Estou dando manutenção no site de uma pequena empresa. Anteriormente a atualização era feita enviando um email para o “webmaster” responsável que editava os htmls e fazia o upload dos arquivos. Trabalho duro, cobrado por hora inclusive. O estranho é que, numa época em que os programas de cms (Content Management System) são tão bons e gratuitos, algumas pessoas insistem em trabalhar como há 10 anos, onde ter um host no geocities era o máximo (invariavelmente cheio de gifs animados, letras amarelas sobre fundo azul e muitos, mas muitos frames).

Durante a migração para o wordpress descobri uma particularidade: uma parte das novidades do site estavam vindo de outro servidor via iframe. Havia um pequeno cms para noticias, escrito em ASP, em que cada noticia podia ser acessada dessa forma:

http://outrositeexterno.com/xxx/client666/mostraNoticia.aspx?id=9

Como fui testador de software por mais de 4 anos, resolvi brincar um pouco com essa url. Pensei em que mensagens de erro poderiam ser exibidas caso uma noticia de id inexistente fosse requisitada. Coloque lá id=999999999 e mandei bala. Era pior do que eu pensava.

Uma interface tosquissima apareceu, mostrando uma listagem de todas as noticias e botões de new, delete, edit estavam presentes. Tive um mal pressentimento. Não é que eu tinha acesso a um CRUD de noticias sem precisar de autenticação? Pois é… e a culpa não é da tecnologia: com certeza é possivel desenvolver sites seguros até com shell-script, basta ter os profissionais adequados (desses que sabem procurar no google).
.