Code Search: Novas ameaças de segurança
- Security, Technology and Web, Wordpress
- October 6, 2006
Como já era de se esperar a estréia do Google Code Search trouxe inúmeras novas oportunidades de crackers buscarem obter informações como senhas de sites alheios.
Em forma de pesquisa algumas pessoas buscaram obter acesso a senhas alheias utilizando expressões regulares no code search. No exemplo foi utilizada uma busca que retorna senhas de banco de dados de blogs do tipo wordpress.
Não! o Google não cometeu uma falha e esta indexando de alguma forma arquivos de configuração, como já demostrei arquivos .php não mostram seu código fonte na web. O problema esta um pouco mais além e na verdade é culpa de más práticas de desenvolvedores.
Como fugir destes problemas?
1. Não user arquivos .inc para configurações - ok esta é velha mas vale ainda, se você utilizar um arquivo desta extesão ele é indexado e visto como um arquivo de texto, use sempre .inc.php ou .inc.asp
2. Não armazene cópias em arquivos ZIP - Não só zip como qualquer outra forma de arquivo compactado, por um motivo simples, são estes arquivos que o Google Code Search esta indexando e disponibilizando em sua busca, ou seja, se vc tiver um backup do seu site em zip guardada lá e o google achar… sua configuração esta exposta.
Esta são duas dicas básicas que na verdade já deviam valer antes do Code Search, mas fica ai a recomendação para que não tenham problemas. Alguns comentpários já estao por aqi com string para busca de senhas em ASP e outras linguagens.
Quando recebi este livro da O’Reilly, confesso que estava com um “pé atras” achando que não seria algo útil. Se era pra aprender a usar o facebook, porque não apenas ficar clicando até aprender? Mas o livro mostra o outro lado do facebook, dando uma visão de usuário avançado para o novato, acelerando este processo de aprendizado e montando uma caixa de ferramentas maior para o mesmo, e até em alguns casos surpreendendo o usuário avançado com novidades.