Portada
mis comunidades
otras secciones
#14:
Dos minutos en la página y:
1. Utilizan la base de datos oracle
2. Si buscas en la lista de los diputados algo "especifico", consigues:
2.a. Con ' te dice ORA-00911: carácter no válido
2.b. Con cosa' te dice ORA-00920: operador relacional no válido
2.c. Con '> te dice ORA-00933: comando SQL no terminado correctamente
2.d. Con '>1 te dice ORA-00907: falta el paréntesis derecho
2.e. Con '>1) te dice ORA-00933: comando SQL no terminado correctamente
Cualquier programador que tenga mas o menos idea de como van las bases de datos en Oracle (la sintaxis las peticiones), ya tiene acceso a la mayor parte de su base de datos, si no es a toda.
Y eso sin hablar de los errores XXS que he visto en la página de entrada para los diputados, donde les puedes meter un enlace a "¿Olvidó su contraseña?" con tu página falsa, y te darán todos sus datos encima diciendote gracias
En fin. ¿Eso es seguro? De verdad que he tardado más en escribir este texto que en ver todo eso, y yo no soy ningun juanker, soy un programador más o menos novato que sabe cuales son los errores comunes de seguridad. La página del congreso los tiene todos.
1. Utilizan la base de datos oracle
2. Si buscas en la lista de los diputados algo "especifico", consigues:
2.a. Con ' te dice ORA-00911: carácter no válido
2.b. Con cosa' te dice ORA-00920: operador relacional no válido
2.c. Con '> te dice ORA-00933: comando SQL no terminado correctamente
2.d. Con '>1 te dice ORA-00907: falta el paréntesis derecho
2.e. Con '>1) te dice ORA-00933: comando SQL no terminado correctamente
Cualquier programador que tenga mas o menos idea de como van las bases de datos en Oracle (la sintaxis las peticiones), ya tiene acceso a la mayor parte de su base de datos, si no es a toda.
Y eso sin hablar de los errores XXS que he visto en la página de entrada para los diputados, donde les puedes meter un enlace a "¿Olvidó su contraseña?" con tu página falsa, y te darán todos sus datos encima diciendote gracias
En fin. ¿Eso es seguro? De verdad que he tardado más en escribir este texto que en ver todo eso, y yo no soy ningun juanker, soy un programador más o menos novato que sabe cuales son los errores comunes de seguridad. La página del congreso los tiene todos.
#20:
No he trabajado para el congreso, ni para ninguna agencia/ministerio nacional, pero sí para Junta de Castilla y León, ayuntamientos, etc. y en general el rollete es el mismo para todo. Por partes
a) las desarrolladoras que trabajan con estos tipos suelen ser bastante lentas en el cambio. El asunto se ve con los navegadores. Tuve que rogar y rogar para que la última aplicación web que hicimos fuera compatible con firefox, que me dolía ver el código web que generaba la aplicación. Al final le petó al cliente en sus pruebas porque "algunos de los usuarios usaban mac" y el ie de mac es una basura. No se cómo pude reprimirme el "os lo dije". Pero dio igual porque al final el que se tuvo que currar el asunto para que fuera compatible con firefox (con konqueror ya no pude, y no tenía más tiempo) fue un servidor. Por hablar.
b) la administración tira dinero que es un cachondeo. Puede pagarte tranquilamente varios kilos por una maqueta de algo que quizás sería interesante hacer. El asunto se enfría y 6 meses después piden otra maqueta de lo mismo para otra cosa, otro departamento, y te vuelven a soltar la pasta (alegando además que no pueden usar lo de los otros, y te obligan a volverlo a hacer).
Pagan tarde, no siempre cumplen los plazos, y es jodido entrar en el juego. Pero eso sí, cuando te paras a pensar que esa pasta es de todos, te partes el culo.
a) las desarrolladoras que trabajan con estos tipos suelen ser bastante lentas en el cambio. El asunto se ve con los navegadores. Tuve que rogar y rogar para que la última aplicación web que hicimos fuera compatible con firefox, que me dolía ver el código web que generaba la aplicación. Al final le petó al cliente en sus pruebas porque "algunos de los usuarios usaban mac" y el ie de mac es una basura. No se cómo pude reprimirme el "os lo dije". Pero dio igual porque al final el que se tuvo que currar el asunto para que fuera compatible con firefox (con konqueror ya no pude, y no tenía más tiempo) fue un servidor. Por hablar.
b) la administración tira dinero que es un cachondeo. Puede pagarte tranquilamente varios kilos por una maqueta de algo que quizás sería interesante hacer. El asunto se enfría y 6 meses después piden otra maqueta de lo mismo para otra cosa, otro departamento, y te vuelven a soltar la pasta (alegando además que no pueden usar lo de los otros, y te obligan a volverlo a hacer).
Pagan tarde, no siempre cumplen los plazos, y es jodido entrar en el juego. Pero eso sí, cuando te paras a pensar que esa pasta es de todos, te partes el culo.
#1:
¿Segura? ¿Me dais a mi la mitad si me meto hasta la cocina?
¿¿Pero habéis visto el código??
Curiosa incompatibilidad la de Firefox, cuando es el navegador que soporta más especificaciones estándar (no FUD de Opera, pls)
¿¿Pero habéis visto el código??
Curiosa incompatibilidad la de Firefox, cuando es el navegador que soporta más especificaciones estándar (no FUD de Opera, pls)
#23:
¿200.000 euros? No creo que sea tan poco. Hay que tener en cuenta que la creación de una página web, como la adjudicación de cualquier proyecto de construcción en general, ha de seguir la cadena de desarrollo estándar en España. A saber:
http://img524.imageshack.us/img524/144/subcontratosfw5.jpg
http://img524.imageshack.us/img524/144/subcontratosfw5.jpg
Comentarios
Dos minutos en la página y:
1. Utilizan la base de datos oracle
2. Si buscas en la lista de los diputados algo "especifico", consigues:
2.a. Con ' te dice ORA-00911: carácter no válido
2.b. Con cosa' te dice ORA-00920: operador relacional no válido
2.c. Con '> te dice ORA-00933: comando SQL no terminado correctamente
2.d. Con '>1 te dice ORA-00907: falta el paréntesis derecho
2.e. Con '>1) te dice ORA-00933: comando SQL no terminado correctamente
Cualquier programador que tenga mas o menos idea de como van las bases de datos en Oracle (la sintaxis las peticiones), ya tiene acceso a la mayor parte de su base de datos, si no es a toda.
Y eso sin hablar de los errores XXS que he visto en la página de entrada para los diputados, donde les puedes meter un enlace a "¿Olvidó su contraseña?" con tu página falsa, y te darán todos sus datos encima diciendote gracias
En fin. ¿Eso es seguro? De verdad que he tardado más en escribir este texto que en ver todo eso, y yo no soy ningun juanker, soy un programador más o menos novato que sabe cuales son los errores comunes de seguridad. La página del congreso los tiene todos.
¿Segura? ¿Me dais a mi la mitad si me meto hasta la cocina?
¿¿Pero habéis visto el código??
Curiosa incompatibilidad la de Firefox, cuando es el navegador que soporta más especificaciones estándar (no FUD de Opera, pls)
No he trabajado para el congreso, ni para ninguna agencia/ministerio nacional, pero sí para Junta de Castilla y León, ayuntamientos, etc. y en general el rollete es el mismo para todo. Por partes
a) las desarrolladoras que trabajan con estos tipos suelen ser bastante lentas en el cambio. El asunto se ve con los navegadores. Tuve que rogar y rogar para que la última aplicación web que hicimos fuera compatible con firefox, que me dolía ver el código web que generaba la aplicación. Al final le petó al cliente en sus pruebas porque "algunos de los usuarios usaban mac" y el ie de mac es una basura. No se cómo pude reprimirme el "os lo dije". Pero dio igual porque al final el que se tuvo que currar el asunto para que fuera compatible con firefox (con konqueror ya no pude, y no tenía más tiempo) fue un servidor. Por hablar.
b) la administración tira dinero que es un cachondeo. Puede pagarte tranquilamente varios kilos por una maqueta de algo que quizás sería interesante hacer. El asunto se enfría y 6 meses después piden otra maqueta de lo mismo para otra cosa, otro departamento, y te vuelven a soltar la pasta (alegando además que no pueden usar lo de los otros, y te obligan a volverlo a hacer).
Pagan tarde, no siempre cumplen los plazos, y es jodido entrar en el juego. Pero eso sí, cuando te paras a pensar que esa pasta es de todos, te partes el culo.
Apostaría algo a que el 'webmaster' afortunado ganador de 200.000 euros por un trabajo que vale menos de la décima parte es el hijo/primo/sobrino de algún congresista.
Joer que precio para una web tan poco compatible y probada, menudo timo. Como se nota que pagamos todos
¿200.000 euros? No creo que sea tan poco. Hay que tener en cuenta que la creación de una página web, como la adjudicación de cualquier proyecto de construcción en general, ha de seguir la cadena de desarrollo estándar en España. A saber:
Lo de segura será por lo ilegible del código y tal...
Apenas 200.000 euros ... pero si con eso no da ni para una casa.
Con ese presupuesto tan limitado es lógico que no sea compatible con el segundo navegador mas usado ...
33 millones de pelas una página web? Pero por favor, que los inviertan en una subvención para Internet o en lo que les de la gana pero que despilfarro por semejante chapuza
joder, al final no hice el comentario que iba a soltar (estas horas...)
Como decía en #20, el asunto es que no me extraña en absoluto que usen la plataforma Oracle (a esta gente la palabra Oracle les suele gustar. Si es caro mucho mejor), que esté pensada para internet explorer, que no hayan hecho nada de seguridad, etc.
Porque al final, los que lo han diseñado son los que están unas 4 o 5 escalas por debajo de las cabezas visibles del proyecto, y los que han programado la mayor parte del asunto son o bien becarios (yo era becario cuando hice la aplicación aquella), o bien recién titulados. Con nulo control de calidad serio (forma de programar, patrones, etc. no los estúpidos controles obligatorios para tener tal o cual placa de "Calidad", que en nada aseguran la calidad del producto final), cada uno haciendo las cosas como les da la gana, y siguiendo directrices apostólicas de algún jefe que hace muchos años que no desarrolla de verdad.
PD: lo cierto es que yo tuve suerte en mi curro. Pero lo que he visto es para descojonarse. Y eso que estuve poco tiempo
#5 Sastamente. El código fuente viene encriptado por defecto, para evitar que ningún juaker (o jeiker, o como se llamen) lo pueda descifrar. Seguridad por ofuscación, lo llaman.
Por cierto, que acabo de entrar en la página precisamente para ver el código (de juzgado de guardia), y en la parte superior derecha de la página principal hay un bonito error que me saluda tal que así: An error occurred while executing the PL/SQL associated with the item. ORA-01843: not a valid month (WWS-30558). ¿Qué pasa? ¿Que Junio no es un mes como los demás o qué? ¿Me discriminan por acceder a la página en un mes incompatible?
Yo no sabría hacer una web sin firebug ni webdeveloper... ¿cómo coño han podido hacer una web así por ese precio? ¡Peor aún! una web que no debería tener nada "raro" en la parte del cliente.
¿¿¿200.000??? Por esa cantidad les hago yo solito una docena, o más, de webs como la que tienen (hombre, tardaría lo suyo, pero por cuestión de conocimientos/práctica no sería). Y además, sin coste adicional, se las hago seguras y compatibles con (casi)todos los navegadores.
Qué despilfarro...
El problema no es la incompatibilidad con firefox.
El problema es que no cumple la ley al ser inaccesible y de la administración.
Firma si no estas de acuerdo:
http://www.petitiononline.com/shgotlok/petition.html
Espero que en ese dinero vaya incluido el servicio técnico, hardware, infraestructuras y recursos humanos para su contenido por algunos años.
Parodia de la nueva web del Congreso
Parodia de la nueva web del Congreso
congrezo.comDebe de ser segurísima si cada vez que entro sale algún error en alguna parte de la página (Tipo "Error: no se pudo conectar con noseque")
Estoy harto de webs oficiales que no se ven en firefox. Seguro que con explorer va a la perfección. ¿Y los que usamos GNU/Linux en casa qué hacemos? Estoy harto de tirar de wine para ver una p*** página web que debería ser accesible a todos.
Error: An error occurred while executing the PL/SQL associated with the item.
ORA-01843: not a valid month (WWS-30558)
#20 pues en la privada ocurre lo mismo, y por lo que me he dado cuenta son los de siempre, las consultoras, los "listos que todo lo saben" pero que en realidad no tienen más que look -corbatita, gomina- y labia
Para el #27: http://seguridad.internautas.org/html/4254.html
Y si tienes valor para hacerlo, ve a la página y mira su código fuente. Es para mear y no echar gota: CSS embebido en la propia página (en varios sitios diferentes), código HTML sin su correspondiente cabecera , identificadores crípticos, poca coherencia en el código (algunas etiquetas se declaran en mayúsculas y otras en minúsculas), indentación absurda y/o inexistente... Hasta un chimpancé usando el ed como editor habría hecho un trabajo mejor.
De hecho, mira lo que opina al respecto el validador del W3C: http://validator.w3.org/check?uri=http%3A%2F%2Fwww.congreso.es%2Fportal%2Fpage%2Fportal%2FCongreso%2FCongreso&charset=%28detect+automatically%29&doctype=HTML+4.01+Transitional. Y eso que, a falta de un DOCTYPE concreto (en la página ni siquiera lo pone), lo he validado con el HTML 4 Transitional, que en teoría es el menos quisquilloso y da un poco más de manga ancha que los demás.
Eso en mi idioma tiene un nombre: CHAPUZA. Y también estafa, fraude, desfalco, timo, malversación, etc.
Por 100 euros te la hago más bonita
Y no es en el congreso donde nos vemos todos los españoles representados? y los que preferimos el software libre????
#1 konqueror powa!! http://www.webstandards.org/files/acid2/test.html#top
La pagina en general, da mas pena que con firefox. ¿eso es bueno o malo?
¿no seria mejor pedir que se vea bien en konqueror?, poco talibanismo si nos conformamos conque hagan cuatro apaños para que se vea en firefox, y seguir pasándose los estandares por el forro
#14 Diganos cómo...
Queremos saber!
o por lo menos enlace a una página "para aprender"
#11 14 millones es lo que ha costado todo el proyecto para el congreso.
Que ladrones tenemos en este país.
Doscientos mil eurazos por una web... ¡Y QUÉ WEB!
pues ahora se merecen k les entren en la base de datoas y la publiquen o algo...
Pero como tiene la desfachatez de gastarse 200.00€ en ESO y encima decir "afirman que la página web es 'segura'" como diciendo que en realida esta bien hecha...
PD: funciona mejor en konkerork en firefox... ¿?
¡Serán cínicos! Negar que han hecho algo mal a cuenta del dinero del contribuyente. Y los fontaneros de EFE o ministerio de propaganda como siempre a tapar la mierda. Además habrá gente que como se desmiente "oficialmente" pues hasta lo creen. ¡Chapuceros y fuleros que son!
usan oracle application server portal, el paquete standard creo que cuesta unos $10k asi que les han timado a base de bien (tampoco he buscado mucho)
husmeando un poco por las paginas de error y de 404 creo que usan una version antigua tanto del servidor web como del portal en si, es muy triste pero ni eso explica los fallos de seguridad
lo mas grave es la inyeccion sql, aunque no es seguro que sea explotable, depende de los privilegios del usuario de la base de datos
¿Seguro que son 200.000 euros? Aquí alejo decía 14 millones:
esta claro que estamos en el pais pandereta."
Related: http://www.librexpresion.org/siguen-las-astracanadas-legislativas-con-respecto-eso-de-interne
La fuente primaria es kriptopolis, y en los comentarios citan el pliego del concurso y señalan: " en la pagina 25 lo pone, 14 millones de euros IVA incluido y en 24 meses,
http://www.kriptopolis.org/cuanto-ha-costado
#29 ui no digas eso, que esto es meneame y todo lo que vaya en contra del Gobierno es voto negativo.
Una chapuza, por cierto.
de todas formas acabo de leer el texto de kriptopolis y la asociacion de internautas y me meo en la boca del inutil que haya hecho ese pentest, lo que saca a la luz ahi no son fallos de seguridad, pero bueno algunos no entienden lo del tocino y la velocidad
vamos que me parece bien que se hable de la chapuza de dejar ciertas partes de la web accesibles al publico, pero llamarlo fallo de seguridad es muy lol
A ver pongamos orden, según dice la noticia, que supongo que muchos no han leido, 200.000€ es el coste de la página, más PDAs para los diputados, más puestos informáticos en los escaños, más puesta en marcha de la firma electrónica, así que habrá que hacer cuentas para sacar el coste real de la página, que no creo que sea más de 10.000€, aunque sigue siendo excesivo para la página tan insegura que han hecho, tan incompatible y tan fea. En Kriptopolis dicen que han usado Oracle Portal y por eso funciona tan mal, pero si saben que va a funcionar mal ¿para qué lo usan?, bueno en fin no deja de ser una chapuza la cosa. Por cierto lo que dice #14 es realidad en dos minutos ya sacas montón de información sobre el sistema.
Alguien podría concretar que fallos de seguridad presenta? Hasta el momento nadie lo ha hecho.
Yo lo veo perfectamente en firefox.
Todos estos que dicen que ellos lo hacen por pocos euros y varias veces mejor, ya sabéis, lo mejor es presentarse al concurso publico la próxima vez y así podréis demostrar las maravillas que hacéis a tan bajo coste.