A Cloud Security Scanner da Google quer ajudar os programadores a encontrar vulnerabilidades nos sistemas, com especial enfoque nos sites e aplicações que desenvolvem. Esta ferramenta foi desenvolvida a pensar nos developers que utilizam o Google App Engine.
A Google anunciou o lançamento de uma ferramenta que pretende solucionar os eventuais problemas de segurança que possam ocorrer nas aplicações desenvolvidas na Google App Engine, uma plataforma que permite criar e hospedar apps.
A Cloud Security Scanner está, por agora, disponível em versão beta e funciona precisamente como um scanner que analisa as aplicações e revela erros ou falhas de segurança que possam existir. Os programadores poderão ficar a par de vulnerabilidades nas suas criações, nomeadamente as que dizem respeito a cross-site scripting, comum em aplicações online e que permite ao hacker introduzir códigos através do lado do utilizador, e a mixed content, páginas que são apenas parcialmente encriptadas e que, por isso, não estão totalmente protegidas.
Estas análises poderão ser realizadas regularmente e tratam não só de páginas HTML mas também de HTML 5 e JavaScript. Para o fazer, a Cloud Security Scanner cria uma botnet, uma rede de bots que consiste, essencialmente, no acesso remoto ao computador do utilizador para que a análise possa ser mais rigorosa. Estas botnets são, geralmente, associadas a hackers e, de facto, representam uma espécie de ataque ao computador mas, neste caso, autorizado.
A análise engloba duas fases. Um primeiro passo mais rápido em que o código HTML mais básico é verificado e, depois, um segundo passo mais demorado que pressupõe uma avaliação completa do desempenho do site e de todas as suas secções, incluindo botões e links que estejam incorporados.
Esta análise tão completa poderá, no entanto, acarretar alguns riscos, já que ao percorrer todos esses botões, a ferramenta poderá, ainda que inadvertidamente, realizar algumas ações, como, por exemplo, a publicação de comentários. Para que isso não aconteça, a Google aconselha que o scanner seja utilizada somente em versões de teste ou em sites que tenham bloqueados os elementos que possam ser acedidos pelos visitantes.
Numa publicação, a Google explica que testar uma nova versão pode ser emocionante mas que cada lançamento deve ser analisado e revisto para que sejam encontradas vulnerabilidades de segurança e que “apesar de scanners de segurança nas aplicações web existirem há anos, elas nem sempre são adequadas para os programadores do Google App Engine”.
A Google acrescenta que as ferramentas existentes são, muitas vezes, difíceis de instalar e que encontram demasiados problemas que acabam por se traduzir em falsos positivos, para além de terem sido criadas a pensar em empresas de segurança e não em programadores.
A Cloud Security Scanner está disponível gratuitamente e promete resolver muitos dos problemas de segurança dos programadores mas, ainda assim, a Google alerta para o facto de que “uma limpeza não significa necessariamente que a segurança está livre de bugs”. Recomendam ainda que seja realizada uma revisão manual.
A garantia faz parte de uma iniciativa que visa facilitar o acesso ao financiamento a…
O evento pretendeu dar a conhecer insights de especialistas, explorar demonstrações de vanguarda e discutir…
Depois do lançamento da app, o site surge agora com novas funcionalidades e mais transparência…
O Bit2Me STX é uma das primeiras infraestruturas do mercado financeiro blockchain destinada a operar…
Bolsa Jorge de Mello é dirigida a investigadores em Portugal e visa impulsionar a investigação…
O ranking reconhece e destaca o papel crescente das universidades na promoção do empreendedorismo em…
