Como seguramente ya sepais, Parece que menéame ha sufrido un hackeo
De todas formas, para los curiosos, los menos curiosos, los preocupados, los menos preocupados, los aburridos, etc., pues he decidido crear un FAQ, que es el acrónimo de fucking annoying questions, preguntas que o son estúpidas, o ya se han respondido mil millones de veces, o nadie tiene narices a responder. Así que vamos al lío.
¿En qué ha consistido el hackeo?
Básicamente parecen haber extraído una parte de la base de datos de usuarios, ordenados por fecha de registro, y que además contiene la IP y el e-mail usado para el registro, el hash de la contraseña, el status (usuario normal, "especial", admin, blogger, desactivado, diana de strikes, etc.), el nombre real (de haber sido tan idiota de añadirlo al perfil) y los sitios personales (también de haberlos añadido, como un blog, una cuenta de Twitter o de otra red social).
¿Está la web en peligro? ¿Podrían tumbarla o modificarla de forma que sea inusable?
No, no está en peligro. De lo otro ya se encargan los autores del nuevo diseño, así que es improbable que haya alguien con ganas, tiempo y que además cobre por ello que les haga su trabajo.
Pero, ¿cómo han conseguido hackear la base de datos de usuarios?
Existen varias teorías. La más plausible hasta el momento es que algún admin, durante un período de estupor resaquil, haya enviado por accidente sus credenciales por Tinder, y se sabe que el 95% de los perfiles de mujer en Tinder pertenecen en realidad a informátitrolls. Las otras opciones son un MITM (pobre seguridad), un SQL injection (pobre código), un web scraper (pobre protección anti-bots) o un "paga el server, último aviso" de AWS (pobre del que quiera hacer negocio con Menéame). Quizá incluso una combinación de varias, pues la fecha de realización del ataque coincide aproximadamente con la caída masiva que sufrió Menéame hace unas semanas por, simplificando, "exceso de peticiones al servidor", que también coincidió con la ingesta masiva de licor café en unas fiestas patronales en tierras norteñas.
¿Estoy yo en peligro? ¿Qué pueden hacer con mis datos?
Externamente a Menéame poco pueden hacer, salvo darte por culo con spam al correo con el que te hayas registrado, o buscar si has usado ese mismo correo para registrarte en otros sitios. Alguien con mala leche podría encontrar tu Facebook y hacer públicos tus comentarios racistas en Menéame. Y, en el caso de que usaras la misma contraseña patética tanto para Menéame como para tu correo, acceder a dicho correo y todo lo que tengas registrado en él (siempre y cuando averigüen tu contraseña en Menéame).
Internamente, con esos datos pueden, más o menos, localizar tus clones, tu status como admin o paria, o mandarte unos mariachis a la dirección IP, lo cual con tanto puto reggaetón hasta sería de agradecer.
¿Qué medidas han tomado para solucionarlo?
Todo apunta a que han llamado al Bufete Almeida y que han reparado la "fuga" a la manera tradicional:
¿Podrían hacer públicas las fotopollas que envío por privado?
¿Y quién te dice a ti que no son ya públicas pero todavía no te has dado cuenta? Hay algo que no cuadra en las cuentas de Menéame, Los cinco motivos por los que Menéame se está yendo al garete, y puede que por ahí venga la financiación extra.
¿Qué tengo que hacer, pues?
Cambiar la contraseña de Menéame nunca viene mal. De hecho, no viene mal cambiarla en todos los sitios de vez en cuando. El motivo es el mismo que cuando le cambias el pin o el patrón de desbloqueo al móvil para que tu pareja no pueda ver las fotopollas/fototetas que envías por Menéame (las de WhatsApp seguro que ya las ha visto).
¿Tiene algo que ver este hackeo con los sabojates al Nord Stream?
¿Y que la CIA ande preocupada por los usuarios que acusan a EE.UU. de ello? ¿Quizá una forma de detectar putin-bots? Para qué, si ya tienen pinchado Twitter...
El otro día entrevistaron en el Pregúntame a una periodista que sabía de hackeos...
También entrevistaron a un estratega de marcas y contenido y mira la publicidad que tiene este sitio.
¿Cuál crees que será el siguiente objetivo?
No lo sé, pero estaría cachondo que el generador de miniaturas para las noticias extrayese las fotos del archivo de fotopollas/fototetas. Nos echaríamos unas risas tratando de identificar cuál pertenece a cual usuario, salvo las de
Xtrem3, que ya las conocemos casi todos.
Comentarios
Meneame debe notificar toda brecha de datos personales a la Autoridad de Control y por supuesto notificar a cada uno de los afectados. Si no, está incumpliendo la ley.
Aprovecho el artículo para decir que si os habéis logueado en los últimos 9 años, vuestra contraseña está hasheada en SHA-256, que es mejor que MD5 (que es como si no llevara nada llevara nada llevara nada):
meneame.net
Por ahora aguantará secreta, especialmente si tiene símbolos, mayúsculas, minúsculas y no está en un diccionario. Pero será cuestión de tiempo según aumenta la potencia de cálculo de las GPUs, así que mejor id migrando a un gestor de contraseñas para tenerlas todas diferentes y no reutilizar.
Me hace gracia.
Yo hace años, cuando era un adolescente hackee meneame a través de un SQL injection. Así conocí a la gente de por aquí. Por aquel entonces las contraseñas no estaban cifradas, y recuerdo todavía la contraseña que tenía gallir.
Yo estaba siendo investigado en un asunto de hacking, y la policia contactó con meneame para que se sumaran a la causa contra mi. No lo hicieron, se portaron de puta madre y gallir me ayudó a "madurar" conforme dejaba atrás la adolescencia.
Tiempo después les ayudé con la seguridad, enviándoles avisos de vez en cuando.
Mucha gente leerá este comentario y pensará que es todo invent. Otros ya sabrán quien soy, con todas las referencias que he dado, pero me hacía gracia comentarlo en estos momentos tan especiales.
Yo, en lo personal, no estoy nada sorprendido de que hayan hackeado la página. Es un coladero de bugs de seguridad desde el primer día. Meneame se construyó sobre un codebase muy artesanal, en una época donde la arquitectura del software aún estaba muy verde. Y eso se paga
#17 #10
Fácil, usas un formato que indique que tipo de hash es (cosa que hacen si miras la captura del leak) pillas el MD5 actual, y actualizas todos los usuarios tal que SHA256(MD5 de la DB). Luego en codigo lo que haces es que si el usuario al hacer login tiene en DB ese tipo personalizado compruebas la pass que te manda como SHA256(MD5(pw que el user manda)), y ya si es correcta tiras el update por SHA256(pw).
PD: A estas alturas un SHA256 o cualquier SHA de la familia 2 a pelo no es buena opción, ni con salt, mejor usar KDFs (por ejemplo PBKDF2).
¿Está la web en peligro? ¿Podrían tumbarla o modificarla de forma que sea inusable?
No, de hecho los hackers, en un ataque de lástima, podrían hasta arreglar el diseño nuevo.
#10 Y como corres el script sin conocer la clave? Cuando la tienes hasheada no la conoces, tienes que esperar a que el usuario se loguee, validar el hash y entonces con ese valor valido hashearlo con SHA1
jajaja, me he reído un rato, pero falta lo más importante, se ha avisado a los usuarios hackeados?
#2 Sí, por qué no, todos los CMS lo hacen. Y los operadores. Tu IP está por todas partes logueada.
#11 Es un dato personal, eso no significa que tenga que estar encriptado, no tendría sentido. Es como nombre y apellidos, si lo encriptas para que lo guardas?
#37 Mi vecino se murió, no se que ha podido pasar, siempre había estado vivo
#0 Yo tenía entendido que FAQ significaba Frequently Asked Questions.
Espero que a quien se esta lucrando vendiendo cuentas antiguas para el astroturfing le den tiron de orejas por no guardar la base de datos de usuarios viejos mejor protegida.
#42 Hay varias soluciones para varias necesidades.
- La más sencilla si es para ti solo y no quieres pagar es usar KeePassXC [1]. Las contraseñas se guardan a un archivo local (encriptado con una contraseña maestra que solo conoces tú). Puedes sincronizar ese archivo a otros ordenadores con calquier programa tipo dropbox y por tanto abrirlo desde cualquier otro ordenador.
- Si no te importa pagar (10$/año), yo recomendaría BitWarden [2]. Los clientes (tienen para prácticamente todos los operativos y navegadores) son open source y el servidor nunca ve las contraseñas sin encriptar. Tiene la ventaja de poder compartir contraseñas con otros usuarios.
- Finalmente, si sabes suficiente y te apetece liarte, puedes utilizar los clientes BitWarden con una instalación self-hosted de servidor llamado VaultWarden [3]. A parte de las ventajas normales de Bitwarden, con esto tienes usuarios ilimitados sin pagar (es decir, le puedes configurar el gestor de contraseñas a tu madre también con coste 0).
[1] https://keepassxc.org/
[2] https://bitwarden.com/pricing/
[3] https://github.com/dani-garcia/vaultwarden
#17 Ostias. Dame collejas por favor.
siete años sin tocar SQL.
#29 Realmente al principio no era tan tonto, pues era una comunidad pequeña llena de bloggers y profesionales del ramo de las telecomunicaciones y la informática que iban de cara, sin necesidad de anonimato (Menéame estaba más próximo a parecerse a Linkedin que a Forocoches).
Luego la temática y los contenidos cambiaron con el tiempo, y se hizo más necesario el anonimato para poder comentar y participar.
#75 Me da igual, es mi apellido de soltera.
#13 tenía por casualidad otro ordenador con la sesión activa y cuando he ido a meneame me ha pedido cambiar la contraseña y ha funcionado afortunadamente. ¡Gracias!
¿SHA256? ¿En serio?
#26 Desde mi punto de vista, no se justifica. ¿Por qué? Porque hay medios técnicos muy simples para resolverlo sin necesidad de almacenar/tratar ese dato personal. Por ejemplo, se puede almacenar el correo electrónico hasheado/anonimizado, de forma que nadie tiene acceso al dato personal y se siguen pudiendo detectar multicuentas, clones, etc. La GDPR insiste mucho en minimizar los datos que se tratan. Yo creo que es un abuso.
#47 No he mencionado ninguno en concreto. Pero ya que lo mencionas: A Google, que ya conoce todo sobre ti, sólo le faltaba saber tus contraseñas para que puedan poner toda tu información a disposición de cierto gobierno.
#68 Cuando obtienes acceso a la base de datos, el ataque de las contraseñas se puede hacer offline: pruebas las contraseñas contra los hashes que has obtenido, no tienes que usar la web para nada. Un ataque online sería rellenar el formulario de login con datos de prueba, pero dejas muchas pistas.
#85 Porque SHA256 está hecho, entre otras cosas, para ser rápido. Si se filtran las contraseñas, eso es lo que quiere el atacante, que se puedan crackear rápido.
Los algoritmos que menciono están hechos a propósito para ser lentos e dificultar ataques de fuerza bruta, tablas arcoiris y demás.
Tu ordenador sospecho puede hacer decenas de millones de operaciones SHA256 por segundo, los que menciono son adaptables, pero en general se intenta que no pasen de unos pocos centenares de operaciones por segundo.
Así que si tu contraseña con SHA256 se puede crackear en un día, pues con bcrypt (por ejemplo) llevaría 100000 días, así, simplificando mucho.
#104 Si por no seguras te refieres a cortas, no sólo. También contraseñas comunes, filtradas, reutilizadas, ataques de diccionario y transformaciones de las anteriores. Y no cuesta nada añadir esa seguridad.
#8 Ah, vale. Pensaba que se consideraba dato personal y que tenía que estar protegida por la Ley de Protección de Datos. Gracias, Emu!
#12 Identifícate con usuario y contraseña, en lugar de con Twitter.
#22 Gestor de contraseñas local, no online.
#51 Y la opción gratuita de Bitwarden en que se diferencia?
O recomiendas pagar porque no te fias de que gratis no hagan nada con las pass?
#34 No tiene sentido encriptar nada si tiene clave de desencriptado. Imagina que acceden a meneame y se llevan la base de datos, evidentemente se llevarían también la clave de desencriptado.
#95 Las claves se encriptan sin posibilidad de desencriptado, esa es la gracia
#2 Lo de "a pelo" se puede debatir, hay estándares regulados para hacerlo.
Lo de legal no se puede debatir, es obligatorio.
#9 hola
#90 Es siempre un placer encontrarme contigo, un abrazo
#99 la última vez fue muy interesante y me dice que cada día sabes más de todo, y eso es mucho para una mente como la tuya
#1 Y que ocurre si hay una fuga en un gestor de contraseñas? A mi siempre me ha parecido de lo mas inseguro.
#66 Mi opción preferida sería la 1 o la 3, por supuesto.
La opción 2 supone que los servicios de alojamiento de bases de datos cifradas ponen como una de sus máximas prioridades el mantener su prestigio. ¿Te has fijado que no ha recomendo LastPass? Hace años tuvieron un problema que hizo perder la confianza de muchos usuarios, si no recuerdo mal.
#22 Pues que estás jodido.
Pero también lo estás si te rompen la contraseña de menéame y la reutilizas en otros sitios o recurres a reglas memotecnicas.
Que te revienten un gestor de contraseñas es muy poco probable pero tiene un gran impacto. Pero qué te revienten la contraseña en uno de los cien mil sitios en los que estás registrado es altamente probable y (sí cometes los errores arriba indicados) también tiene un gran impacto.
Pues a mí no me han jakeado nada.
Antes votaba a Podemos, pero ahora voto a VOX.
Iros un poco a la mierda.
Ya bastante tenía con que mangonearais mi opinión manipulando constantemente el karma a conveniencia de los opacos intereses de unos admins que nadie conoce y ahora me entero de que mis datos se están vendiendo en la deep web porque la seguridad de esta web es un puto asco.
Ya cierro yo la puerta al salir no os preocupéis
#49 No, solo fotopollas de mujeres con pene.
Pero estaría bien ver la fotojete de Menéame, que lo han dejado como un bebedero de patos, mientras el admin creia que no pasaba nada de lo que preocuparse.
#56 LasPass tuvo una historia un poco oscura recientemente (robaron contraseñas de gente y LastPass negaba todo y tal). Sus clientes no son open source que yo sepa y no pasan las mismas auditorías que Bitwarden o no las hacen públicas.
> Qué diferencia hay entre esto y tener simplemente tus contraseñas guardadas en Google Chrome (en tu usuario logado)?
La mayor desventaja es que si mañana a google le da por cerrarte la cuenta o dejarte sin acceso por el motivo que sea (no pasa mucho, pero pasa) date por jodido. No tienes ningún recurso con ellos a nivel de usuario aunque no hayas hecho nada malo. Como otro punto importante, desconozco si google puede leer tus contraseñas (sospecho que sí pero no puedo asegurarlo).
También está el tema que Bitwarden te permite compartir algunas contraseñas con otros usuarios y tiene otras cosillas como que puedes guardar notas seguras (creo que el gestor de google no lo permite) o mandar archivos protegidos con contraseña que incluso puedes limitar el número de veces que se pueden descargar y así.
Finalmente, Bitwarden (como la mayoría de otros gestores tipo LastPass) tienen plugins para otros navegadores y también aplicaciones nativas (puedes tener el gestor de contraseñas como aplicación independiente).
Todas estas cosas pueden ser interesantes para tí o no. En cualquier caso, si estás leyendo esto y te planteas entre guardar las contraseñas en el gestor de google o usar la misma en todas las webs donde se registra... usa google por favor
"diana de strikes"
Zafarrancho de combate!!!!
Arríen los contenedores, carguen el cortafuegos y amarren bien los logs!!
Esos alfeñiques no conseguirán hundirnos!!!
-Aaaaargh! (el capitán escupe una mezcla de tabaco de mascar, ron y saliva)
#78 La opción gratuita de Bitwarden no la he recomendado porque no me fío a largo plazo de los servicios gratiuitos.
Eso no significa que crea que Bitwarden vaya a robarte las contraseñas (deberían cambiar muy mucho porque ahora mismo simplemente no pueden verlas). Significa que sí me creería que en un tiempo digan que o pagas o fuera, que ya no pueden soportar el servicio gratuito y entonces vuelves al quebradero de cabeza de elegir.
Es por eso que hago el planteo ya de antemano: si no quieres pagar mejor acostúmbrate a keepass o haz self-hosting (estas opciones seguro que no desaparecen) y si no te importa pagar los 10$ pues págalos ya y así ayudas a que el servicio siga vivo mucho tiempo. Obviamente que cada uno haga lo que quiera, pero este es el razonamiento de mis recomendaciones
¡Fucking idiot tú! Te ha quedado muy bonito llamar idiota a algunos usuarios.
Se sabe si las fotoojetes también se han filtrado? Es para un amigo....
#5 Es cierto. Y de momento la comunicación individual a cada usuario no se ha producido.
https://www.prodat.es/blog/cuando-hay-que-comunicar-una-brecha-de-seguridad-la-aepd-sanciona-a-una-entidad-por-no-haber-comunicado-un-hackeo/
#80 Indemnización no, pero se exponen a una multa.
status (usuario normal, "especial", admin, blogger, desactivado, diana de strikes, etc.)
Diana de strikes?
Cambio de contraseña y a fregar.
Un saludo.
#1 Menuda ñapa.
No habría sido mejor correr un script con el update que meterlo ahí en el código?
#11 Es un dato personal. Y está protegida por la GDPR. Quien quiera tratarla (y este tratamiento incluye logarla, guardarla en una BD) necesita una base legitimadora para hacerlo. Esta base legítimadora en ocasiones no necesita consentimiento del usuario; por ejemplo cuando hay obligación legal (donde entra el caso de las llamadas telefónicas que guarda una operadora, o las facturas) o cuando hay un interés legítimo (un coladero de la ley). En el caso de meneame, está cogido con pinzas, para mi gusto (no soy juez) es sancionable.
Ayer, dias después del "hackeo", meneame me pidió que cambiara mi clave, ID 14K (si old school), pero me dejó poner la misma
#14 Hay un interese legitimo no? te permite detectar multicuentas, clones, etc.
#9 Invent
#32 Qué bien te aprendiste la idea que tuve para proteger los MD5 de las cuentas antiguas.
PD: Tengo que investigar eso de KDF.
#45 Ya ha venido el primer agorero en echarle la culpa a PHP.
Todo es susceptible de ser hackeado, la mayoría de aplicaciones web dinámicas del mundo funcionan en PHP así que la superficie de ataque es muy grande.
#33 Pero eso me impide acceder desde mi pc, mi tablet, mi movil, mi ordenador del trabajo... No se, no parece muy comodo. Al final voy a tener que llevar una agenda en el bolsillo con las pass como hace mi padre
#31 No se, yo soy de la opinion de usar contraseñas diferentes para cosas importantes y regla mnemotecnicas para cosas no importantes, en cualquier caso, me cuesta fiarme de una unica compañia para guardar todas mis contraseñas.
#60 Estresar un sistema es una forma de provocar errores. Las consolas se piratean así: Se meten glitches en la CPU hasta que haces saltar un error antes de que se bloqueen las zonas seguras.
#1 Pregunta inocente por desconocimiento. El hackeo de las contraseñas implica saltarse el límite de intentos para obtener acceso ¿no? porque la fuerza bruta tiene que estar chocando contra algo que le diga "esta sí" "esta no". Significa eso que el hacker se baja una versión offline de la web en la que prueban a loguearse con fuerza bruta ¿no? De lo contrario hacerlo sobre la web online provocaría una especie de DDos.
#73 Quiero una buena combinacion de ambas y no depender de terceros
#24 ¿qué problema hay?
#5 ¡¡Indemnización!! Un para todos los registrados antes de 2012
#82 Milagro!! Ha resucitado!!
#77 Las contraseñas no se hashean a pelo con algoritmos genéricos (cuyo objetivo es verificar integridad y nada más), y menos sin sal. De locos. PBKDF2, scrypt o bcrypt son mejores soluciones y alguna existe desde antes que menéame.
#84 ¿Por qué no se hashean a pelo?¿De locos? ¿Por qué son mejores soluciones?
Lo digo por entender.
Gracias por las respuestas.
#103 pero supongo que el mayor problema sería en caso de contraseñas no seguras. Si tu contraseña tiene 20 caracteres obtener la contraseña es inasumible.
#92 100% de acuerdo
#106 gracias por la aclaración.
#0 Otra más para el FAQ: ¿Es legal guardar direcciones IP en la base de datos "a pelo"?
Por el precio del dump y el hecho de que la página esté hecha en php, yo diría que es un ataque automático explotando una vuln conocida. es decir, un script automático que tiran contra miles de sitios a ver si en alguno tienen suerte
No parece que sea un ataque específico contra menéame
#20 Pensé que si estaba encriptado sólo podría leerse si tienes la clave de desincriptación.
#28 ¿estás entrando desde el trabajo?
#37 pues ya no se habrán enterado del hackeo y lo habrán metido en la lista de paginas no seguras
#40 eso venía a poner yo, me ha hecho gracia
#58 Qué quieres, seguridad o comodidad? Puedes instalar el gestor en el móvil que lo normal es que lo lleves siempre.
#42 Yo utilizo el KeePass, tutoriales habrá los que quieras por internet.
Si tienes un gestor en local puedes acceder desde ese equipo, hay gestores online, pero el riesgo de que se vea comprometido es mayor.
#55 Estrategias similares se han hecho con relativa frecuencia en proyectos que conozco, por eso te comenté que era algo factible lo que comentabas.
#76 Y que me toque la lotería.
#89 ¿entonces para qué encriptar las claves? ¿no es el mismo caso?
#54
Si eres jocanor ya sabes que distes mucho la lata, pero de los errores se aprende.
Yo considero que aprendí y conocí gente. Si hice algo que pudo molestarte, lo siento.
Yo te seguiré odiando por atacarme con DDOS.
Yo no te odio. Si un día nos vemos nos podemos tomar una cerveza juntos, y si quieres invito yo.
#97 ahhh, claro! gracias!
#3 Sería un detalle, si.
#25 un ataque bastante común es hacer un denial of service DoS y cuando los servicios empiezan a fallar se abren puertas traseras.
Si han entrado hasta la cocina (base de datos) no sería muy raro que no tengan la palabra clave para generar el hash. Seguramente lo tengan hardcoded en el código.
qué cojones significa "EL SERVIDOR TIENE APLICADO UN BAN" ?`??? me acaba de salir
#36 si, pero ha funcioinado siemrpe
Oooh, mirar cómo lloro... JUSTICIA, llamo yo eso.
#33 Podrías recomendar alguno en concreto? o poner un link con un tutorial para montarse un gestor de contraseñas. Si algún día me conecto desde un equipo remoto, significa esto que no tendré acceso a mis contraseñas?
#1 Y porque no utilizar el propio gestor de contraseñas de Chrome?
#9 Si eres jocanor ya sabes que distes mucho la lata, pero de los errores se aprende.
Yo te seguiré odiando por atacarme con DDOS.
#51 Hombre. Por (10$/año) tiene pinta de merecer más la pena la opción de BitWarden, sobre todo si no tengo que andar con el fichero de un lado al otro.
También vi LastPass, pero supongo que es una solución menos segura.
Quería preguntar... Qué diferencia hay entre esto y tener simplemente tus contraseñas guardadas en Google Chrome (en tu usuario logado)?
Muchas gracias por la info
¿Podrías corregir ese "extrayese"? Se me ha cristalizado el colirio al leerlo y tengo los globos oculares en carne viva.
Muchas gracias
#57 Era coña eh. Yo no me meto con esos masoquistas que les gusta el dolor, también son personas.
#62 Sin embargo, confías en los servidores que hay detrás de las opciones que propone #51?
#48 #44 sigo en el curro. Sigue funcionando. Fué una única vez.
#60 Normalmente a un ataque DoS se lo conoce por tirar abajo los servicios pero esta acción tambien habilita al atacante a crear una cortina de humo para inflitrarse o forzar el reinicio de los sistemas y aprovechar ese instante para socavar información y/o conocer los recursos compartidos a los que están conectados (bases de datos).
Lo único que está claro es que los admin deberían de hacer una audit para esclarecer sus fallos de seguridad y publicar un report explicando qué ha pasado, cómo pudo ocurrir y los pasos a mejorar el stack.
#93 Those are two of the key takeaways from a recent Neustar and Harris Interactive report based on a global, independent survey of 1,010 directors, managers, CISOs, CSOs, CTOs, and other C-suite executives. 76% reported that they had experienced multiple DDoS attacks. Even those companies that were attacked only once, a whopping 92% of them reported theft of intellectual property, customer data and/or financial assets and resources.
Igual este artículo te lo explica mejor -> https://www.corero.com/blog/theft-and-ddos-attacks-go-hand-in-hand/
Al inundar con peticiones los servidores, los primeros en sufrir los ataques son los firewalls y load balancers. Una vez los firewalls fallan, se puede atacar puertos específicos que estaban protegidos.
#102 Normalmente son los devops los que se ocupan por el bienestar de la arquitectura pero si dejas a los desarrolladores web que mantengan el stack, entonces seguramente no haya una sino muchas formas de poder atacar el sistema (yo tambien soy desarrollador web
).
En el caso de meneame, imagino que tienen un monolítico bastante guapo con server side rendering y del rollo no me toques que me rompo. Solo con ver la página, no parece que tengan ni helmet... Vamos que lo raro es que se hayan enterado que les han volvaco parte de la base de datos.
#98 Que va fueron tiempos e historias que contar con los amiguetes.
Además de todo se aprende y se mejora.
@admin ¿dónde está mi cuenta
urannio? entro con mi cuenta de twitter y ahora tengo esta otra.
#13 lo acabo de hacer (recuperando la contraseña) y me sigue identificando como este otro usuario.