E o seu blog, está seguro?
em 22 Abril 2010 | Marcadores: Problemas e Bugs, Segurança
Ontem, após ensinar a migrar do Blogger para o Wordpress, a Juliana percebeu algo que eu não havia percebido. Autores, sem quaisquer permissões de administrador, podem fazer a migração de plataforma sem qualquer problema. Isso é um grave erro, resta saber de quem.
Eu acho que é do Blogger, que não separou as devidas permissões quando se utiliza a ferramenta de importação do Wordpress. Ou talvez a culpa seja do próprio Wordpress, que “descobriu” tal erro e resolveu aproveitar da fragilidade da ferramenta.
Como todos sabem eu sou um autor do Dicas Blogger, e para tal só tenho privilégios de autor. Não posso fazer backups, configurações e muito menos excluir o blog. Entretanto, ao solicitar a importação de blogs do Blogger pelo Wordpress, surgiu a possibilidade de migração de todos os dados (de postagens à comentários) do Dicas Blogger para o Wordpress, por mim, um mero autor. Repito, sem permissões de administrador.
Nota da Juliana: Pedi então ao Luan que fizesse a migração do meu outro e falecido blog, o Dicas de Informática, sendo apenas um autor do blog. Vejam o resultado:
Iniciando a migração do Blogger para o Wordpress
Fazendo o login na página do Google
Migração do blog Dicas de Informática
Fiquei com receio de publicar este post, por causa das pessoas mal intencionadas, mas por outro lado eu precisava alertá-los dos riscos de ter diversos autores no blog.
Partimos do pressuposto que todos os autores são nossos amigos e pessoas de confiança, correto? Nem sempre. Já perdi a conta das vezes que vi lá no fórum do Blogger usuários chorando pela perda de seus blogs por terem concedido até privilégios de administrador a ilustres desconhecidos e cheguei a postar um dos casos aqui:
Ok, este não é o meu caso e nem o seu, mas vamos supor que um dos nossos amigos/colaboradores, tenha a conta roubada. O ladrão terá condições de migrar o blog todinho para o Wordpress mesmo não tendo privilégios de administrador. Entenderam o perigo??? Por precaução, retirei todos os autores do DB até encontrar uma solução.
Para entender melhor a diferença entre autor e administrador, acesse:
A intenção deste post é deixá-los atentos e avisados dos riscos de abrir espaço para autores que não sejam de sua inteira confiança, bem como lembrar que mesmo o autor sendo de confiança, existe o risco de roubo de conta. Segundo informações do Luan, quem não é nem autor e nem administrador não tem como fazer a migração. Ufa! Menos mal.
Luan Felipe é autor do blog Sem Preceito e responsável pela nossa coluna sobre Wordpress.
Nossa!! #medo
ResponderExcluirQuem mais teria coragem de falar sobre esse assunto? Obrigado por compartilhar conosco! Agora é esperar o Blogger resolver esse #bug.
Caraca. Isso é perigoso...principalmente para blogs com varios autores.
ResponderExcluirAcho que isso deve ser resolvido em breve, se todos nós reportarmos aos devidos serviços de blogs
Muito útil. Obrigado.
ResponderExcluirHi, Luan...
ResponderExcluirQue coisa esquisita, né? Já notificaram o Blogger sobre este 'bug'? (Se é que podemos chamar tal falha, gravíssima, apenas de bug!)
[]'s @inaciorolim
Muito importante o alerta! Eu pretendia recrutar colaboradores para os meus blogs, mas agora vou repensar o assunto!
ResponderExcluirNossa, ainda bem que o meu blog não tem varios autores só eu!!
ResponderExcluirMais agora com isto ai, é mais facil o proprio administrador fazer as postagens dos colaboradores..
Obrigado pelo alerta!!
Que coisa O_O
ResponderExcluirAinda bem que eu só dei privilégios de administrador nos meus blogs para o meu irmão, por isso se ele fizer qualquer coisa, eu sei onde ele mora (no quarto ao lado) e posso ir lá tirar satisfações =P
Mas voltando ao assunto, eu imagino que isso seja daqueles problemas que todo mundo (leia-se pessoal do Blogger e do Wordpress) sabe que existe, mas como ainda não deu um problema muito grave (tb leia-se um blog ultra conhecido ser migrado sem autorização) todo mundo finge que não sabe de nada...
Meu blog tinha alguns autores que não postavam nada há muito tempo, mas estavam lá relacionados.
ResponderExcluirDepois deste post resolvi remove-los sem dó nem piedade até que se resolva esta situação gravíssima.
Marco Damaceno
Hum...
ResponderExcluirRelamente, a google tem muito que melhorar o blogger na minha opinião :P
Por que tipo, eu acho que devia melhorar a parte de privilégios ainda...
http://www.google.com/support/forum/p/blogger/thread?tid=05f15c9ce77dcdc1&hl=pt-BR
Se quiserem dar uma força.. Só comentar o que acharam no fórum da google.
By, Belomo.
Como diz minha sábia avó, nesta vida temos que dormir com um olho aberto e o outro fechado...
ResponderExcluirObrigada Juliana por nos ajudar tanto (que Deus continue te dando muita paciência para isso...rs)
Bjos querida!
Por favor retirem esse poste logo daí, apesar de vocês(e eu), saber-mos agora disso, somos poucos e um post como esse pode complicar ainda mais a situação, não estou duvidadando da boa inteção de vocês mas, um post como esse vai divulgar a falha, e nós comprometer. Existem muitos blogs que possuem vários autores, e que já tem um cronograma. Não dá pra sair deletando todo mundo. Se querem ajudar verdadeiramente, comuniquem ao Google para eles tomarem as medidas corretas mas não fação isso, isso a divulgação do proprio ponto fraco, chega a ser 'tolo', me desculpem a palavra mas, só peço que raciocinem.
ResponderExcluirRamiro:
ResponderExcluir1. O Google já foi informado
2.Eu não sou egoísta. Se fosse, eu não teria criado o Dicas Blogger
Tomara que Blogger conserte este mero #faill!!
ResponderExcluirPuxa, dá medo realmente. Mas acredito que a falha será sanada rapidinho.
ResponderExcluirEu fiquei preucupado. mas ainda bem que sou criador e unico do meu blog de emprego.!
ResponderExcluirUfa !!!!
Mas esse é o melhor post que li aqui no dicas! parabens!
Talvez mostrar não seria mais uma divulgação de como fazer, mais sim de como previnir.
ResponderExcluirE melhor do que deixar alguns mal intensionados descobrirem sosinhos e fazer sem os proprios administradores entender a situação...
...............................................
O blog ta legal em *seguindo quem quiser visitar o meu:
www.smasherblog.com
Talvez mostrar não seria mais uma divulgação de como fazer, mais sim de como previnir.
ResponderExcluirE melhor do que deixar alguns mal intensionados descobrirem sosinhos e fazer sem os proprios administradores entenderem a situação...
...............................................
O blog ta legal em *seguindo quem quiser visitar o meu:
www.smasherblog.com
Juliana, viu como está o site do Google? Eles lançaram o novo layout deles... Você já viu? Eu estava usando-o na mesma hora que mudou =P
ResponderExcluirEstava a pensar convidar amigos para escreverem num dos meus blogs, mas agora, até esta falha não estar consertada não convidarei ninguém.
ResponderExcluirJuliana, agradeço-te por teres publicado este post informativo, e que agora todos tenham mais cuidado com os seus blogs.
Queria também dizer a todos que lerem este comentário que devem investigar antes de convidarem alguém para escrever nos seus blogs.
Se há erro de segurança, esse erro é do blogger. O Wordpress faz o pedido de transferência e o google/blogger disponibiliza a informação a que o email inserido tem acesso. A limitação deve de ser feita pelo blogger, uma vez que o Wordpress apenas transfere o que é fornecido pela outra plataforma. :)
ResponderExcluirAbraço,
Celso Azevedo
Celso, eu penso como você.
ResponderExcluirOlá Juliana,
ResponderExcluirRealmente é de se ficar assustado com essa fragilidade, pois parece ser questão de uma simples regra no acesso à estrutura do blog quando da importação no WP (se for autor, permite, senão, bloqueia).
Espero que o Google corrija esse bug logo, pois sem dúvida afetará muitos blogs que possuem autores convidados. Ah! Não acho que o WP quis explorar essa fragilidade, como dito anteriormente, ele só importa o que o Google permite.
Abraço.
Ola!
ResponderExcluirAo que parece o Sr. Google anda "comendo" alguns comentários e quem levou por tabela foi o time DB. Ao qual peço desculpa se usei alguma frase inconveniente, pois para ser sincero já nem recordo bem o que escrevi. Só sei é que deixei um comentário neste artigo, e quando não o vi publicado, erroneamente fiquei a pensar mal do DB por não o ter aprovado. Digamos que vi algo sob um determinado prisma que tinha como verdade absoluta que afinal era ilusão óptica. Caramba, ate me faz sentir mal... quando a Juliana me pediu para reenviar o comentário, devido a bug.
O que na altura comentei foi mais ou menos isto:
Luan, não estou de acordo com a forma com que bloqueou o acesso aos autores DB, e perdoe a susceptibilidade disto que vou escrever, mas quando convidou uma determinada pessoa para ser autor DB é porque confia na pessoa, certo?! Então depois vai bloquea-la quando descobre essa falha no sistema? Tst tst tst... isso não se faz, não é ético. E se fosse comigo, não sei se voltaria a aceitar a ser novamente autor DB (o mais certo seria aceitar, afinal, trata-se do DB da Juliana), mas pronto, tinha que escrever isto... (que mau que sou)
Depois para compensar deixei uma sugestão para um artigo:
Team DB, seria interessante ensinar, e isto para quem tem domínio próprio alojado no blogger (também pode dar com alguns outros serviços que disponibilizem tal funcionalidade), como ter uma conta de email personalizado com o nome do dominio. Por exemplo:
juliana@dicasblogger.com
Isto é uma função totalmente gratuita, e dependendo da empresa que fornece o dominio, dá para um nº limitado de emails.
Se necessitarem de ajuda para a produção do artigo, é só falar (escrever).
Abraço ;)
Alezandri, ainda bem que tudo se resolveu.
ResponderExcluirQuanto aos autores, não foi o Luan que os excluiu e sim eu mesma. Minha intenção foi garantir a segurança do blog até que o problema se resolva.
Antes de tomar tal decisão, avisei a todos eles por email e ninguém fez objeção.
Abraços