Google Code Search znajduje dziury i bluzgi

Nowe narzędzie Google Code Search umożliwiło przeszukiwanie kodu źródłowego na niespotykaną dotąd skalę. Przy okazji użytkownikom udało się znaleźć wiele ciekawych fragmentów - hasła, przekleństwa oraz dziury, o których wiedzieli autorzy kodu.

Wyszukiwarka Google indeksuje większość kodu źródłowego dostępnego na serwerach z całego świata, w tym także źródeł spakowanych w archiwa różnych formatów (tar.gz, , ZIP). Dało to dostęp do zupełnie nowych, mniej lub bardziej poważnych, zastosowań. Jakie ciekawostki udało się wygrzebać z Google Code Search uczestnikom różnych forów dyskusyjnych? Oto niektóre z nich:

* kod źródłowy do generowania kluczy dla WinZip, który niby powinien być tajny ale wyszukiwarka znalazła go w jakimś cracku

* liczne wulgaryzmy, takie jak "f..king" czy rodzime "k..wa" (hit tygodnia: plik tymczasowy "/tmp/k..wa"), czy legendarne hasło "du.a.8"

* fragmenty kodu, co do których autor zdawał sobie sprawę, że mogą być dziurawe: "buffer should be big enough", "fix this", "this will crash"

* fragmenty kodu, które w założeniu miały być poufne: "confidential proprietary"

* i wiele innych, z których część publikuje serwis kottke.org

Wyszukiwarka kodu Google to jednak nie tylko śmieszne nazwy plików tymczasowych - jej uruchomienie wkrótce zaowocuje nowymi włamaniami (hasła, tylne furtki) czy nowymi dziurami w aplikacjach. Uruchomienie tej usługi zmienia bowiem dotychczasowy sposób przeszukiwania aplikacji z selektywnego (osoba poszukująca dziur wybierała aplikację) na globalny (wyszukiwarka pozwala znaleźć dziurawą aplikację spośród wielu).

Oczywiście, w dłuższej perspektywie projekt ten przyczyni się bardziej do podniesienia bezpieczeństwa aplikacji oraz wyeliminowania przynajmniej części dziur, które do tej pory były znane tylko nielicznym.