Rafael Dohms Web Engineer

Code Search: Novas ameaças de segurança

Como já era de se esperar a estréia do Google Code Search trouxe inúmeras novas oportunidades de crackers buscarem obter informações como senhas de sites alheios.

Em forma de pesquisa algumas pessoas buscaram obter acesso a senhas alheias utilizando expressões regulares no code search. No exemplo foi utilizada uma busca que retorna senhas de banco de dados de blogs do tipo wordpress.

Não! o Google não cometeu uma falha e esta indexando de alguma forma arquivos de configuração, como já demostrei arquivos .php não mostram seu código fonte na web. O problema esta um pouco mais além e na verdade é culpa de más práticas de desenvolvedores.

Como fugir destes problemas?

1. Não user arquivos .inc para configurações - ok esta é velha mas vale ainda, se você utilizar um arquivo desta extesão ele é indexado e visto como um arquivo de texto, use sempre .inc.php ou .inc.asp

2. Não armazene cópias em arquivos ZIP - Não só zip como qualquer outra forma de arquivo compactado, por um motivo simples, são estes arquivos que o Google Code Search esta indexando e disponibilizando em sua busca, ou seja, se vc tiver um backup do seu site em zip guardada lá e o google achar... sua configuração esta exposta.

Esta são duas dicas básicas que na verdade já deviam valer antes do Code Search, mas fica ai a recomendação para que não tenham problemas. Alguns comentpários já estao por aqi com string para busca de senhas em ASP e outras linguagens.