Google code search em busca das suas senhas
Postado por: Pedro Rogério em 6 de outubro de 2006A nova ferramenta do Google é muito poderosa. Ela é até capaz de mostrar arquivos de bases de dados contendo log-ins e senhas reais, isso mesmo, não é brincadeira, e uma prova disso é que digitando uma certa sequência você pode obter os nome de usuário e senha de quem usa Wordpress. Agora até eu fiquei com medo.
Via Menéame.
<update>Quando escrevi esse post, não tive a intenção de mostrar uma certa “inexperiência http”, pelo contrário, com tanta informação disponível por aí na web, achie que esse não era o momento de se falar sobre “o básico da web”, com tanta informação disponível por aí na web, achava que meus leitores tinham o mínimo de conhecimento possível, mas acabei me enganando e passando uma outra imagem. O intuito desse post era de demonstrar como um simples descuido de salvar seus códigos em um arquivo zip, ou até mesmo com uma extensão diferente a php, asp ou seja lá que linguagem de programação você usa, como é fácil uma ferramenta tão poderosa como o Google, ou até mesmo outra pessoa com conhecimentos mínimos, pode simplesmente descobrir as suas senhas. Mas prometo da próxima vez colocar os pingos nos is.</update>
Random Posts
Sobre Pedro Rogério
Pedro Rogério é desenvolvedor web por paixão, não saberia fazer melhor outra coisa. Além de escrever para o Pinceladas da Web também escreve para o CSS no Lanche, blog voltado ao desenvolvimento front-end.
O.O
hum… parece que essa ferramenta não vai ser muito boa para os desenvolvedores quanto era esperado.
Em quanto tem gente que trabalha pra fazer o bem existem outras que trabalham pra fazer o mal. O que uma empresa grande igual ao do Google referencial mundial ganha com isso?!
Agora teremos que estudar mais pra burlar essas mais intenções.
Mais como nada é de graça eles tambem perdem.
Vlw ai galera.
É as vezes algo que pode ajudar acaba complicando mais a vida dos inocentes e ajudando a vida dos hackers que irão ter isso como um prato cheio pra invadir sites
e oq a google tem a dizer sobre isso?
Aguem sabe?
Pois é, pra quem entende um pouco de PHP, pode dificultar o acesso à senha criando um arquivo que defina uma constante, aí vc usa essa constante no wp-config.php.
Pode tentar outras coisas também.. mas esse lance de pesquisar no código fonte é mals mesmo!
Essa história está mal explicada… não creio que o google faria isso…
A ferramenta que eu tenho conhecimento é que busca códigos fontes na internet, mas você tem que cadastar o código fonte para que ele seja encontrado.
Hummmmm
Isso é falha de segurança do usuário, pois para o Google indexar esses códigos, um arquivo compactado (que contem a página do login/senha) tem que estar disponível para download público. Ou seja, o problema sempre existiu, o Google só facilitou.
O que o Marcus Danillo disse tem toda a razão.
Sugiro a leitura do artigo de autoria do Bruno Torres que fala sobre.
Google Code Search e a falta de conhecimento básico sobre HTTP
Pelamordedeus
Entendam um pouco de HTTP pessoal, isso não irá afetar todas as páginas. O google não tem como ter acesso ao fonte PHP (ASP, etc) a menos que voce deixe.
O servidor interpreta o PHP e exibe APENAS HTML.
A não ser que vc tenha deixado seu código em um formato diferente de .php ou .asp E HAJA UM LINK PRA ELE NA INTERNET, você não terá problemas com isso.
Perceba que a maioria dos resultados da busca retornam arquivos zipados que os desenvolvedores inteligente deixaram disponíveis na net.
OU seja: só atinge manés.
A google não tem culpa de haver manés no mundo.
Leiam este link do Bruno Torres para entenderem sobre o que eu estou falando.
[...] [update] Se você acha improvável que exista gente que acha que o google tem o poder de vasculhar o código-fonte de scripts de servidor, dê uma lida nesse post e nos comentários. [...]
Lançaram o livro google hacking, ele mostra coisas que até deus duvida que o google faz, e achar senha é o minimo que ele pode fazer, sem a menor necessidade de ser o google code.
É preciso seguir regras básicas de internet pra não cair, burrice do desenvolvedor dá nisso orras
Abraçis
Pois é, o mínimo de conhecimento em HTTP e sobre a forma como os códigos nas diferentes linguagens são interpretados e retornados para o navegador (ou crawler), evitariam esse tipo de post.
Como o João Vagner citou, há anos que é possível fazer buscas com filtros específicos e encontrar senhas na Internet, isso não é novidade do CodeSearch.
Basta que o cara que se diz desenvolvedor ou programador web tenha know-how técnico para trabalhar da forma certa e não expor seus arquivos.
O code search é uma ferramenta poderosa e muito boa para os desenvolvedores, pois é feita pra eles, auxiliando na busca.
Esta ferramenta não tem nada de novo, apenas esta sendo popularizada por levar o nome GOOGLE.
Como já relatado acima, o servidor retorna uma página HTML, por isso a possibilidade de roubar sua senha só existe se o seu código estiver compactado e mesmo assim em uma pasta publica.
Não precisamos nos desesperar e sim nos informar!
Valew!
o google quer dominar o mundo !!!!!
vou me esconder depois deste comentario vou me esconder, pois poden entra pessos encapusadas na minha casa e me fazr uma lavagem cerebrau!!!!!!