Vamos direto ao ponto: programar sistemas é um troço complicado. Dentre várias coisas, é preciso tornar a interface o mais abstrata e "alto nível" o possível, e isso inclui, entre outros fatores, proteção. A hierarquia de usuários vai desde "Seu João", o usuário comum, até "O Root", o administrador, que tem poder absoluto.
É claro que, como programador do sistema, você é praticamente o "admin". Mas na prática existe outro "admin" por conta do sistema, e você, como encarregado do suporte, pode não ter esse privilégio todo. Mas, como programador, você se precaveu e existe uma maneira obscura de fazer esse acesso. E é aí que mora o perigo.
Dica de segurança do TP: Nunca, nunca deixe uma brecha para acesso irrestrito no seu sistema.
O problema é dobrado em sistemas de código aberto, mas também acontece com muita frequência em código proprietário também. Uma brecha obscura e bem escondida não é nada para o "Seu Zé", mas para um usuário com um pouco mais de experiência no ramo, pode ser um prato cheio. Sobretudo para o terror de todo adminsitrador de sistema e trabalhador da área de suporte: o hacker.
O hacker, só pra deixar claro, é pura e simplesmente aquele cara que adora fuçar coisas. Ele gosta simplesmente de achar os buracos, se divertir sozinho com as falhas e pode ou não consertar tudo de volta ao fim da brincadeira. O problema é que para essa informação vazar para um cracker, que é o primo maligno do hacker, não custa nada. Às vezes, literalmente. =P
Isso não nem de longe uma dica obscura, mas acontece. O Mac, até algum tempo atrás, tinha um bug em que uma chamada da função do sistema "task_by_pid()" podia te dar permissão total de acesso por uma brecha deixada pelos desenvolvedores se for usado um número de PID inválido. Este blog também tinha uma brecha de segurança, que era o Token. Em poucas palavras, o Token não acessava o sistema sem senha, mas isso já foi repensado e eliminado. Então não tentem. ;)
Resumindo: muito cuidado com qualquer brecha deixada no sistema. Se possível, esconda-a muito bem em áreas de acesso restrito. De preferência, elimine-as.
Bruno Pedrassani
15/06/2008 19:22
O problema é não saber da brecha. Se você sabe, até vai atrás, tenta corrigir, esconde, mascara. Mas se não sabe, haja sorte.
Link para este comentário | Responder"Toupeira Profissional"
16/06/2008 14:47
Quando você não sabe é o de menos. O problema é que se você sabe a culpa é duplamente sua: por deixar a brecha e por saber que ela existia e ter deixado ela lá.
Link para este comentário | ResponderThiago-Nacio
17/06/2008 16:43
se você sabe o melhor é colocar a culpa em alguem hahaha
Link para este comentário | Responder