Portada
mis comunidades
otras secciones
#5:
#3 Llevan a las páginas de identidad corporativa, que te dicen los colores y logos a usar en la empresa. Puedes verla en:
http://www.amper.es/castellano/salaprensa/identidad_corp.jsp
Como es obvio, no hay ningún control de seguridad por sesiones ni nada, pegas la url en el navegador y marchando. Es lo que se conoce por "Seguridad ocultando el enlace"
Ahora en serio, que este tipo de cosas la haga alguien que está aprendiendo a programar, ok, yo las hice en mi momento, pero ¿una empresa que vende sistemas de comunicaciones al ministerio de defensa?
http://www.amper.es/castellano/salaprensa/identidad_corp.jsp
Como es obvio, no hay ningún control de seguridad por sesiones ni nada, pegas la url en el navegador y marchando. Es lo que se conoce por "Seguridad ocultando el enlace"
Ahora en serio, que este tipo de cosas la haga alguien que está aprendiendo a programar, ok, yo las hice en mi momento, pero ¿una empresa que vende sistemas de comunicaciones al ministerio de defensa?
#18:
#11 Un ingeniero NUNCA debe programar, por dios, como osas pensar en eso, su labor es más bien la metafísica y el reenvio de emails entre el programador y el cliente, por eso esta plataforma.
Empresas como Google o Microsoft donde tienen a ingenieros programando se equivocan, pero gracias a dios "Ingenieros de primera" y su colegio nos guiarán por el camino de la verdad y la sabiduría.
Empresas como Google o Microsoft donde tienen a ingenieros programando se equivocan, pero gracias a dios "Ingenieros de primera" y su colegio nos guiarán por el camino de la verdad y la sabiduría.
#4:
Yo me parto con la cabecera del codigo javascript:
"
"
Juuuuazz...
"
"
Juuuuazz...
#3:
#1 Si es que lo más terrible de todo no es que usen "hola"-"1234" o similares, lo alucinante es que los usuarios y las claves estén ahí, a la vista del que quiera echar un ojo!!!!
Ni he mirado a dónde llevan esas páginas, seguramente a nada demasiado secreto (aunque visto lo visto igual son los planos de un tanque en PDF :-P), pero sólo la imagen que deja es para echarse a llorar...
Como dice un comentario del enlace, "AMPER INCORPORA LAS COMUNICACIONES TÁCTICAS PR-4G EN LOS HELICÓPTEROS TIGRE HAD DEL EJÉRCITO DE TIERRA.", comunicaciones tácticas... casi mejor que usen el Walkie-Talkie de Fisher Price
Ni he mirado a dónde llevan esas páginas, seguramente a nada demasiado secreto (aunque visto lo visto igual son los planos de un tanque en PDF :-P), pero sólo la imagen que deja es para echarse a llorar...
Como dice un comentario del enlace, "AMPER INCORPORA LAS COMUNICACIONES TÁCTICAS PR-4G EN LOS HELICÓPTEROS TIGRE HAD DEL EJÉRCITO DE TIERRA.", comunicaciones tácticas... casi mejor que usen el Walkie-Talkie de Fisher Price
#17:
Hace unos años, una web de una conocidísima institución financiera tenía unos comentarios en el código javascript que básicamente decía: 'Como estoy subcontratado y estos cabrones me explotan y me pagan una mierda, aquí está la manera de entrar sin tener las claves'. Era más largo pero ya no me acuerdo. Flipamos mucho al verlo, y dudamos si reportarlo a la entidad porque despedirían al programador pero seguro. Al final lo reportamos y el texto desapareció en 24 horas.
Comentarios
#11 A mi lo primero que me enseñaron en informática es a no reinventar la rueda. ¿Y a ti que eres taaaaaaaaaaaaaaaan listo? ¿Te programas tus drivers para no usar los ya hechos? ¿Te programas el SO para no usar uno ya hecho?
Por favor...
#3 Llevan a las páginas de identidad corporativa, que te dicen los colores y logos a usar en la empresa. Puedes verla en:
http://www.amper.es/castellano/salaprensa/identidad_corp.jsp
Como es obvio, no hay ningún control de seguridad por sesiones ni nada, pegas la url en el navegador y marchando. Es lo que se conoce por "Seguridad ocultando el enlace"
Ahora en serio, que este tipo de cosas la haga alguien que está aprendiendo a programar, ok, yo las hice en mi momento, pero ¿una empresa que vende sistemas de comunicaciones al ministerio de defensa?
Yo me parto con la cabecera del codigo javascript:
"
"
Juuuuazz...
Anda, un Ingeniero de Primera que se chiva de lo que ha hecho su jefe en el curro
#11 Un ingeniero NUNCA debe programar, por dios, como osas pensar en eso, su labor es más bien la metafísica y el reenvio de emails entre el programador y el cliente, por eso esta plataforma.
Empresas como Google o Microsoft donde tienen a ingenieros programando se equivocan, pero gracias a dios "Ingenieros de primera" y su colegio nos guiarán por el camino de la verdad y la sabiduría.
#1 Si es que lo más terrible de todo no es que usen "hola"-"1234" o similares, lo alucinante es que los usuarios y las claves estén ahí, a la vista del que quiera echar un ojo!!!!
Ni he mirado a dónde llevan esas páginas, seguramente a nada demasiado secreto (aunque visto lo visto igual son los planos de un tanque en PDF :-P), pero sólo la imagen que deja es para echarse a llorar...
Como dice un comentario del enlace, "AMPER INCORPORA LAS COMUNICACIONES TÁCTICAS PR-4G EN LOS HELICÓPTEROS TIGRE HAD DEL EJÉRCITO DE TIERRA.", comunicaciones tácticas... casi mejor que usen el Walkie-Talkie de Fisher Price
Jajaja, para los que no quieran ponerse a mirar el código de la web:
Usuario y contraseña idénticas. No os digo cuales son, pero una pista ¿cual es el nombre de la empresa?
Y además, están escritos en texto plano en un javascript
Hace unos años, una web de una conocidísima institución financiera tenía unos comentarios en el código javascript que básicamente decía: 'Como estoy subcontratado y estos cabrones me explotan y me pagan una mierda, aquí está la manera de entrar sin tener las claves'. Era más largo pero ya no me acuerdo. Flipamos mucho al verlo, y dudamos si reportarlo a la entidad porque despedirían al programador pero seguro. Al final lo reportamos y el texto desapareció en 24 horas.
#12 La clave está en este archivo: http://www.amper.es/js/passwd.js
Básicamente el problema es que el usuario y clave están escritos tal cual en esas 15 líneas de código que es totalmente público (todo el mundo puede acceder). Así cogiendo esa clave cualquiera puede acceder, lo cual es una barbaridad desde el punto de vista de la seguridad...
No hace falta ser ingeniero para entenderlo.
#6 Pues se fia el ministerio de defensa... Así va el pais.
Viendo el código del .js, fijo que lo ha hecho algún informaquitiquillo de la empresa de gratis. Como el vecino que da el soporte extraoficial de windows, pero aplicado a la "seguridad" informática.
Por cierto, hay informacion abundante y detallada sobre diversos mecanismos de aviónica y vehiculos de combate como el sistema MERCURIO (Sistema de Mando y Control para Puesto de Mando móvil). JUAS, soy todo un h4x0r........
No sé si el ministerio de defensa debería recibir algun e-mail.
Profesor: a ver, niños... hoy aprenderemos que todas las validaciones de login y password deben hacerse en el lado del servidor... ¿no ha venido hoy el de AMPER?
AlumnoA: no profesor, estaba malito en la casa con diarrea...
#5 Tienes razón. Yo cuando empecé a programar también hice cosas similares. La diferencia es que en la ETSI en Primero te daban una colleja y ya no lo volvías a hacer.
Hay gente a la que nunca le dieron una colleja y la primera vez que se enfrentan a un login es ya currando.
A http://www.backtoyou.es le podias meter sentencias sql y les avise. Ya lo tienen solucionado, pero ni las gracias me dieron.
¡No me lo puedo creer!!!! las contraseñas en texto plano en javascript... Buaaaaaaa... Como para fiarse...
#c-35" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/223829/order/35">#35 No, no nacimos aprendidos, pero estudiamos para aprender, y obviamente no sales siendo un perfecto profesional pero desde luego que no cometes pifias como esa. Una persona con ese nivel NO debería trabajar en ese campo, ¿dirías lo mismo de un médico? ¿Dejarías que cualquiera te rajase la barriga? ¿Verdad que no? El que escribió ese script no aprobaría ni el examen más fácil de Programación 1 (o como se llame en cada universidad).
#39 El problema es que sólo dices ingenieros, ¿ingeniros de qué? Si miras las ofertas de trabajo nos suelen equiparar con telecos o industriales, y en en muchas empresas cualquier licenciado vale para informático si sabe picar lineas en cualquier lenguaje de programación de moda (vease Java, C#), si no es que esos son directamente los que dirigen el proyecto (cuando no tienen ni zorra de ingeniería de software y tienen experiencia en dirigir proyectos si, claro, en proyectos chapuzas sin planificacion que nunca cumplen ni por asomo plazos ni calidad ni costes). No quería que te ofendieras, mi opinión es que el FP de informática debería tener más horas y ser más completo para que realmente pudieran ejercer bien su función, es decir, yo estudio en mi carrera 2 asignaturas sobre BD, una cuatrimestral y otra anual, mas una tercera optativa, y cursandolas todas no puedo más que llamarme aprendiz en BDs y doy bastante más de lo que se dá en un FP sobre BDs, ¿que hacen los de FP? Sólo por curiosidad ¿Sabeis cuando una relacion/tabla está en determinada forma normal? ¿Y que implicaciones tiene una/otra y cuando es bueno normalizar o desnormalizar según qué situaciones/intereses? ¿Cuando un SGBD es adecuado o cuando es matar moscas a cañonazos? ¿Y si el SGBD es demasiado costoso para nuestra aplicación os enseñan estructuras de almacenamiento de datos eficientes, ventajas e inconvenientes, a que tipo de consultas responden mejor etc? ¿Y si ahora trabajais para una empresa cuyo jefe de proyectos no gusta de la OOP y dice que hay que programar con lenguajes funcionales/logicos, habeis tocado en la vida ese paradigma? Insisto, no lo tomes a mal, sólo digo que deberían meter más caña, igual que en la universidad deberían cambiar un poco las cosas también.
#40 Pues entonces no tiene ni puta idea, con perdón, para eso podían enviar por correo esa información o podían proveer una url que ellos te tienen que enviar por correo/sms o como les dé la gana. Es decir, en vez de decirte vete a este página y logeate con amper:amper pues decirle, mira vete a esta página (no linkada en la web principal). Me dá que no es lo tu piensas, por desgracia. La solución valdría igual y no quedarían tan mal porque yo, si tuviese alguna responsabilidad en el ámbito informático de una empresa, y por un casual vamos a contratar algo de Amper, al ver eso te aseguro que tengo una reunión muy seria con mi superior para advertirle de lo que acabo de ver (es como si te vas a operar a un hospital y estando de visita ves como en vez de bisturi usan un cuchillo carnicero). Espero haberme explicado.
#23 Hombre, quisiera añadir la tercera cuestión:
¿Cómo una empresa pretende dar una imagen de seriedad y profesionalidad con cosas como esa? Porque vamos, ya no es "la seguridad" sino que como dicen en los comentarios del enlace la calidad del código es pésima (y eso que no son ni 20 lineas), no sé si habría alguna forma peor de hacerlo.
Pues leiendo un poco los foros de ingenieros de primera parece que estan todos con ganas de aumentar el e-penish porque vamos
#11 Seguro que tú lo harías mejor...
No soy ingeniero, ni de primera ni de segunda, y se me ha caído la bolsa escrotal al suelo al ver el programita ese ...
Saludos.
Y nadie pensó que el que realizo la página es un amante del sw libre y quería que esa información fuese libre, de ahí que sea tan fácil acceder a ella ;D
Ahora fuera coñas, es vergonzoso. Ni los 300euros de la beca se merecía el que incluyo (ya que como pone en el comentario no lo desarrollo) ese script.
A lo único que da acceso es a dos páginas de gilipolladas de marca...
#40 Hombre, realmente, fallo de seguridad es simplemente porque la contraseña no esta ocultada de manera segura, cualquier juankeriyo de palo seria capaz de verla, otra cosa es que no comprometa la integridad ni datos importantes de la empresa.
Estoy de acuerdo con algunos comentarios, es muy cierto que una empresa de estas caracteristicas deberia dar una imagen de seriedad y de saber hacer las cosas, y esta no la da ni de asomo con este tipo de chapuzas.
Consecuencias de las subcontratas, por dejadez o por mala leche
#24, ¿alguna vez has visto código ofuscado?
El pan nuestro de cada dia...
Lo cojonudo es que el que lo ha hecho habrá cobrado por ello y no os extrañe que más de lo que cobra más de un buen programador.
En éste país se cobra más por enchufe que por competencia (de hecho yo creo que si eres competente aún te bajan el sueldo).
ser es un metodo seguro, estas seguro de que nunca tendras problemas para acceder jajejijoju
Es la contraseña que pondría un idiota en sus maletas!
#35 dejarías que un arquitecto sin demasiados conocimientos te construya una casa? Pues eso, el ejercicio de una profesión requiere profesionalidad y conocimiento del campo, sea cual sea. Una cosa es no saberlo todo, que no todo el mundo nace sabiendo, y otra demostrar unas competencias mínimas.
#56 yo no he dicho que haga falta un ingeniero para hacer una web. Lo que digo es que para ejercer en un campo, has de conocer por donde te mueves
El "título" no hace al monje, así que dejaros de historias. Estoy harto de ver programadores de trinchera merendarse a ingenieros tipo Accenture en el proceso de análisis...por favor.
#29 Lógicamente he visto esas cuatro líneas de código antes de hacer mi comentario, creo que estaba bastante claro que me he leído la entrada. Sino no comentaria.
Lo que no se que tiene exactamente de demagógico lo que digo (agradecería algo más detallado).
Lo realmente demagógico es rasgarse las vestiduras por un apañito que está bastante claro que cumple las necesidades para las que se ha pensado y, más que demagógico diría ingenuo es pensar que hay un tío cuya labor en la empresa es hacer ese gran sistema de seguridad y que es un mal ingeniero por esa chapuza.
Pues no, lo más probable es que esa paginita la haya apañado el que lleve los temas de prensa, así que lo ha resuelto de una forma simple y que está claro que funciona.
Ya digo, es una chapuza, está curioso, pero nada más. De fallo de seguridad nada de nada.
Del foro: "cuando estemos regulados, pensaremos que hacer con el energumeno que escribio eso"
Esta gente vive en los mundos de Yupi, ¿no? ¿Nadie les ha explicado en qué consiste exactamente su ansiada "regulación"?
Respecto a los votos negativos que me llueven en #12: de verdad creía que los geeks teníais más sentido del humor.
#17 podrias avisar de la entidad financiera q era. Simplemente por si tengo algun dinero en ella sacarlo por lo bien que pagan a los que tratan sus sistemas de seguridad.
#40 el código en cuestión hace comparaciones innecesarias además de usar una variable que bien podía evitarse.
Te califiqué de demagogo porque el hecho de que algo sea muy simple no implica que deba meterse código redundate tan notorio, yo veo en mi curro ese tipo de código a diario pero no porque funcione lo acepto como válido.
#11 Bienvenido al mundo de la reutilización de código y de no-reinventar-la-rueda, ¿porque coño se van a poner a programar su propio CMS si existe uno que cubre sus necesidades? ¿por que tu lo quieras? Sería un desperdicio de tiempo.
#18
1) M$ y Google pagan bien y tienen unas condiciones de trabajo cojonudas
2) Un ingeniero sabe y puede programar, pero lo que sabemos hacer que no saben hacer los demás es diseñar, en Google o M$ un ingeniero no es un pica-teclas, ni lo consideran tal ni le pagan como tal.
3) Un ingeniero resuelve problemas de ingenieria, lo triste es tener que recordarlo
4) No todas las empresas se pueden permitir como google tener un equipo de ingenieros y doctorados, lo que se pide es que al menos sea un ingeniero el que planifica y dirige el proyecto y luego para programar no hacen falta ingenieros (aunque viendo como están orientados los FP...) y no que sea como ahora, donde un biologo lo "planifica y dirige" (si se le puede llamar así) y los ingenieros informáticos son pica-teclas seguramente sin opinión siquiera.
#48 A ver si nos enteramos, lo cachondo de este asunto no es que el tío se haga dos IF seguidos sino el hecho de que meta las "contraseñas" en un JS.
Vamos, que ni siquiera habías pillado de que iba la cosa y encima me tildas de demagogo por aportar una visión distinta de este gravísimo fallo de seguridad y que ya verás como corrigen en cuestión de minutos dada la importancia de los datos comprometidos.
Una pista > http://buscon.rae.es/draeI/SrvltGUIBusUsual?TIPO_HTML=2&TIPO_BUS=3&LEMA=demagogia
Esto tiene fácil explicación.
En qué lugar del organigrama está el desarrollador web?
http://www.amper.es/castellano/grupoamper/organigrama.jsp
En ningún sitio. Lo más probable es que fuese viernes por la noche y el programador (ingeniero, currito, loquesea, ...) se dijo a sí mismo:
"Total, para lo que me van a pagar"
¿¿Voto negativo a mi comentario #42?? Querido "centurión", deberías estar trabajando y cuidando de tu traje + corbata en lugar de estar mirando Menéame.
#51 ten la gentileza de leer completo a #0.
a mi me da que es un copipaste apañaito de alguna pagina cutre
Se supone que el programador es ingeniero o no he pillado el chiste?
Por cierto, a alguien se le ha ocurrido mandarle un mail al webmaster? Por aquello de la ética y tal...
#49 En lo de que deberían ser mas horas estoy de acuerdo, y en que los profesores deberían saber algo tambien, mas que nada porque de los que tuve yo solo sabían dos. Hasta había uno que era licenciado en Filosofía y Letras....
Por lo demas lo que pasa es que en este país la regulacion de la enseñanza es lamentable, luego sales a Europa, y si te preguntan que has estudiado no sabes si intentar equipararlo a lo que tienen allí, o directamente decir que una etiqueta de anis del mono y así termino antes.
Pero bueno ya sabemos que aquí solo nos equiparamos a Europa en los precios, si son para subirlos claro.
#56 Yo ni me mofo ni me hace gracia, me da pena. Para sacar sangre no hace falta ser médico pero HACE FALTA SABER SACAR SANGRE, ¿verdad? Pues para programar aunque sólo sea en JS hace falta saber hacerlo, esa persona desde luego NO SABE. ¿Dejarías que yo te sacase sangre? Porque matarte igual no te mato, pero a saber el pifostio que te monto en el brazo. No hacen falta ingenieros para eso, pero existe lo que se llama formación profesional, que precisamente está para cubrir aspectos de la informática donde no hace falta un ingeniero e incluso otros que no tienen interés ingenieril, meter a trabajar a una persona que hace 2 días se leyó una introducción rápida a JS y que no ha recibido ni 4 pautas de buenas prácticas a seguir al programar, sinceramente, ¡no me parece serio!
#16 Ande? yo no lo he visto, pero taria bien para alcahuetear...
A ese informatico llorica pero sin razon:
Jo, pues yo trabajo de eso -soy uno de los intrusos- y creo que sería lo último que se me podría ocurrir...
En la url pone jsp....
De todos modos no he podido ver el script pq ya han quitao la pagina y el codigo, avergonzaos, supongo. Lastima
#23 menos demagogia, fíjate el código http://www.amper.es/js/passwd.js y a ver que sueltas ahora.
, el comentario de kverko se llevaba la flor de desubicado!
#14
Yo este tipo de código ya lo he visto de un proyecto que nos pasaron porque se hartaron del proveedor anterior, pero no me acuerdo cual era.
Volviendo al tema en cuestión, vale que está gracioso y los que sabemos de que va el rollo nos echamos unas risas viendo esto, pero a la hora de la verdad esto no tiene ninguna importancia.
Es decir, no se trata de que passwords de usuarios esten en texto claro (cosa que por cierto creo que sucedió en Meneame durante algún tiempo), sino que esto que han usado es un sencillo mecanismo para que quien vaya a utilizar su logo tenga que ponerse en contacto con ellos para que por mail le dan el "amper", de este modo controlan quien se ha interesado por el tema.
Ahora la cuestión, ¿por qué lo han hecho de una forma tan cutre?, pues porque para dar acceso a una simple web de prensa montarse una tabla con los MD5 de los dos pass validos o empezar a tocar .htaccess del Apache es una soberana soplapollez, han puesto este JS cutre en 15 segundos y han dedicado el tiempo a seguir firmando contratos millonarios.
Segunda cuestión, ¿si es tan fácil de "hackear" para que ponen pass?, pues porque quien se ponga a mirar el código para saltarse la protección y no contactar con ellos es alguien que nunca contactaría con ellos para conseguir el acceso de modo "legal", es decir, si quiere el logo lo va a terminar consiguiendo aunque sea vectorizandolo por si mismo.
Conclusión, que por muy chapucero que nos parezca, esto es anecdótico y no compremete seguridad alguna.
Para ser un ingeniero de primera copipastea copipastea...
joder
#20 Pues que quieres que te diga, yo tengo un modulo de grado superior y donde trabajo vino una empresa a ponernos una aplicacion que sus "megaingenieros" habian hecho y ahora la tengo que estar rehaciendo yo de cero porque tenia pequeños fallos como quedarse bloqueada por los siglos de los siglos cuando le daba la gana.
Y esque el titulo de ingeniero no da ni la habilidad ni el sentido comun para hacer las cosas correctamente
#52 #49 es necesario ser ingeniero para hacer una web? ¿es necesario ser medico para hacer una operación, o arquitecto para construir una casa?
¿Es necesario mofarse del código de una persona, por mal que esté? ¿Dan ética en la ingeniería?
Sin comentarios.
Pais....
Voto "indescifrable" para los que ni nos dedicamos ni tenemos ni puta idea de programación.
Un ingeniero puede trabajar en google, ms, o fabricando aviones guiados por IA. Lastima que muchos estén ocupados saltándose cutre-scripts de juguete, como si fuese la gran cosa, para demostrar no se bien qué.
#13 es posible, o no. Pero desde luego lo que no voy a hacer, es reírme de la gente que tiene pocos conocimientos
#15 no, no me hago mis drivers, igual que no escribo en una web para reírme de una persona que programa mal.
#20 no, para demostrar lo listos que son, ya que se mofan del sistema de autentificación de otra web
En fin, que me frían a negativos me importa un carajo, igual que el karma y todas esas historias. Simplemente NO me gusta, que se metan con el pan de alguien.
¿Os gustaría que os despidieran, porque a un INGENIERO DE PRIMERA se le ocurre escribir una noticia sobre lo mal que programas? ¿Nacisteis todos aprendidos?
¿Se le dio el aviso a la empresa antes de soltar esa tontería en ese blog? Ojalá al que escribió eso, y a los que se han reído, algún día, llegue alguien mas listo que ellos, y los follen vivos Entonces igual dejan de meterse con códigos ajenos
Es muy fácil mofarse de los demás, pero quizás esos ingenieros de "primera" deberían programarse su propia web también (y no utilizar un CMS hecho, ya que son taaaaaaaaaaan listos)