`Google Code Search´ Hacker'ların İşini Kolaylaştırıyor

0
Guardian
networkworld.com 'daki haberde Google'ın kasıtsız olarak hacker'lara yeni bir araç sunduğu belirtiliyor.
Makaleden alıntılar;

" Google Code Search Perşembe günü programcıların işlevini kolaylaştırmak adına uygulamaya geçti. Fakat bu uygulama açıkları tespit etmeye, şifre özelliklerini araştırmaya veya internette yayınlanması istenmeyen patentli kodlarında araştırılmasına olanak tanımakta.

Google Web Search uygulamasının aksine Code Search uygulaması internetteki kaynak kodlarının içeriğinde araştırma yapıyor ve kaynak kodlu dosyaları buluyor. Geliştiricilerin kaynak kodu bulması açısından kolaylık sağlayan bu uygulamanın dezavantajları da var.

Uygulama savunmasız açıkları bulmak içinde kullanılabilir. Şifreleme mekanizmalarını yada internette yayınlanması istenmeyen patentli kod kümelerini bulmak için yaralanılabilir."

Ayrıca makalede uzmanların Google Code Search uygulamısı adına çıkan güvenlik suçlamalarının önemli olduğunu, bu olay hakkında bir takım problemler yaşanabileceği hakkında uyardığı belirtiliyor.

Güvenlik araştırmacısı Johnny Long tecrübeli bir hacker'ın bu tip araştırmaları Google Web Search yardımıylada yapabileceğini fakat yeni uygulamanın işi kolaylaştırdığını belirtmiş.

Makalede Google'ın yeni uygulamasının kötüye kullanılabilirliği hakkında fazla bir açıklaması olmadığı belirtilmiş.

Bu konu da çeşitli platformlarda uzun tartışmalara neden olacak gibi gözüküyor. Programcıların kaynak kod yada bir örnek aramasını kolaylaştıran uygulama aynı zamanda çeşitli saklı kalması gereken satırlarıda ortaya çıkarmayı kolaylaştıracağı aşikar.
Editörün Notu: Bu konuda Yns_'nin gönderdiği habere de aşağıda yer verilmiştir.
Google kod arama servisi: Script Kiddy'nin cenneti

Yakın zamanda google, yeni servisi olan codesearch'ü duyurdu.

Bu servisle, google botlarının herhangi bir şekilde kaşesine attığı sayfalar,kodlar hatta .rar arşivleri içinde bile kod araması yapılabiliyor.

Oldukça yararlı bir araç gibi görünse de kötü niyetli kişilerin elinde bir crack aracı olarak ta kullanılabiliyor.Zira regex desteği ile oldukça gelişmiş aramalar yapılabiliyor.

Örneğin, PHP uygulamalarında HTTP Response Splitting açıklarını aramak için "lang:php header\s*\("Location:.*\$_(GET|POST|COOKIE|REQUEST|SERVER).*\)" gibi bir keyword kullanmak yetiyor.

XSS açıklarından SQL Injection zayıflıklarına kadar birçok vulnerable kod bulmak mümkün.

Umarım geliştiriciler en azından apaçık zararlı olduğu görülen keywordler için bir blacklist oluştururlar.

Görüşler

0
muhuk
Google olmasa da o açıklar orada olacak. Geliştiriciler güvenlik açıklarını kapatsalar daha iyi değil mi?
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Google Yardımıyla Kendi TLD'nizi Yönetin: Nomulus

tongucyumruk

Eğer alan adı dünyasını bir süredir takip ediyorsanız biliyorsunuzdur, uzun bir süredir ICANN'in "para varsa varım" politikası sayesinde gerekli ücreti ödeyip altyapınızı da kurduktan sonra .ninja, .xyz veya .google gibi kendi TLD'nizi (TLD = Top Level Domain, Üst Seviye Alan Adı) kurabiliyorsunuz.

Google sayesinde, artık kendi TLD'nizi çok daha kolay bir şekilde kurup...

Google News artık BETA değil...

darkhunter

Google Blog'da dün yayınlanan habere göre, Google News artık Beta değil. 2002 yılında yayın hayatına Beta olarak başlayan haber portalı (evet kabaca 4 yıldır beta idi), halihazırda 10 dilde ve 22 farklı coğrafi lokasyona uygun yayın yapıyor.

Google News hakkında ayrıntılı bilgi edinmek için.

Google OS olabilir mi?

TiberiusKirk

osnews.com'da yer alan makaleye göre, Google ve Microsoft arasında başlayan arama motoru rekabeti dramatik biçimde vites büyütüyor...

Acaba Google OS diye bir şey olabilir mi? Google hedef büyütüp insanlara çok daha geniş ve güçlü bir kullanım şekli sunabilir mi? Halihazırda elinde en güçlü arama mekanizmalarından biri mevcut, haber servisleri, her yerden erişilebilir ve çok kolay kullanılabilir bir e-posta... Her kullanıcısına 1 GB alan yerine 10 GB alan verdiğini, dosya izin ve paylaşım mekanizmasını kurduğunu, hızlı bir Internet bağlantınız olduğunu düşünün. Nereye giderseniz gidin, hangi bilgisayarı kullanırsanız veriniz erişilebilir durumda. Yeni bir işletim sistemi ya da yeni bir uygulama süiti ya da belki yepyeni kavramlar...

Google Web Toolkit (GWT)

Skeleton

Google Maps ve Gmail gibi AJAX uygulamalarının kolay bir şekilde geliştirilmesini amaçlayan ve bir Java yazılım geliştirme ortamı sağlayan Google Web Toolkit (GWT) duyuruldu. Yahoo'nun YUI'sine karşılık atılmış bir adım olsa gerek.

Google'dan Sosyal Fon

parsifal

Küresel yoksulluk, enerji ve çevre gibi sosyal konularda yapılacak araştırmalar için Google fon oluşturmaya karar verdi.
Fonun, halka arzlardan elde edilen gelirin %1'inin aktarılmasıyla oluşacağı, bu payın şirketin yıllık karının %1'ine denk geldiği belirtildi.

Kaynak: 13 Ekim 2005 Cumhuriyet gazetesi s.13