pela qualidade do conteúdo, eu me tornaria fácil um membro caso o vinicius criar (espero num futuro bem breve). o tempo do vinicius fazer essa pesquisa, trazer tudo explicado e com amostra de código paga-se muito muito facilmente o nosso tempo. é coisa que na alura nao tem, pois a alura sao cursos completos. eh bom essas pilulas de conhecimento, pois é fácil de absorver em base periódica e nos atualizados, nunca defasados em nossa profissão.
Opa, Vitor. Fico muito feliz em saber que vou poder contar com seu apoio. Pretendo lançar um clube de membros sim, mas não no futuro tão próximo. Quero organizar melhor as coisas pra poder trazer boas vantagens para os membros. 😁
Sensacional. A parte da informação de erros eu já havia percebido essa brecha e agora fica uma informação genérica, mas essa parte de tempo de resposta não sabia, muito bom. Obrigado por compartilhar. Recentemente estou fazendo testes com token em vez de usuário e senha. Para fazer login, o usuário precisa solicitar um novo token que irá para o e-mail cadastrado. Após usar o token e na validação for tudo ok, o sistema apaga o token impedindo novo acesso com o mesmo.
Para evitar o time attack uso usleep(random_int(100, 1000)); Assim eu deixo o hacker achando que está conseguindo algo , o que gera mais log contra ele
Tive a honra de trabalhar alguns meses com o Vinicius Campitelli na empresa em que ele foi sócio-fundador. O cara é fera! Ótima recomendação :) A propósito, ótimo vídeo com um ótimo tema, como sempre!
Vini, uma coisa também é logar o ip do cara que tá atacando nas attempts e depois armar no firewall, algo como iptables da vida (csf e afins), você chama o bloqueio de tempo em tempo, aí é só alegria
Esse tipo de verificação geralmente não fica no código. O próprio servidor web já gera os logs necessários pra puxar essa informação. Mas sem dúvida é uma boa ideia fazer esse monitoramento sim.
Vinicius gostaria de ser um desenvolvedor de sistemas web e aplicativos . Gostei da sua datica de ensino . Vc tem algum curso ou uma escola que você indique ?
@@HelioCardosoautotrafego Praticamente todos os cursos de PHP são comigo. :-D Aqui tem todo o meu perfil: cursos.alura.com.br/user/cviniciussdias#cursos-deste-instrutor
Vinicius eu sou iniciante mas já tô fazendo uns cruds com PHP e Mysq, as vezes eu deixo de pegar alguns frelas com medo de estar fazendo um sistema muito vulnerável seu canal é uma referência pra min. Se puder me dar dicas fique a vontade :) Deixo uma sugestão pra vc criar uma série com erros q iniciantes cometem e vc mostra como os programadores do mercado fazem tipo esse vídeo de hj q já vou adotar pros meus próximos sistemas, abraço!!!
Fala Vinicius, cara vejo vários vídeos você falando sobre annotations eu até sei usar mas não entendo o porquê usar. acho que talvez seja uma dúvida de vários programadores do meu nível, procurei conteúdos em português explicando mas a maioria é em inglês e os que são em português não me ajudaram muito. Acho que seria um ótimo conteúdo para seu canal, abraço
Opa, José. Annotations são usadas pra adicionar informações no nosso código. Por exemplo, definir que um método de um controller deve ser chamado em determinada rota. Ou definir que determinada classe é mapeada para uma tabela no banco. Isso são meta-informações, ou seja, informações a mais sobre nosso código. Inclusive no vídeo de reflection aqui do canal eu falo um pouco sobre isso e no vídeo de attributes eu dou alguns exemplos de onde são usadas. :-D
Sem dúvidas um dos melhores canais de programação do TH-cam.
Espero que você cresça demais!
Vlw pelas dicas
Valeu demais pelo feedback, André. Fico muito feliz em saber que o canal está sendo útil! :-D
pela qualidade do conteúdo, eu me tornaria fácil um membro caso o vinicius criar (espero num futuro bem breve). o tempo do vinicius fazer essa pesquisa, trazer tudo explicado e com amostra de código paga-se muito muito facilmente o nosso tempo. é coisa que na alura nao tem, pois a alura sao cursos completos. eh bom essas pilulas de conhecimento, pois é fácil de absorver em base periódica e nos atualizados, nunca defasados em nossa profissão.
Opa, Vitor. Fico muito feliz em saber que vou poder contar com seu apoio. Pretendo lançar um clube de membros sim, mas não no futuro tão próximo. Quero organizar melhor as coisas pra poder trazer boas vantagens para os membros.
😁
Sensacional. A parte da informação de erros eu já havia percebido essa brecha e agora fica uma informação genérica, mas essa parte de tempo de resposta não sabia, muito bom. Obrigado por compartilhar.
Recentemente estou fazendo testes com token em vez de usuário e senha. Para fazer login, o usuário precisa solicitar um novo token que irá para o e-mail cadastrado. Após usar o token e na validação for tudo ok, o sistema apaga o token impedindo novo acesso com o mesmo.
É uma boa forma de autenticação também, Flavio. Tem suas vantagens e desvantagens, como tudo.
😁
Para evitar o time attack uso
usleep(random_int(100, 1000));
Assim eu deixo o hacker achando que está conseguindo algo , o que gera mais log contra ele
Interessante. Honestamente nunca cogitei algo do tipo...
@@DiasDeDev Outra ideia é a 10 tentativa do cara ir para um sistema com dados totalmente falsos honey pot
Acho que o falso sucesso é pior que a falha.
Pensei a mesma coisa
Tive a honra de trabalhar alguns meses com o Vinicius Campitelli na empresa em que ele foi sócio-fundador.
O cara é fera! Ótima recomendação :)
A propósito, ótimo vídeo com um ótimo tema, como sempre!
Ele é brabo demais. Sempre tento acompanhar os conteúdos dele.
Muito obrigado pelo feedback. Fico feliz que tenha gostado!
😁
muito bom a explicação do timing attack
Opa, que bom que curtiu! :-D
Aí sim. Um detalhe que faz muita diferença!
Que bom que curtiu, Cledilson. :-D
Muito bom esse video, não tinha pensando nisso ainda
Assunto interessante, né!?
Sim.. com certeza rsrs@@DiasDeDev
Muito bom o vídeo! Parabéns
Opa, que bom que curtiu, Caio. :-D
Na área de "registro" do site, caso um e-mail já tenha sido cadastrado anteriormente.
Como seria feito a enumeração neste caso?
Q conteudo animal.....top d+
Que bom que curtiu, Reinaldo. :-D
Sensacional o vídeo, segurança é sempre válido
Que bom que curtiu, Patrik. Valeu pelo feedback!
Conteúdo valioso!! Parabéns, xará!
Valeu demais, xará! Que bom que curtiu!!
Muito bom o vídeo. Eu como dev me interesso muito por assuntos de segurança. Continuei fazendo esse ótimo trabalho.
Fico feliz que tenha curtido, Paulo. Eu também gosto bastante do tema. Vou tentar trazer mais conteúdos no futuro.
😁
Vini, uma coisa também é logar o ip do cara que tá atacando nas attempts e depois armar no firewall, algo como iptables da vida (csf e afins), você chama o bloqueio de tempo em tempo, aí é só alegria
Esse tipo de verificação geralmente não fica no código. O próprio servidor web já gera os logs necessários pra puxar essa informação. Mas sem dúvida é uma boa ideia fazer esse monitoramento sim.
Boa garoto !
Valeu, Mauro!
Ótima dica!
Opa, que bom que curtiu, Alisson. :-D
Vinicius gostaria de ser um desenvolvedor de sistemas web e aplicativos . Gostei da sua datica de ensino . Vc tem algum curso ou uma escola que você indique ?
Eu tenho alguns cursos gravados pra Alura.
Aqui você tem 10% de desconto:
www.alura.com.br/promocao/diasdedev
@@DiasDeDev quais aulas e conteudo voce participou ? .
@@HelioCardosoautotrafego Praticamente todos os cursos de PHP são comigo. :-D
Aqui tem todo o meu perfil:
cursos.alura.com.br/user/cviniciussdias#cursos-deste-instrutor
Muito bom mesmo!
Opa, muito obrigado pelo feedback!
Fala Vinicius, esse background ficou top, parabéns!! Sobre a autenticação porque não verificar sempre o login e senhas juntos?
Como assim? O usuário pode não existir.
E obrigado pelo feedback sobre as luzes no fundo! :-D
Devagarinho vou tentando melhorar. rsrss
@@DiasDeDev utilizar uma única função e query para o user e password?
Mas no banco nós temos um hash único e o que nós temos do input é a senha em texto puro. Essa query é impossível.
@@DiasDeDev entendi!
Vinicius eu sou iniciante mas já tô fazendo uns cruds com PHP e Mysq, as vezes eu deixo de pegar alguns frelas com medo de estar fazendo um sistema muito vulnerável seu canal é uma referência pra min. Se puder me dar dicas fique a vontade :)
Deixo uma sugestão pra vc criar uma série com erros q iniciantes cometem e vc mostra como os programadores do mercado fazem tipo esse vídeo de hj q já vou adotar pros meus próximos sistemas, abraço!!!
Opa, fico feliz que o canal esteja sendo útil. Valeu pela sugestão, Jefferson.
De dica: confere a palestra que tá na descrição. É ótima pra começar.
Estuda o OWASP Top 10, aprenda a explorar e se defender dessas vulnerabilidades, já resolve 90%, depois implementa logs
Fala Vinicius, cara vejo vários vídeos você falando sobre annotations eu até sei usar mas não entendo o porquê usar. acho que talvez seja uma dúvida de vários programadores do meu nível, procurei conteúdos em português explicando mas a maioria é em inglês e os que são em português não me ajudaram muito. Acho que seria um ótimo conteúdo para seu canal, abraço
Opa, José. Annotations são usadas pra adicionar informações no nosso código. Por exemplo, definir que um método de um controller deve ser chamado em determinada rota. Ou definir que determinada classe é mapeada para uma tabela no banco. Isso são meta-informações, ou seja, informações a mais sobre nosso código.
Inclusive no vídeo de reflection aqui do canal eu falo um pouco sobre isso e no vídeo de attributes eu dou alguns exemplos de onde são usadas. :-D
@@DiasDeDev Não tinha visto esse video ainda. show de bola Vinicius! Obrigado pelo tempo tirado para me responder. Grande abraço.
Lembrando que não adianta nada a mensagem genérica no login, mas na redefinição de senha informar que o email não existe kkkk
Perfeito, Luan! Muito bem lembrado.
No artigo que deixei na descrição essa e outras dicas são citadas. :-D