Daily Archives: 25/07/2006

Faça coisas diferentes

Published by:

Se a sua rotina diária se perlonga por semanas sem qualquer alteração apenas terá os estimulos habituais.

Fazer coisas diferentes pode significar coisas tão simples como ir tomar café a outro local, ou percorrer a rua ao lado no caminho para casa, ou ler um livro diferentes.

Claro que estes são apenas alguns exemplos, e todos eles podem ser levados tão ao extremo quanto o queira. Tirar umas férias e ir tomar café a Paris não deixa de ser descritível como “ir tomar café a outro lado”, mas será por certo mais inspirador que tomar café do outro lado da mesma rua.

Quando se repetem os mesmos actividades dia após dia apenas os mesmos estímulos são enviados ao nosso cérebro, e o mesmo tipo de ideia daí resulta. Mas quando se alteram esses estímulos, novas ideias surgem, por vezes para problemas antigos.

Experimente com coisas simples, como almoçar num local diferente ou ler um livro relacionado com uma área de actividade que não a sua.


PpW – XSS por parâmetro

Published by:

Já aqui falei nos perigos do XSS e dos parâmetros não verificados, mas não contemplei uma possibilidade que não pode ser desprezada. A de utilizar directamente os parâmetros.

Existem sites que utilizam parâmetros que são passados nos URLs para preencher partes do site, como sejam titulos ou navegações.

Um exemplo (em PHP, mas poderia ser qualquer outra):

<h1><?php echo $_GET['titulo']; ?>

Este código pode não parecer perigoso, mas na realidade abre uma falha grave, especialmente se neste mesmo site forem utilizados cookies ou outra forma de autenticação.

Trata-se de uma situação menos perigosa do que quando os conteúdos inseridos são depois mostrados no site para todos os utilizadores.

Neste caso é necessário abrir um url que tenha o código perigoso incluído. Isso, no entanto, é mais simples de se conseguir do que possa pensar, dependendo da quantidade de utilizadores que têm acesso à parte reservada, o envio por email ou a divulgação em forúns podem conseguir isso, e depois aplicam-se todas as considerações que se fazem em relação ao XSS.

Como prevenir

Tal como se descreveu no post já referido sobre XSS, nunca utilizar directamente nenhum parâmetro que seja passado pelos utilizadores sem, pelo menos, transformar os caracteres < em &lt; e > em &gt;.

Claro que o seu site é feito para os seus utilizadores, mas o facto de 999 em cada mil serem de confiança e não pretenderem utilizar indevidamente o seu site, isso não significa que deva facilitar o trabalho ao milésimo, da mesma forma que não deixaria a porta de sua casa aberta apenas porque conhece todos os seus vizinhos.