Menéame: comentarios [2108904]

#46 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

Maestro_Jedi — Tue, 04 Feb 2014 05:11:54 +0000

Pues a tenor de lo que apuntáis, noticia errónea: ese tweet no demuestra que la contraseña sea almacenada en claro en la BD, sino únicamente que dicha contraseña puede ser recuperada de la misma. Yo también creo que es una mala práctica en cuanto a seguridad en tanto que, como apunta @aIDnalop, se está almacenando datos de tarjetas de débito/crédito sin necesidad alguna, pero es otro tema.

» autor: Maestro_Jedi

#45 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

sorrillo — Mon, 03 Feb 2014 15:41:55 +0000

#21 Puedes sugerirle a Renfe que aloje su página en la deep web y use THOR, igual cuela

No creo que el Dios del Trueno esté disponible para estas nimiedades.

» autor: sorrillo

#44 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--58822-- — Mon, 03 Feb 2014 15:21:03 +0000

#6 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro.

» autor: --58822--

#43 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--292091-- — Mon, 03 Feb 2014 14:54:00 +0000

#39 Claro que debes confiar en HTTPS (con un certificado emitido por una agencia de confianza), no hay solución alternativa a día de hoy que otorgue más seguridad en este ámbito concreto. Y además, conforme avanza la capacidad de cómputo, aumenta la longitud de las claves de los certificados. Y debemos recordar que los certificados tienen fecha de caducidad precisamente por ello. Así que mientras no existan ordenadores cuánticos no hay mayor problema.

» autor: --292091--

#42 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--292091-- — Mon, 03 Feb 2014 14:43:38 +0000

#38 Salvo por el detalle que no se pueden almacenar datos de tarjetas de crédito/débito en el servidor, solo ser usadas en la pasarela de pago. Por lo que en el servidor no hay que hacer nada.

» autor: --292091--

#41 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--51656-- — Mon, 03 Feb 2014 14:42:55 +0000

#39 Puedes sugerirle a Renfe que aloje su página en la deep web y use THOR, igual cuela

» autor: --51656--

#40 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--292091-- — Mon, 03 Feb 2014 14:41:36 +0000

#37 Vamos a dejar las cosas claras. JS no añade NADA en la seguridad (nota las mayúsculas). Quítatelo de la cabeza.
Y en el servidor no hay que tratarla porque es ilegal almacenar datos de tarjetas de crédito/débito. Solo puede ser usada en la pasarela de pago. Y para que ningún ataque de man in the midle y similares puedan quedarse con la contraseña en el transcurso de la comunicación hay que asegurarse que la conexión es HTTPS y que el certificado está emitido por una agencia de confianza.

» autor: --292091--

#39 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

Shrewd — Mon, 03 Feb 2014 14:41:28 +0000

#38 Que si, que lo de la captura ya está mas que aceptado, Bueno, ok, vale, zanjamos y aceptamos barco y confiamos en HTTPS

» autor: Shrewd

#38 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--51656-- — Mon, 03 Feb 2014 14:39:18 +0000

#35 Si has participado en el desarrollo de la web, pues si sabrás mas que el resto.. Yo, desde mi desconocimiento, no creo que sea necesario cifrarla, de eso se ocupa HTTPS y con sus fallos sigue siendo un estándar aceptado como seguro. Se ve en la captura del twiter porque esta en el formulario del usuario, pero mientras va por la red no se vería. Lo que estás sugiriendo es un antipatrón en el desarrollo de software llamado YAGNI: You Ain't Gonna Needed. Un típico caso de Over-Engineering, añadir funcionalidad innecesaria para resolver un problema inexistente. Todo esto lo digo asumiendo que el valor no se guarda en el servidor más allá de la sesión actual. Si fuese a guardarse en BBDD, ahi bastaría con usar un hash + salt, tampoco se guardaría el valor en si mismo.
cc/ #22
#37 El viejo truco de la seguridad por oscuridad?

» autor: --51656--

#37 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

Shrewd — Mon, 03 Feb 2014 14:38:17 +0000

#35 Coñe pero igualmente luego en el servidor hay que tratarla de alguna manera... se que JS se ve y se conoce hombre Pero cuanto mas se dificulte mejor que mejor.

» autor: Shrewd

#36 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--292091-- — Mon, 03 Feb 2014 14:35:31 +0000

#35 Claro que estás diciendo una barbaridad. Si lo cifras con JS en el lado del cliente, todo el mundo conoce el algoritmo, se carga junto a la página en el cliente.

Lo importante es que se use HTTPS.

» autor: --292091--

#35 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

Shrewd — Mon, 03 Feb 2014 14:34:05 +0000

#18 #22 Si se como funciona, y oye si os fiáis de HTTPS muy bien todo tiene sus fallos, ataques etc... pero igualmente ¿se puede cifrar la clave no? No creo que esté diciendo ninguna barbaridad y obviamente si en algun momento se cifra tampoco se va a ver en el código de la captura de twitter.

» autor: Shrewd

#34 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

procesd — Mon, 03 Feb 2014 14:32:55 +0000

#25 Si guarda la clave y la contraseña cifrada no hay mucha diferencia. Igual que te hackean una se pueden llevar las 2 por el mismo precio.

» autor: procesd

#33 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--51656-- — Mon, 03 Feb 2014 13:47:59 +0000

#32 Si rellenas uma caja de texto el valor si que se añade al dom y viaja en el post. Incluso si se almacenara en la memoria del servidor durante el tiempo de la sesion, seguiría siendo seguro imho.

» autor: --51656--

#32 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

sorrillo — Mon, 03 Feb 2014 13:44:25 +0000

#31 Cuando escribes en el user input no estás alterando el html. El hecho que el html contenga el campo "value" significa que el servidor envía pre-rellenado ese campo.

» autor: sorrillo

#31 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--51656-- — Mon, 03 Feb 2014 13:42:09 +0000

#30 Está en el html porque es un user input. Lo demás son elucubraciones.

» autor: --51656--

#30 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

sorrillo — Mon, 03 Feb 2014 13:40:19 +0000

#28 Si la contraseña está en el código html sería muy muy raro que no proveniera de los servidores y por lo tanto de la base de datos.

#29 Sí, pero el md5 casi mejor que no. Está bastante roto.

» autor: sorrillo

#29 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

BladeKing — Mon, 03 Feb 2014 13:39:18 +0000

#26 sí, me refería a eso...lo que se suele guardar viene a ser el md5 o el sistema que utilice de la contraseña, nunca la contraseña en sí. Se compara el md5 de lo que ha introducido el usuario en el formulario con lo que tienes en la base de datos...si el input viene cargado con la contraseña "en claro" o lo ha precargado el navegador, o suena mal la cosa.

#25 el cifrado simétrico ese que comentas, no lo veo yo demasiado útil...la idea es que tu contraseña es tuya, y renfe no debe poder llegar a ella.

» autor: BladeKing

#28 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--51656-- — Mon, 03 Feb 2014 13:39:13 +0000

#26 Que el dato esté en el dom no dice nada sobre el tratamiento que se haga con el en el servidor, asi que esta "noticia" no es tal.

» autor: --51656--

#27 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

gilipipas — Mon, 03 Feb 2014 13:34:55 +0000

#25 Sí, pero normalmente lo que se guarda es un hash, una función unidireccional que te da un valor a partir una cadena dada pero que (teóricamente) hace imposible obtener el valor inicial a partir del hash. Si utilizan cifrado simétrico para la password sería igual una mala práctica, además de que deberían a su vez almacenar otra password para este cifrado.

» autor: gilipipas

#26 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

sorrillo — Mon, 03 Feb 2014 13:33:24 +0000

#18 Si va por HTTPS la llave nunca va a viajar "en plano" y añadir lógica para codificarla con js sólo añadiría complejidad al proceso sin aportar ninguna utilidad.

Guardar la contraseña en la base de datos es una muy mala práctica de seguridad. El problema no es que viaje por la red cifrada o sin cifrar sino que esa contraseña esté guardada para que te la puedan mostrar.

La buena práctica de seguridad es guardar un hash de la contraseña con un "salteado" distinto para cada usuario.

De esta forma es muy sencillo comprobar si la contraseña introducida por el usuario es correcta (se hace ese mismo hash con el mismo salteado y si coincide con el almacenado en la base de datos entonces se da por válida) y si alguien accede a la base de datos no obtiene las contraseñas del resto de usuarios. Únicamente obtiene el hash y debe hacer un ataque de fuerza bruta caso por caso, usuario por usuario.

#20 La única manera de que RENFE supiese tu contraseña sin cifrar, sería que la hubiese guardado en base de datos sin cifrar, cosa que en principio no está permitido.

Por "cifrar" entiendo que te refieres a lo que acabo de explicar. Ya que cifrar, que implica que se puede descifrar, no sirve de mucho ya que el sitio web debe tener acceso a la clave de descifrado y por lo tanto el atacante también puede obtenerla. Pudiendo así descifrar todas las contraseñas de la base de datos.

c/c #25

» autor: sorrillo

#25 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

methhhp — Mon, 03 Feb 2014 13:30:31 +0000

#20 "La única manera de que RENFE supiese tu contraseña sin cifrar, sería que la hubiese guardado en base de datos sin cifrar" no estoy muy puesto en temas de seguridad, pero me da que existe algo llamado cifrado simétrico, por el cual eres capaz de desencriptar un dato teniendo claves para poder hacerlo, por lo que no es la única forma

Edit: mismo para #19

» autor: methhhp

#24 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

gilipipas — Mon, 03 Feb 2014 13:21:51 +0000

#23 Por el pantallazo parece que se trata de los propios formularios del apartado de gestión de la web de renfe.
He estado cinco años viajando todos los días en renfe con un abono tarjeta plus y sufriendo la web que tienen para sacarme los billetes a diario y me creo ABSOLUTAMENTE TODO lo que me cuenten.

De hecho, la pasarela de pago es de lo único que me fio. Ha llegado a no funcionarme el abono para sacar billetes porque metí mis apellidos con acentos. True Story.

» autor: gilipipas

#23 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--292091-- — Mon, 03 Feb 2014 13:16:54 +0000

#19 Salvo que el navegador te autocomplete. Además, entiendo que la pasarela de pago no es de RENFE sino de algún banco.

» autor: --292091--

#22 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--292091-- — Mon, 03 Feb 2014 13:14:40 +0000

#16 Creo que no sabes cómo funciona. No hace falta cifrar nada en JS para realizar el envío del formulario si se está usando HTTPS.
HTTPS garantiza que el mensaje llega sin que nadie lo pueda leer, y sobre todo sin que nadie lo haya transformado por el medio.

» autor: --292091--

#21 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

gilipipas — Mon, 03 Feb 2014 13:14:01 +0000

#20, #23 Cierto, puede ser que la contraseña la autocomplete el navegador.

» autor: gilipipas

#20 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

BladeKing — Mon, 03 Feb 2014 13:11:43 +0000

#11 supongo que lo que quiere mostrar la imagen, es que al ir a modificar la información de su cuenta, el campo de la password viene cargado con la contraseña que tienes configurada en la cuenta actualmente, sin cifrar. La única manera de que RENFE supiese tu contraseña sin cifrar, sería que la hubiese guardado en base de datos sin cifrar, cosa que en principio no está permitido. Otra cosa es que la contraseña la hubiese "recordado" el navegador...

» autor: BladeKing

#19 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

gilipipas — Mon, 03 Feb 2014 13:11:25 +0000

#13 Es lo que dice #15, la captura viene después de haber cerrado sesión y recargar la página. Si renfe es capaz de devolverte tu contraseña en claro quiere decir que no está guardando el hash en base de datos sino la contraseña tal cual. Normalmente se guarda el hash y cuando el usuario se loguea se calcula el hash de la password suministrada y se compara con el guardado. NUNCA se debe guardar la password tal cual en base de datos, si alguien accede a la misma tendrá todas las contraseñas.

» autor: gilipipas

#18 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--51656-- — Mon, 03 Feb 2014 13:10:09 +0000

#16 Si va por HTTPS la llave nunca va a viajar "en plano" y añadir lógica para codificarla con js sólo añadiría complejidad al proceso sin aportar ninguna utilidad.

» autor: --51656--

#17 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

swappen — Mon, 03 Feb 2014 13:07:21 +0000

La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro.

» autor: swappen

#16 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

Shrewd — Mon, 03 Feb 2014 13:01:53 +0000

#11 Efectivamente la clave ahi en el dom se ve, aunque creo que no es algo muy normal y depende un poco del navegador el mostrartela o no. (eso me pareció ver con algo similar intentando ver una clave que yo habia puesto y el navegador me "recordó"
Lo único y que aunque sea HTTPS y esto ya esté cifrado, quizás lo suyo es que también se codificase de alguna manera por JS impidiendo que la clave viaje en plano.

» autor: Shrewd

#15 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

sam2001 — Mon, 03 Feb 2014 12:58:05 +0000

#11 según la propia persona que publica el twitt: "eso da igual. Registré la tarjeta. Cerré sesión. Abrí navegación privada. Le di a modificar tarjeta y ahí estaba mi pass."

» autor: sam2001

#14 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--150853-- — Mon, 03 Feb 2014 12:57:01 +0000

[Usuario deshabilitado]

» autor: --150853--

#13 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--292091-- — Mon, 03 Feb 2014 12:56:10 +0000

#12 No hay ningún problema de seguridad, por lo menos no en lo que aquí se dice. Ver #11

» autor: --292091--

#12 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--153963-- — Mon, 03 Feb 2014 12:53:31 +0000

No lo veo claro. Si la conexión es https y el navegador envía en claro la contraseña, puede ser que luego se almecene cifrada, ¿no?. ¿Esto tendría un problema de seguridad?

» autor: --153963--

#11 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--292091-- — Mon, 03 Feb 2014 12:52:51 +0000

#1 Eso es la visualización del elemento input en el DOM, no quiere decir que se esté guardando y mucho menos que se esté haciendo en texto plano.
La contraseña la introduces sin codificar, como es lógico. Y por tanto en el DOM del cliente se muestra así. Lo que es importante y así está hecho, la transacción se realiza bajo el protocolo HTTPS por lo que todo va cifrado. Una vez que en el destino (servidores de renfe) lo recogen, la usarán, y no la almacenarán, como es lógico.

Ese tweet no solo no demuestra nada, sino que lo que ahí se ve es completamente correcto.

» autor: --292091--

#10 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

JoulSauron — Mon, 03 Feb 2014 12:45:56 +0000

¡Ostras! El del twitt es @juan, ¿no?

» autor: JoulSauron

#9 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

mcfgdbbn3 — Mon, 03 Feb 2014 12:44:52 +0000

La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro.

PD: normal, se han empeñado en poner todo clarísimo, empezando por los propios trenes, que de aquí a unos años, los pintarán totalmente de blanco, incluso las ruedas. ¡Con lo bonitos que estaban en los 80s y 90s los trenes cuando tenían más variedad de colores!

» autor: mcfgdbbn3

#8 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

JoulSauron — Mon, 03 Feb 2014 12:43:19 +0000

La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro.

» autor: JoulSauron

#7 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

sam2001 — Mon, 03 Feb 2014 12:38:40 +0000

#6 en los comentarios se amplia bastante a raíz de la pregunta de varias personas.

» autor: sam2001

#6 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

conversador — Mon, 03 Feb 2014 12:38:05 +0000

¿Alguien puede dar más información sobre este tweet?

» autor: conversador

#5 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

anxosan — Mon, 03 Feb 2014 12:36:24 +0000

No puede ser ¡Si todo el mundo decía que esa web era una maravilla! ¿O era otra?

» autor: anxosan

#4 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--320575-- — Mon, 03 Feb 2014 12:35:00 +0000

La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

» autor: --320575--

#3 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

sam2001 — Mon, 03 Feb 2014 12:34:30 +0000

Al margen del asunto técnico, recordar que es ilegal almacenar las contraseñas en texto plano:
www.samuelparra.com/2009/08/11/aportar-contrasenas-juicio-ilegal/
y
www.eprivacidad.es/almacenar-contrasenas-texto-plano-prohibido/

» autor: sam2001

#2 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

--382847-- — Mon, 03 Feb 2014 12:33:55 +0000

En texto plano, vaya.
Un motivo más, para no usarla, si es que no hay cien motivos anteriores.

» autor: --382847--

#1 La web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

sam2001 — Mon, 03 Feb 2014 12:33:37 +0000

Por si no quedaba claro: la web de Renfe almacena la contraseña con la que cifra la tarjeta para el móvil en claro

» autor: sam2001