Reconocimiento Y Autentificacion Usuario

[Mick]

Cita:

Empezado por kayetano

Hola
Hombre, no hay que ser alarmistas, si miramos al principio del código de nuestro amigo kael vemos lo siguiente:

No entiendo como puedes decir que "no hay que ser alarmistas", el agujero de seguridad por injeccion de sql del codigo propuesto es grave y "de libro". Con ese codigo cualquiera puede entrar suplantando a cualquier usuario o incluso como administrador si existen un usuario de ese tipo, y sin necesidad de utilizar ninguna herramienta especial ni programar nada.

Realizando cualquier busqueda en google se encuentran docenas de referencias y explicaciones sobre ese problema.

Tampoco es necesario ser un superhacker para entrar, ni simular un post ni usar nada especial, ya que pides ejemplos, te pondre uno, a pesar de que no deberia ya que segun la legislacion de mi pais (España) estaría cometiendo un delito, pero siendo un tipo de error bastante tipico y ampliamente publicado en internet, espero que no haya ningun problema:

Simplemente ir a la pagina en cuestion con cualquier navegador web y cuando pida el nombre de usuario y contraseña teclear:

Username : admin
Password : XXX' or '1'='1

Y "voila" ya hemos entrado en la pagina como administrador, o sustituyendo "admin" por cualquier nombre de usuario valido, suplantamos tranquilamente a ese usuario.

Saludos
Miguel

[[kayetano]]

Hola

Yo sigo opinando que es mucho mejor dar soluciones que alarmar a la gente.

Pienso que tu primera contestación debería haber sido del tipo:

Código:

He detectado un problema de seguridad en ese código y es bla, bla, bla y bla
y lo puedes solucionar de la siguiente manera bla, bla, bla, bla y bla
Os aconsejo a todos que tengáis mucho cuidado con el tema de la seguridad porque bla, bla, bla, bla y bla

Pero en cambio has hablado del peligro del "agujero de seguridad tipico por injeccion de sql" pero no has contado que es eso, ni como lo puede utilizar un hacker para entrar en nuestra web, y si en la legislación de tu pais prohibir decir estas cosas, que lo dudo, debes dar la solución para que todos aprendamos a hacer webs mas seguras.

Como veo que estas muy puesto en el tema, y es algo muy importante en las webs, te pido que nos hagas un breve resumen de que es esto, como evitarlo y donde podemos documentarnos más ampliamente.

[Mick]

Lo siento, pero en muchas ocasiones no tengo el tiempo para dar respuestas largas, creo haber dado datos suficientes para que quien le interese del tema pueda buscar en google informacion mas extensa, no se trata de una vulnerabilidad extraña, de modo que esta bien documentada en internet.
Mi opinion es que, es preferible dar algo de informacion que ninguna.

Intentare dar una respuesta mas amplia, cuando tenga algo de tiempo.

Saludos

PD: Y si, lo de las legislaciones de distintos paises europeos se esta poniendo muy chungo, van a la zaga de EEUU en estos temas, dar informacion o herramientas que permitan romper protecciones se ha tipificado como delito, otra cosa es que no se aplique, pero con la ley en la mano es asi .

[roman]

¿Podrían indicar con exactitud en qué países la legislación dice tal cosa?

kayetano tengo entendido que es de España y Mick menciona a la unión europea a la que pertenece España.
Aunque en muchas ocasiones las leyes son ridículas este caso particular me parecería francamente absurdo, ¿cómo se supone que legalmente podamos aprender a escribir código seguro si tal aprendizaje está prohibido?

// Saludos

[Mick]

Segun mi conocimiento el pais con la legislacion mas dura en Europa es Francia:
En este pais una empresa de antivirus que publicitaba que su antivirus detectaba el 100% de los virus y era totalmente seguro, esta intentado enchironar a un cientifico que demostro e informo publicamente en su pagina web personal que ese antivirus no era tan seguro como decian, le pueden caer hasta 2 años de carcel.

http://www.hispasec.com/unaaldia/2034

En España con la nueva ley, la posesion de cualquier software o mecanismo destinado especificamente a desproteger lo que sea, pasa a ser delito.
Eso en principio significa que si pego 4 lineas de codigo que muestren como se desprotege una web o cualquier otra cosa, estoy publicando un software destinado especificamente a desproteger algo, si la mera posesion de ese software es delito, publicarlo debe ser muchisimo mas grave todavia !!!

Saludos

[[kayetano]]

Hola Micki

Sigues siendo muy ALARMISTA. Eso que dices de la posesión de software para desproteger es totalmente verdad, pero la lay hay que interpretarla y no decir que todo es delito.

Te puedo asegurar, ayer lo consulte con un amigo abogado, que el ayudar a crear sistemas mas seguros no es delito, y por supuesto, el comentar cualquier vulnerabilidad de un sistema sin animo de delinquier no es delito.

Si aplicaramos la ley como tu dices, si una empresa crea un sistema de acceso condicional no puede solicita a otra que verifique su buen funcionamiento porque sería un delito, y te puedo asegurar que eso no es así.

Ten en cuenta que existe un GRANDÍSIMA diferencia entre que una persona te solicite ayuda sobre un tema de seguridad y que tu intentes solucionárselo y que una persona con intenciones maliciosas intente acceder a un sistema "seguro".

Te reugo que pienses un poco o que te informes con un abogado antes de soltar estas bombas en un foro de discusión. No es nada saludable.

Y por último, me sorprende que tu respuesta definitiba ( despues de 4 respuestas ) sea "NO TENGO TIEMPO BUSCA EN GOOGLE", da que pensar.

[Mick]

Cita:

Empezado por kayetano

Y por último, me sorprende que tu respuesta definitiba ( despues de 4 respuestas ) sea "NO TENGO TIEMPO BUSCA EN GOOGLE", da que pensar.

No es lo mismo dar unas respuestas rapidas, de unas pocas lineas que lleva poco mas de un minuto, que desarrollar un tema en profundidad que puede llevar mucho tiempo.

Es el primer foro que me encuentro en el que los propios moderadores echan en cara a las personas que intervienen en los foros, que dedican demasiado poco tiempo a las respuestas, y que deciden en que forma y como deberian ser las respuestas.

Ha habido muchos threads discutiendo el problema de que muchas personas con dudas, esperan encontrarse las respuestas "masticadas", e incluso llegan a insultar o menospreciar a quien aportan respuestas si estas no les valen o no les convencen. Realmente no me esperaba encontrar esa misma actitud entre los moderadores de los foros.

Obviamente crees que si tengo tiempo, pero no me da la gana de aportar mucho mas de mi tiempo a desarrollar las respuestas, actitud que segun tu es reprobable: Que desfachated alguien que solo dedica 2 minutos de su tiempo a responder cuando bien podria dedicarle media o una horita al tema,y aun por encima en lugar de buscar el mismo en google y aportar links obliga al que pregunta a realizar ese duro trabajo !!!

Bueno, si las normas del foro para los que responden son esas, no te preocupes, procurare responder solo cuando tenga un par de horitas libres,
para desarrollar adecuadamente los temas, no vaya a ser que me echen en cara que le dedico poco de mi tiempo a las respuestas.

Saludos
Miguel