Portada
mis comunidades
otras secciones
#9:
#6 He estado probando y te bloquea al décimo intento.
El artículo tiene parte de razón, pero está poco cogido por los pelos:
- Si la guardas como favoritos, se queda en favoritos, y luego se comparte al mundo entero, por ejemplo con el Chrome.
¿Chrome comparte tus favoritos con el mundo entero? ¿De verdad?
- Si le das sin querer a compartir en twitter o Facebook, todo el mundo tiene tu declaración
¿Cómo vas a darle sin querer a compartir en Twitter o Facebook? No hay botón de "compartir" por ninguna lado
- Si acortas la URL, ya la tiene el servicio de acortar URL
Hombre, no jodamos, si pones la URL de tu declaración de la renta en sitios externos, es culpa tuya. También podría poner el PDF en el compartidos del emule, eso sería error mio, no de Hacienda.
- igual luego sale tu declaración cuando busquen tu nombre en Google, bueno, por ahora no suelen indexar https, pero tiempo al tiempo.
Algo fácil de filtrar con un robots.txt o similar, ¿no?
El artículo tiene parte de razón, pero está poco cogido por los pelos:
- Si la guardas como favoritos, se queda en favoritos, y luego se comparte al mundo entero, por ejemplo con el Chrome.
¿Chrome comparte tus favoritos con el mundo entero? ¿De verdad?
- Si le das sin querer a compartir en twitter o Facebook, todo el mundo tiene tu declaración
¿Cómo vas a darle sin querer a compartir en Twitter o Facebook? No hay botón de "compartir" por ninguna lado
- Si acortas la URL, ya la tiene el servicio de acortar URL
Hombre, no jodamos, si pones la URL de tu declaración de la renta en sitios externos, es culpa tuya. También podría poner el PDF en el compartidos del emule, eso sería error mio, no de Hacienda.
- igual luego sale tu declaración cuando busquen tu nombre en Google, bueno, por ahora no suelen indexar https, pero tiempo al tiempo.
Algo fácil de filtrar con un robots.txt o similar, ¿no?
#6:
Que no es lo más seguto debido a TÚ incompetencia, sí, cierto. Pero es seguro para todo el mundo. Estamos hablando de que el CSV puede tener 35^16 posibilidades (16 dígitos con 35 valores, 25 letras y 10 números -grosso modo-). Si hubiera 40 millones de declaraciones de renta (que no las hay pq hay quien no la hace y quien la hace conjunta), estaríamos hablando de que la probabilidad de acertar es de un 7,88807955 × 10^-16% !!!
Por otro lado, probad a meter erróneos...
"Hoy ha realizado 2 accesos fallidos.
ERROR: El CSV no existe."
Ejem, que lo controlan, y si te pasas, cuidadín...
Por otro lado, probad a meter erróneos...
"Hoy ha realizado 2 accesos fallidos.
ERROR: El CSV no existe."
Ejem, que lo controlan, y si te pasas, cuidadín...
#8:
#6 Sí, pero el problema no es matemático, es de ingeniería social.
De todas formas da igual, me enseñó una compañera de curro un sitio de almacenamiento 'en la nube' donde algunos habían subido sus propias declaraciones de la renta y eran accesibles públicamente, yo creo que hasta se las habrá indexado el Google.
De todas formas da igual, me enseñó una compañera de curro un sitio de almacenamiento 'en la nube' donde algunos habían subido sus propias declaraciones de la renta y eran accesibles públicamente, yo creo que hasta se las habrá indexado el Google.
#13:
#6 #7 #8 #9 Ese no es el problema. El problema es que aún si la página estuviese cifrada con SSL (quiero suponer que lo está), puesto que la petición se hace con el método GET de HTTP, cualquiera que escuchase ese tráfico (trivial) se puede hacer con tu declaración de la renta.
No tiene ningún puto sentido un sistema de logueo (porque al final es eso) a través de parámetros en métodos GET. Esa estupidez dejó de cometerse en los años 90.
Un sistema de logueo requiere de un método POST y seguimiento del logueado a través de cookies que utilices sesiones. Punto.
Es la mayor barbaridad que he visto en bastante tiempo.
Por cierto #9, que digas a los indexadores que no miren lo que hayas puesto en robots.txt no les obliga a no mirar. Simplemente les dices que no encontraran nada interesante. Si lo utilizas para indicar el que no quieres que otros miren, es lo primero que van a mirar.
No tiene ningún puto sentido un sistema de logueo (porque al final es eso) a través de parámetros en métodos GET. Esa estupidez dejó de cometerse en los años 90.
Un sistema de logueo requiere de un método POST y seguimiento del logueado a través de cookies que utilices sesiones. Punto.
Es la mayor barbaridad que he visto en bastante tiempo.
Por cierto #9, que digas a los indexadores que no miren lo que hayas puesto en robots.txt no les obliga a no mirar. Simplemente les dices que no encontraran nada interesante. Si lo utilizas para indicar el que no quieres que otros miren, es lo primero que van a mirar.
Comentarios
Que no es lo más seguto debido a TÚ incompetencia, sí, cierto. Pero es seguro para todo el mundo. Estamos hablando de que el CSV puede tener 35^16 posibilidades (16 dígitos con 35 valores, 25 letras y 10 números -grosso modo-). Si hubiera 40 millones de declaraciones de renta (que no las hay pq hay quien no la hace y quien la hace conjunta), estaríamos hablando de que la probabilidad de acertar es de un 7,88807955 × 10^-16% !!!
Por otro lado, probad a meter erróneos...
"Hoy ha realizado 2 accesos fallidos.
ERROR: El CSV no existe."
Ejem, que lo controlan, y si te pasas, cuidadín...
#6 Lo que no quita que puedas acertar y sacar todos los datos de una persona. Seguro que no opinarías igual si alguien hace uso de tus datos (en el caso de que hicieras la Declaración) utilizando este método.
#6 #7 #8 #9 Ese no es el problema. El problema es que aún si la página estuviese cifrada con SSL (quiero suponer que lo está), puesto que la petición se hace con el método GET de HTTP, cualquiera que escuchase ese tráfico (trivial) se puede hacer con tu declaración de la renta.
No tiene ningún puto sentido un sistema de logueo (porque al final es eso) a través de parámetros en métodos GET. Esa estupidez dejó de cometerse en los años 90.
Un sistema de logueo requiere de un método POST y seguimiento del logueado a través de cookies que utilices sesiones. Punto.
Es la mayor barbaridad que he visto en bastante tiempo.
Por cierto #9, que digas a los indexadores que no miren lo que hayas puesto en robots.txt no les obliga a no mirar. Simplemente les dices que no encontraran nada interesante. Si lo utilizas para indicar el que no quieres que otros miren, es lo primero que van a mirar.
No #13 no. No es un sistema de logueo. Es un sistema de verificación. Cuando tú entregas un documento de la AEAT que has hecho a través de internet en otro organismo, es necesario verificar su autenticidad. Con ese número basta para que desde ese organismo se descarguen tu declaración y la cotejen (o directamente no indiques más que el número y se la descarguen). No es para qeu TÚ te la descargues todas las veces que quieras.
http://soporte.aeat.es/aplicaciones/A3Cknowledge.nsf/vwPreguntasLecturaContribuyentes/155BB6C80248D5C4C12577620038CDF2?OpenDocument
Y se usa, eh! Se usa mucho. Si vas a darte de alta como autónomo en persona (aunqeu ahora por fin se puede hacer por internet) y llevas tu 036 hecho en la sede electrónica de la AEAT, te lo miran, a ver si el 036 es el qeu es o no. O cuando entregas una declaración de hacienda para pedir algo (subvenciones, becas...).
Como dice #15 va por ssl, por lo qeu no va en abierto en ninguna red.
Repito. Es TÚ problema el hacer público un número o no estar protegido. ¿O es que acaso un virus no puede enviar el pdf que tienes guardado tras buscar palabras clave?
Y no, #16 en mis ordenadores no pasa eso. Cosa de usar linux y mac el 99% del tiempo. Y en windows tener un buen antivirus actualizado.
#17: A ti no te pasará, pero hay mucha gente que ni se percata de esa mayor actividad del ordenador. Así funciona Internet, se aprovechan de la gente que sabe poco.
El problema no son la matemáticas de acertar un CSV como ya ha demostrado #6 (suponiendo que se generan aleatoriamente...); tampoco que seas tan torpe de compartir tu CSV por twitter, facebook o cualquier otro sitio (si quieres empelando un acortador de urls). El problema está en que se envía por medio de un GET (es visible en la barra de direcciones) y se guarda en el historial. La gente normal no borra el historial, y cualquiera que acceda a ese ordenador podrá ver la declaración de la renta de esa persona. Imaginar que la hacemos en un ordenador público...
#17 Lo que quiere decir #15 no es que valla en abierto, es que haciendo un MITM con sslstrip podrías ver el código CSV tanto si va en un GET como en un POST. Básicamente la victima se conecta a ti por http y tu al servidor con https. Obviamente hay modos de evitarlos, pero ese es otro tema.
#19 Cualquier que acceda al ordenador de una persona que no borra el historial del navegador, NO necesita buscar el historial. Pongo la mano en el fuego que encontrará en el escritorio una carpeta que pondra "RENTA 2011".
#22 Mierda, sal de mi ordenador!
Yo no se mucho de informática y he aprendido mucho de estos comentarios, pero creo haber entendido que el problema se solucionaría si necesitases conocer algún dato más para acceder a la declaración a parte del codigo CSV. Es decir, yo soy torpe y desde un add-on de mi navegador (#9 supongo que se refieren a esto) comparto mi enlace a la declaración con el codigo visible, aunque lo borro rapidamente, alguien lo ha podido cazar. Además de eso me estoy conectando desde la wi-fi del vecino, que pertenece curiosamente a una mafia estafadora y para colmo mañana lo compruebo en el curro donde comparto ordenador y servidor con chorrocientas personas y donde las cookies se guardan y el historial no se borra normalmente.
Pese a todas esas imprudencias por, generalmente, desconocimiento o descuido, el error tendría solución si necesitaras un dato extra (una autentificación, vamos) para ver el pdf. Una contraseña, el num del dni o algo similar, para que con solo conocer el enlace o el CSV no fuera posible entrar.
Además si como dice #17 el problema es que se está usando malamente ese CSV para consultar el pdf, porque es para la consulta desde la AEAT, pues que el trabajador tenga una master pass o un certificado digital en el pc con el que trabaja para acceder libremente a las declaraciones que solicite.
#17 El que vaya por SSL nada importa si es suficiente con los parámetros del GET.
#20 Como ya he dicho, en el caso de que utilices SSL, los datos que envías por POST van cifrados. Los que envíes por GET no.
#29 Si no recuerdo mal se aplica ssl a nivel de transporte... Tanto los GET como los POST se envían cifrados en https
#37 Pues sí, tienes razón. Y yo tan convencido, gilipollas de mí. Aún así, sigue siendo una mala idea utilizar parámetros en el método GET como autentificación.
Si supiérais con qué tecnologías tenemos que programar aquí lo entenderíais todo...
Por cierto, como muy bien dice #17 ese código es sólo para poder verificar la autenticidad del documento. Ahora, si cada cual no es lo suficientemente cuidadoso como para proteger su información privada, ahí ya no hay nada que hacer.
#13 Los métodos post tambien se pueden snifar o crees que llegan a la web por osmósis?
En cuanto a lo de que los indexadoren no miren se pueden aplicar políticas de seguridad al servidor web.
Enserio informaros un poquito solo un mínimo.
#13 Sinceramente, con la confusión que tienes, espero que gente como tú no diseñe ningún sistema vital que yo pueda usar en mi día a día.
En una petición HTTP por SSL, toooooda la petición va cifrada (de hecho, es uno de los problemas que surgen, por ejemplo, al intentar hacer Virtual Hosting con distintos certificados usando HTTPS: para que te llegue la petición del navegador y saber el Host, ya tienes que tener la conexión SSL establecida, por lo que ya se ha utilizado un certificado a priori*). Los datos POST sólo son mejores a los GET en tanto en cuanto: a) no aparecen en la URL, por lo que no se pueden copiar fácilmente, y b) los navegadores web advierten a los usuarios cuando se ha enviado un formulario mediante POST y se recarga la página o se vuelve atrás. Por lo demás, van en la petición HTTP igual de claramente.
Por otra parte, sí, las cookies están muy bien, pero si haces un login con HTTPS y luego usas HTTP con cookies para mantener la sesión, cualquiera que te esté esnifando puede obtener tu cookie de sesión y suplantarte (porque, en efecto, también viaja en claro en la petición HTTP).
Lo que se debería haber abandonado en los 90 es HTTP sin SSL.
* para evitar esto se han inventado cosas como los certificados wildcard y SNI, pero no viene al caso.
#13 Pero Facebook también está haciendo esto, no?
Las fotos que en teoría son privadas, están siempre guardadas en una determinada URL estática, no securizada (es HTTP) y que puedes compartir con quien quieras.
Está facebook cometiendo este error de los años 90?
Por cierto, #13, perdona si mi tono esta mañana ha estado fuera de lugar, pero me he levantado y lo primero que he visto ha sido tu comentario con 4 positivos y mi cerebro ha gritado "¡norl!".
#6 Sí, pero el problema no es matemático, es de ingeniería social.
De todas formas da igual, me enseñó una compañera de curro un sitio de almacenamiento 'en la nube' donde algunos habían subido sus propias declaraciones de la renta y eran accesibles públicamente, yo creo que hasta se las habrá indexado el Google.
#8 Casi, casí... pero #9 si no tienes actualizado tu navegador tu historial puede ser un desfile de modelos http://startpanic.com/
#6 He estado probando y te bloquea al décimo intento.
El artículo tiene parte de razón, pero está poco cogido por los pelos:
- Si la guardas como favoritos, se queda en favoritos, y luego se comparte al mundo entero, por ejemplo con el Chrome.
¿Chrome comparte tus favoritos con el mundo entero? ¿De verdad?
- Si le das sin querer a compartir en twitter o Facebook, todo el mundo tiene tu declaración
¿Cómo vas a darle sin querer a compartir en Twitter o Facebook? No hay botón de "compartir" por ninguna lado
- Si acortas la URL, ya la tiene el servicio de acortar URL
Hombre, no jodamos, si pones la URL de tu declaración de la renta en sitios externos, es culpa tuya. También podría poner el PDF en el compartidos del emule, eso sería error mio, no de Hacienda.
- igual luego sale tu declaración cuando busquen tu nombre en Google, bueno, por ahora no suelen indexar https, pero tiempo al tiempo.
Algo fácil de filtrar con un robots.txt o similar, ¿no?
#9 Pues eso, errónea, y además con tonillo de sabelotodo... Una pena, parece atractivo el chaval que lo escribe.
#6: Nunca has notado que el ordenador "funciona solo", osea, el procesador más activo de lo que debiera, accesos al disco duro... ¿Sabes porque es? Exacto, porque lo usan terceras personas para no dejar ellas sus huellas y que les descubran luego.
#6 Si lees el artículo te darás cuenta de que el autor no habla de acertar el código, lo cual es imposible. Dice que si pones la URL en favoritos por ejemplo, compartes esa información con todo el mundo.
#49 No se si te das cuenta de la bestialidad que es a) No saber usar un servicio, ni leer la información relativa al mismo (si quieres mirar tu declaración lo haces a través de la Sede Electrónica, no del mecanismo de verificación) b) poner en favoritos información privada, c) compartir tus favoritos a todo el mundo.
Es decir, estamos ante errores de capa 8.
A mí no me va, mi CSV es A0CDFFB00A20B2B y nada. Poned el vuestro a ver.
#1 Pues a mi si me funciona, prueba con el mio a ver. Es 4H1QU3S3RT0NT4C0 ¿Funciona?
#1 #3 A ver si acabáis tumbando la web de hacienda con un DoS chorra y os detienen por pertenencia a Anonymous...
#1 El mio lo puso el becario de turno ya que es "1234password"
#1 No me extraña que no te funcione. Ni siquiera tiene el número de caracteres que debe
Bueno... en cualquier caso si estas en una wifi te puedes snifar todas las peticiones y con ellas los numeritos estos....
Aunque, a decir verdad, yo creo que la declaracion de la renta debiera ser un dato publico.
#11 En realidad no te los pueden pillar fácilmente en una wifi, la petición va por https. por lo tanto va cifrada.
Otra cosa es que te monten un ataque tipo "man-in-the-middle" un proxy https intermedio transparente, pero al usuario le cantaría que el certificado es diferente, pero también es cierto que poca gente se mira realmente el contenido del certificado.
Lo que me lleva a pensar que, a que espera la gente de mozilla, chrome y microsoft para incluir el certificado raíz del gobierno en la lista de confiables, para que la gente no tenga que aceptar certificados en su navegador, que en general el usuario no sabe lo que hacen y es una pésima costumbre ir aceptándolos...
Los de mozilla estaba en ello... creo que hablando con los de rediris... ¿alguien sabe como andaba la cosa?
#15 Hay otros métodos que no requieren de certificado falso para snifar conexiones ssl y el usuario ni se entera
#43 ¿A qué te refieres?, ¿a herramientas tipo sslstrip, que fuerzan todo el tráfico por http en vez de https?
Cierto es que se pueden usar, pero quizás canten un poco más (pero igual el usuario medio ni se entera...).
#45 si justo a eso me referia. tienes toda la razón el usuario medio no se enteraría
Trabajo todos los dias con CSVs, son una basura, su algoritmo "aleatorio" es de broma, no se cuanto pagó el estado por esa libreria, pero es para pegarse un tiro.
Y llevo 2 años con los malditos cseuves.
Por cierto, hace bastantes años mande este mismo error a un portal web que tenia email (la epoca pre-hotmail cuando hotmail no era mocosoft) pq pasaban en la URL.... tachan: usuario y contraseña... con dos cojones
Y claro, en el curro he visto usuarios y contraseñas pasadas en cookies tambien... contraseñas de servidores puestas como parametros en el ejecutable del mismo...
En fin, cosas veredes...
En la pagina de obtencion de datos para la declaracion de la renta de la hacienda de Vizcaya el formulario te pide, aparte del dni, el año de nacimiento:
https://aplijava.bizkaia.net/HRF1/castellano/caIdentificacion.jsp?idioma=C
Es un peligro. Si sin querer pasas el PDF a jpg, abres el photoshop, incluyes tu foto en la declaración y pones un letrero que ponga 'gilipollas' con una flecha apuntando a tu foto, incluyes también tu número de cuenta bancaria y código secreto y luego lo envías a todos tus contactos y a 4chan, ya habrás compartido tu declaración y probablemente te roben además de reírse de ti. Muy mal por parte de hacienda que te dejen hacer eso. Fatal.
#27 Mira un día quedamos y haces uso de esto. Tendrás que proclamarte "gilipollas".
#30 Te cedo ese honor, creo que te lo mereces muchísimo más que yo.
Por la igualdad, exijo que en años venideros se proporcione también el programa MADRE.
#35 y por honestidad en años venideros que pongan el programa "ladrón"
Qué terrible administración electrónica hay que soportar.
#25 Pues según la Agencia Tributaria, sólo tienen que devolverse/cobrarse las declaraciones cuya cuenta corresponde al titular de la declaración, como titular o autorizado.
El declarante debe ser titular o autorizado del número de cuenta.
#24 Autorizado no valía, sólo titular. De todas formas, desde el año pasado eso ya no se aplica. Puedes poner cualquier número de cuenta.
Sensacionalista es poco
Por cierto, os copio un comentario que ha dejado un tal Manuel Camps Cabrera en la web original:
"El mecanismo es el correcto y está previsto en la ley 11/2007 de Administración Electrónica. El CSV es el mecanismo que se utiliza para poder comprobar el documento digital a partir de una copia en papel. y lo ha de poder VERIFICAR CUALQUIER persona u organismo al que se le presente el papel, no sólo el propietario del DNI. Por ejemplo si has de presentar este documento en algún organismo entregarás el PDF descargado en formato papel, pero éste en sí no tiene ningún valor. La persona que lo reciba dedbe comprobar mediante el CSV que el documento es válido ya que es un documento electrónico.
Sólo aquellas personas que tengan acceso al documento en papel podrán conocer la URL de la comprobación para cotejar."
Por cierto, por lo que puedo ver en la petición GET sólo sale parte del CSV (16 caracteres), faltan 3 caracteres, al menos en mi caso.
que chapuceros son
Como se obtiene un CSV a partir de un DNI o el de otra persona? quería fiscar la declaración del vecino que no se de donde saca tanta pasta.
No me he parado nunca a fijarme en algo así, pero puedo asegurar que todo lo que tenga que ver con Hacienda + Internet es INSOPORTABLE. Páginas que no existen, navegación desesperantemente lenta, información lo menos intuitiva que he visto en mi vida... Vamos, una completa cagada de principio a fin. Se supone que hacer la declaración por internet debería facilitar las cosas, y cada año acabo con los nervios destrozaos simplemente modificando el borrador. Que puta pesadilla, parece que lo hacen a conciencia oye...
Error 404? Borrada?
Es un fallo importante, indistintamentede que tan aprovechable sea, simplemente no debería hacerse así.
En general hay poca consciencia en este aspecto. Hace poco me dí cuenta de un problema grave por un error que cometí. Intente crearme una cuenta en un sitio en el que rellenaba datos personales, dni, dirección, telefonos, y alguno más.
A la hora de crearme la cuenta, rellene todos los datos con un e-mail equivocado y acepte. Ahora alguien potencialmente podría haber tenido acceso a mis datos, y a una cuenta que cree yo, para actuar en mi nombre.
En casos de ese tipo, tendría más sentido crearse la cuenta primero, con contraseña, y luego confirmar el e-mail e introducir más datos sin son necesarios.
#32 Que me vas a contar, que llevo un mes recibiendo correos a nombre de otro porque supongo que se equivocó al rellenar el e-mail. Y me llegan sus cambios de clave (donde para más inri te dicen la clave y todo), paquetes que le mandan (con lo que ya se la dirección, porque viene un seguimiento de UPS) y todo tipo de cosas... He intentado ponerme en contacto con la empresa en cuestión pero sólo tienen una línea automatizada en la que es imposible hablar con nadie. Mandé hasta una consulta a la Agencia de protección de datos pero me han respondido con un mail bastante genérico, por lo que supongo que solo me queda denunciar...
Saludos