Comments on: E se alguém trocar a sua id do AdSense? http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/ Linux, Open-source, Programação e Produtividade Thu, 20 Nov 2008 08:47:40 +0000 http://wordpress.org/?v=2.6 By: Jonas Abreu http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-17170 Jonas Abreu Sun, 02 Mar 2008 17:24:21 +0000 http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-17170 Sobre a falha de segurança, testei na última versão do WP e ela parece estar corrigida. Sobre a falha de segurança, testei na última versão do WP e ela parece estar corrigida.

]]> By: Jonas Abreu http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-17167 Jonas Abreu Sun, 02 Mar 2008 17:16:19 +0000 http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-17167 O bloqueio de código html provavelmente reduz em 100% a possibilidade de um tipo de ataque como esse. O problema é que muitas vezes queremos liberar a utilização de alguns elementos html, como links. Quando isso acontece, precisamos ser capazes de detectar o que queremos deixar. Uma das técnicas que o WP usa é retirar as tags <script>, que não é totalmente segura (outras são usadas pra compensar). O ideal é se manter sempre com a versão mais recente do WP. Mas isso também não garante muita coisa. Quando escrevi esse post fiz alguns testes em uma instalação de testes que tenho do WP e encontrei uma falha de segurança (não é crítica a ponto de permitir a troca da ID do AdSense, mas dá pra usá-la para roubo de cookies). Já estou entrando em contato com a equipe de segurança do WP para que corrijam, mas até isso ser incorporado ao código ela continuará por aí. Mas isso não é nem muito culpa deles. Qualquer sistema está vulnerável. Não existe a possibilidade de se construir um sistema 100% seguro. Quanto a uma matéria sobre prevenção, estou preparando a algum tempo um post sobre segurança. Assim que estiver pronto coloco no ar. Obrigado pelas visistas! O bloqueio de código html provavelmente reduz em 100% a possibilidade de um tipo de ataque como esse. O problema é que muitas vezes queremos liberar a utilização de alguns elementos html, como links. Quando isso acontece, precisamos ser capazes de detectar o que queremos deixar. Uma das técnicas que o WP usa é retirar as tags <script>, que não é totalmente segura (outras são usadas pra compensar). O ideal é se manter sempre com a versão mais recente do WP. Mas isso também não garante muita coisa.

Quando escrevi esse post fiz alguns testes em uma instalação de testes que tenho do WP e encontrei uma falha de segurança (não é crítica a ponto de permitir a troca da ID do AdSense, mas dá pra usá-la para roubo de cookies). Já estou entrando em contato com a equipe de segurança do WP para que corrijam, mas até isso ser incorporado ao código ela continuará por aí.

Mas isso não é nem muito culpa deles. Qualquer sistema está vulnerável. Não existe a possibilidade de se construir um sistema 100% seguro.

Quanto a uma matéria sobre prevenção, estou preparando a algum tempo um post sobre segurança. Assim que estiver pronto coloco no ar.

Obrigado pelas visistas!

]]> By: Denis http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-17138 Denis Sun, 02 Mar 2008 15:34:43 +0000 http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-17138 O simples fato de bloquear o uso de código html (leia-se por exemplo) em formulários de contato e comentários já reduz muito a chance deste ataque acontecer. O simples fato de bloquear o uso de código html (leia-se por exemplo) em formulários de contato e comentários já reduz muito a chance deste ataque acontecer.

]]> By: Felipe http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16915 Felipe Sat, 01 Mar 2008 23:28:20 +0000 http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16915 Cara... ISSO É MUITO SÉRIO ! Tem alguma matéria mostrando os métodos de bloquear esse javascript ? Desculpa se é pedir demais, mas você poderia fazer mais uma matéria sobre isso, focando as coisas que podemos fazer para detectar imediatamente, métodos para "evitar" que isso aconteça, o que fazer caso aconteça, e melhor forma de reportar ao Google ? Valeu mesmo. Nota 10 pra essa matéria! Cara… ISSO É MUITO SÉRIO !

Tem alguma matéria mostrando os métodos de bloquear esse javascript ?

Desculpa se é pedir demais, mas você poderia fazer mais uma matéria sobre isso, focando as coisas que podemos fazer para detectar imediatamente, métodos para “evitar” que isso aconteça, o que fazer caso aconteça, e melhor forma de reportar ao Google ?

Valeu mesmo. Nota 10 pra essa matéria!

]]> By: Segurança e a injeção de conteúdo em formulários web http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16851 Segurança e a injeção de conteúdo em formulários web Sat, 01 Mar 2008 18:05:12 +0000 http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16851 [...] injeção de conteúdo em formulários web “O VidaGeek.net publicou hoje uma matéria chamada E se alguém trocar a sua id do AdSense? que aborda o problema de segurança causado pela possibilidade de inserir javascript numa página [...] [...] injeção de conteúdo em formulários web “O VidaGeek.net publicou hoje uma matéria chamada E se alguém trocar a sua id do AdSense? que aborda o problema de segurança causado pela possibilidade de inserir javascript numa página [...]

]]> By: Jonas Abreu http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16560 Jonas Abreu Fri, 29 Feb 2008 22:09:29 +0000 http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16560 O Javascript teria a ID, mas nem é muito complicado você criar um ID fake no AdSense e receber por cheque em uma caixa postal anônima.... Sem contar que o verdadeiro problema é você detectar que isso está acontecendo. O cara pode simplesmente resolver roubar 5% do lucro. Um golpe praticamente indetectavel. Obrigado pelas visitas! O Javascript teria a ID, mas nem é muito complicado você criar um ID fake no AdSense e receber por cheque em uma caixa postal anônima…. Sem contar que o verdadeiro problema é você detectar que isso está acontecendo. O cara pode simplesmente resolver roubar 5% do lucro. Um golpe praticamente indetectavel.

Obrigado pelas visitas!

]]> By: Meerstempel Badist http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16529 Meerstempel Badist Fri, 29 Feb 2008 17:10:15 +0000 http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16529 Não sabia que isso era possível, doidera mesmo, temos que ficar viajando isso agora é tenso. Não sabia que isso era possível, doidera mesmo, temos que ficar viajando isso agora é tenso.

]]> By: Rafael Dx7 http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16501 Rafael Dx7 Fri, 29 Feb 2008 15:58:14 +0000 http://vidageek.net/2008/02/29/e-se-alguem-trocar-a-sua-id-do-adsense/#comment-16501 no javascript injetado não tinha o id do espertão? se tiver não poderia acontecer uma denúncia ao google? com este script pronto ele deve estar fazendo isso em muitos lugares. o problema é que se ele fosse mais inteligente as chances de ser descoberto seriam bem menores. o mais engraçado é que eles semprem cometem o mesmo erro. bom pra nós! no javascript injetado não tinha o id do espertão? se tiver não poderia acontecer uma denúncia ao google? com este script pronto ele deve estar fazendo isso em muitos lugares.

o problema é que se ele fosse mais inteligente as chances de ser descoberto seriam bem menores. o mais engraçado é que eles semprem cometem o mesmo erro. bom pra nós!

]]>