Portada
mis comunidades
otras secciones
#4:
Sigo sin entender varias cosas.
1.- Como no utilizan procedimientos almacenados.
2.- ¿Porque siguen utilizando GET?.
3.- ¿Porque no escapan las variables?.
4.- SSL, ¿para cuando?.
y por ultimo
5.- ¿cuando cumplirán la LSSI?
De Tuenti tengo la continua sensación de ser un producto para ser vendido a una tercera empresa, tiene continuos fallos de seguridad y sobre todos no observa la legislación Española en protección de datos.
1.- Como no utilizan procedimientos almacenados.
2.- ¿Porque siguen utilizando GET?.
3.- ¿Porque no escapan las variables?.
4.- SSL, ¿para cuando?.
y por ultimo
5.- ¿cuando cumplirán la LSSI?
De Tuenti tengo la continua sensación de ser un producto para ser vendido a una tercera empresa, tiene continuos fallos de seguridad y sobre todos no observa la legislación Española en protección de datos.
#7:
#6 Por email varias veces les he solicitado los datos que la LSSI, les obliga a publicar.
¿Sabes cual es su contestación? :
[..]
Me pongo de nuevo en contacto contigo para resolver tu duda.
Tuenti es actualmente una red cerrada, ya que, para poder registrarse, el usuario ha tenido que ser previamente invitado por alguien que ya forma parte de Tuenti.
Una vez que el usuario es invitado, recibe toda la información corporativa qeu exige el artículo 12 LSSI, el cual es de fácil acceso en la sección "Aviso legal", tal y como obliga la normativa vigente. El "Aviso legal" está disponible en el proceso de registro para que el usuario pueda conocer todos los derechos y obligaciones que tiene como usuario de Tuenti antes de pasar a formar parte de nuestra red.
Espero que esto aclare tus dudas y, si tienes alguna otra pregunta, no dudes en ponerte en contacto con nosotros.
Un saludo,
Equipo tuenti
[..]
Asi que solo los usuarios pueden ver los datos, fijate la caradura.
¿pero que dice la ley [1]?
[..]
Los prestadores de servicios deben indicar en su página web:
* Su nombre o denominación social y datos de contacto: Domicilio, dirección de correo electrónico y cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un teléfono o un número de fax.
* Si la empresa está registrada en el Registro Mercantil o cualquier otro registro público, deberá señalar también el número de inscripción que le corresponda.
* Su NIF.
* Información sobre el precio de los productos, indicando si incluye o no los impuestos aplicables, gastos de envío y cualquier otro dato que deba incluirse en cumplimiento de normas autonómicas aplicables.
* En el caso en que la actividad que se ejerza precise de una autorización administrativa previa, los datos relativos a la misma y los identificativos del órgano encargado de su supervisión.
* Si se ejerce una profesión regulada, los datos del Colegio profesional y el número de colegiado, el título académico y el Estado de la Unión Europea en que se expidió y la correspondiente homologación, en su caso.
* Los códigos de conducta a los que esté adherido, en su caso, y la forma de consultarlos electrónicamente.
[..]
Mas claro imposible, los datos deben ser públicos, y no te debes registrar para verlos.
Se saltan la ley y encima se recochinean de ello.
[1] http://www.lssi.es/Secciones/Contenidos/Obligaciones/contprin2a.htm
¿Sabes cual es su contestación? :
[..]
Me pongo de nuevo en contacto contigo para resolver tu duda.
Tuenti es actualmente una red cerrada, ya que, para poder registrarse, el usuario ha tenido que ser previamente invitado por alguien que ya forma parte de Tuenti.
Una vez que el usuario es invitado, recibe toda la información corporativa qeu exige el artículo 12 LSSI, el cual es de fácil acceso en la sección "Aviso legal", tal y como obliga la normativa vigente. El "Aviso legal" está disponible en el proceso de registro para que el usuario pueda conocer todos los derechos y obligaciones que tiene como usuario de Tuenti antes de pasar a formar parte de nuestra red.
Espero que esto aclare tus dudas y, si tienes alguna otra pregunta, no dudes en ponerte en contacto con nosotros.
Un saludo,
Equipo tuenti
[..]
Asi que solo los usuarios pueden ver los datos, fijate la caradura.
¿pero que dice la ley [1]?
[..]
Los prestadores de servicios deben indicar en su página web:
* Su nombre o denominación social y datos de contacto: Domicilio, dirección de correo electrónico y cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un teléfono o un número de fax.
* Si la empresa está registrada en el Registro Mercantil o cualquier otro registro público, deberá señalar también el número de inscripción que le corresponda.
* Su NIF.
* Información sobre el precio de los productos, indicando si incluye o no los impuestos aplicables, gastos de envío y cualquier otro dato que deba incluirse en cumplimiento de normas autonómicas aplicables.
* En el caso en que la actividad que se ejerza precise de una autorización administrativa previa, los datos relativos a la misma y los identificativos del órgano encargado de su supervisión.
* Si se ejerce una profesión regulada, los datos del Colegio profesional y el número de colegiado, el título académico y el Estado de la Unión Europea en que se expidió y la correspondiente homologación, en su caso.
* Los códigos de conducta a los que esté adherido, en su caso, y la forma de consultarlos electrónicamente.
[..]
Mas claro imposible, los datos deben ser públicos, y no te debes registrar para verlos.
Se saltan la ley y encima se recochinean de ello.
[1] http://www.lssi.es/Secciones/Contenidos/Obligaciones/contprin2a.htm
#25:
1.- Como no utilizan procedimientos almacenados.
Porque serán un grupo de desarrollo pequeño con técnicas de desarrollo ágil y no los necesitan. Para proyectos medianos o pequeños en los que los mismos programadores administran también la base de datos los procedimientos almacenados me parecen un engorro.
2.- ¿Porque siguen utilizando GET?.
Porque te da URLs que puedes dar a tus amigos y si el diseño está bien hecho te deberían llevar siempre el mismo contenido. Claro que si usan GET para las inserciones, actualizaciones o borrado de datos es una cagada de primer nivel. Google tuvo que retirar un producto de caché porque muchas páginas usaban GET incorrectamente e interfería con carritos de la compra y paneles de administración via web.
3.- ¿Porque no escapan las variables?.
Porque los programadores serán novatos y el director de proyecto no habrá escrito una biblia con las buenas prácticas que debe seguir su código. Los programadores hacen lo que pueden, o lo que le dicen sus compañeros con más experiencia pero a veces se les olvida filtrar los datos.
4.- SSL, ¿para cuando?.
Esta tiene que ser fácil de cambiar, y un certificado no es tan caro, aunque quizás tengan "hardcodeado" el protocolo en las URL (mal hecho) y no les sea tan fácil cambiarlo. También SSL genera algo más de sobrecarga en el servidor así que igual si portan a SSL tienen que invertir en máquinas.
Porque serán un grupo de desarrollo pequeño con técnicas de desarrollo ágil y no los necesitan. Para proyectos medianos o pequeños en los que los mismos programadores administran también la base de datos los procedimientos almacenados me parecen un engorro.
2.- ¿Porque siguen utilizando GET?.
Porque te da URLs que puedes dar a tus amigos y si el diseño está bien hecho te deberían llevar siempre el mismo contenido. Claro que si usan GET para las inserciones, actualizaciones o borrado de datos es una cagada de primer nivel. Google tuvo que retirar un producto de caché porque muchas páginas usaban GET incorrectamente e interfería con carritos de la compra y paneles de administración via web.
3.- ¿Porque no escapan las variables?.
Porque los programadores serán novatos y el director de proyecto no habrá escrito una biblia con las buenas prácticas que debe seguir su código. Los programadores hacen lo que pueden, o lo que le dicen sus compañeros con más experiencia pero a veces se les olvida filtrar los datos.
4.- SSL, ¿para cuando?.
Esta tiene que ser fácil de cambiar, y un certificado no es tan caro, aunque quizás tengan "hardcodeado" el protocolo en las URL (mal hecho) y no les sea tan fácil cambiarlo. También SSL genera algo más de sobrecarga en el servidor así que igual si portan a SSL tienen que invertir en máquinas.
#9:
#7 Jeje. Yo he tirado mas arriba.
Email al Ministerio de Industria por lo de la LSSI.
Email a la AGPD por lo de la LOPD y la LSSI
Email a la Asociación de Internautas.
Las respuestas fueron:
Industria: Evasiva del tipo "no es nuestra competencia"
AGPD: Evasiva del tipo "Vale, pero si no denuncias no haremos una mierda"
AI: Inicialmente la abogada no lo veia claro, una vez razonado con ella, vio claro que vulneraban las dos de entrada. Respuesta final: "Ya lo notificaremos a quien corresponde"
Esto fue hace un año. A día de hoy sigo viendo al, en mi estricta y subjetiva opinion, "pancracio" de Icaro Moyano llenándose la boca de soplapolleces.
Por cierto, un comentario mio de su blog fue eliminado:
http://blog.tuenti.com/condiciones-de-consenso/#comments
Email al Ministerio de Industria por lo de la LSSI.
Email a la AGPD por lo de la LOPD y la LSSI
Email a la Asociación de Internautas.
Las respuestas fueron:
Industria: Evasiva del tipo "no es nuestra competencia"
AGPD: Evasiva del tipo "Vale, pero si no denuncias no haremos una mierda"
AI: Inicialmente la abogada no lo veia claro, una vez razonado con ella, vio claro que vulneraban las dos de entrada. Respuesta final: "Ya lo notificaremos a quien corresponde"
Esto fue hace un año. A día de hoy sigo viendo al, en mi estricta y subjetiva opinion, "pancracio" de Icaro Moyano llenándose la boca de soplapolleces.
Por cierto, un comentario mio de su blog fue eliminado:
http://blog.tuenti.com/condiciones-de-consenso/#comments
Comentarios
Sigo sin entender varias cosas.
1.- Como no utilizan procedimientos almacenados.
2.- ¿Porque siguen utilizando GET?.
3.- ¿Porque no escapan las variables?.
4.- SSL, ¿para cuando?.
y por ultimo
5.- ¿cuando cumplirán la LSSI?
De Tuenti tengo la continua sensación de ser un producto para ser vendido a una tercera empresa, tiene continuos fallos de seguridad y sobre todos no observa la legislación Española en protección de datos.
#4 Te agradezco que me hayas relevado de mi cruzada contra esa panda de trápalas.
#6 Por email varias veces les he solicitado los datos que la LSSI, les obliga a publicar.
¿Sabes cual es su contestación? :
[..]
Me pongo de nuevo en contacto contigo para resolver tu duda.
Tuenti es actualmente una red cerrada, ya que, para poder registrarse, el usuario ha tenido que ser previamente invitado por alguien que ya forma parte de Tuenti.
Una vez que el usuario es invitado, recibe toda la información corporativa qeu exige el artículo 12 LSSI, el cual es de fácil acceso en la sección "Aviso legal", tal y como obliga la normativa vigente. El "Aviso legal" está disponible en el proceso de registro para que el usuario pueda conocer todos los derechos y obligaciones que tiene como usuario de Tuenti antes de pasar a formar parte de nuestra red.
Espero que esto aclare tus dudas y, si tienes alguna otra pregunta, no dudes en ponerte en contacto con nosotros.
Un saludo,
Equipo tuenti
[..]
Asi que solo los usuarios pueden ver los datos, fijate la caradura.
¿pero que dice la ley [1]?
[..]
Los prestadores de servicios deben indicar en su página web:
* Su nombre o denominación social y datos de contacto: Domicilio, dirección de correo electrónico y cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un teléfono o un número de fax.
* Si la empresa está registrada en el Registro Mercantil o cualquier otro registro público, deberá señalar también el número de inscripción que le corresponda.
* Su NIF.
* Información sobre el precio de los productos, indicando si incluye o no los impuestos aplicables, gastos de envío y cualquier otro dato que deba incluirse en cumplimiento de normas autonómicas aplicables.
* En el caso en que la actividad que se ejerza precise de una autorización administrativa previa, los datos relativos a la misma y los identificativos del órgano encargado de su supervisión.
* Si se ejerce una profesión regulada, los datos del Colegio profesional y el número de colegiado, el título académico y el Estado de la Unión Europea en que se expidió y la correspondiente homologación, en su caso.
* Los códigos de conducta a los que esté adherido, en su caso, y la forma de consultarlos electrónicamente.
[..]
Mas claro imposible, los datos deben ser públicos, y no te debes registrar para verlos.
Se saltan la ley y encima se recochinean de ello.
[1] http://www.lssi.es/Secciones/Contenidos/Obligaciones/contprin2a.htm
#7 Jeje. Yo he tirado mas arriba.
Email al Ministerio de Industria por lo de la LSSI.
Email a la AGPD por lo de la LOPD y la LSSI
Email a la Asociación de Internautas.
Las respuestas fueron:
Industria: Evasiva del tipo "no es nuestra competencia"
AGPD: Evasiva del tipo "Vale, pero si no denuncias no haremos una mierda"
AI: Inicialmente la abogada no lo veia claro, una vez razonado con ella, vio claro que vulneraban las dos de entrada. Respuesta final: "Ya lo notificaremos a quien corresponde"
Esto fue hace un año. A día de hoy sigo viendo al, en mi estricta y subjetiva opinion, "pancracio" de Icaro Moyano llenándose la boca de soplapolleces.
Por cierto, un comentario mio de su blog fue eliminado:
http://blog.tuenti.com/condiciones-de-consenso/#comments
#4 yo no entiendo varias cosas.
Básicamente, no entiendo casi nada de lo que has escrito...
1.- Como no utilizan procedimientos almacenados.
Porque serán un grupo de desarrollo pequeño con técnicas de desarrollo ágil y no los necesitan. Para proyectos medianos o pequeños en los que los mismos programadores administran también la base de datos los procedimientos almacenados me parecen un engorro.
2.- ¿Porque siguen utilizando GET?.
Porque te da URLs que puedes dar a tus amigos y si el diseño está bien hecho te deberían llevar siempre el mismo contenido. Claro que si usan GET para las inserciones, actualizaciones o borrado de datos es una cagada de primer nivel. Google tuvo que retirar un producto de caché porque muchas páginas usaban GET incorrectamente e interfería con carritos de la compra y paneles de administración via web.
3.- ¿Porque no escapan las variables?.
Porque los programadores serán novatos y el director de proyecto no habrá escrito una biblia con las buenas prácticas que debe seguir su código. Los programadores hacen lo que pueden, o lo que le dicen sus compañeros con más experiencia pero a veces se les olvida filtrar los datos.
4.- SSL, ¿para cuando?.
Esta tiene que ser fácil de cambiar, y un certificado no es tan caro, aunque quizás tengan "hardcodeado" el protocolo en las URL (mal hecho) y no les sea tan fácil cambiarlo. También SSL genera algo más de sobrecarga en el servidor así que igual si portan a SSL tienen que invertir en máquinas.
#25 en resumen, que son unos paquetes.
#25 Las preguntas eran retoricas, pero te contesto.
1.- [..]_Porque_ serán un grupo de desarrollo pequeño con técnicas de desarrollo ágil y no los necesitan. Para proyectos medianos o pequeños en los que los mismos programadores administran también la base de datos los procedimientos almacenados me parecen un engorro. [..]
Lo siento no esta justificado, Tuenti no es un proyecto pequeño.
Yo administro SOLITO bases de datos de Oracle y MSSQL de varios centenares gigas de tamaño, y todo va con procedimientos almacenados, y solo tengo 400 usuarios, así que ya me dirás.
Nota : muchos de los procedimientos son de programadores anteriores a mi, pero curiosamente todos hemos codificado igual y sin conocernos, eso se llama profesionalidad.
2.- Estoy de acuerdo contigo, pero para solucionar el problema de los enlaces esta los módulos de reescrituras de los servidores web.
3.- Lo que demuestra que eso que se llama técnicas de desarrollo ágil no es mas que una patraña, yo soy de la vieja escuela, lo dejo todo muy documentado, y antes de tirar lineas de código (sobre todo en consultas pl/sql y tsql) me lo pienso mucho.
4.- También de acuerdo.
Estos fallos de programador novato.
Ampliación:
Te falta un dato. La IP es un dato de caracter personal y por tanto solo por entrar en su frontpage ya están recabando un dato mio, sin analizar las cookies.
No estoy en contra de Tuenti por ser Tuenti, sino por como se comportan con gente que no tiene capacidad de valorar a que se enfrentan.
Por cierto, doy clases particulares de seguridad a crios y de mis ultimos alumnos menores de 14 años, todos siguen teniendo Tuenti, no les han pedido DNI ni leches. O sea que otra patochada más.
#11 El famoso algoritmo que detecta si eres menor de 14, es un camelo .
Sobre este punto : ¿Tiene Tuenti el peor portero del mundo?
¿Tiene Tuenti el peor portero del mundo?
soitu.es#11 http://www.samuelparra.com/2008/02/24/la-ip-como-dato-personal-insuficiente-para-identificar-al-infractor/
Si bien la IP se considera un dato de carácter personal, parece que no puede ser usado como dato probatorio de identidad... bendita ley chorra que tenemos.
Conozco al menos otros 2 fallos como éste desde hace 3 meses y tras ponerme en contacto con ellos y asegurar que se han corregido siguen en las mismas...
Lo mismo la solución es publicar una entrada en menéame...
Sera que a facebook no le pasa exactamente lo mismo...
http://developers.facebook.com/tools.php
Para mí lo que tiene delito es que se pueda manipular una SQL por los parámetros de la URL. Eso ya de por sí es una metedura de pata enorme y no sé a quién en su sano juicio se le ocurriría programar las cosas para que funcionen de esa manera y quedarse con la conciencia tan tranquila.
En fin, me han obligado a usar una contraseña única e incompatible con ninguna otra página web por mi propia seguridad.
http://www.securitybydefault.com/2009/07/no-no-uses-captchas-ni-ningun-otro.html
Otro agujero que ya resolvieron que permitía sacar contraseñas por fuerza bruta.
Yo me iría de tuenti, o pondría una contraseña independiene con datos falsos. Es la comunidad que más problemas de seguridad y debilidades que he visto, por tamaño.
Truco: no dar tus datos reales... oh wait!
Hombre a mi si me dais la contraseña de alguien hackeo su cuenta en un momento
.
Digo esto porque la entradilla parece que dice que si sacas su contraseña le puedes hackear la cuenta ;).
Tuenti, el nuevo messenger.
Respecto la contraseña en MD5. Bueno, tampoco es que sea un desastre obtener el hash md5 de una contraseña, mayormente porque es irreversible, y obtener la contraseña del mismo es imposible a menos que hagas un ataque de diccionario. Y si usan saltos, aún más difícil. Pero si se puede inyectar código SQL, no creo que lo hagan
Por cierto, MD5 más vale ir dejando de usarlo (admito que lo he usado para cifrar algunas contraseñas), salvo para cosas tontas:
http://en.wikipedia.org/wiki/Md5#Vulnerability
#23 Acabas de abrir la caja de pandora
Te aseguro que mis datos privados no podrán sacarlos de Tuenti.
Tuenti pertenece en un 30% a la familia Polanco (Grupo PRISA) ¿Que esperais?
impresionante que estas cosas le pasen a una red social con tantos usuarios... impresionante o lamentable
Tuenti y Twenti la misma mierda son. Facebook está a una línea de unirse salvo que la idea en sí, la de buscador de personas, es una gran idea y bastante bien hecha, pero lo que es ahora, es una mierda comercial increíble.
Eso sí, ya me gustaría sacarme ese dinero gracias a la mayoría de garrulos que lo utilizan.
Tuenti debe tener muchos fallos de estos, ya que al final del video aparecen otros muchos donde te indican como hackear cualquier cuenta de tuenti... Yo los he probado y funcionan
Y también hay de facebook y hotmail!
El fallo que permite sacar datos privados es simplemente que Tuenti exista.
Sé que en su día se desveló un bug de esta red social, pero pensé que lo habían subsanado.
) de dejar sus datos personales en estas redes, y luego pasa lo que pasa...
Bastante peligroso este tema, porque la gente tiene la manía (dejémoslo en costumbre
No sé por qué siempre que sale una noticia sobre Tuenti trata de algún fallo muy gordo de seguridad, privacidad, etc. No entiendo que aún haya gente que deje ahí sus datos personales.
C R A C K E A R
vaya!
hay que ser mal programador para que se te pase una cosa así...
¿Estos de tuenti no decían que tenían los mejores programadores de España?
#15 "hay que ser mal programador para que se te pase una cosa así... "
O no conocer Twitter...
(sin acritud)
#0 ERRÓNEA : "El fallo fue notificado al equipo de Tuenti y tras unas horas se pusieron en contacto para resolverlo"
#5 La noticia no es errónea.
[..]
errónea
Este voto lo merecen los envíos que tienen errores. Por ejemplo, consideramos erróneos los envíos donde el enlace no funciona, no cumple las normas, o la noticia a la que apunta contiene información falsa. Si la noticia está mal redactada o tiene un título incorrecto, pero de todas maneras el enlace te parece interesante, es recomendable no votarla positivamente, sino dejar un comentario explicando el error y pidiendo a los usuarios con capacidad de edición que corrijan la noticia.
[..]
El autor de la bitácora ha tenido sentido común, primero se pone en contacto con la empresa para que resuelva el problema, y una vez resuelto (o eso creemos) lo publica.
#8
Es erronea por que el fallo fue notificado y resulto.