[sapl-dev] Fwd: Re: [CONFIDENCIAL] Segurança SAPL

Angelo Marcondes de Oliveira Neto angelomarcondes em gmail.com
Sexta Março 18 10:47:14 BRT 2011


Jean,

Estou a sua disposição.

Abraços


Angelo Marcondes de Oliveira Neto.
http://uaigeek.blogspot.com
angelomarcondes em gmail.com
(34) 91414287 - Linux User: #417837
Carneirinho - MG


Em 18 de março de 2011 10:34, Jean Rodrigo Ferri <
jeanferri em interlegis.gov.br> escreveu:

> Olá pessoal, alguém pode ajudar a implementar o que for necessário, cfe.
> discussão abaixo?
>
> -------- Mensagem original --------
> Assunto: Re: [CONFIDENCIAL] Segurança SAPL
> Data: Fri, 10 Dec 2010 14:55:41 -0200
> De: Claudio Morale <claudiomorale em interlegis.gov.br>
> Para: Luis Junior <luisjuniorj em gmail.com>
> CC: jeanferri em interlegis.gov.br, lf.toledow em gmail.com
>
> Olá Júnior, no caso para liberar a visão somente para autenticados com
> determinados perfis, crie um metadata com o nome do objeto e adicione lá
> a regra. Pegando o seu exemplo: para evitar que um usuário anônimo
> acesse (burlando a url) os dados dos dependentes do parlamentar ...
> crie no diretório ../cadastros/parlamentar/dependente
> dependente_index_html.dtml.metadata com a seguinte regra:
> [security]
> View = 0:Manager, Operador, Operador Parlamentar
>
> com isso, ao tentar montar a url o SAPL irá verificar que o usuário não
> está autenticado e/ou não tem os perfis relacionados e irá
> redireciona-lo para a tela de login.
>
> Isso pode ser feito para todos os métodos que vc desejar restringir.
> att.
>
>
> ... /cadastros/parlamentar/dependente/
> Em 09-12-2010 10:08, Luis Junior escreveu:
> > Caros Jean e Morale,
> >
> > Encontramos um situação preocupante, que merece ser levada a consideração
> > dos Senhores, pois, trata-se de falhas de segurança (GRAVISSIMAS)
> > no produto SAPL, que nos deixam preocupados no uso do SAPL, como
> ferramenta
> > externa.
> >
> > Veja o exemplo a seguir:
> >
> > Como exemplo ultilizar nossa casa como referencia, que pode ser é um
> > problema não exclusivo da Camara Municipal de Hortolandia.
> >
> > Neste link
> >
> http://sapl.cmh.sp.gov.br/sapl/consultas/parlamentar/parlamentar_mostrar_proc?cod_parlamentar=4
> >
> > Visualizamos os dados do vereador em questão.temos os dados para o
> usuario
> > não logado.
> >
> > Agora se acessarmos desta maneira:
> >
> >
> http://sapl.cmh.sp.gov.br/sapl/cadastros/parlamentar/dependente/dependente_index_html?cod_parlamentar=4
> >
> > Veja que temos acesso aos seus dependentes, inclusive, a sua data de
> > nascimento,CPF e RG, podemos, inclusive, navegar por outros
> > dados do vereador sem estarmos logados, abrindo, não só, janelas, mas,
> > portas e tudo mais para dados sigilosos.
> >
> > Isso não ocorre somente nesta pagina, mas em todo o sistema, não é
> possivel
> > salvar alterações (pelo menos ate onde testamos)
> > Mas abre o prescedente para tentativas.
> >
> > Imagine que qualquer pessoa com conhecimento basico pode executar isso,
> de
> > forma simples, trocando a url, e acessando os dados dos vereadores
> > de todas as camaras que usam o sistema.
> >
> > Devemos lembrar que para saber o endereço das páginas de logado é
> simples,
> > funcionários das próprias Câmaras sabem, e tambem
> > o sistema é de codigo fonte aberto, é só baixar, entender e executar.
> >
> > Estes testes são provenientes, de nosso andamento interno, que prevê
> criação
> > de Comissão para analise e implantação do SAPL como
> > ferramenta do Processo Legislativo Eletrônico, esta com assinatura
> digital e
> > afins, então, precisamos que o sistema garanta o mínimo de segurança,
> > afinal
> > o gerenciamento da casa será feito pelo mesmo.
> >
> > Como proposta de solução sugerimos pedaço do código abaixo. Seria uma
> > solução, mesmo que paliativa?
> >
> > <dtml-let isAnon="portal_membership.isAnonymousUser()">
> > <dtml-if isAnon>
> > </dtml-if>
> >
> >
> > PS: Estamos finalizando algumas demandas do Luiz Fernando (Sim!! ele
> > continua gerando novas demandas, hehehe.) mas ja estamos
> > começando a relacionar as alterações que fizemos, afim de encaminhar ao
> > interlegis conforme combinamos.
> >
> > Diante do exposto nos colocamos a disposição.
> >
> >
> > Obrigado.
> > Junior, Fagner, Alexandre.
> > Camara Municipal de Hortolandia.
> --
> Wiki do SAPL:
> http://colab.interlegis.gov.br/wiki/ProjetoSapl
>
> Regras de participação:
> http://colab.interlegis.gov.br/wiki/ComoParticiparComunidade
>
> Para administrar sua conta visite:
> http://listas.interlegis.gov.br/mailman/listinfo/sapl-dev
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.interlegis.gov.br/pipermail/sapl-dev/attachments/20110318/f583d32b/attachment.htm 


Mais detalhes sobre a lista de discussão SAPL-dev