ColdFusion Administrator aberto mais uma vez
Publicado; 13/06/2005 Arquivado em: ColdFusion 2 ComentáriosO Alex Hubner já fez um belo post falando desse assunto, e eu semana passada comentei sobre o site da comunidade americana dos democratas que possuia o mesmo problema de segurança. Então, nesse final de semana fui renovar a “tag” do meu carro e vi que um dos servidores do site do Departamento de Trânsito da Flórida também roda ColdFusion (assim como muitos outros sites do governo desse país). E pra minha surpresa, já que os americanos são na maioria muito precavidos, esse site também tem o ColdFusion Administrator aberto como se percebe aqui. Bloquear o acesso à pasta CFIDE através do servidor web é uma recomendação básica de segurança mesmo o CF não possuindo nenhuma falha de segurança conhecida nesse aspecto.
Olá Emanuel,
Lendo seu post resolvi verificar se o meu provedor estava librado e tive uma péssima surpresa!
Tbm está liberado CFIDE, ja mandei um e-mail dando uma bronca neles rs!
vlw
Oi Rodrigo, essa é uma recomendação e não uma obrigação…. já que quebrar o acesso com um software de “força bruta” não é lá uma coisa simpes de se fazer principalmente se a senha for uma frase com combinação de mais de 8 digitos de letras maiúsculas e minusculas com números. De qualquer forma não custa nada aos administratores adicionar a lista de IPs conhecidos que pode acessar o cfide/administrator
O problema também em liberar o acesso à essa página é o fato de apartir da versão 6.1. nessa página mostrar claramente qual a versão utilizada no servidor e dai ficar mais fácil para o hacker tentar decobrir possíveis falhas de segurança para aquela versão.
De qualquer forma mesmo tomando essas preucações não implicará que vc vai estar 100% seguro. Um amigo meu que trabalha aqui nos EUA tb costuma dizer: “Não existe segurança, o que existe é a SENSAÇÃO de segurança”. E pra complementar ele disse que única segurança que é realmente eficar é o monitoramento 24x7x365 o que em 99,5% dos casos é inviável.