Auditoria em segurança para CF8

Publicado; 03/07/2007 | Autor: | Arquivado em: ColdFusion |Comentários desativados em Auditoria em segurança para CF8

Para os interessados no assunto, vale a pena conhecer o relatório-resumo sobre a auditoria conduzida por uma empresa especializada (à pedido da Adobe) sobre a próxima versão do ColdFusion. Ela apresenta as conclusões de uma análise feita sob o código fonte do produto, bem como testes diversos. Leia:

Adobe ColdFusion 8 Product Security Briefing Available
ColdFusion 8 IRM Product Security Briefing

Esse tipo de material é sempre interessante ter à mão na hora de se justificar a adoção da tecnologia em uma empresa, especialmente se os decisores (gerente, diretor, etc) se mostrarem resistentes e preocupados com a questão da segurança de um produto proprietário como o Adobe CF8.

Adicionalmente, é interessante saber que o CF 7.x (por exemplo) tem apenas 13 advisories no Secunia.com ao passo que outras tecnologias como PHP, ASP e JSP tem o dobro, as vezes o triplo disso. E esta diferença se mantém constante ao se analizar as versões anteriores (6 e 5) do CF. Aí vem aquela velha questão do ovo ou da galinha: tem poucos advisories porque é uma tecnologia pouco utilizada ou porque é realmente mais segura?

Na minha opinião os dois, apesar de o CF ser bastante utilizado nos EUA, em especial em sites governamentais (alvos bem requisitados apra a ação de hackers). Mas eu também sou partidário de que a sua pouca utilização evita que falhas sejam descobertas com mais freqüência. Se você também acredita nisso, terá de concordar com a idéia de que um sistema operacional (como o Windows) tem um número brechas descobertas (e exploradas) maior do que outro (Linux, Mac), etc simplesmente porque é um SO mais utilizado (lembrando que 90% dos sistemas operacionais no mundo rodam Windows).

Mas esta argumentação é refutada por 10 entre 10 linux-zealots… Paradoxal? Também acho… E quando comparamos o CF (pouco usado e proprietário) com o PHP (muito usado e aberto)? Ok, ok… segurança é um assunto extenso e complicado, com mil e um meandros e variáveis. Mas analisando a segurança do produto “as-is“, sem entrar no mérito de aplicações mal codificadas e afins. Como explicar a diferença no número de brechas descobertas e exploradas entre PHP (digamos a versão 5.x) e ColdFusion (digamos a versão 7.x)? Alguma idéia? E antes que me digam: o PHP tem mais recursos e funcionalidades que o CF. Sinto muito, não tem não… ambos se prestam para um mesmo fim e oferecem um número fenomenal de funcionalidades e recursos.