Recente notícia no site Olhar Digital nos informa que um método de invasão já antigo e com solução conhecida como o SQL Injection continua causando estragos. Assim como algumas doenças que já foram erradicadas, esta vulnerabilidade de segurança deveria ser coisa do passado. No entanto a matéria fala em 380 mil URLs afetadas em 3 dias.
Nos contatos diretos que tive com o problema, era só questão de fazer um tratamento correto no código, não concatenar as strings de entrada da página diretamente no comando SQL, etc. No .Net deve-se usar os parâmetros que são passados pelo objeto, e não a concatenação direta. Em outras linguagens não sei exatamente como se faz, mas mesmo que não houvesse nada disso pra ajudar, uma crítica forte implementada no código resolveria.
São atitudes e boas práticas, derivadas de experiência e orientação, que anulariam a ameaça. Demandam apenas conhecimento técnico e controle de qualidade do projeto. Mas num ambiente de desenvolvimento típico de empresas que não são de TI, geralmente se valoriza apenas a velocidade de entrega e o custo (o previsto, pois o executado acaba sendo extrapolado), e mão de obra barata e inexperiente é colocada para resolver todos os problemas. Não culpo os programadores, e sim quem os coloca nesta posição. Concluo que falta valorizar a qualidade do software, o problema de sempre.
Ver também o blog Websense sobre este incidente.
Nenhum comentário :
Postar um comentário