[Owasp-brazilian] FUD pouco é bobagem

Fernando Cima fcima at microsoft.com
Tue Nov 25 10:38:17 EST 2008


Oi Wagner,

Para complementar, o que o site do Obama está fazendo é incluindo uma dependência externa na aplicação deles. O seu modelo de segurança agora depende da segurança de um código fora do seu controle. Se este risco é aceitável ou não é uma outra questão, mas é inegável que o risco existe.

Para exemplificar este tipo de risco, recentemente tivemos um incidente onde Sitemeter atualizou o Javascript usado para coletar os dados e bloqueou todos os usuários que usavam IE 7 (http://www.techcrunch.com/2008/08/02/sitemeter-kills-thousands-of-sites-for-ie-users/). Milhares de sites subitamente perderam os acessos vindos do navegador mais popular da Internet, causando prejuízo significativo em muitos deles. Nada impede a mesma coisa ocorra com o Google Analytics, nem nada impede que o problema seja mais grave que um simples DoS.

Abraços,

- Fernando Cima



-----Original Message-----
From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Fernando Cima
Sent: Tuesday, November 25, 2008 1:27 PM
To: Wagner Elias; owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian] FUD pouco é bobagem

Oi Wagner,

A possibilidade de um ataque via script é óbvia, incluindo um backdoor que pode ser colocado pelo Google (intencionalmente ou não) a qualquer momento. Os comentários estão corretíssimos, sinceramente não vejo nenhum FUD na matéria.

Abraços,

- Fernando Cima

-----Original Message-----
From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
Sent: Tuesday, November 25, 2008 1:25 PM
To: owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian] FUD pouco é bobagem

Oi Cima,

eu entendi sim... O problema é do webmaster que colocou o analytics
onde poderia causar os problemas por você mencionados. Mas eu me
refiro aos comentários sobre a possibilidade de um ataque via script.
Falaram até em backdoor.

Abs.

2008/11/25 Fernando Cima <fcima at microsoft.com>:
> Oi Wagner,
>
> Acho que você não entendeu. Não adianta analisar o comportamento do script atual - o Google pode mudar o script *a qualquer momento*.
>
> O problema de privacidade não são os cookies. São os cookies enviados por terceiros que são incluídos nas páginas dos sites sem o conhecimento do usuário e que permitem a estes mesmos terceiros acompanhar os usuários sem a sua concordância.
>
> Abraços,
>
> - Fernando Cima
>
> -----Original Message-----
> From: Wagner Elias [mailto:wagner.elias at gmail.com]
> Sent: Tuesday, November 25, 2008 1:11 PM
> To: Fernando Cima
> Cc: owasp-brazilian at lists.owasp.org
> Subject: Re: [Owasp-brazilian] FUD pouco é bobagem
>
> Cima,
>
> realmente não acho!
>
> Se é tão arriscado assim, porque não analisaram o comportamento do javascript?
>
> Se o problema é privacidade vamos abolir todos os cookies da internet.
>
> Abs.
>
> 2008/11/25 Fernando Cima <fcima at microsoft.com>:
>> Oi Wagner,
>>
>> Porque você não acredita que o Google Analytics forneça esse risco? Você não acha um risco um terceiro ter o poder de executar um javascript arbitrário sob um contexto de uma página do governo?
>>
>> Por um outro ângulo, seria correto do ponto de vista de privacidade um terceiro registrar todos os acessos feitos por um cidadão a uma página do governo? E pior, poder correlacionar estes acessos com os acessos feitos a outros sites?
>>
>> Abraços,
>>
>> - Fernando Cima
>>
>> -----Original Message-----
>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
>> Sent: Tuesday, November 25, 2008 12:57 PM
>> To: owasp-brazilian at lists.owasp.org
>> Subject: [Owasp-brazilian] FUD pouco é bobagem
>>
>> Acho bastante exagerado o comentário feito por alguns membros da OWASP
>> frente a um possível risco do javascript usado pelo google analytics:
>> http://www.theregister.co.uk/2008/11/22/google_analytics_as_security_risk/
>>
>> Realmente é arriscado o "cross scripting", mas não acredito que o
>> Google Analytics forneça esse risco. E pra mim a bomba de fumaça maior
>> foi o argumento que pode ser usado o ataque de DNS (do kaminky) para
>> efetivar o ataque...Ai eu pergunto: qual recurso não é vulnerável ao
>> ataque de DNS?
>>
>> Ser criterioso, ficar atento a risco é uma coisa, mas as vezes é muito exagero.
>>
>> --
>> Att.
>> Wagner Elias
>> http://wagnerelias.com
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>
>
>
>
> --
> Att.
> Wagner Elias
> http://wagnerelias.com
>
>



--
Att.
Wagner Elias
http://wagnerelias.com
_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian

_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian



More information about the Owasp-brazilian mailing list