ASP.NET Blog Engine � Parte 3 - Revista Easy .Net Magazine 28

Natal DevMedia: Assine hoje e ganhe 3 meses gr�tis

Demais posts desta s�rie:
ASP.NET Blog Engine � Parte 1
ASP.NET Blog Engine � Parte 2

ASP.NET Blog Engine � Parte 3
Hoje finalizamos a s�rie de artigos sobre a cria��o de uma ferramenta de gerenciamento de blogs apresentando recursos para fortalecer a seguran�a do acesso aos blogs criados, atrav�s do uso de senhas criptografadas. Em se tratando de desenvolvimento de software o assunto de criptografia � complexo porque envolve v�rios conceitos como chaves p�blicas e privadas, hashing, armazenamento, etc.
Por outro lado, o .NET disponibiliza muitos recursos para facilitar este trabalho, ent�o neste artigo alguns destes ser�o expostos para que o desenvolvedor consiga iniciar o desenvolvimento neste assunto e atrav�s do exemplo pr�tico, conhecer uma forma de implementar criptografia de senhas. Continuando com o projeto dos artigos anteriores, este vai ser modificado para que ao ser criado um novo blog os dados do usu�rio e senha sejam criptografados.

Em que situa��o o tema � �til
O tema de seguran�a e criptografia est� entre os mais importantes para desenvolvedores principalmente na Web, que � um ambiente hostil e sujeito a todo tipo de ataque. Com este artigo ser�o passados os passos iniciais para proteger senhas com o C# em uma situa��o real. Os aspectos e conceitos envolvidos requerem muita aten��o e s�o um pouco complexos para quem est� dando os primeiros passos. No artigo ser�o dados os primeiros passos e apresentados os caminhos a serem seguidos para um c�digo e aplica��o seguros.

Aplica��es executadas no ambiente da Internet est�o sujeitas a muitos problemas de seguran�a. Para dar alguns exemplos, � importante assegurar que os dados que s�o usados e manipulados por esta estejam seguros. Assim, informa��es como senhas, n�meros de cart�o de cr�dito e dados de login s�o fortes candidatos a serem alvo de ataques e os primeiros que precisam ser protegidos pelos desenvolvedores para evitar problemas para os seus usu�rios e dores de cabe�a para ele pr�prio.

Esta prote��o passa pela correta constru��o da aplica��o para que os dados armazenados na base de dados n�o sejam acessados indevidamente, al�m de envolver aspectos como o tratamento de erros que possam ocorrer para que detalhes da implementa��o do c�digo n�o sejam expostos, limita��o de dados que podem ser digitados nos campos e tamb�m com um eficiente controle do acesso sendo feito atrav�s da defini��o de senhas fortes e usu�rios com acesso restritos, evitando ataques t�picos como HTML, script e SQL injection. Estes ataques s�o feitos por usu�rios mal intencionados que digitam c�digos deste tipo para tentar expor alguma vulnerabilidade da aplica��o. Tais ataques podem ser facilmente bloqueados e envolvem medidas simples como delimitar o tamanho dos campos texto para aceitarem um n�mero limitado de caracteres e a utiliza��o de consultas SQL parametrizadas, ao inv�s de utilizar concatena��o de strings

Tais medidas de prote��o s�o apenas os primeiros passos que devem ser dados e s�o muito difundidos em sites e blogs sobre seguran�a. Neste artigo ser� tratado outro aspecto envolvido na tarefa de tornar a aplica��o mais segura e confi�vel � a prote��o dos dados atrav�s do uso do recurso de criptografia. Aqui ser�o exibidos os principais conceitos para que um programador com pouca ou nenhuma experi�ncia sobre o assunto seja capaz de iniciar o conhecimento destes recursos e possa saber quais os pr�ximos passos a ser dado.

Criptografia

Esta palavra � composta por dois termos:

� Cripto (krypt�s em grego) que significa escondido

� Grafia (gr�phein em grego) que significa escrita escondida ou escrita codificada. Em inform�tica refere-se a ocultar uma informa��o alterando a sua grafia por outra escondida.

A criptografia n�o � um recurso novo e tem suas primeiras aplica��es na troca de informa��o entre membros do ex�rcito que a usavam para enviar mensagens para soldados em campo, evitando desta forma que os dados ca�ssem no conhecimento do inimigo.

Uma das maneiras mais primitivas para realiza��o desta tarefa � deslocar as letras em um n�mero determinado de caracteres. Vamos dar um exemplo, considere uma palavra qualquer: INTERNET.

Consideremos ent�o deslocar cada letra em dez caracteres. Se a letra Z for atingida, recome�amos o alfabeto, logo, teremos como resultado da criptografia: RWCNAWNC. Onde:

I - R

N - W

T - C

E - N

R - A

N - W

E - N

T - C

Logicamente, este tipo de criptografia � muito rudimentar e f�cil de ser quebrado, e por isso com o tempo o mesmo foi sendo aperfei�oado. Considere neste exemplo, um algoritmo que apelidaremos de 10 x 7, onde para cada caractere em uma posi��o par usaremos um deslocamento de dez caracteres e para caracteres em posi��o �mpar um deslocamento de sete caracteres:

I - O

N - W

T - Z

E - N

R - X

N - W

E - K

T - C

Se voc� prestou aten��o nestes exemplos e est� acompanhando o racioc�nio deve ter percebido que este tipo de tarefa possui duas caracter�sticas importantes. Primeiro: quanto mais complicada a regra de criptografia, mais tempo se levar� para gerar o resultado codificado ou para retornar ao seu significado original. Segundo: este tipo de tarefa �pede� para ser feito por computador j� que envolve c�lculos matem�ticos, como nestes dois exemplos, mesmo que bem rudimentares, precisamos realizar contas para se chegar ao valor criptografado.

Outro aspecto importante que pode ser percebido neste exemplo � que havia uma regra para gerar o c�digo e consequentemente conhecer o seu significado original. No primeiro exemplo a regra era deslocar os caracteres dez posi��es. Assim, para conhecer o texto original, seria necess�rio retornar dez caracteres.

A regra pode ser comparada com um algoritmo de programa��o onde est�o especificados os passos que precisam ser seguidos para gerar o texto codificado e decodificado. Logo, para criptografar textos em programa��o o primeiro aspecto a ser considerado � qual o algoritmo ser� usado. Existem v�rios algoritmos, cada um com um grau de complexidade maior ou menor.

No exemplo outro ponto que podemos considerar � que usamos um conjunto de caracteres � no caso o alfabeto � que nos gerou o texto codificado. Este conjunto de caracteres que foi usado para gerar o c�digo pode ser chamado de chave. Simplificando, uma chave � um conjunto de caracteres que � usado para ajudar a compor o texto criptografado. Vamos mudar o algoritmo de criptografia: vamos atribuir valores num�ricos para cada caractere correspondente a sua posi��o na palavra e outra coluna correspondente a posi��o da letra no alfabeto, assim, a palavra original fica da seguinte forma:

I - 0 - 08

N - 1 - 13

T - 2 - 19

E - 3 - 04

R - 4 - 17

N - 5 - 13

E - 6 - 04

T - 7 - 19

Vamos determinar que iremos escrever a palavra usando dois bytes (dois caracteres) representando a sua posi��o na palavra, desta forma ter�amos: 08 13 19 04 17 13 04 19.

...

Quer ler esse conteúdo completo? Tenha acesso completo