas: crie na pasta desejada um arquivo com o nome index.html ou index.htm (pode estar em branco) para evitar a listagem de arquivos contidos nessa pasta.

Restringindo o acesso a pastas

Você ainda pode restringir o acesso a determinadas pastas do seu sítio com dois arquivos:

• .htaccess
• .htpasswd

O .htaccess é um arquivo que o servidor web utiliza para obter configurações específicas para uma determinada pasta. Nele, podemos especificar que o acesso a uma seção de um sítio é restrito e requer usuário e senha. Geralmente é definido no .htaccess que o servidor web consulte o usuário e senha num arquivo chamado .htpasswd.

Atenção: o .htaccess deve ser um arquivo exatamente com essa nome (inclusive começando com um ponto), que é uma convenção usada para o servidor web escondê-lo do visitante. O .htpasswd pode ter qualquer nome de arquivo que comece com um ponto, mas para seguir a convenção é interessante usar o nome .htpasswd mesmo.

Criando o .htaccess

  AuthType Basic
  AuthName "Acesso restrito, senha requerida."
  AuthUserFile /caminho/do/.htpasswd
  Require valid-user

Criando o .htpasswd

O .htpasswd suporta mais de um usuário/senha, de modo que uma pasta pode ser acessada por diferentes destas contas de usuário definidas nesse arquivo. No .htpasswd, cada usuário e senha deve ser definido em sua própria linha. No caso do usuário usuario -- cuja senha é senha, a entrada de usuário e senha no .htpasswd é

  usuario:c2zHlyi1VxHgI

Essa entrada possui dois campos separados pelo símbolo :. O primeiro campo é o nome de usuário e o segundo é a senha criptografada. Para gerar uma entrada desse tipo no seu .htpasswd, sugerimos duas maneiras:

• Use a nossa ferramenta em https://htpasswd.sarava.org.
• Se você usa GNU/Linux ou outro sistema POSIX, use o comando htpasswd:

   htpasswd -c .htpasswd usuario # se o arquivo .htpasswd nao existe
   htpasswd .htpasswd usuario # se o arquivo .htpasswd jah existe

Um exemplo de uso desse comando seria o seguinte:

  $ htpasswd /caminho/para/arquivo/.htpasswd alice
  New password:
  Re-type new password:
  Adding password for user alice

ATENÇÃO: nem sempre os hashes gerados pelo htpasswd são os mais seguros. Hashes que usem crypt(3) e SHA1 hoje não são considerados seguros do ponto de vista criptográfico. Use-os apenas:

• Se você não estiver utilizando esta senha para outras aplicações.
• Quando for considerado que a obtenção do arquivo de senhas seja equivalente a ter acesso de leitura a todo o conteúdo do seu site, o que implica numa invasão de sistema por outro meio que não o via quebra direta do htpasswd.

Este raciocínio também vale para qualquer aplicação que possui um armazenamento criptográfico fraco das senhas de usuário/a.

Protegendo sítios contra SPAM

Antigamente, o SPAM atingia apenas a comunicação por correio eletrônico, por esta utilizar um protocolo simples de intercâmbio de mensagens. O SPAM através da Web sempre foi mais complicado de se realizar, dada a heterogeneidade de sítios. Hoje, porém, os robôs de SPAM estão muito sofisticados e são capazes de postar propaganda em diversos tipos de formulário de publicação automática.

Mas o que é SPAM?

• http://www.antispam.br/conceito
• http://pt.wikipedia.org/wiki/Spam
• http://wiki.sarava.org/Estudos/QuestaoPoliticaDoSpam

Como proteger seu sítio

Se o seu sítio permite a publicação automática de conteúdo, então ele pode estar sujeito à publicação de SPAM. Usar uma configuração um pouco mais restrita, como por exemplo o requisito da pessoa ter uma conta registrada no sítio para postar artigos e comentários, já é uma boa medida para minimizar a publicação de SPAM.

• Cuidados básicos:
  • Verifique a configuração para publicação de conteúdo (artigos, páginas, comentários, etc).
  • Verifique também a configuração para registros de contas de usuários/as.
  • Se possível, acompanhe o conteúdo publicado em seu site com certa frequência, seja acessando sua área administrativa ou usando notificações por email, RSS, etc.
• Se você usar Drupal, veja também esta seção.
• Se você usa PmWiki, veja instruções em Configurando o PmWiki.
• Se você usa outro tipo de gerenciador de conteúdo, verifique a documentação correspondente.

Essas medidas são importantes especialmente se o seu site não está sendo monitorado com frequência.

SPAM via formulários de email

Muitas ferramentas de publicação possuem formulários para o envio de conteúdo publicado via email ou então para possibilitar o contato direto com as pessoas do sítio. Mas, se tais formulários não possuem a proteção necessária, podem ser usados por pessoas mal-intencionadas para o envio de SPAM. Por isso, medidas semelhantes àquelas recomendadas para a publicação de SPAM podem ser usadas para impedir o uso indevido desse tipo de ferramenta.

Proteger os formulário de envio de emails é contribuir para que o servidor não figure em listas de bloqueio de email.

---

Copyright (c) Coletivo Saravá: desde que não mencionado em contrário, este conteúdo é distribuído de acordo com a Licença de Manipulação de Informações do Coletivo Saravá.