[Owasp-brazilian] Você acha normal usar POST e GET como e fosse a mesma coisa?

Thiago Lechuga thiagoalz at gmail.com
Wed Aug 5 19:29:51 EDT 2009


Sim sim Sim!!

:)

[]s,

Thiago Alvarenga Lechuga
(19)8851-9530

Página Pessoal:
http://thiagoalz.googlepages.com/home

===Knowledge is only useful if you can share it.===


2009/8/5 Wagner Elias <wagner.elias at gmail.com>

> Thiago,
>
> o framework é culpado no caso do struts, mas quantos programadores
> você conhece se preocupa em tratar adequadamente o POST e o GET?
>
> O programador tem que tratar, e se acha que o framework não trata,
> muda de framework ou aprende a tratar isto no framework. :)
>
> Abs.
>
> 2009/8/5 Thiago Lechuga <thiagoalz at gmail.com>:
> > Bom, se é mais fácil fazer errado do que certo, na minha opinião, a culpa
> > também é do FW. :P
> > []s,
> >
> > Thiago Alvarenga Lechuga
> > (19)8851-9530
> >
> > Página Pessoal:
> > http://thiagoalz.googlepages.com/home
> >
> > ===Knowledge is only useful if you can share it.===
> >
> >
> > 2009/8/5 Wagner Elias <wagner.elias at gmail.com>
> >>
> >> Oi Rodrigo,
> >>
> >> sim, não existe uma regra definitiva, o próprio documento do W3C fala
> >> isto.
> >>
> >> Não é responsabilidade do servidor tratar a questão de onde pode usar
> >> POST ou GET, isso é uma decisão de arquiteto e programador. O que o
> >> administrador do server pode e deve fazer é restringir o acesso a
> >> métodos que podem ser usados para ataques ou diagnósticos, PUT, HEAD,
> >> etc...
> >>
> >> O meu ponto é, devemos ensinar (aka pegar no pé) dos desenvolvedores
> >> para que eles tratem isto adequadamente.
> >>
> >> O pior sabe o que é, tentar fazer isso facilmente usando struts por
> >> exemplo. É possível, mas nada trivial, ai o programador prefere jogar
> >> a culpa no framework.
> >>
> >> Abs.
> >>
> >> 2009/8/5 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
> >> > Essa é uma boa discussão.
> >> >
> >> > Até o bom e velho google ja foi alvo de ataques por suportar os dois,
> >> > não
> >> > sei se lembram
> >> >
> >> >
> http://community.nstalker.com/csrf-vulnerability-in-gmail-service-pt_br
> >> >
> >> > Parte do full disclosure
> >> >
> >> > "The attack is facilitated since the "Change Password" request can be
> >> > realized across the HTTP GET method instead of the POST method that is
> >> > realized habitually across the "Change Password" form. "
> >> >
> >> > No caso, acredito que os administradores do servidor tambem podem
> ajudar
> >> > a
> >> > mitigar isso limitando tipo de metodos nos servidores, ou pelo menos
> em
> >> > diretorios especificos.
> >> >
> >> > Mas onde usar, acredito que não exista uma regra e sim conhecer sua
> >> > aplicação e ditar onde podemos usar GET only, POST Only ou os dois  =)
> .
> >> >
> >> >
> >> > Abs!
> >> >
> >> > 2009/8/5 Lucas Ferreira <lucas.ferreira at gmail.com>
> >> >>
> >> >> http://java.sapao.net/Home/usar-corretamente-post-e-get
> >> >>
> >> >> 2009/8/5 Wagner Elias <wagner.elias at gmail.com>:
> >> >> > Pessoal,
> >> >> >
> >> >> > Por que muitos programadores acham que POST e GET é a mesma coisa?
> >> >> >
> >> >> > Se analisarmos os frameworks, struts por exemplo, ele aceita POST e
> >> >> > GET. Se você pegar um formulário que é POST e mandar a requisição
> em
> >> >> > GET, o struts aceita normalmente. Isto é comum em outros frameworks
> >> >> > também.
> >> >> >
> >> >> > Pode parecer apenas uma frescura usar POST e GET de forma adequada,
> >> >> > ou
> >> >> > apenas uma questão de arquitetura. Mas o próprio W3C[1]  sugere
> >> >> > quando
> >> >> > usar POST e GET:
> >> >> >
> >> >> > 1.3 Quick Checklist for Choosing HTTP GET or POST
> >> >> >
> >> >> >    * Use GET if:
> >> >> >          o The interaction is more like a question (i.e., it is a
> >> >> > safe operation such as a query, read operation, or lookup).
> >> >> >    * Use POST if:
> >> >> >          o The interaction is more like an order, or
> >> >> >          o The interaction changes the state of the resource in a
> way
> >> >> > that the user would perceive (e.g., a subscription to a service),
> or
> >> >> >          o The user be held accountable for the results of the
> >> >> > interaction.
> >> >> >
> >> >> >
> >> >> > Além disto, em algumas situações a possibilidade de fazer uma
> >> >> > requisição usando GET, quando era para ser usado POST, pode
> facilitar
> >> >> > ataques de XSS/XSRF baseados em phishing, engenharia social.
> >> >> >
> >> >> > O que vocês acham disto?
> >> >> >
> >> >> > [1] http://www.w3.org/2001/tag/doc/whenToUseGet.html
> >> >> >
> >> >> > Abs.
> >> >> > --
> >> >> > Wagner Elias - OWASP Leader Project Brazil
> >> >> > ------------------------------------------------------------------
> >> >> > Twitter: www.twitter.com/welias
> >> >> > Blog: http://wagnerelias.com
> >> >> > Profile: http://www.linkedin.com/in/wagnerelias
> >> >> > _______________________________________________
> >> >> > Owasp-brazilian mailing list
> >> >> > Owasp-brazilian at lists.owasp.org
> >> >> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >> >
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> If a tree falls in the forest and no one is around to see it, do the
> >> >> other trees make fun of it?
> >> >> _______________________________________________
> >> >> Owasp-brazilian mailing list
> >> >> Owasp-brazilian at lists.owasp.org
> >> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >> >
> >> >
> >> >
> >> > --
> >> > Rodrigo Montoro (Sp0oKeR)
> >> > http://www.spooker.com.br
> >> > http://www.twitter.com/spookerlabs
> >> > http://www.linkedin.com/in/spooker
> >> >
> >> >
> >>
> >>
> >>
> >> --
> >> Wagner Elias - OWASP Leader Project Brazil
> >> ------------------------------------------------------------------
> >> Twitter: www.twitter.com/welias
> >> Blog: http://wagnerelias.com
> >> Profile: http://www.linkedin.com/in/wagnerelias
> >> _______________________________________________
> >> Owasp-brazilian mailing list
> >> Owasp-brazilian at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
> > _______________________________________________
> > Owasp-brazilian mailing list
> > Owasp-brazilian at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
> >
> >
>
>
>
> --
> Wagner Elias - OWASP Leader Project Brazil
> ------------------------------------------------------------------
> Twitter: www.twitter.com/welias
> Blog: http://wagnerelias.com
> Profile: http://www.linkedin.com/in/wagnerelias
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090805/bd7cfba7/attachment.html 


More information about the Owasp-brazilian mailing list