domingo, 28 de março de 2010

Além de tequileira, desenvolvedora, geek, musa informal e namorada do Wolowitz, a Simone Villas Boas é fuçadora. Principalmente ela detesta trabalhos porcos. Nós concordamos plenamente. Por isso ela soltou no Twitter a pérola abaixo. O site [não oficial] de José Serra, um dos políticos mais conhecidos do país, figura máxima do PSDB, que nem de longe é um partido pobre.
Ao invés de usar uma solução decente como Wordpress, Mambo, Movable Type, ou mesmo uma fechada mas de qualidade, como o Lumis ou as (caras) ferramentas de CMS da Microsoft, resolveram reinventar a roda. E como todo trabalho de reinvenção da roda feito na base do quem cobra mais barato, falta a expertise. O resultado? Ela acaba de demonstrar.


Não, ela não hackeou nada. Não houve invasão. Você pode constatar clicando neste link aqui.
O que acontece é que o sistema desenvolvido é uma das coisas mais porcas que já foi feita na face da Terra (e isso inclui programas nos quais usei a variável intFofura). Abrindo mão de TODA E QUALQUER segurança, o script notas.php recebe os dados de composição da página via campos da URL e os repassa para a página de saída, sem nenhum tipo de tratamento ou crítica. Veja a dita-cuja:
http://www.joseserra.com.br/?corpo=notas.php&tipo=Tequila%20rulz%20%3Cbr%3E%3Cbr%3E%20%3Cimg%20src=http://farm5.static.flickr.com/4053/4326174225_ee18c4ae5f.jpg%20%3E%3Cbr%3E%3Cbr%3ESimone%20Villas%20Boas%20entra%20na%20campanha%20de%20Jose%20Serra%20a%20Presidencia.%20Ela%20declarou%20que%20deseja%20um%20cargo%20no%20Ministerio%20da%20Birita.%20%22Gostaria%20de%20promover%20muitos%20eventos%20etilicos%20em%20um%20futuro%20proximo%22,%20afirma.

Isso abre caminho para injeções de SQL (se é que essa abominação usa algo sofisticado como um banco de dados), criação de matérias falsas no site principal e muito mais. Eu acho que dá até para o Serra apoiar Gaius Baltar…
Esses bugs são menos comuns do que deveriam. Vide o famoso bug do título do G1, mas nem por isso podem ser desprezados. Uma falha de segurança dessas simplesmente NÃO PODE acontecer. Imaginem se o site do Obama desse esses moles.
Temos gente competente para desenvolver e manter sites sem que erros porcos assim aconteçam. E são muito mais baratos do que os candidatos gastam em chaveirinhos que piscam. Portanto, fica a dica: Demitam quem fez esse trabalho, contratem uma produtora web que não cometa erros primários dignos de script kiddies que acabaram de descobrir o Python e evitem ser motivo de chacota, como já está acontecendo no Twitter.
[ATUALIZAÇÃO] Aparentemente o site não é oficial, o que não ajuda muito o eleitor, já que www.joseserra.com.br NO MÍNIMO passa a idéia de legítimo. Fica o alerta aos candidatos: Cuidar de sua imagem online não é só manter conta no, Twitter, também é preciso evitar que sites de terceiros se confundam com sites oficiais. Pois se até nós que somos PVs fomos enganados, imagine os inclusos digitais.

Nenhum comentário:

Postar um comentário