[Owasp-brazilian] FUD pouco é bobagem

Fernando Cima fcima at microsoft.com
Tue Nov 25 10:04:17 EST 2008


Oi Wagner,

Porque você não acredita que o Google Analytics forneça esse risco? Você não acha um risco um terceiro ter o poder de executar um javascript arbitrário sob um contexto de uma página do governo?

Por um outro ângulo, seria correto do ponto de vista de privacidade um terceiro registrar todos os acessos feitos por um cidadão a uma página do governo? E pior, poder correlacionar estes acessos com os acessos feitos a outros sites?

Abraços,

- Fernando Cima

-----Original Message-----
From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
Sent: Tuesday, November 25, 2008 12:57 PM
To: owasp-brazilian at lists.owasp.org
Subject: [Owasp-brazilian] FUD pouco é bobagem

Acho bastante exagerado o comentário feito por alguns membros da OWASP
frente a um possível risco do javascript usado pelo google analytics:
http://www.theregister.co.uk/2008/11/22/google_analytics_as_security_risk/

Realmente é arriscado o "cross scripting", mas não acredito que o
Google Analytics forneça esse risco. E pra mim a bomba de fumaça maior
foi o argumento que pode ser usado o ataque de DNS (do kaminky) para
efetivar o ataque...Ai eu pergunto: qual recurso não é vulnerável ao
ataque de DNS?

Ser criterioso, ficar atento a risco é uma coisa, mas as vezes é muito exagero.

--
Att.
Wagner Elias
http://wagnerelias.com
_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian



More information about the Owasp-brazilian mailing list