La "ALTA" seguridad en la programación de páginas de empresas

#1   Jajaja, para los que no quieran ponerse a mirar el código de la web:

Usuario y contraseña idénticas. No os digo cuales son, pero una pista ¿cual es el nombre de la empresa?
Y además, están escritos en texto plano en un javascript

#2   Anda, un Ingeniero de Primera que se chiva de lo que ha hecho su jefe en el curro

#3   #1 Si es que lo más terrible de todo no es que usen "hola"-"1234" o similares, lo alucinante es que los usuarios y las claves estén ahí, a la vista del que quiera echar un ojo!!!!

Ni he mirado a dónde llevan esas páginas, seguramente a nada demasiado secreto (aunque visto lo visto igual son los planos de un tanque en PDF :-P), pero sólo la imagen que deja es para echarse a llorar...

Como dice un comentario del enlace, "AMPER INCORPORA LAS COMUNICACIONES TÁCTICAS PR-4G EN LOS HELICÓPTEROS TIGRE HAD DEL EJÉRCITO DE TIERRA.", comunicaciones tácticas... casi mejor que usen el Walkie-Talkie de Fisher Price

#5   #3 Llevan a las páginas de identidad corporativa, que te dicen los colores y logos a usar en la empresa. Puedes verla en:
www.amper.es/castellano/salaprensa/identidad_corp.jsp

Como es obvio, no hay ningún control de seguridad por sesiones ni nada, pegas la url en el navegador y marchando. Es lo que se conoce por "Seguridad ocultando el enlace"

Ahora en serio, que este tipo de cosas la haga alguien que está aprendiendo a programar, ok, yo las hice en mi momento, pero ¿una empresa que vende sistemas de comunicaciones al ministerio de defensa?

#6   ¡No me lo puedo creer!!!! las contraseñas en texto plano en javascript... Buaaaaaaa... Como para fiarse...

#7   #5 Tienes razón. Yo cuando empecé a programar también hice cosas similares. La diferencia es que en la ETSI en Primero te daban una colleja y ya no lo volvías a hacer.

<modo_ingeniero_informatico_llorica_pero_con_razon>Hay gente a la que nunca le dieron una colleja y la primera vez que se enfrentan a un login es ya currando.</modo_ingeniero_informatico_llorica_pero_con_razon>

#9   A www.backtoyou.es le podias meter sentencias sql y les avise. Ya lo tienen solucionado, pero ni las gracias me dieron.

#10   Yo este tipo de código ya lo he visto de un proyecto que nos pasaron porque se hartaron del proveedor anterior, pero no me acuerdo cual era.

#12   Voto "indescifrable" para los que ni nos dedicamos ni tenemos ni puta idea de programación.

#13   #11 Seguro que tú lo harías mejor...

#14   Pues leiendo un poco los foros de ingenieros de primera parece que estan todos con ganas de aumentar el e-penish porque vamos

#15   #11 A mi lo primero que me enseñaron en informática es a no reinventar la rueda. ¿Y a ti que eres taaaaaaaaaaaaaaaan listo? ¿Te programas tus drivers para no usar los ya hechos? ¿Te programas el SO para no usar uno ya hecho?

Por favor...

#16   Viendo el código del .js, fijo que lo ha hecho algún informaquitiquillo de la empresa de gratis. Como el vecino que da el soporte extraoficial de windows, pero aplicado a la "seguridad" informática.

Por cierto, hay informacion abundante y detallada sobre diversos mecanismos de aviónica y vehiculos de combate como el sistema MERCURIO (Sistema de Mando y Control para Puesto de Mando móvil). JUAS, soy todo un h4x0r........

No sé si el ministerio de defensa debería recibir algun e-mail.

#17   Hace unos años, una web de una conocidísima institución financiera tenía unos comentarios en el código javascript que básicamente decía: 'Como estoy subcontratado y estos cabrones me explotan y me pagan una mierda, aquí está la manera de entrar sin tener las claves'. Era más largo pero ya no me acuerdo. Flipamos mucho al verlo, y dudamos si reportarlo a la entidad porque despedirían al programador pero seguro. Al final lo reportamos y el texto desapareció en 24 horas.

#21   El pan nuestro de cada dia...

Lo cojonudo es que el que lo ha hecho habrá cobrado por ello y no os extrañe que más de lo que cobra más de un buen programador.

En éste país se cobra más por enchufe que por competencia (de hecho yo creo que si eres competente aún te bajan el sueldo).

#22   #12 La clave está en este archivo: www.amper.es/js/passwd.js

Básicamente el problema es que el usuario y clave están escritos tal cual en esas 15 líneas de código que es totalmente público (todo el mundo puede acceder). Así cogiendo esa clave cualquiera puede acceder, lo cual es una barbaridad desde el punto de vista de la seguridad...

No hace falta ser ingeniero para entenderlo.

#23   Volviendo al tema en cuestión, vale que está gracioso y los que sabemos de que va el rollo nos echamos unas risas viendo esto, pero a la hora de la verdad esto no tiene ninguna importancia.

Es decir, no se trata de que passwords de usuarios esten en texto claro (cosa que por cierto creo que sucedió en Meneame durante algún tiempo), sino que esto que han usado es un sencillo mecanismo para que quien vaya a utilizar su logo tenga que ponerse en contacto con ellos para que por mail le dan el "amper", de este modo controlan quien se ha interesado por el tema.

Ahora la cuestión, ¿por qué lo han hecho de una forma tan cutre?, pues porque para dar acceso a una simple web de prensa montarse una tabla con los MD5 de los dos pass validos o empezar a tocar .htaccess del Apache es una soberana soplapollez, han puesto este JS cutre en 15 segundos y han dedicado el tiempo a seguir firmando contratos millonarios.

Segunda cuestión, ¿si es tan fácil de "hackear" para que ponen pass?, pues porque quien se ponga a mirar el código para saltarse la protección y no contactar con ellos es alguien que nunca contactaría con ellos para conseguir el acceso de modo "legal", es decir, si quiere el logo lo va a terminar consiguiendo aunque sea vectorizandolo por si mismo.

Conclusión, que por muy chapucero que nos parezca, esto es anecdótico y no compremete seguridad alguna.

#25   Un ingeniero puede trabajar en google, ms, o fabricando aviones guiados por IA. Lastima que muchos estén ocupados saltándose cutre-scripts de juguete, como si fuese la gran cosa, para demostrar no se bien qué.

#27   Y nadie pensó que el que realizo la página es un amante del sw libre y quería que esa información fuese libre, de ahí que sea tan fácil acceder a ella ;D

Ahora fuera coñas, es vergonzoso. Ni los 300euros de la beca se merecía el que incluyo (ya que como pone en el comentario no lo desarrollo) ese script.

#28   #24, ¿alguna vez has visto código ofuscado?

#29   #23 menos demagogia, fíjate el código www.amper.es/js/passwd.js y a ver que sueltas ahora.

#14 , el comentario de kverko se llevaba la flor de desubicado!

#30   a mi me da que es un copipaste apañaito de alguna pagina cutre

#31   ser es un metodo seguro, estas seguro de que nunca tendras problemas para acceder jajejijoju

#32   Sin comentarios.

Pais....

#33   #16 Ande? yo no lo he visto, pero taria bien para alcahuetear...

#34   #17 podrias avisar de la entidad financiera q era. Simplemente por si tengo algun dinero en ella sacarlo por lo bien que pagan a los que tratan sus sistemas de seguridad.

#35   #13 es posible, o no. Pero desde luego lo que no voy a hacer, es reírme de la gente que tiene pocos conocimientos

#15 no, no me hago mis drivers, igual que no escribo en una web para reírme de una persona que programa mal.

#20 no, para demostrar lo listos que son, ya que se mofan del sistema de autentificación de otra web

En fin, que me frían a negativos me importa un carajo, igual que el karma y todas esas historias. Simplemente NO me gusta, que se metan con el pan de alguien.

¿Os gustaría que os despidieran, porque a un INGENIERO DE PRIMERA se le ocurre escribir una noticia sobre lo mal que programas? ¿Nacisteis todos aprendidos?

¿Se le dio el aviso a la empresa antes de soltar esa tontería en ese blog? Ojalá al que escribió eso, y a los que se han reído, algún día, llegue alguien mas listo que ellos, y los follen vivos Entonces igual dejan de meterse con códigos ajenos

#36   joder

<!– This script and many more are available free online at –>
<!– The JavaScript Source!! javascript.internet.com –>

#37   Profesor: a ver, niños... hoy aprenderemos que todas las validaciones de login y password deben hacerse en el lado del servidor... ¿no ha venido hoy el de AMPER?
AlumnoA: no profesor, estaba malito en la casa con diarrea...

#38   Se supone que el programador es ingeniero o no he pillado el chiste?

Por cierto, a alguien se le ha ocurrido mandarle un mail al webmaster? Por aquello de la ética y tal...

#39   #20 Pues que quieres que te diga, yo tengo un modulo de grado superior y donde trabajo vino una empresa a ponernos una aplicacion que sus "megaingenieros" habian hecho y ahora la tengo que estar rehaciendo yo de cero porque tenia pequeños fallos como quedarse bloqueada por los siglos de los siglos cuando le daba la gana.
Y esque el titulo de ingeniero no da ni la habilidad ni el sentido comun para hacer las cosas correctamente

#40   #29 Lógicamente he visto esas cuatro líneas de código antes de hacer mi comentario, creo que estaba bastante claro que me he leído la entrada. Sino no comentaria.

Lo que no se que tiene exactamente de demagógico lo que digo (agradecería algo más detallado).

Lo realmente demagógico es rasgarse las vestiduras por un apañito que está bastante claro que cumple las necesidades para las que se ha pensado y, más que demagógico diría ingenuo es pensar que hay un tío cuya labor en la empresa es hacer ese gran sistema de seguridad y que es un mal ingeniero por esa chapuza.

Pues no, lo más probable es que esa paginita la haya apañado el que lleve los temas de prensa, así que lo ha resuelto de una forma simple y que está claro que funciona.

Ya digo, es una chapuza, está curioso, pero nada más. De fallo de seguridad nada de nada.

#41   #40 Hombre, realmente, fallo de seguridad es simplemente porque la contraseña no esta ocultada de manera segura, cualquier juankeriyo de palo seria capaz de verla, otra cosa es que no comprometa la integridad ni datos importantes de la empresa.

Estoy de acuerdo con algunos comentarios, es muy cierto que una empresa de estas caracteristicas deberia dar una imagen de seriedad y de saber hacer las cosas, y esta no la da ni de asomo con este tipo de chapuzas.

#42   El "título" no hace al monje, así que dejaros de historias. Estoy harto de ver programadores de trinchera merendarse a ingenieros tipo Accenture en el proceso de análisis...por favor.

#43   No soy ingeniero, ni de primera ni de segunda, y se me ha caído la bolsa escrotal al suelo al ver el programita ese ...

Saludos.

#44   ¿¿Voto negativo a mi comentario #42?? Querido "centurión", deberías estar trabajando y cuidando de tu traje + corbata en lugar de estar mirando Menéame.

#45   Esto tiene fácil explicación.

En qué lugar del organigrama está el desarrollador web?
www.amper.es/castellano/grupoamper/organigrama.jsp

En ningún sitio. Lo más probable es que fuese viernes por la noche y el programador (ingeniero, currito, loquesea, ...) se dijo a sí mismo:

"Total, para lo que me van a pagar"

#46   Para ser un ingeniero de primera copipastea copipastea...

#47   Es la contraseña que pondría un idiota en sus maletas!

#48   #40 el código en cuestión hace comparaciones innecesarias además de usar una variable que bien podía evitarse.
Te califiqué de demagogo porque el hecho de que algo sea muy simple no implica que deba meterse código redundate tan notorio, yo veo en mi curro ese tipo de código a diario pero no porque funcione lo acepto como válido.

#50   Respecto a los votos negativos que me llueven en #12: de verdad creía que los geeks teníais más sentido del humor.

#51   #48 A ver si nos enteramos, lo cachondo de este asunto no es que el tío se haga dos IF seguidos sino el hecho de que meta las "contraseñas" en un JS.

Vamos, que ni siquiera habías pillado de que iba la cosa y encima me tildas de demagogo por aportar una visión distinta de este gravísimo fallo de seguridad y que ya verás como corrigen en cuestión de minutos dada la importancia de los datos comprometidos.

Una pista > buscon.rae.es/draeI/SrvltGUIBusUsual?TIPO_HTML=2&TIPO_BUS=3&LE

#52   #35 dejarías que un arquitecto sin demasiados conocimientos te construya una casa? Pues eso, el ejercicio de una profesión requiere profesionalidad y conocimiento del campo, sea cual sea. Una cosa es no saberlo todo, que no todo el mundo nace sabiendo, y otra demostrar unas competencias mínimas.

#53   #51 ten la gentileza de leer completo a #0.

#56   #52 #49 es necesario ser ingeniero para hacer una web? ¿es necesario ser medico para hacer una operación, o arquitecto para construir una casa?

¿Es necesario mofarse del código de una persona, por mal que esté? ¿Dan ética en la ingeniería?

#57   #49 En lo de que deberían ser mas horas estoy de acuerdo, y en que los profesores deberían saber algo tambien, mas que nada porque de los que tuve yo solo sabían dos. Hasta había uno que era licenciado en Filosofía y Letras....

Por lo demas lo que pasa es que en este país la regulacion de la enseñanza es lamentable, luego sales a Europa, y si te preguntan que has estudiado no sabes si intentar equipararlo a lo que tienen allí, o directamente decir que una etiqueta de anis del mono y así termino antes.

Pero bueno ya sabemos que aquí solo nos equiparamos a Europa en los precios, si son para subirlos claro.

#59   #56 yo no he dicho que haga falta un ingeniero para hacer una web. Lo que digo es que para ejercer en un campo, has de conocer por donde te mueves