@@DiasDeDev Tenho muitas, mas considerando que o seu canal tem maior foco na web, seria interessante falar sobre a OWASP Top Ten, acho que é um grande diferencial estudar sobre segurança e lá tem bastante conteúdo que muitos não conhecem. Tem outras coisas que pode fazer o pessoal se interessar também, como Bug Bounty, CTF, ferramentas básicas para testar aplicações na web, bypass em algumas funções do PHP, erros comuns de segurança que os iniciantes cometem... Não sei se é muita coisa mas de início é isso kkk
Muito bom o vídeo, poderia fazer um vídeo sobre rbac mais detalhado? Como criar os acessos no banco e como validar os acessos as páginas, por ex. Menus que não serão exibidos e bloqueio se o usuário tentar digitando direto a URL.
Legal Vinicius. Cheguei aqui porque estou fazendo curso de PHP seu no Alura. Muito bom. Eu já dou uma brincada com o Laravel, mas estou fazendo formação PHP desde o zero na Alura. Tem muita coisa que não sei ou procuro solução para determinado problema, aí resolvi aprender do zero. No Laravel eu criei do meu jeito (acredito que não o mais certo.rss) um sistema de controle de acesso das duas formas (acl e rbac), então eu tenho uma lista de permissões no banco e partir delas eu agrupo elas papeis de usuario. Eu uso também um recurso de forma hibrida onde o papel por exemplo de gerente, pode ter uma permissão específica de administrador, mas não todas as permissões do papel administrador. Em resumo eu defino um papel para o usuário que está atrelado a uma lista de permissões e caso aquele usuário precise ter uma permissão a mais do que o papel em que ele está eu atribuo a permissão somente para ele. Esses casos que você falou também são comuns em empresas de exames médicos onde você consegue acessar resultados de exame de outras pessoas só mudando um numero ou letra no parametro ou login.
Opa, boa, Lucas. Tem bastante conteúdo fora das formações lá também. Da uma olhada nesse guia, por exemplo: cursos.alura.com.br/guia-do-programador-php-vinicius-dias-p2779
E aí Vinícius, beleza? Uma coisa q eu procuro e que vejo que não é muito comum se falar no TH-cam, nem no Brasil nem no exterior é sobre a certificação da Zend. Eu sou dev PHP com 3 certificações de escolas nacionais. Mas eu gostaria muito de ter a certificação da Zend. Eu gostaria de ver você falando como obter essa certificação e oq precisa estudar pra ajudar pessoas que procuram essa certificação.
Muito bom video. é legal ver essas coisas e saber que mesmo sem saber a gente já implementa ferramentas do mercado, no meu caso o RBAC. Vou procurar mais sobre. Continua assim que ta massa!
Nunca pensei em fazer esse tipo de conteúdo. Acho que cabe mais lá no meu blog (onde inclusive postei sobre extensões recentemente dias.dev ). Vou preparar algo sim. Valeu pela dica.
Boa! Aqui na minha cidade, no site do departamento de água, ao trocar o número da instalação lá na URL, torna-se possível a acessar a conta de água de outros imóveis.
Muito boa a aula, como sempre. Nos nossos projetos já implementamos RBAC (sem saber que se chamava assim, descobri agora), mas utilizamos como resposta o 403 ao invés de 404. O 404 seria mais seguro por esconder a própria existência do recurso? Ou seriam intercambiáveis a depender da aplicação?
O 404 passa menos informações para o usuário. O 403 informa ao usuário (que pode ser um atacante) que o recurso em questão existe. Quanto menos informações nós pudermos passar para o atacante, melhor.
Só pra expor menos informações mesmo. Mandando tudo como 404, um possível atacante não sabe quais recursos existem ou não. Mas é preciosismo, pra ser sincero. rsrsrs
Conteúdos sobre segurança são ótimos, por favor continue.
Que bom que curte, Bruno. To com alguns planejados pra gravar sim. :-D
Você tem alguma dica, falando nisso?
@@DiasDeDev Tenho muitas, mas considerando que o seu canal tem maior foco na web, seria interessante falar sobre a OWASP Top Ten, acho que é um grande diferencial estudar sobre segurança e lá tem bastante conteúdo que muitos não conhecem.
Tem outras coisas que pode fazer o pessoal se interessar também, como Bug Bounty, CTF, ferramentas básicas para testar aplicações na web, bypass em algumas funções do PHP, erros comuns de segurança que os iniciantes cometem...
Não sei se é muita coisa mas de início é isso kkk
Muito bom o vídeo, poderia fazer um vídeo sobre rbac mais detalhado? Como criar os acessos no banco e como validar os acessos as páginas, por ex. Menus que não serão exibidos e bloqueio se o usuário tentar digitando direto a URL.
Posso trazer algo sim, Hugo. Vou preparar. 😁
@@DiasDeDev obrigado
Também tenho curiosidade sobre! Seria Top demais!
@@DiasDeDev esse vídeo vai rolar? 🙏🏻🙏🏻
Legal Vinicius. Cheguei aqui porque estou fazendo curso de PHP seu no Alura. Muito bom. Eu já dou uma brincada com o Laravel, mas estou fazendo formação PHP desde o zero na Alura. Tem muita coisa que não sei ou procuro solução para determinado problema, aí resolvi aprender do zero. No Laravel eu criei do meu jeito (acredito que não o mais certo.rss) um sistema de controle de acesso das duas formas (acl e rbac), então eu tenho uma lista de permissões no banco e partir delas eu agrupo elas papeis de usuario. Eu uso também um recurso de forma hibrida onde o papel por exemplo de gerente, pode ter uma permissão específica de administrador, mas não todas as permissões do papel administrador. Em resumo eu defino um papel para o usuário que está atrelado a uma lista de permissões e caso aquele usuário precise ter uma permissão a mais do que o papel em que ele está eu atribuo a permissão somente para ele. Esses casos que você falou também são comuns em empresas de exames médicos onde você consegue acessar resultados de exame de outras pessoas só mudando um numero ou letra no parametro ou login.
Não sabia que nesses sites de exames médicos essa falha também existia... Complicado. =/
Eu acho que seria uma boa falar sobre isso!! Mto massa
Que bom que curtiu, Bruno! :-D
Parabéns, explicou muito bem de forma clara e sucinta!! Já me inscrevi !!
Opa, fico muito feliz que tenha gostado, Lauane. :-D
Parabéns pelo conteúdo. Estou quase finalizando a formação PHP com voce lá Alura.
Opa, boa, Lucas. Tem bastante conteúdo fora das formações lá também.
Da uma olhada nesse guia, por exemplo:
cursos.alura.com.br/guia-do-programador-php-vinicius-dias-p2779
Muito bom mesmo, ótima explicação.
Que bom que gostou, Joyce. :-D
E aí Vinícius, beleza? Uma coisa q eu procuro e que vejo que não é muito comum se falar no TH-cam, nem no Brasil nem no exterior é sobre a certificação da Zend. Eu sou dev PHP com 3 certificações de escolas nacionais. Mas eu gostaria muito de ter a certificação da Zend.
Eu gostaria de ver você falando como obter essa certificação e oq precisa estudar pra ajudar pessoas que procuram essa certificação.
Tem uma live aqui no canal falando sobre certificação com o Vitor Mattos que também é certificado. Dá uma olhada lá. :-D
Muito bom video. é legal ver essas coisas e saber que mesmo sem saber a gente já implementa ferramentas do mercado, no meu caso o RBAC. Vou procurar mais sobre. Continua assim que ta massa!
Exatamente! Muitas dessas técnicas são intuitivas, né!? A gente vai pela lógica.
Valeu pelo vídeo Vinicius.
Você poderia explicar o arquivo PHP.ini, e aonde ficam as extensões no PHP, como que instalam e tals... .
Nunca pensei em fazer esse tipo de conteúdo. Acho que cabe mais lá no meu blog (onde inclusive postei sobre extensões recentemente dias.dev ).
Vou preparar algo sim. Valeu pela dica.
Parabéns pelo vídeo, quando puder faz vídeo sobre métrica de software(ponto de função).
Vlw camarada
Boa sugestão!!
Boa!
Aqui na minha cidade, no site do departamento de água, ao trocar o número da instalação lá na URL, torna-se possível a acessar a conta de água de outros imóveis.
Aí... kkkkkk
Complicado, né!? Coisa tão simples de resolver.
Muito boa a aula, como sempre. Nos nossos projetos já implementamos RBAC (sem saber que se chamava assim, descobri agora), mas utilizamos como resposta o 403 ao invés de 404. O 404 seria mais seguro por esconder a própria existência do recurso? Ou seriam intercambiáveis a depender da aplicação?
O 404 passa menos informações para o usuário. O 403 informa ao usuário (que pode ser um atacante) que o recurso em questão existe. Quanto menos informações nós pudermos passar para o atacante, melhor.
Bonita camisa
Obrigado. Hahahah
Porque um 404 e não um 403 forbidden?
Só pra expor menos informações mesmo. Mandando tudo como 404, um possível atacante não sabe quais recursos existem ou não.
Mas é preciosismo, pra ser sincero. rsrsrs
Fala Vinicius. Uma sugestão de conteúdo: multi tenant
Ótima sugestão!
Como sempre no timing perfeito, parabéns pelo trabalho!
Opa, que bom que gostou! 😁
Top!!!
Que bom que curtiu! :-D
Sujestão: Composition vs Inheritance
Ótima sugestão, Fabyo. Vou preparar algo sobre isso sim.