Toda aplicação,
e em especial as aplicações web, deve apresentar
maneiras de alocar ou retirar permissões de seus usuários,
através de mecanismos de controle de acesso, autenticação
e autorização. No caso das aplicações
web, algumas precauções são necessárias,
tais como:
- Obrigação
de acessar as páginas de controle de acesso: muitas
aplicações web obrigam o usuário a acessar uma
página onde este deve se identificar e digitar uma senha
antes de ter acesso ao real conteúdo da aplicação.
A aplicação deve ser projetada de maneira a que não
seja possível acessar o conteúdo da aplicação
sem passar pelas páginas de controle de acesso mesmo que a
URL das páginas internas seja conhecida.
- Permissões
dos arquivos: muitos servidores web usam os mecanismos de controle
de acesso do sistema operacional onde executam para controlar as
permissões de cada usuário com relação
às páginas e demais arquivos que fazem parte da
aplicação. Se isto for usado, apenas os arquivos que
devem ser apresentados como parte da aplicação devem
ter a permissão de leitura do sistema operacional habilitada.
A maior parte dos diretórios não deve ter permissão
de leitura e apenas alguns poucos arquivos devem ser marcados como
executáveis.
- Cache do cliente:
muitos usuários acessam aplicações web de
computadores compartilhados. Os browsers normalmente
armazenam localmente (cache) cópias das páginas
acessadas. Como estas cópias poderiam ser lidas por pessoas
não autorizadas, a aplicação web deve usar os
mecanismos disponíveis, como headers HTTP
e tags META para
tentar evitar que as páginas fiquem disponíveis
localmente.
|