Categoria

Segurança, Privacidade e Compliance

Boas práticas de logging seguro: o que nunca deve aparecer nos logs
Segurança, Privacidade e Compliance

Boas práticas de logging seguro: o que nunca deve aparecer nos logs

O logging seguro não é apenas uma boa prática de engenharia de software — é uma exigência legal e regulatória em praticamente todos os países com leis de proteção de dados. Leis como a LGPD (Lei Geral de Proteção de Dados Pessoais) no Brasil, o GDPR na União Europeia e o PCI DSS para dados de pagamento impõem sanções severas para vazamentos de dados sensíveis.

23/11/2023
XSS armazenado vs refletido: técnicas de mitigação avançadas
Segurança, Privacidade e Compliance 02/09/2023

XSS armazenado vs refletido: técnicas de mitigação avançadas

O XSS armazenado (persistente) ocorre quando o payload malicioso é permanentemente armazenado no servidor — em bancos de dados, sistemas de arquivos ou logs — e posteriormente servido a usuários que acessam o conteúdo. Já o XSS refletido (não persistente) depende de uma requisição imediata: o payload é enviado via parâmetros URL, campos de formulário ou cabeçalhos HTTP e refletido na resposta sem qualquer armazenamento intermediário.

Como implementar autenticação multifator (MFA) em aplicações web
Segurança, Privacidade e Compliance 24/08/2023

Como implementar autenticação multifator (MFA) em aplicações web

A autenticação multifator (MFA) é um mecanismo de segurança que exige que o usuário apresente duas ou mais evidências (fatores) distintas para provar sua identidade antes de obter acesso a um sistema. Diferentemente da autenticação de fator único (apenas senha), a MFA reduz drasticamente o risco de comprometimento, pois um invasor precisaria violar múltiplas camadas de segurança simultaneamente.

Compliance para devs: LGPD e GDPR traduzidos em decisões de código
Segurança, Privacidade e Compliance 12/06/2023

Compliance para devs: LGPD e GDPR traduzidos em decisões de código

A implementação de compliance começa com a tradução de bases legais em variáveis de estado. Cada operação de tratamento deve estar associada a uma base legal específica, controlada por enums e verificada em tempo de execução.

Como implementar rate limiting por IP com Redis e tolerância a proxies
Segurança, Privacidade e Compliance 20/04/2023

Como implementar rate limiting por IP com Redis e tolerância a proxies

Rate limiting é uma técnica de controle de tráfego que limita o número de requisições que um cliente pode fazer em um determinado intervalo de tempo. É essencial para prevenir abusos, ataques de força bruta, e garantir a estabilidade de APIs e serviços web. Sem ele, um único cliente mal-intencionado ou com um bug pode sobrecarregar o servidor, afetando todos os outros usuários.