[Owasp-brazilian] FUD pouco é bobagem

Fernando Cima fcima at microsoft.com
Tue Nov 25 11:46:33 EST 2008


Oi Wagner,

Para o problema de privacidade sim - se você estiver navegando no modo InPrivate o browser vai acusar quando você passar por um site que esteja te "acompanhando" por mais de 10 sites distintos e dar a opção de bloquear este site.

Já quanto ao risco posto pelo script eu acho que não existe nada quanto a isso. Eu acho que o safer mashups não se aplicariam aqui neste caso, se fossem adotados provavelmente iria quebrar a funcionalidade do Google Analytics.

Abraços,

- Fernando Cima

-----Original Message-----
From: Wagner Elias [mailto:wagner.elias at gmail.com]
Sent: Tuesday, November 25, 2008 2:12 PM
To: Fernando Cima
Cc: owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian] FUD pouco é bobagem

Oi Cima,

como havia dito em e-mails anteriores, respeito sua opinião e também
disse que é um risco o "cross scripting", mas continuo não concordando
com o caça as bruxas com tudo que o google faz.

A discussão é válida e você tem sempre bons argumentos. :)

A propósito o ie8 tem controles para mitigar estes riscos não tem?
http://wagnerelias.com/2008/07/04/internet-explorer-security/

Abs.

2008/11/25 Fernando Cima <fcima at microsoft.com>:
> Oi Wagner,
>
> Para você isso certamente não é problema, já que você inclusive concorda em que o Google leia o seu e-mail. Para outras pessoas isto é um problema (ainda mais em um site governamental), e como eu falei o risco existe e não é FUD, principalmente se você considerar os problemas não-intencionais.
>
> Abraços,
>
> - Fernando Cima
>
> -----Original Message-----
> From: Wagner Elias [mailto:wagner.elias at gmail.com]
> Sent: Tuesday, November 25, 2008 1:31 PM
> To: Fernando Cima
> Cc: owasp-brazilian at lists.owasp.org
> Subject: Re: [Owasp-brazilian] FUD pouco é bobagem
>
> Oi Cima,
>
> respeito sua opinião. Mas achar que o google vai colocar um backdoor
> pra mim é FUD sim. Se o google é monstro do século 21 é só o governo
> americano fechar ele... :)
>
> Abs.
>
> 2008/11/25 Fernando Cima <fcima at microsoft.com>:
>> Oi Wagner,
>>
>> A possibilidade de um ataque via script é óbvia, incluindo um backdoor que pode ser colocado pelo Google (intencionalmente ou não) a qualquer momento. Os comentários estão corretíssimos, sinceramente não vejo nenhum FUD na matéria.
>>
>> Abraços,
>>
>> - Fernando Cima
>>
>> -----Original Message-----
>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
>> Sent: Tuesday, November 25, 2008 1:25 PM
>> To: owasp-brazilian at lists.owasp.org
>> Subject: Re: [Owasp-brazilian] FUD pouco é bobagem
>>
>> Oi Cima,
>>
>> eu entendi sim... O problema é do webmaster que colocou o analytics
>> onde poderia causar os problemas por você mencionados. Mas eu me
>> refiro aos comentários sobre a possibilidade de um ataque via script.
>> Falaram até em backdoor.
>>
>> Abs.
>>
>> 2008/11/25 Fernando Cima <fcima at microsoft.com>:
>>> Oi Wagner,
>>>
>>> Acho que você não entendeu. Não adianta analisar o comportamento do script atual - o Google pode mudar o script *a qualquer momento*.
>>>
>>> O problema de privacidade não são os cookies. São os cookies enviados por terceiros que são incluídos nas páginas dos sites sem o conhecimento do usuário e que permitem a estes mesmos terceiros acompanhar os usuários sem a sua concordância.
>>>
>>> Abraços,
>>>
>>> - Fernando Cima
>>>
>>> -----Original Message-----
>>> From: Wagner Elias [mailto:wagner.elias at gmail.com]
>>> Sent: Tuesday, November 25, 2008 1:11 PM
>>> To: Fernando Cima
>>> Cc: owasp-brazilian at lists.owasp.org
>>> Subject: Re: [Owasp-brazilian] FUD pouco é bobagem
>>>
>>> Cima,
>>>
>>> realmente não acho!
>>>
>>> Se é tão arriscado assim, porque não analisaram o comportamento do javascript?
>>>
>>> Se o problema é privacidade vamos abolir todos os cookies da internet.
>>>
>>> Abs.
>>>
>>> 2008/11/25 Fernando Cima <fcima at microsoft.com>:
>>>> Oi Wagner,
>>>>
>>>> Porque você não acredita que o Google Analytics forneça esse risco? Você não acha um risco um terceiro ter o poder de executar um javascript arbitrário sob um contexto de uma página do governo?
>>>>
>>>> Por um outro ângulo, seria correto do ponto de vista de privacidade um terceiro registrar todos os acessos feitos por um cidadão a uma página do governo? E pior, poder correlacionar estes acessos com os acessos feitos a outros sites?
>>>>
>>>> Abraços,
>>>>
>>>> - Fernando Cima
>>>>
>>>> -----Original Message-----
>>>> From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of Wagner Elias
>>>> Sent: Tuesday, November 25, 2008 12:57 PM
>>>> To: owasp-brazilian at lists.owasp.org
>>>> Subject: [Owasp-brazilian] FUD pouco é bobagem
>>>>
>>>> Acho bastante exagerado o comentário feito por alguns membros da OWASP
>>>> frente a um possível risco do javascript usado pelo google analytics:
>>>> http://www.theregister.co.uk/2008/11/22/google_analytics_as_security_risk/
>>>>
>>>> Realmente é arriscado o "cross scripting", mas não acredito que o
>>>> Google Analytics forneça esse risco. E pra mim a bomba de fumaça maior
>>>> foi o argumento que pode ser usado o ataque de DNS (do kaminky) para
>>>> efetivar o ataque...Ai eu pergunto: qual recurso não é vulnerável ao
>>>> ataque de DNS?
>>>>
>>>> Ser criterioso, ficar atento a risco é uma coisa, mas as vezes é muito exagero.
>>>>
>>>> --
>>>> Att.
>>>> Wagner Elias
>>>> http://wagnerelias.com
>>>> _______________________________________________
>>>> Owasp-brazilian mailing list
>>>> Owasp-brazilian at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>>>
>>>>
>>>
>>>
>>>
>>> --
>>> Att.
>>> Wagner Elias
>>> http://wagnerelias.com
>>>
>>>
>>
>>
>>
>> --
>> Att.
>> Wagner Elias
>> http://wagnerelias.com
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>
>
>
>
> --
> Att.
> Wagner Elias
> http://wagnerelias.com
>
>



--
Att.
Wagner Elias
http://wagnerelias.com



More information about the Owasp-brazilian mailing list