Portada
Hace 11 años | Por --320894-- a elladodelmal.com
Publicado hace 11 años por --320894-- a elladodelmal.com
"Descuido" gordo en la Web del Senado de los 500.000 €

"Descuido" gordo en la Web del Senado de los 500.000 €

 elladodelmal.com

Después de que se armara gorda por el coste de los 500.000 € de la web del Senado, que incluso llevó a algunas personas a desarrollar la misma web pero en versión Low Cost, un lector del blog - ¡Gracias Eduardo! - me alertó de que la plataforma de gestión de contenidos del Senado estaba basada en Oracle Content Server y se habían olvidado de proteger el acceso al CMS, permitiendo el acceso anónimo.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 8.6k 65

Comentarios

D

Esto ya lo escribí para otro fallo en un sistema de las universidades, pero es que viene ni que pintado aquí también:

"Cómo funcionan las cosas en este país.
La administración hace un acuerdo con Indra, o Telefónica u otra empresa gorda por el valor de 500000 €(ya que esta empresa tiene un nombre). Esta empresa subcontrata a otra empresa, que a su vez subcontrata a otra empresa, que a su vez subcontrata a la empresa primera que subcontrata a otra empresa diferente, subcontratando a una cárnica. La cárnica contrata a dos becarios por 800 € al mes y les dice que no hay dinero para más, y que el proyecto no tiene más dinero, y que tienen que trabajar 12 horas para completar el proyecto, y que no pueden meter a más personas. Resultado, personas totalmente desmotivadas por su trabajo, cobrando una mierda, y trabajando 12 horas o más, realizan un trabajo que nos ha costado a todos 500000 € de euros, que se quedan entre todas las empresas intermedias, mientras que las personas que lo han desarrollado se llevan tan solo 8000 € (10 meses de trabajo) cada uno.

Así funciona Spain, y esa es la mentalidad que hay que romper."

V 41
K 357
D
editado

#13 Un tipo de una famosa empresa de informática (con nombre de tres letras, como HAL ) me comentó que ciertas herramientas de gestión de proyectos software tuvieron que adaptarlas al mercado español, pues las cadenas de subcontratas aquí tienen tantos eslabones que los diseñadores de dichas herramientas nunca contemplaron tal posibilidad. Pensaban que una subcontrata nunca pasaría de dos o tres eslabones... Españistán.

V 26
K 223
D
editado

#27 Madre del amor hermoso...
#29 ¡¡Negativo, negativo por intento de microblogging!!

V 0
K 7
D
editado

#27 ¿Quieres decir que esa empresa (que lleva años y años trabajando con software) no se ha encontrado un sistema tan avanzado como el que tenemos nosotros?
UFFF, pringaos, lo que se están perdiendo, les llevamos años luz de ventaja al resto del planeta...

V 0
K 6
D

#27 Positivazo por lo de digamos HAL

V 2
K 30
misato

#27 has hilado muy fino con lo de HAL, positivo sólo por eso lol

V 0
K 9
mangrar_2

#13 Buenísimo, es exactamente como funciona, por eso me fuí de España.

V 3
K 37
kurroman

#13 Realmente no es porque tenga un nombre (quizás este caso sí, no lo sé). Lo que suele suceder es que hay concursos tecnológicos públicos donde uno de los requisitos para poder participar o puntuar puede ser tener una facturación anual de X millones de euros lo que obliga a una pyme especialista que no supera esa facturación anual a ir de la mano (o bajo la falda) de Indra, Telefónica... estos meten una cúpula coordinadora en el proyecto y va desviando los marrones tecnológicos a la pyme especialista correspondiente.

V 2
K 28
Shotokax
editado

#13 se te olvida un pequeño detalle: esas empresas son, en ocasiones, casualmente, de "amigos", "conocidos"... de políticos. Españistán, el país de las casualidades.

V 2
K 32
Trublux

#13 Estás en lo cierto si cuando dices que contratas a dos becarios por 800 euros te refieres a los dos por 800 euros, no 800 euros para cada uno (también suelen contratarlos por el placer de aprender).

V 1
K 17
noexisto

La pregunta del millón, y cito del artículo: "La pregunta es, ¿con todo este dinero no se podría haber hecho una auditoría de seguridad web antes de ponerlo online?"

V 22
K 206
Peka

#2 Si pagas con cacahuetes tienes monos.

V 43
K 387
Seta_roja

#3 No confundas! Se ha pagado con caviar iraní al que tiene de becarios a unos monos a los que paga con cacahuetes...

V 16
K 144
Peka

#23 No pretendía decir otra cosa. Los empresaurios siguen ganando en esta crisis.

V 3
K 43
D

#23 No creo que los becarios sean monos, los becarios son becarios.
Lo que tenemos son muchos cerdos que contratan a unos becarios para hacer el trabajo de ingenieros.

V 1
K 21
Seta_roja

#43 No todos los becarios son monos, pero muchas veces la culpa es del becario por tragar con todo... Pero ese es otro tema!

V 0
K 10
wikimonki

#7, el problema no es el Oracle Content Server sino, como dice #2, que no se haya hecho una auditoría de seguridad antes de hacerlo público.

Con windows, linux, oracle, mysql, php, java o lo que sea puedes hacer la cosa más insegura o casi una fortaleza, todo depende de lo que te gastes en programarlo y asegurarlo bien o lo que te gastes en sueldos de jefazos y favores varios.

V 4
K 49
D

#2 Esto es España. Si se hubiera hecho una auditoría de seguridad, ésta hubiera costado 500.000 euros más y hubiera consistido en unas fotocopias en blanco y negro de un trabajo bajado del "Rincón de vago".
Y después, dicen que el problema de la competitividad del país son lo sueldos de los trabajadores o los puentes. Vaya desastre de país, y qué cinismo.

V 8
K 56
D

#2

Te voy a contar un secreto del desarrollo SW .... en caso de acabarse la pasta ¿qué quitas? Efectivamente, las pruebas (y una auditoria es una prueba al fin y al cabo)

V 0
K 10
D

¡Oracle Content Server! ¿Para esa birria de web?
¿Cuánto se ha llevado Oracle de los 500K? Apostaría a que no menos de 200.000.

V 16
K 150
rafamerino
editado

Sólo por aportar un poco de luz al tema Oracle...

El Senado pagó 218.000 euros en licencias a Oracle a través de su 'mejor amigo':
http://www.elconfidencial.com/tecnologia/2012/12/10/el-senado-pago-218000-euros-en-licencias-a-oracle-a-traves-de-su-mejor-amigo-3782/

cof cof

V 9
K 90
difusion

#24, El meneo en cuestión: El Senado pagó 218.000 euros en licencias a Oracle a través de su mejor amigo

Hace 11 años | Por fisico a elconfidencial.com
Publicado hace 11 años por fisico a elconfidencial.com

El Senado pagó 218.000 euros en licencias a Oracle...

 elconfidencial.com

V 2
K 27
Dikastis

El que la hizo se quería guardar un backdoor por si acaso no le pagaban....

V 8
K 84
caie

Ya estoy pensando que la Web la hizo un nieto adolescente de algún senador, para no aburrirse en vacaciones... roll

V 7
K 65
mangrar_2

#1 No, seguramente la ha hecho una de nuestras maravillosas cárnicas Españolas. Quién habrá sido? Indra?

V 8
K 71
D

Simplemente, el acceso a esta URL: http://www.senado.es/web/wcm/support/login/wcm-login.jsp
Debería está capado por IP u otro sistema

V 5
K 44
D

Pues esto es de traca!!! Mi empresa gestiona la web del IPCE http://ipce.mcu.es y para acceder al CMS hace falta un certificado digital y dos passwords. Si no tienes instalado el certificado ni siquiera puedes ver la pantalla de login. Tan poco es "Rocket Science" el proteger un poco el acceso a un CMS.

V 3
K 43
i

Oye lo mismo la llave del Senado esta bajo el felpudo...

V 3
K 38
kienvaser

Es fácil hacer las cosas bien pero es más rápido no hacerlas.

V 3
K 36
LiberaLaCultura

#38 vale pues lo siento me refería a las consultoras tipo Indra ó Accenture que son las que cogen to los proyectos con el gobierno, rectificar es de sobrios, lol

Por cierto existe en españa alguna empresa de informática grande que no chupe de la mama del gobierno? He caído en la trampa de generalizar porque no la conozco tu la conoces?

V 2
K 28
D

#38 En esa frase no veo dónde se mete con los informáticos. Se mete con las consultoras, que son los cortijos. Que #39 me corrija si me equivoco.

V 2
K 33
LiberaLaCultura
editado

#46 Si si me refería a eso, las consultoras, pero se ve que aquí hay que poner las cosas claritas si no la gente se ofende con nada.

V 1
K 17
eddard

#46 Empezando por la frase "todo buen informático" significa que si trabajas en una consultora no puedes ser buen informático.. y todavía crees que se meten con las consultoras, y no con los informáticos?

#52 Pues como todos los comentarios hasta ahora en este hilo, te pasas de "entendederas" y fallas el tiro, además por mucho... soy un informático, trabajando en una consultora, nada de jefecillo... Y casualmente sé php... pero podría no saberlo perfectamente, la informática es lo suficientemente amplia como para poder ser un experto en sistemas de información y no haber hecho un "hello world" en php en tu vida... Y sí, me considero un buen profesional Y sí, ha habido proyectos vendehumos y ha habido proyectos muy profesionales, con mis más y mis menos, como cualquier profesión.... a ver si te crees que el que hace sillas de madera le salen todas derechas, alguna hace que se le rompe la pata antes de tiempo. Y antes de que me preguntes qué he hecho en php... drupal.

V 0
K 10
LiberaLaCultura
editado

#56 Pues si consideras que una empresa puede hacer proyectos que son humo y otros bien y eso es correcto ya dejamos de discutir porque yo considero que una buena empresa no debe vender humo, sobre todo porque el 90% de esos proyectos que son humo son para justificar X cantidad de dinero por eso son humo porque luego nadie los usa, típico de chiringuito político.

Con lo del hola mundo creo que te ekivocas pero eso ya son opiniones personales, yo pienso que un buen jefe debe saber al menos la base de la tecnología en la que trabaja por mucha visión de arquitectura que tenga, pero eso lo creo por la experiencia que he tenido en algo así como 7 consultoras pequeñas y grandes, por suerte deje el mundo de las consultoras y tengo tiempo libre y tó, hasta los fines de semana puedo descansar lol

V 0
K 6
D

#58

Con eso del humo ¿hablas sólo de informática o de la empresa en general? Porque todas son más o menos vendedoras de humo, lo que pasa es que alguna vez (menos de lo que les gustaría) aciertan con sus productos y otras, se quedan en humo.

V 0
K 10
LiberaLaCultura
editado

#62 Pues hablaba de las empresas de informática mas concreta mente de las consultoras, que es una consultora? hace de todo? una empresa se debe dedicar a un fin para poder ser especialista, como tu has indicado la informática es muy amplia, yo ahora por fin trabajo en una especializada y no venden humo y se entregan los productos bien.

Si te has sentido ofendido por decir que los trabajan hay no son informáticos lo siento te pido perdón porque debería haber dicho la empresa (los que mandan vamos) ya que los trabajan hay no tienen culpa, todo el mundo no puede prescindir de un puesto de trabajo porque allí no se haga bien el trabajo, cada cual tiene sus prioridades.

Por desgracia la inversión en I+D+I en España se lo han comido los partidos políticos que son los que están detrás (en la mayoría de los casos) de dichas empresas con el plan Avanza por ejemplo. Te pongo otro ejemplo en Andalucía Sadiel lleva to lo de la junta y antes de las elecciones esa empresa fue vendida a Ayesa que el dueño es intimo amigo de Felipe Gonzalez.

V 0
K 6
D

#63

No me he sentido ofendido lo más mínimo y menos por las consultoras (y no solo informáticas) ya que me conozco bastante bien el paño (desde ambos lados encima) El tema es que aunque sí hay vendemotos profesionales, por lo general, lo que intentan es vender su producto, que puede ser mejor o peor (incluso vender cosas sin saber muy bien que eran) pero que muchas veces su éxito no depende de lo bueno que sea sino de otros factores ajenos. He visto productos cojonudos estrellarse y otros mediocres (siendo optimistas) tener éxito sin saber muy bien por por qué.

Aparte de los mamoneos (que los hubo, hay y habrá) la gente intenta por lo general hacer bien su trabajo, otra cosa es que les dejen y un proyecto cojonudo se convierta en humo o en algo peor. Aquí en CyL hubo un proyecto lógico, necesario e incluso ajustado a precio (7 millones de € por tres años incluyendo licencias) para unificar la nómina de las diferentes administraciones públicas. El concurso lo ganó Accenture (uno de los mayores vendemotos de España) con un producto de la empresa de Pimentel (ex.ministro del PP, es de Andalucía, por cierto) que no cumplía los requisitos. Conclusión: por mucho que curraron (y conozco gente que estuvo allí y curraron de cojones), el proyecto fue un fracaso y todavía, años después, siguen currando con él (y metiendo pasta claro)

Vamos, que no pensemos que es maldad lo que se puede explicar por la simple incompetencia.

V 0
K 10
b

No pasa nada, se cogen los DNI de todos los votantes y que paguen ellos su fiesta, barra libre.

V 2
K 24
mangrar_2

#8 efectivamente, yo soy de los del extranjero, se como trabajan las cárnicas en españa y el "sueldazo" que nos pagan.

V 2
K 27
JaviAledo

Como contribuyentes deberíamos exigir el presupuesto detallado del proyecto.

V 1
K 20
Candidatas
55
meneos
ocio España no puede confiar en un presidente que dimite por unos bulos torpes que difundió nuestro becario
21
meneos
actualidad Pueblo japonés colocará una pantalla negra para evitar que turistas hagan fotos del Monte Fuji
23
meneos
ocio "Unos Nirvana de barrio": cómo The Offspring logró vender 40 millones de discos sin la ayuda de nadie
26
meneos
fÓsiles Este salmón prehistórico gigante tenía dientes como colmillos de jabalí
26
meneos
actualidad "Luego os quejáis de que os llamen TeleAyuso": el bochornoso tuit de Telemadrid sobre Pedro Sánchez
86
meneos
politica Rueda sigue los pasos de Feijóo y reparte dos millones de euros de la Xunta entre los medios afines al PP
54
meneos
actualidad Por cada like una persona o grupo de personas que han sufrido “lawfare” pero en general no ha importado o se ha aplaudido porque no eran políticos
31
meneos
ocio Begoña Gómez declara que su esposo parece «profundamente enamorado de su consola», de la que no se despega desde que canceló su agenda
53
meneos
actualidad Las izquierdas brindan el apoyo unánime a Sánchez que él les negó durante la era del ‘lawfare’
24
meneos
actualidad BYD está hablando con España para abrir una segunda fábrica en Europa
t

No se incluyen en los contratos a estas "grandes" consultoras cláusulas que penalicen económicamente estos errores garrafales?

V 1
K 17
bizilagun

Pero si yo tengo 3 webs con WordPress.com que me quedan de PM y no me he gastao un céntimo!!!

V 1
K 17
musg0

#29 ¿Tu tiempo no vale nada?

V 1
K 17
bizilagun

#51 No, son webs que hago de forma altruista.

V 0
K 6
D

Oracle, los amigos de Oracle, GFI y VASS se han llenado bien los bolsillos.

V 1
K 14
polpitart

Hasta el Pentagono tiene abierto el "Oracle Application Server Single Sign-On ":

https://prissod1.acsap.hqda.pentagon.mil/sso/pages/login.jsp

V 0
K 7
polpitart

Y el acceso a la intranet del Senado:
https://sensso.senado.es/sso/pages/senlogin.jsp

V 0
K 7
D

#44 Da fallo de acceso directo.

V 0
K 11
polpitart

#47 Pues mejor este: https://sensso.senado.es/sso/pages/

V 0
K 7
D
editado

Es un error pensar que cualquiera que cobre más de mil euros (o que los gaste) es un corrupto. A lo mejor hacer una buena página web cuesta más que eso, no lo sé, lo que está claro es que la calidad es deficiente. Pero también estoy seguro que si hubiera costado 700.000€ nos echaríamos las manos a la cabeza igual.

Y digo todo esto sin descartar que seguramente sí hubo corrupción, explotación a los informáticos, y más cosas.

V 0
K 7
LiberaLaCultura

#53 en realidad la mayor critica es usar un Sistema Gestor Base de Datos de pago como es Oracle, mas habiendo alternativas libres que van bastante bien (yo creo que mejor, pero eso seria una discusión muy larga) como por ejemplo postgres o mysql cluster, ke eso ha sido mas de la mitad del presupuesto, yo lo demás no lo critico porque es un desarrollo 100% propio y en ocasiones es mejor eso que usar CMS libre (depende de lo que te piden si es algo muy especifico es mejor hacerlo desde cero, no tengo todos los datos para valorarlo). Solo usando postgres podían haber ahorrados mas 200.000 euros y si la web esta bien echa no sería necesario ni recodificar nada solo cambiar la capa de acceso a datos (lo cual dudo pero como no lo se no critico).

V 0
K 6
D
editado

#54 Ya, pero en la realidad de quién? A lo mejor para ti lo es, para mi, intentando verlo de forma objetiva se crítica simplemente la falta de una auditoría de seguridad. A lo que va mi comentario es más bien contra el título, en el momento que pones el precio en el título automáticamente induces a la gente a pensar que no sólo es caro sino que encima también es defectuoso. (Que no sé si será caro, pero es un error concluirlo)

V 0
K 7
LiberaLaCultura

#57 como ya te he puesto lo considero caro pero solo por las licencias (que ademas hay que pagarlas todos los años que se me olvido comentarlo) con lo que falta de lo que vale la licencia hasta el total no me parece caro debido al trabajo que conlleva un proyecto así.

V 0
K 6
ED209

ah el viejo conocido Oracle Portal, con sus tablas "things" (sí, hay tablas que almacenan de todo y se llama "cosas") y su ?_mode=16
mala hierba nunca muere

V 0
K 6
D

VERGUENZA AJENA

V 0
K 6
LiberaLaCultura

Esta echa en Spañistan por empresarios afines al régimen, que esperas? Todo buen informático en España o es autónomo o trabaja para el extranjero, pero si trabaja en una consultora es como si trabajase en un cortijo, chapuza tras chapuza

V 15
K -15
eddard

#6 Sí, y los catalanes son unos tacaños, los funcionarios unos vagos, los Bilbainos unos exagerados y tú un troll de los malos además...

V 2
K 24
LiberaLaCultura

#12 hablo de las consultaras tipo Indra, Accenture, etc, no soy ningun troll cuento mi experiencia, y no he critico a las pocas empresas serias ke hay en españa, solo critico a las afines al régimen que son controladas por ellas misma no entiendo tu ataque, no generalizo como ironizas tu

V 4
K 25
eddard

#18 Todo buen informático en España o es autónomo o trabaja para el extranjero, pero si trabaja en una consultora es como si trabajase en un cortijo
Pues menos mal que esto no es generalizar... yo ahí ni veo Indra, ni veo afin a nada.. te has cargado a todos los informáticos que trabajan en consultoras de un plumazo, así sin despeinarte... o eres autónomo o te piras del país o eres un informático de mierda...

Un comentario muy constructivo, sí señor.

V 2
K 24
LiberaLaCultura

#38 Por cierto por tu cabreo al escribir entiendo que eres un jefecillo de ese tipo de consultoras de los que vende humo y no sabe ni hacer el hola mundo en php, pues lo siento pero el ke se pika ajos come

V 1
K 17
jonolulu
editado

Ahora vendrán los que decían que el XSS era una tontería y que se exageraba roll

V 6
K -19
dadelmo

#10 EL XSS sí es y sigue siendo una tontería. El acceso anónimo a Oracle Content Server no lo es

V 6
K 48
jonolulu
editado

#15 El XSS no es una tontería en una web de medio millón de €, no por el XSS en sí, sino por lo que supone que hay detrás: pufazo

Pensé que no tendrá que explicarlo. Gracias por el negativo

V 3
K 38
angelitoMagno

#17 Es que, como comentó alguién, ni siquiera había XSS puesto que no permitía insertar scripts, solo texto.

V 1
K 19
jonolulu

#20 ¿Tengo que volver a explicarlo? Lo importante no es el alcance del fallo de seguridad, lo importante es lo que implica: por qué se ha cometido

V 2
K 16