Quando um programa tem muitas falhas divulgadas na Internet, ele é considerado um programa malfeito? Nem sempre. É tudo uma questão de foco. Existe muito mais gente tentando descobrir falhas no Microsoft Outlook do que no Incredimail. Por isso, mesmo que esse último tivesse muito mais bugs do que o Outlook, muitos não serão descobertos pois os esforços dos entendidos no assunto vão se voltar para o programa mais conhecido. É sempre assim que funciona. E o Orkut não é exceção.
Mas o Orkut é um site, não um programa. Sim, mas quando utilizado junto de outro programa pode trazer conseqüências catastróficas. O site www.cocadaboa.com noticiou a alguns dias em primeira mão que um de seus leitores , chamado Vinícius, havia informado que conseguiu fazer uma proeza no Orkut: roubar uma comunidade alheia. Mas como isso foi possível? De forma bem simples.
Devido a um dos freqüentes erros do navegador Internet Explorer, combinado com o fraco e mal-feito sistema de cookies do Orkut pode fazer com que um usuário ao visitar uma página “maliciosamente preparada” com um script, entregue a sua autenticação. Explicando melhor: cookies são pequenos arquivos de texto salvos no seu computador para que os sites lhe reconheçam quando você se conectar novamente a eles. Ali então está suas informações de login. Se alguém pegar esse seu arquivo, pode tomar a sua identidade na mesma hora. A falha que permite isso é chamada de Cross Site Scripting (ou XSS). É tão simples que em minutos você poderia tomar a identidade de dezenas de usuários.
Como se proteger disso então 
Você têm duas opções:
1- Atualizar o Internet Explorer (e torcer para que a atualização corrija o problema,
além de você ter que se preocupar sempre em ficar atualizando)
2- Utilizar um outro navegador como FireFox ou Ópera. Ambos são gratuitos e
podem ser baixados no site do Superdownloads (www.superdownloads.com.br)
domingo, 13 de julho de 2008
[Orkut Bugs] Explicando sobre Cookies e XSS
Assinar:
Postar comentários (Atom)
0 comentários:
Postar um comentário