Seguridad basada en código abierto... ¡pero no tanto!

 

 

Una cosa es basar la seguridad en la apertura del código y otra muy diferente mostrar los nombres de usuario y sus contraseñas en el código fuente incluido en la propia página de login.

Si esto ocurre en el sitio de una de las principales empresas tecnológicas del país, ¿qué se puede esperar?

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
anónimo's picture

Ah caray


De cual empresa estamos hablando? porque no aclaramos un poco mas el alcance de este artículo???

admin's picture

Lo tienes todo en el enlace


Yo por mi parte... no tengo palabras ;)

anónimo's picture

De Amper.


De Amper.

anónimo's picture

En el javascript


This script and many more are available free online at
The JavaScript Source!! http://javascript.internet.com

anónimo's picture

En cualquier caso


En cualquier caso, ese formulario da acceso a la sección de identidad corporativa. Es decir, no es TAN grave. Muchas empresa no restringen la entrada.

anónimo's picture

Simplemente...


...ridículo.

Están a pelo tanto los pares usuario/contraseña, como la dirección a la que tiene que enviarte el navegador.

Creo que ni en los típicos cursos de seguridad que se pusieron de moda hace tiempo, en los que tenías que ir pasando distintos niveles saltándote la seguridad de la web especialmente preparada, había una sóla prueba tan tonta.

Hasta en la primera prueba, en la que la contraseña solía estar escondida en el código fuente, intentaban ofuscar la solución ligeramente para no hacerla tan obvia.

¡En fin!

anónimo's picture

prototipos


Veamos de donde sale:

http://javascript.internet.com/passwords/multiple-users.html

Básicamente.. delata problemas muy comunes en la ingeniería del software:

* El copypaste sin entender casi nada (lo suficiente para parchear a ciegas).

* Los prototipos que terminan siendo definitivos.

* Becarios precarios

anónimo's picture

Realmente, el problema es


Realmente, el problema es que seguramente, en esa empresa, tengan a un par de curritos, que de informatica tengan un simple curso del paro... cuando tendrían que tener a un técnico superior programando (CFGS DAI) y a un Ingeniero Informatico Supervisando el proyecto...

¡REGULACIÓN DE LA II, ITI YAAAAAA!!!!!!

anónimo's picture

Regular el que?


Regular el que?

A ver quien tiene huevos de firmar un proyecto en cualquier SO o quien nos asegura. Que hoy todo maravilloso pero en media hora un chiquillo de 10 años te abre una brecha y la mierda no va a Amper sino que desde Amper la mierda va al "Ingeniero" que lo firmo, como con los edificios, que va al Arquitecto y luego al seguro del colegio de Arquitectos.

Además si eres un FP no creo que te convengan los colegios de informáticos, que entonces ni de pasa datos te dejan ejercer.

Además hasta los huevos de Ingenieros haciendo de FPs.

anónimo's picture

Pues yo soy fp


Pues yo soy fp, y estoy realizando ahora la ITIG, y que quieres que te diga, pero seguro que a un abogado, no le gustaria que yo con un cursillo le quitase cartera de clientes, o si?

En cuanto a lo de firmar un proyecto, no es lo mismo una casa, que se puede caer y matar a alguien, que un programa, que si está bien diseñado, aunque tenga agujeros de seguridad, seran rápidamente solventables.

Saludos a todos