Portada
mis comunidades
otras secciones
#11:
#10 Respondo a tu pregunta: No, no se ha reportado.
Me parece irresponsable por tu parte hacer pública una vulnerabilidad sin haber informado antes a quienes mantienen el código para que tengan tiempo de solucionarlo antes de que sea público.
En caso que no respondieran en un tiempo razonable sí me parece plenamente justificado hacerlo público para poner presión ante la ausencia de respuesta de quienes mantienen el código.
Me parece irresponsable por tu parte hacer pública una vulnerabilidad sin haber informado antes a quienes mantienen el código para que tengan tiempo de solucionarlo antes de que sea público.
En caso que no respondieran en un tiempo razonable sí me parece plenamente justificado hacerlo público para poner presión ante la ausencia de respuesta de quienes mantienen el código.
#14:
jorso aún no ha votado negativo.
Le habrán robado la cookie
Le habrán robado la cookie
#2:
El primer síntoma es que se pone todo naranja
#6:
Nada de lo que preocuparse, mucho esfuerzo para poca ganancia. Además, para obtener la cookie hay que conocer el email del usuario y este dato no es público.
Habrá que parchearlo, claro, pero no hace falta que salgamos a la calle a correr en círculos.
Habrá que parchearlo, claro, pero no hace falta que salgamos a la calle a correr en círculos.
#10:
#8 Respondo a tu pregunta: No, no se ha reportado. Y si, si es una vulnerabilidad, sin embargo es una vulnerabilidad con una serie de requisitos para ser explotada. Necesitas el email del usuario (dependiendo del usuario podría ser fácil de conseguir o no). Necesitas la clave del sitio, que si está bien configurado tendrá que obtenerse por fuerza bruta, y el rango de valores a probar es bastante alto.
El titular no es sensacionalista, el titular describe lo que hay, una vulnerabilidad en la generación de cookies. Otra cosa son los requisitos de explotación y puesta en práctica.
El titular no es sensacionalista, el titular describe lo que hay, una vulnerabilidad en la generación de cookies. Otra cosa son los requisitos de explotación y puesta en práctica.
#4:
Vamos a morir todos!!!!!!
Comentarios
El primer síntoma es que se pone todo naranja
jorso aún no ha votado negativo.
Le habrán robado la cookie
#14 Esta noticia no es ni de política ni de economía y no viene de un "gran medio", así que no entra en el perfil de noticia que jorso votaría negativo.
#17 pero y el karma que se gana haciendo la coña troll?
#18 A Jorso se la pela el karma, su función es mantener limpia la web y lo clava.
Nada de lo que preocuparse, mucho esfuerzo para poca ganancia. Además, para obtener la cookie hay que conocer el email del usuario y este dato no es público.
Habrá que parchearlo, claro, pero no hace falta que salgamos a la calle a correr en círculos.
#8 Respondo a tu pregunta: No, no se ha reportado. Y si, si es una vulnerabilidad, sin embargo es una vulnerabilidad con una serie de requisitos para ser explotada. Necesitas el email del usuario (dependiendo del usuario podría ser fácil de conseguir o no). Necesitas la clave del sitio, que si está bien configurado tendrá que obtenerse por fuerza bruta, y el rango de valores a probar es bastante alto.
El titular no es sensacionalista, el titular describe lo que hay, una vulnerabilidad en la generación de cookies. Otra cosa son los requisitos de explotación y puesta en práctica.
#10 Respondo a tu pregunta: No, no se ha reportado.
Me parece irresponsable por tu parte hacer pública una vulnerabilidad sin haber informado antes a quienes mantienen el código para que tengan tiempo de solucionarlo antes de que sea público.
En caso que no respondieran en un tiempo razonable sí me parece plenamente justificado hacerlo público para poner presión ante la ausencia de respuesta de quienes mantienen el código.
#11 Quería una medalla y le has dado una hostia en toda la cara
#19
#20 Si quieres responder hazlo, no voy a ver ningun video sin al menos un pequeño atisbo de su contenido y que relación tiene con lo que he dicho.
#21 Eso, eso... No te fíes, ¡que es un jeiker!
#35 No es cuestion de fiarse o no fiarse, no creo que se arriesgue a hacer ese tipo de ataques poniendo un enlace aqui. Mi problema es que el tiempo en la vida es limitado y no puedo dedicarme a ver todo video que me pone cualquiera, cuando ni si quiera me pone una sola linea describiendo el contenido. Lo mismo me ha puesto un video de 10 minutos que nada tiene que ver con lo que he dicho. Si el no es capaz de dedicar 10 segundos a describir el contenido, ¿por que debo dedicar yo los minutos que sean a ver el video?
#45 Has perdido 10 veces más tiempo en escribir este comentario del que habrías tardado en ver el vídeo
#47 Eso no lo sé porque desconozco la duración del vídeo
#11 Este exploit no es nada del otro mundo y como bien dice, si cambias el hash no tienes problemas, es como si explotaras el hash de los phpbb2 antiguos, si no lo cambiabas es tu problema.
Me parece un articulo interesante, aunque su criticidad es baja y atacar al autor me parece excesivo.
Me imagino que los autores de los clones de meneame, visitaran meneame y se harán eco de esta noticia.
#11 eres un poco repelentin vicentin. Te ha dado explicaciones bastante claras 2 veces de por qué no hace falta hacerlo así. ¿No lo entiendes o no quieres entenderlo?
#23 incluso pedante. De esos que no ha comido en la vida el bocata en el recreo del colegio.
#23 No se trata de ser repelente o no, hombre. Se puede apretar a alguien para que se ponga las pilas y arregle una vulnerabilidad sin publicar un 0-day
en seco y sin vaselina, como ha pasado en este caso.
https://es.wikipedia.org/wiki/Revelaci%C3%B3n_responsable
#11 es irresponsable generar vulneravilidades. No descubrirlas, ni hacerlas públicas
#11 Con tu modus operandi no existirían medios de comunicación, porque los periodistas no podrían publicar prácticamente nada que no sea absolutamente irremediable: estarían obligados a hacer todo lo posible para que el hecho que anuncia la noticia se resuelva o no vuelva a ocurrir.
Además, es lo que dice el #31, que aquí parece que el responsable del correcto funcionamiento de la web es el mensajero. Y no. Por muy quisquilloso que te pongas el responsable de la seguridad del código de menéame no es@alberto_segura, que se sepa.
#c-41" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/2714442/order/41">#41 Con tu modus operandi no existirían medios de comunicación, porque los periodistas no podrían publicar prácticamente nada que no sea absolutamente irremediable: estarían obligados a hacer todo lo posible para que el hecho que anuncia la noticia se resuelva o no vuelva a ocurrir.
Al contrario, el periodismo responsable no solo puede existir si no que es sano que así sea. Por ejemplo en el caso de los papeles de Panamá los periodistas antes de publicar se pusieron en contacto con los afectados para que éstos pudieran aportar las alegaciones pertinentes, aquellos que lo hicieron y fueron satisfactorias no acabaron publicados en los medios. Lo que no quita que esa información fuera puesta también a disposición de las autoridades para que fueran en última instancia éstas las que depurasen las responsabilidades correspondientes investigando también las alegaciones a las que me referí previamente.
La publicación de esta supuesta vulnerabilidad del meneo se podría haber hecho perfectamente tras ser corregida, pasada por ejemplo una semana de su descubrimiento, eso habría sido una forma responsable de actuar. También habría sido responsable publicarla si no hubiera habido respuesta alguna de los encargados de mantener el código en un tiempo razonable.
Además, es lo que dice el # 31, que aquí parece que el responsable del correcto funcionamiento de la web es el mensajero.
Todos deben hacerse responsables de sus actos, también quien divulga vulnerabilidades sin que estén corregidas y sin previamente avisar a los encargados de mantener el código para que tengan la oportunidad y el tiempo razonables para solucionarlo.
#43 Lo que para ti es una verdad absoluta e irrefutable, para mí pues... depende. ¿Y de qué depende? De según cómo se mire todo depende.
A ver, que está muy bien lo de no divulgar vulnerabilidades para que algún hacker no coja la idea de hacer daño. Pero también está muy bien la otra opción, la de alertar a los usuarios de que existe una vulnerabilidad en la aplicación que están usando y así los usuarios pode mos protegernos eliminando información sensible.
Este no es un tema de blanco o negro, como pretendes hacernos ver. Hay varias opciones válidas en un momento u otro. Divulgar una vulnerabilidad no es malo per se. Habrá qué ver qué tipo de vulnerabilidad es y cómo afecta a los usuarios y al funcionamiento de la propia aplicación.
#46 No se trata de divulgarla o no divulgarla, si no de dar un tiempo razonable a que se solucione antes de hacer públicos los detalles.
la de alertar a los usuarios de que existe una vulnerabilidad en la aplicación que están usando y así los usuarios pode mos protegernos eliminando información sensible.
Si realmente el usuario final puede hacer algo para protegerse y realmente corre suficiente urgencia como para que no pueda esperar una semana basta con divulgar que existe una vulnerabilidad exponiendo únicamente los detalles que puedan permitir al usuario protegerse.
Lo que es irresponsable es hacer pública la vulnerabilidad poniendo así en mayor riesgo a todos los usuarios sin antes haber dado un plazo razonable a quienes mantienen el código para subsanarlo o paliarlo en la medida de lo posible.
#48 Y hacer un trabajo gratuito a los desarrolladores
#49 No me consta que haya cobrado por investigar la vulnerabilidad ni por publicarla, no entiendo de que forma esperar una semana a que lo solucionen quienes mantienen el código supone un "trabajo gratuito".
#50 Informar a los desarrolladores de una vulnerabilidad en su código es un trabajo gratuito del que ellos se aprovechan para mejorar su código. Además de que no es una responsabilidad nuestra informar sobre ello. Como mucho es algo aconsejable por nuestra parte, pero no puede ser nuestra responsabilidad.
#51 Informar a los desarrolladores de una vulnerabilidad en su código es un trabajo gratuito del que ellos se aprovechan para mejorar su código.
Este meneo a efectos prácticos informa a los desarrolladores, al igual que al resto de usuarios, de esa vulnerabilidad.
No veo en que sentido esperar un tiempo razonable a que se solucione o se mitigue supone ningún "trabajo gratis", no me refiero a identificar la vulnerabilidad ni a publicarla si no al acto de "esperar".
Además de que no es una responsabilidad nuestra informar sobre ello.
Claro que no, lo que sí es es una irresponsabilidad no hacerlo.
#52 Pues eso, informar a los desarrolladores al mismo tiempo que a los usuarios no puede ser tomado como una irresponsabilidad. Porque además está el hecho de que esa vulnerabilidad puede estar siendo ya explotada por otros hackers desde hace ya tiempo, así matas dos pájaros de un tiro.
#53 Pues eso, informar a los desarrolladores al mismo tiempo que a los usuarios no puede ser tomado como una irresponsabilidad.
No solo puede ser tomado como una irresponsabilidad si no que lo es.
Porque además está el hecho de que esa vulnerabilidad puede estar siendo ya explotada por otros hackers desde hace ya tiempo, así matas dos pájaros de un tiro.
El hecho que se haga pública no impide que esos supuestos hackers que ya hacían uso de ella dejen de hacerlo, lo que sí consigue que dejen de hacerlo es que aquellos que mantienen el código pongan medidas para subsanar o mitigar esa vulnerabilidad.
Por contra el hecho que se haga pública sí permite que aquellos que no la conocían puedan usarla en el periodo en el que quienes mantienen el código necesitan desarrollar las medidas para subsanar o mitigar el problema. Por eso es irresponsable publicarla sin dar antes un tiempo razonable a los desarrolladores para subsanar o mitigar el problema de seguridad.
#11 Qué ganas tenía de soltar ese comentario, estuviste ahí pinchando hasta que te dio pie a soltar ese "Me parece irresponsable...."
Te parece irresponsable publicar una vulnerabilidad sin haber informado... aún cuando es fácil de arreglar y la probabilidad de explotar esa vulnerabilidad es tan baja que no importa mucho que no haya avisado antes.
#56 Lo hubiera indicado mucho antes si el autor del meneo no hubiera intentado evitar responder a la pregunta.
Respecto a la supuesta dificultad es irrelevante la percepción subjetiva que podamos tener nosotros, el caso es que lo responsable es informar primero a quienes mantienen el código para que puedan tomar medidas ya sea solucionando la vulnerabilidad o mitigando sus efectos, y después ya sí publicar los detalles de la vulnerabilidad. Y en caso que no existiera una respuesta en tiempo razonable publicarlo sí tiene razón de ser como medida de presión.
#57 Aunque te hubiese respondido antes, tu comentario sería igualmente reprobable.
La dificultad no es subjetiva, es bastante objetiva.
Menéame no está afectada. Aunque hubiese avisado antes, entre que lo corrigen (fácil) y los otros sitios actualizan, lo mismo pasa un año. Así que avisar es un poco irrelevante. Incluso avisando aquí hace más bien que mal porque así los otros sitios se enteran primero y cambian el valor por defecto.
#58 lo mismo pasa un año
Un año no es un tiempo razonable. Aquellos que sí consideren importante la seguridad y consideren relevante la vulnerabilidad deberían actuar con celeridad, de no hacerlo obviamente sí verían como se publica sin que ellos hubieran dedicado el tiempo y recursos necesarios a solucionarlo.
#57 lo mejor de publicar esto es este debate. Me encanta leer opiniones de la gente para poder mejorar la mía
Mi opinión sobre esto (por si ha alguien le interesa) es que publicar vulnerabilidades no es de ser ni más ni menos responsable. Para cada persona, según su forma de pensar, según su moral y su ética, esto será más o menos responsable, más o menos moral. Cada uno tiene su forma de pensar, y la mía es que el que realmente quiera conocer las vulnerabilidades de su sistema se preocupe de ello. Que se ponga en contacto con gente preparada para hacer una auditoría y la haga. Hacer auditorias de seguridad es un trabajo, se necesita invertir tiempo y esfuerzo, además de que son necesarios unos ciertos conocimientos. Los proyecto de software libre no suelen tener recursos para pagar auditorias, y ya que el código es público alguien podría auditarlo por gusto. Lo mejor sería colaborar en el proyecto y reportar aquellos fallos que se hayan detectado, pero todo depende de la persona. Es su trabajo y su tiempo, y es quien debe decidir lo que hace con esos fallos. Bajo mi punto de vista, como he dicho, lo mejor que podría hacer es reportarlos y colaborar, aunque no por ser software libre creo que se deban de reportar los fallos.
Por otro lado tenemos el software privativo, software de empresas que ganan dinero vendiéndolo. En estos casos, desde hace un tiempo, no esto de acuerdo con reportar las vulnerabilidades. Como ya he dicho, hacer auditorias es un trabajo y es obligación de la empresa realizarlas. No voy a trabajar gratis para ellas y encima esperar el tiempo que ellas deseen para hacer público el fallo.
También hay empresas que pagan a cambio de los fallos (programas bug bounty), personalmente si reportaría a estas empresas, puesto que con estos programas creo que reconocen el trabajo y el tiempo que se dedica a encontrar las vulnerabilidades. Además demuestran estar preocupadas por la seguridad, puesto que le dan un valor.
En resumen, mi opinión es que esto es un trabajo, y se invierte tiempo en encontrar los fallos (sean más o menos peligrosos), por lo que el que invierte ese tiempo es el que tiene total derecho a decidir que hace con esos fallos, le pese a quien le pese. Y según su forma de pensar tendrá o no en cuenta el peligro para usuarios y empresas de hacer público esos fallos. Yo personalmente prefiero que un fallo se haga público a que se mantenga en secreto para ser explotado o para ser vendido a otros que lo exploten. Y esto último también es una opción válida que puede tomar el que ha invertido su tiempo en buscar los fallos, aunque nos pueda gustar menos.
#60 Al publicarlo sin que antes haya existido un tiempo razonable para subsanar o mitigar la vulnerabilidad aumenta el riesgo que se vulnere la privacidad de las personas o sean víctimas de un delito de suplantación de identidad. Al publicarlo de esa forma estás también facilitando herramientas a quien pueda decidir utilizarlas para vulnerar esos derechos de las personas.
Creo que es importante ser consciente de las consecuencias de nuestros actos. El mismo discurso es aplicable a quienes deliberada o negligentemente han permitido que existan esas vulnerabilidades, pero no es menos cierto que no ser conocedor de ello implica menos capacidad de actuar que aquél que sí tiene constancia de la existencia de esa vulnerabilidad. Quien la publica debe ser consciente y consecuente con aquello que se deriva de sus actos.
Y por ello creo que es perfectamente justificado calificar de irresponsable la publicación de una vulnerabilidad sin avisar previamente, con un plazo razonable, a quienes tienen las herramientas para solucionar y/o mitigar el alcance de ésta.
Yo personalmente en todo momento defiendo que las vulnerabilidades deben publicarse y debe hacerse de forma responsable.
#61 Si, la ley se puede entender así, aunque no comparto que deba entenderse así o que deba ser así. Estoy de acuerdo en que debemos ser conscientes de nuestros actos, y que publicar un fallo puede significar que otros usen ese conocimiento para hacer el mal. Pero si castigamos esto, también debería castigarse que existan lugares (online) donde se explica como hacer bombas (quizás si se castigue, de esto no tengo ni idea..) o donde simplemente se expliquen conceptos de química, física, etc. Porque con esos conocimientos alguien puede acabar organizando un atentado terrorista. Dejemos de fabricar, vender y enseñar como se hacen las sillas porque puede que alguien con esos conocimientos e instrumentos los use para darte un sillazo.
El mal no es publicar algo, sino usarlo para hacer algo malo. Ese es, bajo mi punto de vista, el error en seguridad informática. Se criminaliza al que simplemente dice "esto de aquí está mal", y no, hay que perseguir al que usa ese conocimiento para hacer cosas que si están mal. Criminalizar al que dice lo que esta mal no es beneficioso en absoluto, puesto que encuentras que muchos acabarán por no buscar (lo que no quiere decir que no existan esas vulnerabilidades y no se exploten) o no reportar porque bajo su ideología no debe hacerlo (no dar su trabajo gratuitamente a empresas que seguramente no hayan hecho sus deberes). Por lo que el resultado es que tenemos las mismas vulnerabilidades, pero con menos gente que ayude de alguna u otra forma a arreglarlas (porque publicarlas es ayudar, no como a algunos les gustaría, pero es ayudar; ese fallo desaparecerá gracias a que ha sido publicado). Y los mismo, o más que encontrarán la vulnerabilidad y la explotaran para hacer el mal o para que otros la exploten a cambio de dinero.
Como te digo, creo que esto es tan absurdo como evitar enseñar química, física o medicina porque podrían usar esos conocimientos para matar gente.
#62 Estás utilizando la falacia del hombre de paja, te has inventado que yo defiendo que no hay que publicar las vulnerabilidades y pretendes rebatir ese falso argumento.
Cuando yo de forma reiterada y explícita he indicado que sí hay que publicarlas y que hay que hacerlo de forma responsable.
Todo tu comentario versa en intentar desmontar el argumento de que no hay que publicar vulnerabilidades, algo que nadie está defendiendo.
Tu nivel de responsabilidad no está en si lo publicas o no si no en si lo haces responsablemente o no, en si adviertes previamente a quien puede solucionarlo o mitigarlo y les otorgas un tiempo razonable para ello o bien decides de forma irresponsable no hacerlo, añadiendo un riesgo innecesario, reitero, innecesario.
#63 En el caso de estas vulnerabilidades tenemos un caso concreto en el que el riesgo de las vulnerabilidades era bajo por los requisitos para la explotación. Hablando en términos generales, lo de reportar de forma responsable es muy bonito, pero la búsqueda de vulnerabilidades es un trabajo (aunque haya quien lo haga por hobby), con lo cual, al igual que una empresa no es una ONG, un investigador tampoco. Nadie tiene por que reportar nada, ni de forma responsable ni de ninguna forma. Excepto que me apetezca reportar la vulnerabilidad, no tengo ningún motivo para hacerlo, y menos aún si es hacerle el trabajo gratis a otros. Como he dicho, cuando alguien no esta por la labor de hacerle el trabajo gratis a otro y ceder su tiempo, trabajo y esfuerzo, entonces no hay reporte responsable que valga. O se reporta públicamente o no se reporta, poniendo en mucho mayor peligro a los usuarios.
Publicar vulnerabilidades de forma "no responsable" como tu dices, no tiene porque poner en peligro a los usuarios, puesto que en muchas ocasiones se proporcionan recomendaciones y formas de parchear manualmente la vulnerabilidad, por lo que el usuario puede protegerse mientras se los encargados arreglan la vulnerabilidad.
#64 y menos aún si es hacerle el trabajo gratis a otros.
Has dedicado tiempo a investigar la vulnerabilidad y a menos que te hayan pagado por ello ya has hecho el trabajo gratis a otros. Que te refieras a "hacer el trabajo gratis" por enviar un email antes de publicar suena bastante extraño, para ser finos.
Me parece fantástico que no quieras hacerle el trabajo gratis a otros, nadie te reprochará que no dediques tu tiempo a buscar vulnerabilidades en el software de otro, pero no es de eso de lo que estamos hablando. Estamos hablando de cuando el trabajo ya está hecho, sea gratis o pagado, hacer una publicación de forma responsable para que se vea perjudicado el mínimo de gente posible con ello y se obtengan el máximo de beneficios, algo que no supone esfuerzo alguno si no que es simplemente una cuestión de voluntad.
Excepto que me apetezca reportar la vulnerabilidad, no tengo ningún motivo para hacerlo, y menos aún si es hacerle el trabajo gratis a otros.
La vulnerabilidad la has reportado, lo has hecho de forma irresponsable haciéndolo público antes de reportarlo primero a quienes mantienen el código para que durante un tiempo razonable puedan solucionarlo o mitigar sus consecuencias. Tuviste un motivo para reportar la vulnerabilidad ya que eso es precisamente lo que has hecho, no cuesta nada hacerlo bien y reportarlo de forma responsable.
Como he dicho, cuando alguien no esta por la labor de hacerle el trabajo gratis a otro y ceder su tiempo, trabajo y esfuerzo, entonces no hay reporte responsable que valga.
El tiempo ya lo cediste, tu trabajo y esfuerzo ya lo cediste, lo dedicaste a identificar y analizar una vulnerabilidad y publicarla. El hecho de hacer esa publicación de forma responsable no es una cuestión de trabajo y esfuerzo si no de voluntad de no actuar de forma irresponsable.
O se reporta públicamente o no se reporta, poniendo en mucho mayor peligro a los usuarios.
Que antes de publicar el meneo no conocieras la posibilidad de reportarlo de forma responsable no es excusa para que ahora sigas negando la existencia de esa posibilidad. Estás cayendo ahora en la falacia del falso dilema. Es falso que las opciones que hay para elegir sean reportarlo de forma irresponsable o no reportarlo, exista la posibilidad de hacerlo responsablemente.
Publicar vulnerabilidades de forma "no responsable" como tu dices, no tiene porque poner en peligro a los usuarios, puesto que en muchas ocasiones se proporcionan recomendaciones y formas de parchear manualmente la vulnerabilidad, por lo que el usuario puede protegerse mientras se los encargados arreglan la vulnerabilidad.
No es el caso, el usuario no tiene en este caso ninguna herramienta para protegerse del ataque, únicamente los proveedores del servicio pueden hacerlo. Tú deberías saberlo, habiendo sido quien ha investigado la vulnerabilidad.
Con tu publicación irresponsable has añadido más riesgo del que ya existía dando esas herramientas a potenciales atacantes sin haber dado previamente un tiempo razonable a quienes mantienen el código para solucionar el problema o mitigar sus consecuencias.
#65
No es el caso, el usuario no tiene en este caso ninguna herramienta para protegerse del ataque, únicamente los proveedores del servicio pueden hacerlo. Tú deberías saberlo, habiendo sido quien ha investigado la vulnerabilidad.
La respuestas que he dado son en general, no me refiero a este caso en concreto. He proporcionado recomendaciones para los proveedores del servicio, ya que son principalmente los que pueden proteger el sistema frente a este fallo concreto.
Y te vuelvo a poner lo mismo, cuando uno dedica su tiempo, su trabajo y esfuerzo, considero que tiene el derecho a decidir que hacer con el resultado de su esfuerzo. Aunque esa elección sea simplemente publicar lo que ha encontrado sin más. Esto no es aplicable a este caso, pero si se aplica a otros casos de empresas, el objetivo de publicar sin reportar es forzar a que arreglen el fallo y que paguen de alguna forma por el trabajo de encontrado los fallos. Pero ya digo, que cada uno tendrá su forma de pensar y según esta decidirán actuar de un modo u otro. Lo que yo quiero decir es que no hay obligación de actuar de ninguna forma determinada, que cada uno es dueño de su trabajo, y que reportar el fallo aunque sea publicándolo es una forma de reportar que debe ser perfectamente aceptable. Que si, que es más bonito hacerlo de forma "responsable", pero en ocasiones la persona que tiene que decidir el modo tiene sus propios motivos para no reportarlo de forma "responsable". De verdad, es que parece que cuando encuentras algo tienes la obligación de ir corriendo a contarselo al responsable y además aceptar sus normas, y no, no hay ninguna obligación de nada. Lo único realmente grave y que no se debe hacer es romper el sistema, explotar el fallo.
#66 La respuestas que he dado son en general, no me refiero a este caso en concreto.
En este caso en concreto ha sido irresponsable por tu parte hacer pública la vulnerabilidad sin antes haber avisado a los proveedores del servicio y darles un tiempo razonable para solucionar o mitigar el problema.
Y te vuelvo a poner lo mismo, cuando uno dedica su tiempo, su trabajo y esfuerzo, considero que tiene el derecho a decidir que hacer con el resultado de su esfuerzo.
Puedes defender tu "derecho" a actuar de forma irresponsable, si es eso lo que deseas. Sinceramente creo que es negativo que actúes así y realmente me cuesta entender que lo sigas defendiendo.
el objetivo de publicar sin reportar es forzar a que arreglen el fallo
Es necesario forzar cuando no actúan ante el aviso previo responsable, si actúan al primer aviso no es necesario forzar nada.
y que paguen de alguna forma por el trabajo de encontrado los fallos.
¿A que te refieres con "que paguen"? ¿Crees que publicando de forma irresponsable les estás haciendo pagar?
¿Has publicado este meneo con la voluntad de hacer "pagar" a sus creadores por tener una vulnerabilidad? ¿Lo ves como un castigo?
Lo que yo quiero decir es que no hay obligación de actuar de ninguna forma determinada, que cada uno es dueño de su trabajo, y que reportar el fallo aunque sea publicándolo es una forma de reportar que debe ser perfectamente aceptable.
Es irresponsable por tu parte haberlo hecho de esa forma, tú sabrás si te parece aceptable actuar de forma irresponsable.
Que si, que es más bonito hacerlo de forma "responsable", pero en ocasiones la persona que tiene que decidir el modo tiene sus propios motivos para no reportarlo de forma "responsable".
¿Que motivo has tenido en este caso para no reportarlo de forma "responsable"?
De verdad, es que parece que cuando encuentras algo tienes la obligación de ir corriendo a contarselo al responsable y además aceptar sus normas, y no, no hay ninguna obligación de nada.
¿Tengo yo alguna obligación de callarme que has actuado de forma irresponsable y me has podido perjudicar innecesariamente a mi y al resto de usuarios de este sitio de intercambio de información?
Lo único realmente grave y que no se debe hacer es romper el sistema, explotar el fallo.
Pones el listón muy bajo, si lo bajas un poco más dirás que lo único realmente grave es que se pierdan vidas humanas pero que por el resto todo vale.
#67 Te vuelvo a repetir de nuevo: estoy respondiendo en general. El motivo por el cual he publicado este fallo concreto son diferentes a las razones generales que he expuesto.
Y respondiendo otra vez en general, te recomiendo que veas este debate:
Especialmente a partir del minuto 57 en el que Chema Alonso creo que da una respuesta clara a todo esto del reporte responsable etc. Pero ya digo, en general, sobre empresas. No sobre este caso concreto.
#68 El motivo por el cual he publicado este fallo concreto son diferentes a las razones generales que he expuesto.
¿Y cuales son estas razones en este caso concreto por las que has actuado de forma irresponsable?
#69 para que gente con tu me de lecciones de lo que es ser responsable y como hacer las cosas. A que ahora te sientes mejor?
Vamos a morir todos!!!!!!
#7 vaya chorrada que has soltado, además la clave no es un entero como dices sino un string.
#28 en el código por defecto se usa un número entero. Y varios clones están usando ese número. Igual deberías dejar más claro que esa variable debe tomar otros valores.
#44 tú que supuestamente has mirado el código y sabes de seguridad y hashes deberías haberlo visto de inmediato.
#0 ¿Informaste antes a los que mantienen el código para que tuvieran tiempo de solucionarlo o has decidido hacerlo público directamente sin avisar previamente a nadie?
#3 aquellos sitios como Menéame.net que se hayan configurado correctamente, no tendrán la clave por defecto, y lo normal es que tengan una clave suficientemente grande, entre [-9223372036854775807, 9223372036854775807]. La cantidad de tiempo para probar todos esos hashes es muy grande, y más que suficiente para eliminar un "else" en el código.
#7 Con eso no respondes a mi pregunta.
Si lo que insinúas es que en realidad no merece ser informada por no ser realmente una vulnerabilidad entonces el titular es sensacionalista y erróneo, si por contra sí es una vulnerabilidad creo que es razonable que contestes a la pregunta que te hice. Aunque a estas alturas creo que todos nos imaginamos ya cual es la respuesta.
#8 De sensacionalismo nada, hay una vulnerabilidad.
Que a ti te parezca eticamente reprobable publicar un 0-day sin dar el tiempo de rigor para parchear ya es otra cosa.
Al único que le preocupa que le roben las cookies es a@Jagüi
Bueno, es una vulnerabilidad...pero la probabilidad de hacerla práctica es realmente baja.
Requiere de algo de ingeniería social y mucha paciencia.
#15 Esto lo publican solo para hacerse los interesantes.
Como se ceben con los clones vamos a quedar aquí 4
#1, no se refiere a usuarios clon sino a sitios clon, como divulgame.net, que usan el mismo código original.
Esto es muy grave, yo he accedido a la base de datos
https://i.imgur.com/U8a2OQT.png
#38 y dónde se juegan esos partidos de liga?
https://github.com/gallir/Meneame/issues
válidas para cualquier usuario de Menéame (o algún clon, sobretodo en clones).
En la mayoría de los clones de Menéame, debido probablemente a la falta de documentación sobre esta variable, el site_key será el valor por defecto. En Menéame no es el valor por defecto, por lo que se debe realizar una ataque por fuerza bruta para tratar de obtenerlo. En teoría, debería ser un número entero, y en función del sistema podría ser como máximo:
¿A que lo hicieron aposta?, problem Mediatize?
Que día es hoy??
#25 27 de diciembre. Que tu entres el 28 es otro tema.
Que la comunidad de código libre con millones de ojos lo solucione!!! Jajajja
Lo mismo por el nombre creyeron que era una web porno y quieren conseguir claves.....
Por cierto mariano rajoy se golpea la cabeza saliendo del coche .
El video de #32 que se supone que muestra a Rajoy golpeándose la cabeza es fake.
El auténtico:
#34 fake dice.....acaso no sabes en el dia en el que vives?
#32 Negativo sin querer, te compenso en otro comentario.
Entonces mi cuenta de Jonéame corre peligro o no?
#9 coño eso sigue existiendo? había otro clon que estuvimos una temporada que tenía abejas, pero no me acuerdo del nombre.