Enquanto você dormia rolou um vírus no Orkut. Apesar de inofensivo (o código simplesmente se propagava de usuário em usuário) e de eu ter achado o trabalho engenhoso esse assunto é complicado, obviamente, pelo seu potencial maléfico. O tal vírus começou a rolar com força depois da meia-noite, fico pensando no tamanho do estrago se acontecesse durante o dia.

O código maléfico usou o conceito de cross-site scripting (ou XSS para os íntimos), onde você roda código (Javascript) hospedado em um site externo para detonar um site vulnerável. É um daqueles problemas onde os espíritos de porco podem inviabilizar uma coisa boa. O boo-box, por exemplo, é um “cross-site scripting do bem”, já que também é um código Javascript externo que afeta o seu site, mostrando produtos relevantes no seu texto. Cabe aos programadores de sites onde o usuário entra com conteúdo (do Orkut ao WordPress, sistema que comanda este e milhares de outros blogs) filtrar a entrada deste conteúdo alheio para que não tenha código maléfico. Mas como já dizia Mestre Doctorow, essa é uma luta injusta: os criadores dos sites precisam acertar sempre, em todos os cantos do código, enquanto os furadores-de-bloqueio só precisam acertar uma vez.

Há quem defenda que “ações” como a desta noite tornam os sites mais seguros, expondo suas falhas. Mas é bom lembrar que hoje em dia vírus normal, aquele que infecta seu computador todo, não é mais usado para apagar todos os seus dados ou fazer brincadeiras e sim para transformar seu Windows em um zumbi enviador de spam. É bom lembrar também que, apesar do termo usado pelo Inagaki, o vírus desta noite não infectou seu computador no sentido literal da palavra. O que foi infectado foi sua página de scraps. Pode rodar o anti-vírus que for que você não vai pegar nada (ainda bem). Por definição um programa Javascript não pode acessar dados da sua máquina (de novo, senão os espíritos de porco iriam deitar e rolar).

Tudo indica que a equipe do Orkut já controlou o vírus mas se você é paranóico pode desabilitar o Javascript do seu navegador, mas vai ficar sem poder usar sites mais avançados como o GMail. Usuários avançados über-geeks podem fazer como eu e bloquear o site files.myopera.com, onde o código maléfico foi hospedado, direto no seu arquivo hosts.