Seguridad basada en código abierto... ¡pero no tanto!

Usuario Voyager ha ganado 1 puntos. Su total ahora es 2 puntos.
Publicado el 02 Oct 2007 por Voyager Etiqueta: Chapuzas
  • Versión para imprimir
  • 1 lectura
0 votos

Una cosa es basar la seguridad en la apertura del código y otra muy diferente mostrar los nombres de usuario y sus contraseñas en el código fuente incluido en la propia página de login.

Si esto ocurre en el sitio de una de las principales empresas tecnológicas del país, ¿qué se puede esperar?

Comentarios

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).

  • 0 votos
anónimo
2 Octubre 2007 - 6:33pm
anónimo's picture

De cual empresa estamos hablando? porque no aclaramos un poco mas el alcance de este artículo???

  • 0 votos
admin
2 Octubre 2007 - 6:38pm
admin's picture

Yo por mi parte... no tengo palabras ;)

  • 0 votos
anónimo
2 Octubre 2007 - 6:57pm
anónimo's picture

De Amper.

  • 0 votos
anónimo
2 Octubre 2007 - 6:58pm
anónimo's picture

This script and many more are available free online at
The JavaScript Source!! http://javascript.internet.com

  • 0 votos
anónimo
2 Octubre 2007 - 7:00pm
anónimo's picture

En cualquier caso, ese formulario da acceso a la sección de identidad corporativa. Es decir, no es TAN grave. Muchas empresa no restringen la entrada.

  • 0 votos
anónimo
2 Octubre 2007 - 7:03pm
anónimo's picture

...ridículo.

Están a pelo tanto los pares usuario/contraseña, como la dirección a la que tiene que enviarte el navegador.

Creo que ni en los típicos cursos de seguridad que se pusieron de moda hace tiempo, en los que tenías que ir pasando distintos niveles saltándote la seguridad de la web especialmente preparada, había una sóla prueba tan tonta.

Hasta en la primera prueba, en la que la contraseña solía estar escondida en el código fuente, intentaban ofuscar la solución ligeramente para no hacerla tan obvia.

¡En fin!

  • 0 votos
anónimo
2 Octubre 2007 - 7:47pm
anónimo's picture

Veamos de donde sale:

http://javascript.internet.com/passwords/multiple-users.html

Básicamente.. delata problemas muy comunes en la ingeniería del software:

* El copypaste sin entender casi nada (lo suficiente para parchear a ciegas).

* Los prototipos que terminan siendo definitivos.

* Becarios precarios

  • 0 votos
anónimo
2 Octubre 2007 - 7:59pm
anónimo's picture

Realmente, el problema es que seguramente, en esa empresa, tengan a un par de curritos, que de informatica tengan un simple curso del paro... cuando tendrían que tener a un técnico superior programando (CFGS DAI) y a un Ingeniero Informatico Supervisando el proyecto...

¡REGULACIÓN DE LA II, ITI YAAAAAA!!!!!!

  • 0 votos
anónimo
2 Octubre 2007 - 8:24pm
anónimo's picture

Regular el que?

A ver quien tiene huevos de firmar un proyecto en cualquier SO o quien nos asegura. Que hoy todo maravilloso pero en media hora un chiquillo de 10 años te abre una brecha y la mierda no va a Amper sino que desde Amper la mierda va al "Ingeniero" que lo firmo, como con los edificios, que va al Arquitecto y luego al seguro del colegio de Arquitectos.

Además si eres un FP no creo que te convengan los colegios de informáticos, que entonces ni de pasa datos te dejan ejercer.

Además hasta los huevos de Ingenieros haciendo de FPs.

  • 0 votos
anónimo
2 Octubre 2007 - 11:31pm
anónimo's picture

Pues yo soy fp, y estoy realizando ahora la ITIG, y que quieres que te diga, pero seguro que a un abogado, no le gustaria que yo con un cursillo le quitase cartera de clientes, o si?

En cuanto a lo de firmar un proyecto, no es lo mismo una casa, que se puede caer y matar a alguien, que un programa, que si está bien diseñado, aunque tenga agujeros de seguridad, seran rápidamente solventables.

Saludos a todos