Code Search: Novas ameaças de segurança
Como já era de se esperar a estréia do Google Code Search trouxe inúmeras novas oportunidades de crackers buscarem obter informações como senhas de sites alheios.
Em forma de pesquisa algumas pessoas buscaram obter acesso a senhas alheias utilizando expressões regulares no code search. No exemplo foi utilizada uma busca que retorna senhas de banco de dados de blogs do tipo wordpress.
Não! o Google não cometeu uma falha e esta indexando de alguma forma arquivos de configuração, como já demostrei arquivos .php não mostram seu código fonte na web. O problema esta um pouco mais além e na verdade é culpa de más práticas de desenvolvedores.
Como fugir destes problemas?
1. Não user arquivos .inc para configurações - ok esta é velha mas vale ainda, se você utilizar um arquivo desta extesão ele é indexado e visto como um arquivo de texto, use sempre .inc.php ou .inc.asp
2. Não armazene cópias em arquivos ZIP - Não só zip como qualquer outra forma de arquivo compactado, por um motivo simples, são estes arquivos que o Google Code Search esta indexando e disponibilizando em sua busca, ou seja, se vc tiver um backup do seu site em zip guardada lá e o google achar... sua configuração esta exposta.
Esta são duas dicas básicas que na verdade já deviam valer antes do Code Search, mas fica ai a recomendação para que não tenham problemas. Alguns comentpários já estao por aqi com string para busca de senhas em ASP e outras linguagens.
Google Code Search
Hoje o Google dá um passo a mais em sua relação com os desenvolvedores de todo mundo, inaugurando o Google Code Search. Sim isso mesmo que falei, uma ferramenta de busca dentro de códigos fonte.
Calma, ele não vai disponibilizar a todos o código do seu site, apenas códigos compartilhados, como por exemplo no PHP Classes, além de arquivos compactados. Claro pois todos sabemos que código de linguagens back-end não são revelados a clientes, seja qual for o cliente acessando por HTTP.
Trazendo consigo uma nova possibilidade, a de uso de expressões regulares a Code Search possibilita se buscar de forma a retornar apenas código de certas e específicas versões de cada biblioteca. Então você que procura uma luz no final do códgio, não deixe de visitar o cantinho do Google reservado para nós Programadores, o Google Code e sua nova ferramenta, o Google Code Search.
Novas do Google
Quem trabalha ou convive comigo já esta acustumado a ouvir "google is god" ou "google vai dominar o mundo". Pois então eu volto a afirmar.
Nos últimos dias andei pesquisando um pouco sobre RSS enquanto implementava o feed do ComuniWEB e acabei achando
novas soluções que não havia encontrado antes, como uma forma de me manter informado.
Algumas novidades se destacam como o GoogleBar com suas novas funcionalidade, como os "favoritos" que viajam com voce de um computador ao outro, bastando apenas fazer o login, quem trabalha com programação sabe o tanto que isso ajuda.
O Google Desktop também não ficou para trás lançando agora o seu novo SideBar, uma fortaleza de informações que ficam ali.. no cantinho resumidas, desde feeds, calendario, Gtalk, Gmail, Adsense e aniversários do Orkut para citar apenas alguns.
Isso tudo começou com a página principal personalizada do Google onde fiz os testes do feed do ComuniWeb, adicionanado ele ali mesmo. Até onde vai o highway da informação? Espero que que vá longe porque informação é poder já dizia alguem muito tmepo atrás, e quanto mais informação vc mantém ali ao seu alcançe, mais produtivo e capaz voce se torna.
Termino aqui minha reflexão sobre essa poderosa empresa, sem nem citar ferramentas como o GoogleEarth ou o SketchUP que deixarei para depois.
Nem todos sabem mas tenho cidadania alemã então termino esta nota comemorando a eliminação da Argentina e alertando apra esta notícia sobre o Argentino que jogou sua TV na parede e queimou sua casa após o jogo.
Sobre/About
Rafael Machado Dohms is a web developer and PHP Evangelist, find out more here.
Feeds
rdohms on Twitter
- How bout giving me a hand in seeing my US friends? vote up my sessions! https://t.co/ANliEN7j you will like them! 3 hours ago
- Why do I now know anyone in the @bostonphp organizer's board? 4 hours ago
- There is a therapy session going on in IRC with @auroraeosrose @grmpyprogrammer and @brandonsavage : "Surviving conference rejection" 5 hours ago
- It would be really awesome if on my first year in Amsterdam the Elfstedentocht would once again be held after 15 years: http://t.co/efxNq1gL 6 hours ago
- Cool.. @phpdeveloper just reminded me that one year ago i wrote about "Mental breaks" to solve problems: http://t.co/1bTh9DGH 6 hours ago
Categories
- Análises (1)
- Carreira (1)
- Desenvolvimento (7)
- Dicas e Truques (2)
- PHP (5)
- Eventos (1)
- Pessoal/Off-topic (6)
- Tecnologia e Internet (2)
- Empresas (1)
Calendar
Tags
Archives
