A Fundação Luso-Americana para o Desenvolvimento é uma Instituição portuguesa, privada e financeiramente autónoma.
O site da fundação pode ser encontrado no endereço http://www.flad.pt e apresenta, como poderemos ver a seguir, um caso tipico do que não deve ser feito em termos de Internet. É um dos casos exemplares que merece constar neste site.
O site embora atractivo, assenta sobre a plataforma open source mambo.
O mambo é um motor para portais dinâmicos e um gestor de conteúdos que corre em PHP/MySQL.
Um dos problemas dos sites que utilizam o mambo é a falta de segurança. O código é gerado com a colaboração de várias pessoas sendo o seu conteúdo publico. Esta faceta do mambo torna-o perigoso porque está sujeito a ataques. Basta analisar o código para descobrir falhas de segurança que poderão ser utilizadas por hackers mal intencionados para alterar o conteúdo das paginas ou então até apagar o site completamente.
Estas falhas de segurança são publicadas periódicamente em sites de segurança. Alguns deles até mostram exemplos de como se podem atacar sites destes.
A resposta dos programadores do mambo é lançarem o mais rápido possível correcções aos seus scripts, chamados patches. Estes patches devem ser aplicados obrigatóriamente em todos os sites que utilizem o motor mambo.
Mas esta situação quase nunca ocorre. São poucos os webmasters que se ralam com estas questões de segurança e estejam atentos a esta problemática, o que deixa 90% dos sites totalmente expostos.
Com a ajuda da pesquisa do google pode-se descobrir em poucos segundos milhares de sites com problemas de segurança sujeitos a este tipo de ataques.
Por esta razão estranhamos que o Site da Fundação Luso-Americana assente sobre uma plataforma gratuita e sujeita a todos estes graves problemas de segurança.
Existe outro problema de segurança que importa referir: a área de administração do site (o gestor de conteúdos) em http://www.flad.pt/administrator não está protegida por SSL. O login/password passam em forma de texto, sem qualquer encriptação pela Internet. Esta situação faz com que seja relativamente simples capturar os dados de acesso em redes locais.
O Site não está alojado nas instalações da Flad, em Lisboa. Esta alojado na Alemanha, na Hetzner Online AG, empresa que providencia espaço web partilhado e servidores dedicados a 39 Euros mensais. Esta empresa é famosa pelo baixo custo dos seus serviços e pelos problemas de segurança a que os seus servidores estão sujeitos.
Resumo: a FLAD utiliza soluções de web grátis/baixo custo, inseguras nada dignas de uma instuitição com o cariz e prestigio da Fundação Luso-Americana para o Desenvolvimento.
Thursday, March 29, 2007
Sunday, March 25, 2007
Niposom
Ao procurar pelo site da Niposom, como empresa nacional, a minha primeira tentativa foi encontrar o site pelo domínio niposom.pt. Este domínio no entanto não foi registado na FCCN.
O site está a usar o dominio niposom.com.
O site tem uma bolsa de emprego que permite receber candidaturas espontâneas.
O link é o seguinte:
http://www.niposom.com/index.asp?sid={B5C45B1C-7F0F-466C-9D71-1F24C336A6FA}&cntx=B&ver=ciberSTORE_2.1.121
A introdução dos dados é efectuada através de um formulário que permite também fazer upload a um ficheiro .pdf ou .pps com o curriculum.
Existe no entanto um problema no formulário que impede que os dados sejam submetidos.
O campo drop down departamento a que se candidata aparece sem qualquer opção a seleccionar.
Uma vez que este campo é verificado em javascript e uma vez que não foi nada seleccionado, ao enviar o formulário aparece um erro a indicar que o campo departamento é de indicação obrigatória.
Para contornar o problema, pode-se desactivar o Javascript no Browser.
Sem javascript o conteúdo do formulário é submetido sem problemas.
Esta situação indica uma falha grave. Não basta verificar os campos de um formulário no Borowser com Javascript. É obrigatório fazê-lo também a nível do servidor após a recepção do dados. Esta situação pode levar a falhas de segurança graves, tornando o site susceptível a ataques por parte de Hackers, situação que no entanto não testei nesta primeira fase.
Saturday, March 24, 2007
Hospital da Luz
O Hospital da Luz é a mais recente unidade da Espiríto Santo Saúde.
O site está em http://www.hospitaldaluz.pt e tem a indicação de ainda se encontrar em desenvolvimento.
A apresentação dos serviços é feita por meio de um video cujo link se encontra na página principal.
O que é de facto curioso é que o video está alojado no Youtube, o conhecido serviço gratuito de alojamento de videos. No site foi colocado um link que vai carregar o video a partir do Youtube.
É deveras estranho uma instituição ligada ao prestigiado Grupo Espirito Santo estar a usar um serviço gratuito e não profissional para alojar um video institucional. Porque não alojar o video localmente?
Analisando o código fonte do Site verifica-se que este não está minimamente optmizado para motores de pesquisa nomeadamente mostra um uso desadequado das Meta Tags.
Friday, March 23, 2007
Millennium BCP
O site do Millennium BCP apresenta um problema na codificação de caracteres, quando se utiliza o Browser Firefox. Este problema resulta, por vezes, na troca dos caracteres portugueses acentuados, parecendo que parte dos textos estão escritos em chinês.
Esta situação, num site de uma Instituição Bancária faz gerar alguma desconfiança quanto à segurança do mesmo, por parte dos seus utilizadores.
Isto resulta do facto de o Firefox (browser já usado por largos milhares em Portugal), ao contrário do Internet Explorer não mostrar as páginas dos site, por omissão, na codificação ISO-8859-1.
Como poderia ser resolvido?
Simples, basta a colocação, pelo BCP, da seguinte meta tag entre os comandos HEAD de cada página:
Meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"
Todos os webmasters sabem que as páginas web devem ser testadas em vários browsers e não apenas no Interner Explorer. Isto porque o Internet Explorer não segue os standards ao contrário de browsers como o Firefox.
Em termos de segurança, o Firefox é um browser 500% mais seguro do que o Internet Explorer e deveria ser utilizado por todos os clientes da banca online.
Declarações Electrónicas - DGCI
No site das Declarações Electrónicas, existe a indicação dos meios de acesso ao Helpdesk:
- Por mail: Help-desk @mail
- Pelo telefone 707 206 707
Existe a seguinte nota: Dias Úteis: das 9h às 18h
Como tinha uma dúvida sobre IRS, enviei um e-mail para Consultas_IRS@dgci.min-financas.pt.
Esperei uma semana e não obtive resposta.
Voltei a enviar mais 2 mails a solicitar resposta aos mail anteriores.
Até hoje, mais de 1 mês de pois, não recebi qualquer resposta.
Finalmente, tive que telefonar para o 707 206 707 e numa questão de minutos foi esclarecido das minhas dúvidas.
Porque razão o Ministério das Finanças coloca no site das declarações electrónicas a possibilidade de esclarecimento de dúvidas por e-mail se estes não são sequer respondidos.
Será que são lidos?
Será que os mails têm de ser enviados no período das 9 às 18 horas, caso contrário são destruidos?
Sugestão
Porque não a criação de um verdadeiro sistema de Helpdesk Electrónico.
O site das declarações obriga a autenticação dos utilizadores para o seu acesso.
Uma vez os utilizadores autenticados, e numa área segura, poderiam ter acesso a um sistema de registo de tickets ou de incidentes. Poderiam assim ser colocadas questões às Finanças ou mesmo pedidos de serviços, usando um canal seguro.
Um ponto obrigatório seria a da atribuição de um número único de incidente a cada ticket, para não haver tickets desaparecidos sem resposta.
Esperei uma semana e não obtive resposta.
Voltei a enviar mais 2 mails a solicitar resposta aos mail anteriores.
Até hoje, mais de 1 mês de pois, não recebi qualquer resposta.
Finalmente, tive que telefonar para o 707 206 707 e numa questão de minutos foi esclarecido das minhas dúvidas.
Porque razão o Ministério das Finanças coloca no site das declarações electrónicas a possibilidade de esclarecimento de dúvidas por e-mail se estes não são sequer respondidos.
Será que são lidos?
Será que os mails têm de ser enviados no período das 9 às 18 horas, caso contrário são destruidos?
Sugestão
Porque não a criação de um verdadeiro sistema de Helpdesk Electrónico.
O site das declarações obriga a autenticação dos utilizadores para o seu acesso.
Uma vez os utilizadores autenticados, e numa área segura, poderiam ter acesso a um sistema de registo de tickets ou de incidentes. Poderiam assim ser colocadas questões às Finanças ou mesmo pedidos de serviços, usando um canal seguro.
Um ponto obrigatório seria a da atribuição de um número único de incidente a cada ticket, para não haver tickets desaparecidos sem resposta.
Site Instuticional do Montepio
O Site do Montepio tem um formuário para pedido de abertura de conta.
Este é o endereço da página do formulário:
http://www.montepio.pt/v10/PT/jsp/oferta/abertura/formulario.jsp
No formulário existe uma opção para o registo de emigrantes não residentes.
Só que existe um pequeno problema.
Os emigrantes nunca vão poder solicitar a abertura de conta pelos seguintes motivos:
- O formulário só aceita a formatação do código postal xxxx-xxx usado em Portugal.
- O campo telefone tem de ter obrigatoriamente 9 digitos (numeração nacional).
Aqui está um exemplo da má utilização de um Site de Internet por parte de um Banco Português, banco que investe milhões em campanhas publicitarias televisas (seja Dono do seu Banco), e descura a comunicação via Internet.
Subscribe to:
Posts (Atom)