Início » Antivírus e Segurança » G1 com a falha de segurança mais idiota de todos os tempos

G1 com a falha de segurança mais idiota de todos os tempos

Thiago Mobilon Por

O título deste post é uma breve homenagem ao texto publicado pelo Cardoso no Meio Bit, alguns meses atrás. Mas apesar da confusão, não estou falando de nada relacionado ao Google Phone, e sim ao portal G1 da Globo.

Um link está sendo replicado na internet, e direciona o usuário para uma matéria do G1, sobre a morte do ex de uma atriz global. O único problema, é que o link da notícia é falso. Veja abaixo:

http://g1.globo.com/Noticias/Rio/0,,MUL919341-5606,00-MARCELO+SILVA+SE+FODEU+BONITO.html

Segundo uma nota publicada há poucos instantes no G1, o link correto é:

http://g1.globo.com/Noticias/Rio/0,,MUL919341-5606,00-DELEGADO+DIZ+QUE+
MARCELO+SILVA+CONSUMIU+COCAINA+ANTES+DE+MORRER
.html

Mas como um link falso pode apontar para a mesma notícia do link original, se o domínio é exatamente o mesmo?

Repare que todos estes números na URL, servem para que o sistema identifique a matéria à qual o link se refere. Mas de acordo com o que acabamos de ver, a letras da url -colocadas ali para fins de SEO- podem ser alteradas deliberadamente, sem que nada aconteça.

Veja um pequeno teste:

http://g1.globo.com/Noticias/Rio/0,,MUL919341-5606,00-ALGO-ME-DIZ-QUE-O-PROGRAMADOR-ESQUECEU-DE-PENSAR-NESTE-INCONVENIENTE.html

Apesar de ter sido alterado, o link continua apontando para a mesma notícia, quando deveria retornar uma simples página de Erro 404.

Óbvio que isso não é um erro de segurança do tipo código vermelho. Não me parece que alguém vá conseguir invadir o sistema do G1 e fazer a festa por lá, através desta besteirinha. Mas o que será que os editores do portal irão pensar, ao ver que suas notícias podem estar sendo divulgadas internet afora, com frases caluniadoras na URL?

Ainda bem que a notícia não é sobre nenhum político ignorante, ou a uma hora dessas, já teriam emitido uma liminar para bloquear o acesso ao G1 no Brasil.

Mais sobre: , , , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Guilherme
10 anos e ainda continua.
Adriano
Teu artigo ficou excelente?





http://audreydisse.net/
harvey
8 Anos e ainda continua
Lucas Carvalho
8 Anos e ainda continua
Alexandre Saccol
Sete anos and counting. UHAEHUEAHUEAHU
Cash
3 anos e meio depois da publicação dessa notícia, e o erro ainda está lá...
João Brunelli Moreno
Caio
Thiago, CMS é Sistema de gerenciamento de conteúdo. É tipo o sistema como o do seu blog, que talvez seja wordpress, não sei.

Realmente é uma falha estúpida, fazer o quê? Manda o estagiário embora.
Rafael Ramos
Já passei por isso quando trabalhava com desenvolvimento Web. Query Strings dava um trabalhão, mas depois achei um jeito de bloquear o que vinha depois da string original.
Thiago Mobilon
Bacana.. eu não conhecia o CMS. Achei que fosse algo desenvolvido pelos programadores deles.
Chris Benseler
Thiago, o sistema utilizado por ambos é o Vignetti (um CMS gringo, bem famoso).

Abraço!
Chris Benseler
E continua o erro, meses depois.
Mas veja que esse não é um problema só do G1. O Terra também tem: acesse http://noticias.terra.com.br/mundo/interna/0,,OI3441696-EI8142,00-Russia+nao+tem+motivo+para+nao+reabrir+gas+diz+UE.html e tente mudar a URL.

Provavelmente é um erro do CMS que os portais usam. O Terra (e imagina que o G1 também, pelo formato da URL) utiliza o famoso Vignetti

Abraço!
Thiago Mobilon
A impressão que dá, é que foi a mesma empresa que desenvolveu o sistema dos dois portais.
OiYes
Outro grande portal brasileiro também utiliza a url assim como os sites da Globo... No Terra por exemplo:

http://mulher.terra.com.br/interna/0,,OI3379799-EI4788,00-Saiba+evitar+que+as+dividas+afetem+a+sua+relacao.html

Poderá ser visto também através de:

http://mulher.terra.com.br/interna/0,,OI3379799-EI4788,00-Me+paga+sua+ex+sem+futuro+Vou+te+inscrever+naquele+quadro+do+Gugu.html
CARLOS VALE
caro tiago

ja vi que és um cranio em tm

queria ajuda para desbloquear motorola k3

obrigado
Diogo Dourado
http://tecnoblog.net/archives/g1-com-a-falha-de-seguranca-mais-idiota-de-todos-os-tempos.php?=nao-acho-isso-uma-falha-mesmo-porque-todos-sao-passiveis.html

bom.. mesmo usando o metodo get... é diferente.. tudo bem.. mas seria o mesmo "erro". Normal, a grande maioria aceita, ja que trata apenas os primeiros campos para indice. Colocar o restante como HASH e fazer conferencia seria perda de processamento, ou seja, esta "falha" nao valeria tal esforco.
OiYes
De tempos em tempos este assunto aparece... algum engraçadinho muda a url do G1 e o link acaba se espalhando pela Internet. O G1 permitir isto é dose, acho que eles preferem ficar enviando nota dizendo que aquele link não é o original. E não é só o G1, todos os sites da Globo.com...
Evandro Cesar
Hoje alguém vai dançar :D
charles c
Gostei de ver o assunto sendo abordado por um prisma mais tecnológico. Na maioria dos lugares, falavam apenas do caso, e só.
Thiago Mobilon
@Juvenau: Não foi exatamente o que eu falei no texto? :)
Juvenau
@Thiago Mobilon: como eu disse.. o lance mesmo ali é só pra SEO, a unica coisa que importa no url é alguma parte disso:
0,,MUL919341-5606,00

eu trabalho com PHP, sei que que tou falando :P
[barba]
Fico pensando se desde o começo não foram os sites de humor que espalharam esses falsos links só de zuação.
Thiago Mobilon
@Juvenau: Isso se chama url dinâmica. A do G1, apesar de ser horrível, não é dinâmica.
Juvenau
ps: vc conssegue fazer isso em 90% dos sites que estruturam a url deste modo..
Juvenau
Não vão mudar nunca..
qualquer um pode adicionar uma variavel a um link.. por exemplo este link aqui:
http://tecnoblog.net/archives/g1-com-a-falha-de-seguranca-mais-idiota-de-todos-os-tempos.php
se eu envia-lo pra alguem desse modo:
http://tecnoblog.net/archives/g1-com-a-falha-de-seguranca-mais-idiota-de-todos-os-tempos.php?oi=TESTE-DE-TITULO-VAI-SE-FODER
vai cair aqui! não é uma falha.. só serve pra buscadores mesmo.
Thássius V'
Os links da Globo.com sempre foram assim, faz tempo. Parece que algum aproveitador resolveu utilizar a curiosa estrutura de URL para brincar com coisa séria e deu no que deu.

O pior foi, na nota da empresa, ver o link com palavrão ser publicado. Eu NUNCA faria isso.
Pedro Moraes
kkkkkkkkkkkkkkkkkkkkkk...essa foi boa. A culpa é realmente do estagiario que vai ser demitido.
excelente explicação thiago.
Romullo Pontes
O pior de tudo é que as técnicas de SEO da Globo.com sempre foram uma porcaria. Noticiam tudo e raramente aparecem nos primeiros resultados de busca.

Mobilon, estou voltando meu rapaz!

Aquele abraço!
Rafael
Culpa do estagiário.
[barba]
E ainda colocaram a culpa no estagiário.
Thiago Mobilon
@Doufer: Aqui ainda está abrindo normalmente. Acabei de testar.
Doufer
Parece que consertaram, o link não funcionou comigo.
Richard Barros
Achei estranho o post deles. Corrigir e notificar o erro tudo bem, mas postar o link errado com o palavrão não é um atitude muito comum da Globo.
marcellus
HAUEHAUehuaHeuaheuhaEhaehAUEH!

No mínimo engraçado! =DDD
Emily-SemQuererSaiu
mas o cara é um zé ninguém, então o povo tá é rindo do link. e fazendo chacota com o caso. =P

agora, belo vacilo do programador. mas como fazer pra isso não acontecer?