ajuda para construir uma loja virtual
- Thread starter calmtree
- Start date
Se não for um especialista em desenvolvimento web, é melhor publicar anúncios no DNM.
Se tenciona criar a sua própria loja, vale a pena pedir ajuda a especialistas de confiança.
Existe a possibilidade de utilizar soluções prontas de código aberto.
Exemplo: https://btcpayserver.org
Se tenciona criar a sua própria loja, vale a pena pedir ajuda a especialistas de confiança.
Existe a possibilidade de utilizar soluções prontas de código aberto.
Exemplo: https://btcpayserver.org
Last edited by a moderator:
O que significa DNM?
Em primeiro lugar, eu não utilizaria PHP para tarefas como esta. Há uma razão para as instituições financeiras utilizarem Java. Sem entrar muito em pormenores: De um modo geral, Java oferece uma tipagem pseudo-forte, o que torna os erros mais fáceis de detetar e corrigir e, por conseguinte, mais seguros, porque tudo funciona como deveria. O PHP é mais "hacky" porque se podem fazer coisas bastante desagradáveis (por exemplo, uma função anónima com outras funções, gerada a partir do zero e tudo funciona magicamente bem). Em geral, o PHP é seguro e, se fizeres código limpo, não deve haver problema.
Mas o wordpress é a framework perfeita para não usar. É grande e é um alvo de muitos hackers. Dependendo dos plugins que utilizar, pode criar falhas de segurança. E, infelizmente, a maioria das páginas wordpress requerem JavaScript.
Se é apenas um cliente, deve ter o javascript ativado. De facto, a equipa oficial de programadores do TOR recomenda que tenha o JavaScript ligado, porque se o tiver desligado facilita a recolha das suas impressões digitais e o seu acompanhamento (uma em cada 100 ligações ao TOR tem o javascript desligado ou algo do género).
Tenha em mente que a maioria dos hacks de desanonimização foram executados através de JavaScript (por exemplo, chamadas WebRTC). Se você é um fornecedor, então você deve tê-lo desligado.
Mas, de qualquer forma, o PHP (por si só, nativamente) e o Java (através de Frameworks) oferecem excelentes formas de lidar com sítios Web clássicos (tratamento de sessões, pelo que um sítio Web sem JavaScript pode parecer um sítio Web normal).
Este fórum aqui, por exemplo, é ótimo para oferecer uma porta para ambos os mundos. Algumas coisas são difíceis de realizar sem JS (por exemplo, o spoiler precisa de JS, mas há formas de o fazer funcionar apenas com CSS).
O Wordpress é escrito em PHP. É originalmente um "sistema de gestão de artigos" onde se pode trabalhar num blogue e publicá-lo em determinadas datas, com comentários. É muito parecido com o trabalho de muitos jornais.
De qualquer forma, com certos plugins, como o woocomerce, é possível transformá-lo numa loja. Mas como o wordpress é usado com tanta frequência é normalmente um alvo de muitos hackers. Mas, de resto, diria que é seguro.
A única coisa má é que algumas pessoas têm o javascript desativado, pelo que o wordpress pode não funcionar para elas. Porque sim, js é um tópico para o fornecedor, não acho que o governo iria jogar a sua carta (usando uma vulnerabilidade do motor js do navegador tor) para um fornecedor aleatório, mas acho que eles usariam essas coisas mais para apanhar pedófilos ou terroristas, porque se o seu truque se tornar público será corrigido pela comunidade (tor de código aberto).
Eu diria que o Wordpress é bom mesmo para um grupo de vendedores que o partilham, exceto se planearem criar um novo mercado de casas brancas, então devem começar a preocupar-se em não usar js, ter vários serviços hidden onion (para suportar mais utilizadores ao mesmo tempo), captcha para afastar os bots...
Muitas pessoas nem se apercebem da segurança que o WHM tem. Por exemplo, eles até verificaram se o seu pedido veio de uma implementação real do navegador, levei muito tempo para perceber como eles fizeram isso:
O que eu fiz foi reenviar todos os pedidos para o servidor deles e respondê-los de volta. Isto pode ser usado para representar um site original completo, mas o único fator que muda é o endereço de depósito btc... É basicamente um homem no meio. Não, eu nunca usei isto para fazer phishing a ninguém, apenas para pesquisa. Primeiro usei um simples servidor JAVA que apenas redireccionava a consulta para o servidor original. Isto não funcionou e eu não fazia ideia porquê. Quando tentei o mesmo com o nginx, funcionou bem. Depois descobri como o faziam... Eles verificaram se os cabeçalhos começavam em maiúsculas, conforme a definição. A maioria das implementações tinha nomes de cabeçalhos em minúsculas. Mas o navegador tor e a maioria dos navegadores usavam nomes em maiúsculas, por exemplo, "content-type" vs "Content-Type". Por isso usei python raw socket para construir os meus próprios pedidos http! E funcionou lindamente.
Por exemplo, o Dread não tem este tipo de proteção, pelo que se poderia facilmente escrever um site de phishing para o Dread.
Como vês, há muito mais coisas a acontecer nos bastidores no que diz respeito à segurança, mas mesmo que vendas cerca de 20.000$/dia, não me preocuparia muito. Por isso, não te preocupes e usa o Wordpress, mas deixa que um profissional o prepare para ti.
De qualquer forma, com certos plugins, como o woocomerce, é possível transformá-lo numa loja. Mas como o wordpress é usado com tanta frequência é normalmente um alvo de muitos hackers. Mas, de resto, diria que é seguro.
A única coisa má é que algumas pessoas têm o javascript desativado, pelo que o wordpress pode não funcionar para elas. Porque sim, js é um tópico para o fornecedor, não acho que o governo iria jogar a sua carta (usando uma vulnerabilidade do motor js do navegador tor) para um fornecedor aleatório, mas acho que eles usariam essas coisas mais para apanhar pedófilos ou terroristas, porque se o seu truque se tornar público será corrigido pela comunidade (tor de código aberto).
Eu diria que o Wordpress é bom mesmo para um grupo de vendedores que o partilham, exceto se planearem criar um novo mercado de casas brancas, então devem começar a preocupar-se em não usar js, ter vários serviços hidden onion (para suportar mais utilizadores ao mesmo tempo), captcha para afastar os bots...
Muitas pessoas nem se apercebem da segurança que o WHM tem. Por exemplo, eles até verificaram se o seu pedido veio de uma implementação real do navegador, levei muito tempo para perceber como eles fizeram isso:
O que eu fiz foi reenviar todos os pedidos para o servidor deles e respondê-los de volta. Isto pode ser usado para representar um site original completo, mas o único fator que muda é o endereço de depósito btc... É basicamente um homem no meio. Não, eu nunca usei isto para fazer phishing a ninguém, apenas para pesquisa. Primeiro usei um simples servidor JAVA que apenas redireccionava a consulta para o servidor original. Isto não funcionou e eu não fazia ideia porquê. Quando tentei o mesmo com o nginx, funcionou bem. Depois descobri como o faziam... Eles verificaram se os cabeçalhos começavam em maiúsculas, conforme a definição. A maioria das implementações tinha nomes de cabeçalhos em minúsculas. Mas o navegador tor e a maioria dos navegadores usavam nomes em maiúsculas, por exemplo, "content-type" vs "Content-Type". Por isso usei python raw socket para construir os meus próprios pedidos http! E funcionou lindamente.
Por exemplo, o Dread não tem este tipo de proteção, pelo que se poderia facilmente escrever um site de phishing para o Dread.
Como vês, há muito mais coisas a acontecer nos bastidores no que diz respeito à segurança, mas mesmo que vendas cerca de 20.000$/dia, não me preocuparia muito. Por isso, não te preocupes e usa o Wordpress, mas deixa que um profissional o prepare para ti.
Se está a começar, basta criar uma página html simples para apresentar os seus produtos.
Partilhe o seu e-mail, wickr, o que quer que utilize para contacto. Acho que isto deve ser suficiente para quem está a começar, não precisa de uma loja totalmente automática, há tanta coisa para uma boa loja de trabalho ser feita, por exemplo, verificar o preço das criptomoedas para o dólar já é uma tarefa "complicada" (usa preços diários? se sim, como os calcula como 10% + etc. pp.).
É muito mais fácil se não tiveres muitos clientes para o fazer manualmente. A única coisa com que se deve preocupar é com uma forma de ser notificado instantaneamente quando um cliente lhe escreve (por exemplo, com o wickr não há problema).
A propósito, eu não usaria o wickr porque pertence à amazon, é de código fechado e não tem transparência, e tenho quase a certeza que os federais em breve vão limpar a merda de lá, o que levará a prisões em massa em todo o mundo.
Usa sempre a porra do pgp! Não é assim tão difícil fazê-lo manualmente. Se ainda quiseres ter a conformidade do wickr, mas estando seguro, posso sugerir com segurança o wire.com, que é open source no github. Não te esqueças que a ligação não é segura, por isso tens de a executar através do tor ou de um vpn sem registo + shadow socks. Eu não o descarregaria de qualquer sítio (por exemplo, da Play Store), mas construiria a partir do código fonte. O código-fonte é seguro e, mesmo que os servidores sejam comprometidos, toda a comunicação é automaticamente encriptada (não se vê nada disso como no wickr), pelo que o servidor apenas veria mensagens encriptadas. Este é o único verdadeiro mensageiro que permite construí-lo a partir do código-fonte sem a necessidade de alojar um servidor.
Partilhe o seu e-mail, wickr, o que quer que utilize para contacto. Acho que isto deve ser suficiente para quem está a começar, não precisa de uma loja totalmente automática, há tanta coisa para uma boa loja de trabalho ser feita, por exemplo, verificar o preço das criptomoedas para o dólar já é uma tarefa "complicada" (usa preços diários? se sim, como os calcula como 10% + etc. pp.).
É muito mais fácil se não tiveres muitos clientes para o fazer manualmente. A única coisa com que se deve preocupar é com uma forma de ser notificado instantaneamente quando um cliente lhe escreve (por exemplo, com o wickr não há problema).
A propósito, eu não usaria o wickr porque pertence à amazon, é de código fechado e não tem transparência, e tenho quase a certeza que os federais em breve vão limpar a merda de lá, o que levará a prisões em massa em todo o mundo.
Usa sempre a porra do pgp! Não é assim tão difícil fazê-lo manualmente. Se ainda quiseres ter a conformidade do wickr, mas estando seguro, posso sugerir com segurança o wire.com, que é open source no github. Não te esqueças que a ligação não é segura, por isso tens de a executar através do tor ou de um vpn sem registo + shadow socks. Eu não o descarregaria de qualquer sítio (por exemplo, da Play Store), mas construiria a partir do código fonte. O código-fonte é seguro e, mesmo que os servidores sejam comprometidos, toda a comunicação é automaticamente encriptada (não se vê nada disso como no wickr), pelo que o servidor apenas veria mensagens encriptadas. Este é o único verdadeiro mensageiro que permite construí-lo a partir do código-fonte sem a necessidade de alojar um servidor.
