Postagens

Pare de usar Json Web Tokens (JWT's) para autenticação de aplicações WEB!

Imagem
Para que entenda o motivo desta afirmação, vamos ver como é formado um JWT: Cada parte é separada por um ponto (.) então podemos concluir que ele é composto por 3 partes. As duas primeiras partes são chamadas de Header e Payload respectivamente e são compostas de uma codificação conhecida como Base64, lembrando que essa codificação não é um hash (porque pode ser revertido) e não é criptografia (porque não precisamos de uma chave para ter acesso à mensagem de origem), podemos decodificar utilizando os seguintes comandos no bash: Header: Payload: Como resultado temos no Header o tipo de token e qual algoritmo de hash foi utilizado para gerar a assinatura, já no Payload temos algumas informações (identificador de usuário, expiração do token, e outras que podem ser adicionadas conforme necessidade). A terceira parte é quem comprova a integridade e autenticidade das informações contidas no token, pois é a assinatura, ou seja, é um Hash gerado a partir da concatenação: Header + Payload + Cha...
Postar um comentário
Leia mais

SAST, DAST, IAST e SCA o que são estas ferramentas ? No que podem me ajudar ?

Imagem
    Quem participa do desenvolvimento de software, está cada vez ouvindo mais sobre estas ferramentas, então neste post vou explicar o que cada uma delas faz, e como elas podem se tornar um excelente aliado no processo de desenvolvimento de software. O que é Shift Left ? Imaginem as etapas de desenvolvimento conforme a imagem acima, então temos: Planejamento Criação do código Build Execução de testes Publicação Aplicação operando no ambiente de produção Este conceito, traduzindo seria algo como "Deslocar para a Esquerda", significa que, durante o desenvolvimento, o quanto antes identificarmos uma falha, mais barato ela sairá para nós e para o cliente. Em outras palavras, isso quer dizer que o quanto mais à esquerda conseguirmos testar ou até mesmo automatizar estes testes utilizando as ferramentas corretas, as chances de que falhas básicas sejam descobertas somentes quando a aplicação for liberada para produção sejam mínimas, e é com este propósito que precisamos conhecer as...
Postar um comentário
Leia mais