Google code search e a falta de conhecimento básico de HTTP

Esta semana o google lançou mais uma ferramenta, o Google code search. Não é a primeira ferramenta de busca de códigos, mas tem aquele “G” maiúsculo azul que, às vezes, pode fazer toda a diferença.

Funciona de maneira simples, da mesma forma que a busca normal por páginas na web. Com o google code seach você pode procurar por pedaços de código, uma função pra resolver aquele problema que apareceu aos 45 do segundo tempo e você tem esperança de que alguém em algum lugar já tenha resolvido e colocado o código disponível em algum lugar público, ou simplesmente se divertir com comentários e nomes de funções engraçadas que podem revelar desde o amor (ou ódio) por determinado browser ou linguagem de programação até o nível de álcool no sangue do programador.

Além disso, você pode achar senhas de conexão com bancos de dados por aí.

Opa, mas então, ai meu deus, quer dizer que alguém pode descobrir minhas senhas procurando no google? Tenho que tirar minhas senhas de dentro dos meus arquivos PHP? É o fim da web como a conhecemos, o fim do mundo, onde está minha toalha?

É engraçado como ainda tem gente por aí que não tem o mínimo conhecimento do que há de mais básico (e mais importante) nisso que chamamos de web. O protocolo HTTP. Acabei de ver em uma lista de discussão um pessoal desesperado, mais ou menos como no parágrafo acima, achando que o google está vasculhando seus arquivos PHP (ou qualquer outra linguagem) e revelando suas senhas pra quem estiver afim de buscar.

Ora, isso é tão absurdo. Se você não consegue ver o código do seu script no seu browser, o google também não consegue. Um arquivo PHP é processado pelo servidor, e o que vai para a saída é alguma outra coisa, resultado desse processamento. Essa alguma outra coisa pode ser um documento HTML, uma aplicação XML, um PDF ou até mesmo um código PHP em formato texto.

As senhas expostas são resultado do descuido de desenvolvedores que compactam seus códigos e deixam em locais públicos, que podem ser acessados por qualquer um. Se você não faz isso, pode ficar despreocupado. Se faz, trate de mover esses arquivos para um diretório que esteja protegido por senha ou que esteja excluído via robots.txt (sendo a primeira opção mais segura).

O google é poderoso, disso não temos dúvida. Mas não vamos exagerar, por favor.

A propósito, se algum de vocês pensou que o google poderia vasculhar seus códigos e revelar suas senhas, reserve uns minutos do seu tempo para ler meus textos sobre HTTP no O básico da web, principalmente a Introdução ao HTTP, que podem ajudá-lo a esclarecer algumas dúvidas sobre este protocolo tão importante.

[update] Se você acha improvável que exista gente que acha que o google tem o poder de vasculhar o código-fonte de scripts de servidor, dê uma lida nesse post e nos comentários.

O mais interessante é que o post usa como referência um outro post, em espanhol, que, por sua vez, cita um outro, em inglês, que — esse sim — explica como a “mágica” funciona. Tipo telefone sem fio, saca?

Cada vez mais eu vejo que o “O básico da web” tem um público potencial gigantesco. Preciso dedicar um pouco mais de tempo a ele…

9 Comentários sobre “Google code search e a falta de conhecimento básico de HTTP”

Faça um comentário

Google é Google, mas ainda prefiro o Krugle (www.krugle.com)


Bom, acredito que seja muito descuido de um desenvolvedor. Mas existe a possibilidade não é verdade! :-)

Pensa só! Juntando dois fatos:

1º O apache está configurado para listar o conteúdo do diretório.

2º O desenvolvedor escreve uma rotina para a conexão com o banco de dados em um arquivo separado, colocando o nome do arquivo de “conexao.inc” e coloca dentro da pasta “includes”.


E ai, já era!

É claro, isso é um absurdo e nem é culpa do google! :-)

O titulo ilustra muito bem o post e o tema tratado.

Abraço Bruno!


Ótima ferramenta. Google está cada vez mais se mostrando com suas ferramentas.


#4 | X

Parabens pelo post, fazia tempo que nao via um blog falando tanta bobagem como este


#5 | Igor Escobar

Hahaha!
Realmente é incrível os conceitos que se criam na cabeça de alguns. Não há por que ter medo disso, o google não iria invadir a privacidade das pessoas de tal maneira e mesmo se quisesse não conseguiria fazer isso, acessar código fonte de arquivos que são compilados pelo próprio servidor a própria natividade do PHP ja diz que esta é uma linguagem ( Server-Side ) ou seja, todos os arquivos relacionados com a extenção *.php serão compilados pelo servidor já os arquivos *.inc é interpretado como um arquivo texto comum que consegue ser acessível facilmente pelo browser é ai que o nosso amigo google entra em ação rsrs, se você consegue VER você consegue VER o google também consegue rsrs.

O Fantasma que as pessoas estão criando não existe! é questão de lógica não é nem questão de falta de conhecimento do protocolo HTTP.


#6 | Micox

Boa.
hahah

Acabei de tentar explicar esta questão do Code Search pra esse pessoal aqui.

Tomara que, agora, lendo seu post, eles entendam a idéia.


“o fim do mundo, onde está minha toalha?”

Por acaso, voce anda lendo muito O guia dos mochileiros da galaxia? hehehehee

Otimo livro por sinal.

:)


Se fosse o Chuck Norris não mostrava a senha, mas se conectava direto com o banco de dados.


[...] se acendeu! Lembrei de um serviço meio geek da Google, pouco conhecido do público comum, que causou a maior polêmica quando foi lançado, e que, aos que o usam, é de extrema utilidade. Google Code Search. Foi batata! Digite [...]


«

»

Deixe seu comentário