O sistema antispam desenvolvido pelo engenheiro da Embratel, Fidelis Assis, de 54 anos, foi premiado no evento TREC Spam Track 2006, promovido pelo Departamento de Comércio e pelo Departamento de Defesa dos Estados Unidos. Fidelis concorreu com nove equipes de sete países, onde cada inscrito pôde enviar até 4 variantes de seu antispam, no total foram submetidos 32 filtros.

Os filtros brasileiros conquistaram os três primeiros lugares e o quinto lugar, deixando o quarto lugar para os EUA. Seu filtro antispam é usado em diversos sistemas da Embratel, entre eles os sistemas do Click21 e StarOne. 

A ferramenta desenvolvida em boa parte na linguagem Lua (criada pela PUC-RJ), se chama OSBF-Lua. Seu código é aberto e está disponível para download.

John Resig liberou um screencast em seu blog, que demonstra como manipular posts e comentáriso do Digg, utilizando a extensões Firebug do Firefox e a biblioteca javascript jQuery.

Clique sobre o vídeo para iniciar (14:39 Minutos, 59MB):
Download:Clique aqui com o botão direito e Salvar link como…

Todos sabem que o Google e a fundação Mozilla são grandes parceiros, porém existe algo muito curioso nessa parceria. Mas o que tem de tão curiosos assim nisso?

Como conhecido pelos bloggers, o Google paga $1 (um dólar) para cada download do Firefox realizado (através das referências do Google Adsense) e os engenheiros do Google escrevem diversas extensões para o Firefox, como por exemplo, o Google Toolbar, Google Notebook, Browser Sync e Blogger Web Comments.

O Google também paga milhões de dólars todo ano para a fundação Mozilla devido aos cliques nas propagandas exibidas nas buscas realizadas usando o Firefox (veja a identificação que é exibida na barra de endereço após realizar um busca: client=firefox-a).

Apesar de tudo isso, na lista dos add-ons mais recomendandos pela fundação Mozilla, é apresentado o Adblock Plus, que nada mais é do que um plugin de 215 KB que ao ser instalado ao Firefox, promete bloquear 99% das propagandas web. Mas isso não é nada bom para as economias do Google (e nem para quem utiliza as publicidades como renda principal ou secundária).

Quanto mais cresce o número de usuários do Firefox, mas propagandas serão bloqueadas. O interessante é a fundação Mozilla recomendar um plugin que prejudica a renda de seu parceiro e a sua própria.

O que você acha disso, será que o Google está “dormindo com o inimigo”, ou isso não representa risco para a parceria?

Fonte: Digital Inspiration

O jornalista Brian Krebs do Washington Post’s, divulgou um artigo sobre as falhas de segurança dos browsers durante o anos de 2006.

Enquanto o Internet Explorer ficou inseguro 284 dias durante 2006 (80% do ano), o Firefox ficou apenas 9 dias inseguro.

Veja abaixo o relatório de correções do IE (clique para aumentar):

Veja o artigo completo aqui.

Dois especialista em segurança Stefano Di Paola e Giorgio Fedon apresentaram um artigo no 23rd Chaos Communication, realizado entre 27 e 30/dez/06, revelando a descoberta de uma falha crítica no Acrobate Reader.

O ataque pode ser realizado por XSS (Cross Site Scripting), assim seria possível passar um código não-requisitado por parâmetros de uma requisição de URL. Qualquer um que armazene PDF em seu site, pode ser manipulado por essa brecha, sendo assim, qualquer site confiável pode ser tornar uma armadilha para os usuários. Para se ter noção da gravidade dessa falha, se imagine acessando o site de uma banco que você confia e tendo todas as suas informações bancárias sendo capturadas por uma criminoso, pois é, segundo os especialistas isso é possível tudo por causa de um PDF.

Ken Dunham, membro da VeriSign iDefense, diz, em comunicado, que esta vulnerabilidade torna possível o roubo de cookies, informações referentes às sessões de navegação do usuário ou até a criação de um worm que se aproveite dessa falha.

Esse tipo de falha possibilita um grande crescimento dos ataques de XSS.

Até o momento a Adobe não se pronunciou sobre o assunto.

Uma brecha de segurança nos serviço de e-mail do google, o Gmail, possibilitava que hackers roubassem os contatos dos usuário atráves de um código javascript. Isso acontecia se logo após o usuário logar ao gmail fosse acessada uma página que contivesse o javascript malicioso.

O script se aproveitava de uma recurso de integração do gmail com outros serviço do google, usando uma forma de ataque conhecida como XSRF ou CSRF (Cross Site Request Forgery).

A falhas de XSRF existem em aplicações que utilizam cookies, browser authentication ou certificados (client side) para autenticar usuários. O método consiste em enganar o usuário, direcionando suas ações dentro do aplicativo.

No caso do gmail, após realizar a autenticação, se o usuário acessasse o link http://docs.google.com/data/contacts?out=js&show=ALL&psort=Affinity&callback=google&max=99999 todos os seus contatos seriam exibidos.

Da mesma forma seus contatos poderiam ser capturados e utilizados por um spammer, através do acesso de uma página com o seguinte script:

Apesar da gravidade do problema a equipe do Google mostrou como sempre sua agilidade e resolveu o problema em 30 min após a falha ser divulgada.

O desenvolvedor de aplicativos web, principalmente com a moda da Web 2.0, devem tomar medidas para evitar os diversas formas de ataques que vem surgindo. Com certeza, existem milhares de aplicações web com essas falhas aguardando para serem exploradas e desenvolvedores menos prepararados para essa nova realidade.