Cada vez mais é possível desenvolver softwares e aplicações com menos conhecimento técnico. Inúmeras linguagens de programação, ferramentas, assistentes, kit de montagem, etc. surgem oferecendo facilidades para que qualquer usuário consiga montar aplicações.

Linguagens de quarta geração abstraem detalhes do funcionamento do sistema operacional facilitando a vida dos programadores e tornando o trabalho muito mais produtivo. Assistentes de várias ferramentas produzem telas e formulários simples praticamente com alguns cliques do mouse. Sem falar em diversos portais que oferecem recursos para montar novos sites dinâmicos sem que o usuário precise conhecer a linguagem ou tecnologia utilizada.

Sem dúvida é uma grande vantagem sob o ponto de vista de produtividade e de padrozinação das aplicações.

Porém a questão preocupante é a seguinte: Com estas facilidades, a aplicação desenvolvida fica mais ou menos segura ?

Acredito que para esta questão vale o velho ditado "o barato sai caro".

Inúmeras técnicas de ataques a aplicação se aproveitam da ingenuidade e do descuido do processo de desenvolvimento de software. E sem a consciência de como as coisas funcionam internamente a possilidade de deixar brechas na aplicação aumentam.

Por outro lado, e se o "gerador" de aplicações tiver um sério comprometimento com a segurança, gerando consistências seguras, utilizando criptografia, métodos seguros, etc ? Dificilmente o nível de segurança será elevado de forma eficaz sem que ocorra a perda de flexibilidade e produtividade.

Acredito que a melhor solução para a questão "usar linguagens de baixo nível difíceis e improdutivas ou usar linguagens de alto nível (e geradores de aplicações) produtivas e fatalmente inseguras" é a que responde vários aspectos referentes a seguraça: a melhor solução depende da necessidade de segurança definida pelos requisitos do negócio.

Existem uma nova técnica de falsificação que utiliza uma vulnerabilidade do Internet Explorer. Esta técnica permite formatar uma figura com um link falsificado.

Visivelmente é praticamente impossível perceber a falsificação.

Existe mais de um comando de formação para criar uma figura com link dentro de uma página HTML exibida num site ou mesmo dentro de um e-mail. A técnica consiste em utilizar dois comandos de formatação simultaneamente pra criar uma figura com link. Um dos comandos aponta para o destino verdadeiro e o outro comando aponta para o destino falso. Desta forma o Internet Explorer exibe o destino verdadeiro na barra de status e na dica do link. Porém quando o usuário clica no link, é direcionado para o destino falso.

Esta falsificação aliada a outras técnicas de falsificação (Visual Spoofing, Falha no IE) podem tornar cada vez mais difícil a identificação de e-mails falsos que redirecionam suas vítimas para sites falsificados.

Para verificar o resultado desta técnica, verifique o link abaixo