Sei que é cliche, mas a frase do tio Ben é imortal: "Com grandes poderes vêm grandes responsabilidades". No fim dos anos 90 tivemos o problema da linguagem VBA no office da Microsoft. Dava um grande poder aos usuários da ferramenta, mas criou uma nova classe de virus e problemas pro pessoal de TI.
Atualmente temos até campanha do governo americano incentivando que todos aprendam a programar. Isso é muito bom. Mais gente, mais comunidades, mais código.
Tem ainda o trem/negócio dessa tal de nuvem. Posso colocar meus arquivos nas máquinas da Amazon ou do Google. E eles têm muitas máquinas. Posso até rodar meus programas nessas infraestruturas. Quem já brincou com o AppEngine do Google conheceu as limitações que os próprios engenheiros dessa empresa se impõe. São limitações que evitam que recursos em excesso sejam consumidos por alguma requisição marota.
Mas ai o pessoal do Google, libera o Google Docs. Nele podemos criar scripts, parecido com o Microsoft Office. Demorou muito pra galera, cada vez maior, ver o "potencial" do novo brinquedo.
A idéia é bem simples. Se um usuário coloca =image(“http://example.com/image.jpg”) em uma célula do Google Spreadsheet, alguma máquina de algum dos datacenter do Google irá criar e transmitir uma requisicao para example.com pedindo a imagem. Esta imagem será cacheada depois de obtida. Tudo parece funcionar bem. Ai vêm os trolls. Alguem teve a genial idéia de preencher várias células da planilha com comandos parecidos.
=image("http://targetname/file.pdf?r=0") =image("http://targetname/file.pdf?r=1") =image("http://targetname/file.pdf?r=2") =image("http://targetname/file.pdf?r=3") ... =image("http://targetname/file.pdf?r=1000")
O "r=qualquer coisa" serve pra obrigar que novas requisições sejam feitas. Isso não deixa que o cache funcione, obrigando a realização de novas requisições.
A idéia é genial. Tão colocando os datacenter do Google pra realizar ataques de negação de serviço. Trocando em miúdos, tão derrubando sites com isso.
Detalhes em:
- http://chr13.com/2014/03/10/using-google-to-ddos-any-website/
- http://blog.radware.com/security/2012/05/spreadsheets-as-ddos-weapon/
- http://www.behind-the-enemy-lines.com/2012/04/google-attack-how-i-self-attacked.html
Nenhum comentário:
Postar um comentário