[Owasp-brazilian] FUD pouco é bobagem

Wagner Elias wagner.elias at gmail.com
Tue Nov 25 10:10:58 EST 2008


Cima,

realmente não acho!

Se é tão arriscado assim, porque não analisaram o comportamento do javascript?

Se o problema é privacidade vamos abolir todos os cookies da internet.

Abs.

2008/11/25 Fernando Cima <fcima at microsoft.com>:
> Oi Wagner,
>
> Porque você não acredita que o Google Analytics forneça esse risco? Você não acha um risco um terceiro ter o poder de executar um javascript arbitrário sob um contexto de uma página do governo?
>
> Por um outro ângulo, seria correto do ponto de vista de privacidade um terceiro registrar todos os acessos feitos por um cidadão a uma página do governo? E pior, poder correlacionar estes acessos com os acessos feitos a outros sites?
>
> Abraços,
>
> - Fernando Cima
>
> -----Original Message-----
> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> Sent: Tuesday, November 25, 2008 12:57 PM
> To: owasp-brazilian at lists.owasp.org
> Subject: [Owasp-brazilian] FUD pouco é bobagem
>
> Acho bastante exagerado o comentário feito por alguns membros da OWASP
> frente a um possível risco do javascript usado pelo google analytics:
> http://www.theregister.co.uk/2008/11/22/google_analytics_as_security_risk/
>
> Realmente é arriscado o "cross scripting", mas não acredito que o
> Google Analytics forneça esse risco. E pra mim a bomba de fumaça maior
> foi o argumento que pode ser usado o ataque de DNS (do kaminky) para
> efetivar o ataque...Ai eu pergunto: qual recurso não é vulnerável ao
> ataque de DNS?
>
> Ser criterioso, ficar atento a risco é uma coisa, mas as vezes é muito exagero.
>
> --
> Att.
> Wagner Elias
> http://wagnerelias.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>



-- 
Att.
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list