Quem desenvolve sistemas para web sabe que o ambiente de produção nem sempre é aquela maravilha de organização, sempre fica uns arquivos para trás como teste.php, index_antiga.php, naosei.exemplo e etc.
Só que infelizmente o mundo não é tão azul assim e existem pessoas que adoram sacanear as coisas. E o mais fácil de achar são projetos com arquivos esquecidos como por exemplo o famoso connect.inc, con.inc, conectar.inc. Isso já mostra o quanto de sobrinhos(amadores) existem no mercado de sistemas para web, isso reflete a baixa profissionalização de programadores para web e a falta de visão das empresas que ainda pagam esses serviços com a filosofia do “bom e barato”.
Se tem uma coisa que todo programador web deveria saber é que O SEU SISTEMA VAI ESTAR NA INTERNET!!! isso parece óbvio para você? ótimo. Pois para uma grande parte de programadores web não.
Vamos fazer um teste? abre o google ai e busca por isso backup filetype:sql. Viram que maravilha?
Ok. não retornou tanto resultado assim, vamos perder mais 5min estudando a busca do google e vamos pesquisar por “bkp” ext:SQL
Ta ficando mais bonito o negocio num ta não? Agora pensa naquele moleque que não tem o que fazer… fica o dia inteiro na internet tentando achar algo para zuar e começa a pesquisar site por site atras desses lixos no servidor? Você programador sabe que muitos programas geram arquivos de backups dos arquivos que estão sendo construidos, por exemplo o Kwrite gera um nomedoarquivo.php~ do arquivo que você ta programando e muitas vezes você manda pro FTP sem nem saber.
Quer ver que legal? pesquisa isso “index” ext:php~
Fala aí… ta ficando divertido não tá? acho que mais meia hora estudando meios de buscar no google e tenho certeza que vou achar alguma senha de conexão a algum banco de dados.
Como eliminar isso? Conheço três soluções:
- Tomar vergonha na cara duas vezes ao dia. Uma no inicio do expediente e outra no final.
- Usar sempre um controle de versão(svn) e quando você for enviar algo para internet usar o comando svn export projeto projetolimpo que ai vai gerar uma pasta com apenas os arquivos do projeto que foram adicionados ao controle de versão do seu repositório.
- Colocar um arquivo robots.txt na raiz da sua aplicação bloqueando o acesso dos robos das buscas no seus diretórios. Você não sabe o que é o robots.txt? O google sabe.
Essa falha de segurança cometida por muitos programadores é apenas a ponta do iceberg.