Tema: Hueco de seguridad en hard-h2o

14/12/2006, 02:19

me he dado cuenta que no teneis programado un tiempo máximo de sesión sin actividad. Esto es un enorme fallo de seguridad.
Por favor arregladlo.

Supongo que visto desde otro punto... os consta en estadísticas mayor tiempo de sesión de los usuarios, siendo esto falso en muchos casos como el mio en el q ayer se me cortó la conexión sin poder hacer logoff. desagradable sorpresa cuando hoy al entrar en la web aún estaba la sesión activa.

saludos.

Franzol · 14/12/2006, 02:26

No es un fallo de seguridad, es una elección.

Entendemos que los usuarios que entran en la web lo hacen con frecuencia, y varias veces al día, por lo que les evitamos tener que estar haciendo login o logout constantemente.

Por lo general, la gente usa su propio PC, por lo que no es necesario tomar protecciones extras. Si alguien se conecta desde un Cyber o similar, seguramente sea el mismo quien recuerde hacer logout; pero son casos contados. A nuestro juicio, pedir a los foreros el pass cada vez que entren, sería como si Outook pidiera tb el pass de cada cuenta para mostrar tu correo.

Sabemos que esta medida puede resultarle incómoda a algunos, pero tremendamente útil para otros.

Sobre lo que comentas de la "actividad", no tiene que ver con la duración de la cookie. Un deja de estar activo cuando su identificador deja de hacer peticiones a nuestro servidor durante X minutos.

Un saludo.

14/12/2006, 02:39

Eso de q es una elección...... sí, elegís tener un hueco de seguridad.

Enfocar el error de esa manera es confundir a muchos me parece a mi.

No me parece correcto hacer esto. Engordais el tiempo medio teórico de sesión por usuario. Mejorando así vuestras estadísticas, con el consecuente beneficio para tarifas de publicidad. La cual.. se está comiendo cada vez más la web.

Saludos.

Franzol · 14/12/2006, 03:23

Entendemos que un hueco de seguridad es aquello que pone en peligro la seguridad de la web. Que un usuario esté conectado un tiempo indefinido no es un peligro para nuestro sistema, por lo tanto esto no es un fallo de seguridad para la web.

El único riesgo que esta decisión conlleva es que un usuario deje su sesión abierta, pero no podemos sacrificar la comodidad de centenares por el error de alguno.

En cuanto a la referencia publicitaria. Cualquiera que conozca mínimamente el mercado de la publicidad en Internet sabrá que el tiempo de permanencia de un usuario en una web no es una magnitud a tener en cuenta por los anunciantes. Y si lo fuera, aumentar este parámetro sería negativo, pues un anunciante quiere que su publicidad la vea mucha gente distinta, no una sola persona muchas veces.

Sobre lo que "la publicidad se come la web". Ya hemos tratado el tema en otras ocasiones. La web cuesta una cantidad enorme de dinero: servidor dedicaco, programación, diseño, redacción, envíos, gestiones legales, etc. Sin anunciantes, hard-h2o.com no sería posible y somos conscientes de que la gran mayoría de los usuarios valoran a éstos por poner su granito de arena en el funcionamiento de hard-h2o.com

El resumen. Nos administradores no podemos pagar lo que cuesta mantener la web. Tampoco se lo vamos a pedir a los usuarios. Por lo tanto, o hay web con publicidad o no hay web...

No me gustaría que esta rama derivara en un debate sobre la publicidad en la web. Si quieres comentar algo sobre esto, puedes abrir una nueva y dejar ésta para lo que está.

Un saludo.

14/12/2006, 10:16

Dejando de lado el tema de la publicidad (que encima entiendo que que en su mayoría está completamente justificada con la temática fundamental de la web) no entiendo la postura indicada;

Me explico: Personalmente y dado que casi siempre me conecto desde los mismos PCs, NUNCA deslogueo. Si estoy dentro de la página, aparezco como conectado. Si no tengo la página abierta (sin necesidad de dar al logout), sencillamente no estoy dentro, no me cuenta!

En cuanto a seguridad: ¿que tiene que ver el estar "automáticamente" logueado con "Huecos de seguridad"? No veo la relación.

15/12/2006, 01:45

bueno... me gustaría dejar claro q el motivo del post es simplemente alertar sobre el hueco de seguridad, no pretendeo crear ningun conflicto ni polémica :wink:

pues sí... es un fallo de seguridad. no soy kien para dar clase de hacking a nadie entre otras cosas xq no soy ningún entendido del tema, pero es fácil encontrar textos al respecto simplemente con el google.

el tiempo de sesión medio por usuario SI es un término tenido en cuenta para calcular las tarifas de publicidad. así q... ala ala... a ganar más pasta.
os dejo un pekeño texto extraido de un "tutorial" de cómo ganar dinero con la publicidad en internet:

....A lo mejor no consigues una tonelada de visitantes, pero los que vienen pasan una hora haciendo clicks a través de cada página en tu sitio. Esto demuestra que los visitantes valoran tu contenido y no les importa sacrificar su valioso tiempo en ayudarte. Esta es una calidad que significaría ventas para muchos anunciantes.

Al final, podrás darte cuenta que el MEDIR y no los anuncios es lo que genera dinero. Vigilar constantemente las estadísticas de tu sitio, te permite tomar mejores decisiones con relación a donde colocar contenido, qué tipos de contenido utilizar, qué productos y servicios vender, y cómo efectuar tus propias campañas. Esto invariablemente ayuda a que tu sitio haga más dinero de la venta de productos, servicios, cuotas de suscripciones y a través de un gasto más eficiente.

por cierto q con la publicidad q hay en la web... no conozco vuestras tarifas la verdad... pero tal como está el tema hoy día creo q tenéis de sobra para mantener el server dedicado.. y para mucho más, pero weno. es vuestra política, q yo opine de eso... es irrelevante.

bueno pues lo dicho... q si lo arreglais bien y si no pos nada :roll:
cuando tenga más tiempo intentaré hacer uso de ese hueco para demostraros q tengo razón.

saludos.

Franzol · 15/12/2006, 03:02

Pues ahí queda la cosa. Para nosotros no es un fallo de seguridad. Sí tú tienes tu usuario y tu contraseña puede logearte cuantas veces quieras, lo que es equivalente a mantener una sesión activa. Llevamos así 3 años y aún no hemos tenido un solo percance. No por azar, sino porque nos lo trabajamos.

Evidentemente, cuanto más tiempo pases en la web, más veces harás clics en los anuncios y más impresiones generarás, pero esto es una consecuencia del tiempo que pasas, no un parámetro que aporte valor al anunciante.

El servidor es sólo una pequeña parte del total, como digo más arriba, tienes que sumar la programación, el diseño, el manejo del servidor, los envíos, la redacción de reviews y noticias, la contabilidad, el teléfono, el hardware de pruebas, el material fotográfico, la papelería, etc, etc, etc.

Si montar una web de hardware fuera el negocio del siglo y no diera más que para pagar sus gastos, habría muchas más páginas en español, y no sucedería como ahora, que algunas de las más veteranas se cierran o dejan de actualizar sus contenidos.

¿Algún ejemplo de web de hardware con reviews de calidad y sin publicidad?

Saludos.

Franzol · 15/12/2006, 03:05

Añado: Con menos publicidad podríamos hacer menos cosas y, por ejemplo, la nueva galería de fotos no sería posible.

15/12/2006, 10:14

creo que esta mas que explicado... aqui se juntan dos temas:
el de la publicidad que mira hard_vader si realmente no te parece bien la publicidad yo te invito a que tu pages todos los gastos de la web a cambio de nosotros eliminar los banners entonces asi podras valorar el dinero que sobra o el que falta para la web..... pero sin recortar contenido ok?

Despues el tema del loggon o loggout... madre mia si a mi cada vez que me conecto a la web me pidieran el login... la madre que me hizo que iva a dejar de entrar... porque entro al menos y como minimo 5 veces diferentes al dia, te invito tambien a que cada vez que entre vengas tu a meter la contraseña... o cada vez que tengo que leer un mail de notificacion de respuesta (una media de 18 mails al dia) tubiera que meter el password estariamos listos... lo que no se puede hacer es venir y exigir que se arregle algo porque a ti no te va bien esa opcion, y mas seguir con la cabezoneria cuando se te dice que es una eleccion y esta hecho "a posta" para facilitar la comodidad y no para ganar dinero... que de verdad pocas webs con publicidad tienes o has hecho tu para hablar asi...
No te ofendas pero esque llega a ser molesta tanta cabezoneria cuando se te intentan explicar las cosas... y mas cuando encima pones en duda el dinero que se tiene que dedicar a la pagina...
Sin mas Un saludo

15/12/2006, 10:31

Iniciado por Hard_Vader

por cierto q con la publicidad q hay en la web... no conozco vuestras tarifas la verdad... pero tal como está el tema hoy día creo q tenéis de sobra para mantener el server dedicado.. y para mucho más...

Imaginemonos x un momento q la publi diera tanto dinero como tu das a entender, ¿Y QUE? Pues mejor para para todos.
Pero no es asi, y te lo estan diciendo claramente. Si a ti te entra x un oido y te sale x otro es tu problema, no el nuestro.

Iniciado por Hard_Vader

cuando tenga más tiempo intentaré hacer uso de ese hueco para demostraros q tengo razón.

Pues como no t pongas a hacer login y logout hasta q t aburras no se q mas vas a pretender conseguir. Opino como worsito, madre mia q horror si me tuviera q loguear cada vez q entro a la web... Por cierto, muchisimas webs trabajan d esta manera y el mundo no se ha parado todavia q yo sepa.

Un saludo.

15/12/2006, 10:40

a ver... recuerdo q no es mi intención desmejorar nada ni a nadie... tan sólo ví el fallo y lo comenté pensando que no lo sabíais. Mas cuando me comentais que la programación de la web la tenéis contratada, q no la llevais vosotros mismos.

El tema de la publicidad... si yo no digo q no deba tener... si entiendo perfectamente q tenga... yo tb pondría!!
pero al igual q a penas hay webs de informática sin publicidad... ésta, tiene demasiada. Es simplemente mi opinión y no soy el único q lo opina. pero simplemente qeda en eso, opiniones. ¿O nos vamos a poner ahora a capar el derecho de opinión?

Pero si me comentais que gastais en programación, teléfono y mil cosas más.... pues entonces es q tenéis un volumen de "negocio" mayor al q sospechaba y supongo q tendréis muchos gastos...
no lo pongo en duda worsito... simplemente desconozco el tamaño del negocio.
Desconozco tb si tú estás inmerso en él o no... xq no te tenía por creador, fundador o socio accionista de hard-h2o :p

una vez más comentar q sólo pretendía alertar del error y expresar mi keja ante el aumento de tiempo de sesión con el "posible" aumento de tarifas de publicidad.
no entiendo q me ataqes de esa manera worsito, no pretendo joder a nadie.
si franzol comenta q no tienen en cuenta el tiempo de sesión pues ya está, no hay más q comentar.

insisto una vez más en q es un hueco de seguridad, buscad en google.
Q no hayais tenido problemas hasta entonces kizas sea xq simplemente se os respeta por ser una web dedicada a una rama de la informática tan llamativa como el hardware.
O también xq cada vez hay menos gente q pierde tiempo intentando joder webs.

q sentido tendría si no el concepto de "cerrar sesión"?

lo dicho... ahí qeda eso... esto es un foro...de opinión....no?

saludos.

15/12/2006, 11:23

Sólo voy a dar unos cuantoas apuntes de mi opinión.

Para empezar, darte las gracias por el comentario porq todos son bienvenidos, gracias a estos podemos darnos cuentas de muchas cosas en las q no pensamos. Eso sí, libertad de expresión siempre, lo q no quiere decir q el resto pueda tb opinar.

Ahora bien, llamarlo hueco de seguridad no lo llamaría así, pero si estás convencido en eso, nadie te va a llevar la contraria.

Parece q todo lo llevas por el camino del negocio... si piensas q esto es un negocio en el amplio sentido de la palabra, estás muy equivocado... no hay tanto volumen de negocio...

Si esto diera tanto dinero como tú dices, ¿por q estamos todos trabajando a diario en otro trabajo? Yo me retiraría y trabajaría sólo en hard-h2o... Te aseguro q esto tiene más de altruismo y hobby q de negocio.

Y por último lo del login... Por favor, dime cuántas páginas te hacen un logout por tiempo de sesión... q yo sepa: casi 0... si tengo q logearme cada vez q me meta en una página de login, me da un chungo... y eso de q es bueno para las estadísticas... debo decirte q no... q lo q la gente (o mejor dicho anunciantes) lo único q ven es número de visitas e impresiones, lo q me lleva a q el tiempo medio de sesión es totalmente irrelevante...

¿Podrías decirme si alguna vez has visto esas estadísticas publicadas de alguna web? Me refiero al tiempo de sesión... q por lo q parece debería ser casi infinito el q se meta varias veces en una página... simplemente como curiosidad... a ver si alguien da ese dato...

Un saludo

15/12/2006, 11:26

a ver por partes:
Ni soy creador, ni soy accionista pero estoy dentro de la web y veo lo que hay, y veo que las reviews no se hacen solas, que la web no la programa ningun ente divino y que todo tiene gastos. Los acontecimientos que promueve la web como la seccion de modding en la Campus Party etc, todo tiene gastos....
Te ataco asi (que no lo veo un ataque pero bueno) porque te han dicho las cosas varias veces y vuelves con que es un FALLO, y te han repetido y te lo ha repetido el Fundador de la web que sino lo sabe el no lo sabe nadie que NO ES UN FALLO sino una decision de la administracion de la web, si fuera un fallo como algunos que se han detectado a lo largo de mi estancia aqui en el foro siempre se ha trabajado a contrareloj para arreglarlo y a altas horas de la mñn he podido ver por el foro retocando al programador para que todo funcione como es debido....

15/12/2006, 12:23

pengo y worsito... no es q ignore lo q me dicen pero sí tengo en cuenta q nadie del foro tiene razón únicamente por ser moderador, fundador o lo q sea.
q me repitan algo varias veces no kiere decir q yo sea un cabezón, kiere decir simplemente q estoy tan seguro de lo q digo q mantengo mi postura de q es un hueco de seguridad, es un error tomar esa "elección".
pueden estar ekivocados (o no) y continuar en su postura errónea (o no), pero por ser moderadores, no son dioses, son personas con más o menos idea del tema y pueden ekivocarse como todos.
y no estoy diciendo q yo tenga más o menos idea q nadie, pero sí estoy seguro del hueco de seguridad q supone no cerrar una sesión.

ahora os vuelvo yo a repetir.... buscad en google

entiendo q la web tiene más de hobby q otra cosa. me parece fenómeno, me encanta esa postura. os apoyo al 100% por ello.
de hecho os doy las gracias por esta web xq me ha servido de mucha ayuda.
el q yo diga q hay mucha publi.... repito q es irrelevante, es cuestión de gustos. es igual q opinar sobre el nuevo estilo de la web.. q a mi no me guste no kiere decir nada

si tenéis muchos gastos y no usais como parámetro el tiempo de sesión pues es algo q desconocia y punto. vuestras gestiones... vuestras son.

aprovecho para desde ya desearos una feliz navidad y un próspero año nuevo cargado de novedades informáticas.

saludos.

15/12/2006, 20:57

A ver, el único "hueco de seguridad" que yo veo por esto es que alguien deje su sesión abierta en un ordenador "publico" y venga otro detrás a modificarle "SUS" datos en Hard-H2o, a mandar 100000 mensajes con su usuario o... ¿qué otra cosa?

Evidentemente, si pasa esto, no es por problema de "seguridad de la WEB" sino por seguridad aplicada por los usuarios... Es como decir que yahoo/hotmail/gmail tiene un "hueco de seguridad" pq te pueden mandar virus.

Please, si no te refieres a esto, podrías darmos más pistas para comprender mejor que quieres decir?

Franzol · 15/12/2006, 22:17

Eso eso, que todo quede en "Feliz Navidad"

Sobre lo de los hackers y el respeto. Yo creo que a las webs de informática nos respetan menos que a las demás. Tiene más gracia hackear hard-h2o.com que una web de floricultura, no?

Recibimos ataques con frecuencia. Vemos qué han intentado, cómo lo han intentado y cómo hemos respondido. Nos tomamos la seguridad con mucha seriedad, aunque toda web es susceptible de tener un susto

23/12/2006, 06:15

dais consentimiento entonces para hacer uso de esa malísima "elección" vuestra?

si no hay hueco.... tengo permiso, verdad?

saludos.

23/12/2006, 06:40

Iniciado por Hard_Vader

dais consentimiento entonces para hacer uso de esa malísima "elección" vuestra?

si no hay hueco.... tengo permiso, verdad?

saludos.

Creo q alguien ya ha respondido q recibimos muchos ataques, así q eres totalmente libre de intentar lo q quieras... (eso sí, cuéntanos lo q consigues a ver q es lo q ocurre...)

Un saludo

23/12/2006, 14:02

Iniciado por salvadorp

Creo q alguien ya ha respondido q recibimos muchos ataques, así q eres totalmente libre de intentar lo q quieras... (eso sí, cuéntanos lo q consigues a ver q es lo q ocurre...)

Un saludo

eso no es dar permiso sino admitir q cada uno puede hacer lo q qiera.
no kiero ningún tipo de represalia, por eso pido permiso.

consiga lo que consiga con ese hueco, mio será y aceptarlo no tendreis más remedio que hacer. ¿¿¿OK???

saludos.

23/12/2006, 16:28

Si q te aburres tio...

Lo q te estan diciendo es q alla tu con tus actos.
Lo q esta claro es q si logras algo x una via o x otra y la preparas no pienses q todo va a kedar en nada, me imagino q si hay q tomar alguna medida dl tipo q sea la administracion lo hara.
No pienses q x avisar estas eximido d las responsabilidades de tus actos...

Eso si, si encuentras algun fallo d seguridad (q no sea el dl tiempo d sesion q como ya t han comentado es decision de los admins) siempre esta bien q avises para ayudar a mejorar la seguridad.

Un saludo.

23/12/2006, 17:23

Vamos a ver... el hacking no es el cracking...

Cuando te decía q hicieras lo q sea, no es q borres la página del servidor si lo consigues...

A lo q me estoy refiriendo es q intentes lo q quieras, y no por ello tiene q haber represalías... Eso sí, una cosa es intentar aprovechar ese hueco como te digo de la forma q tú quieras, y otra cosa es joder al personal... no sé si me explico...

A ver q es lo q consigues...

Un saludo

Franzol · 23/12/2006, 17:44

Nosotros nos las hemos visto con tres tipos de hackers dentro de 2 grupos:

- Los buenos, que encuentran un agujero, nos lo comunican, y nosotros lo arreglamos. Además, les hacemos algún regalo en compensación y en ocasiones les contramos para futuros estudios de seguridad.

- Los malos con motivación económica. Estos encuentran el hueco y amenazan con explotarlo si no se les paga una cantidad determinada. Son los más difíciles, xq no sabes si de verdad conocen un hueco o no. Por lo general pedimos pruebas, y si tenemos indicios de un fallo real, investigamos o les retamos a que lo ejecuten. Además, están los que buscan fallos para explotarlos con 3ros, por ejemplo encontrar bases de datos de emails y venderlas.

- Los malos destructivos. Estos prefieren que la gente se entere de que se ha sufrido un ataque, poniendo el nombre de grupo en la portada o algo así.

En este caso, nos has avisado de un fallo de seguridad que a nosotros no nos lo parece.

Si decides atacar nuestro servidor, tienes todo el derecho, es más, te lanzamos el reto. Ahora bien, si como dices, tienes razón y encuentras la forma de cambiar nuestros archivos, leer datos protegidos, etc, tienes 2 opciones:

- Ser de los hackers buenos y darnos la información para que nosotros digamos públicamente que estábamos equivocados

- Intentar alguna acción perjudicial para la web, caso en el que sí tomaríamos las medidas legales pertinentes.

No te podemos decir lo que puedes hacer, eso es cosa tuya.

Nota: casi todos los ataques "mencionables" han tenido lugar en vacaciones

23/12/2006, 19:01

Lo siento pero es que esto es comico... leyendo esto me imagino a un atracador llendo a unbanco diciendo: "mira en la pared de alado del banco voy a romperla porque parece debil, si lo consigo puedo robaros todo lo que pueda?" XDDD

No se como lo veis pero Dark vader no ve realmente lo que esta proponiendo... espero que lo entienda con el ejemplo que le dicho...

Obviamente la solucion al ejemplo anterior es denuncia y arresto por intento de robo.. aqui traducido seria si consigues algo denuncia y medidas legales..

saludos y buen royo

24/12/2006, 15:40

Iniciado por pengo

Si q te aburres tio...

siento no tener tiempo para aprovechar este suculento hueco de seguridad q os puede joder la web haciendo mucho más daño del q, como estais demostrando, si kiera imaginais. y por supuesto... hacerte tragar semejante comentario. me jode q no teniendo tiempo para nada vengas tu a decir esa gilipoyez.

Iniciado por pengo

Lo q te estan diciendo es q alla tu con tus actos.
Lo q esta claro es q si logras algo x una via o x otra y la preparas no pienses q todo va a kedar en nada, me imagino q si hay q tomar alguna medida dl tipo q sea la administracion lo hara.
No pienses q x avisar estas eximido d las responsabilidades de tus actos...

si dicen q no hay ningún hueco de seguridad... de q tienen miedo?

Iniciado por pengo

Eso si, si encuentras algun fallo d seguridad (q no sea el dl tiempo d sesion q como ya t han comentado es decision de los admins) siempre esta bien q avises para ayudar a mejorar la seguridad.

Un saludo.

tu no te enteras de na... po no lo estoy diciendo desde el principio!!!
una vez más dices q el tiempo de sesión no es ningún hueco de seguridad... jajajajaja en fin....

malas fechas para echar tiempo al pc.... pero ya os tengo calaos los huecos, en cuanto pueda.... os tendréis q tragar el post.

saludos.

24/12/2006, 15:46

Iniciado por Franzol

Nosotros nos las hemos visto con tres tipos de hackers dentro de 2 grupos:

- Los buenos, que encuentran un agujero, nos lo comunican, y nosotros lo arreglamos. Además, les hacemos algún regalo en compensación y en ocasiones les contramos para futuros estudios de seguridad.

- Los malos con motivación económica. Estos encuentran el hueco y amenazan con explotarlo si no se les paga una cantidad determinada. Son los más difíciles, xq no sabes si de verdad conocen un hueco o no. Por lo general pedimos pruebas, y si tenemos indicios de un fallo real, investigamos o les retamos a que lo ejecuten. Además, están los que buscan fallos para explotarlos con 3ros, por ejemplo encontrar bases de datos de emails y venderlas.

- Los malos destructivos. Estos prefieren que la gente se entere de que se ha sufrido un ataque, poniendo el nombre de grupo en la portada o algo así.

En este caso, nos has avisado de un fallo de seguridad que a nosotros no nos lo parece.

Si decides atacar nuestro servidor, tienes todo el derecho, es más, te lanzamos el reto. Ahora bien, si como dices, tienes razón y encuentras la forma de cambiar nuestros archivos, leer datos protegidos, etc, tienes 2 opciones:

- Ser de los hackers buenos y darnos la información para que nosotros digamos públicamente que estábamos equivocados

- Intentar alguna acción perjudicial para la web, caso en el que sí tomaríamos las medidas legales pertinentes.

No te podemos decir lo que puedes hacer, eso es cosa tuya.

Nota: casi todos los ataques "mencionables" han tenido lugar en vacaciones

pues no me veo ni con uno ni con otro franzol.... xq tan sólo lo comentaba.
como dices... no veis q sea un hueco de seguridad. pues yo voy a intentar demostraros q si. digo intentar xq no soy ningún expertoi en hacking.
y digo hacking salvadorp xq no pretendo joder nada.

nada.... entiendo con todo esto q tengo el permiso de la administracion para intentar hacer lo q sea mientras no joda nada y a cambio, recibiré un regaliyo jaja

pues d ar t.... no se hable más.....

una pregunta..... cuántos post tengo q borrar para q os lo creais???
1?
2?
todos?

jaja!!

saludos.

24/12/2006, 15:54

bueno mirad.... me parece una tontería seguir ahi bla bla bla

cuando os lo pueda demostrar seguimos hablando. xq hasta entonces nadie se bajará del burro.

saludos.

24/12/2006, 16:13

Hard_Vader: has pensado que alguien con mala fe puede estar leyendo este post, hacer algo y cargarte a ti las culpas. Todo por no haber comunicado con mas discreccion tus intenciones de hecharnos una mano con la seguridad de la web.

No te creas que eres el primero ni el ultimo que intenta hacer algo ya sea para bien o mal. Como te dice Franzol (esta preparado en todos los sentidos y el equipo de h2o damos fe de ello).

Estoy seguro que tus intenciones son nobles, de hecho avisar de cualquier bug dañino o no: esta muy bien y te lo agradera toda la web. Pero esto se suele hacer de otra forma, ya que si publicas en publico xD un bug ya sabes las consecuencias que tiene, si realmete el bug es dañino.

S4LU2.

24/12/2006, 16:23

claro q lo he pensado. es evidente q no se debe comentar esto en público.
pero el hueco es tan evidente q cualkier registrado puede darse cuenta.

no he especificado ningún detalle de cómo hacer el ataque xq, entre otras cosas, basta con hacer una búsqueda en google para saberlo.

si alguien hace algo malo.... a mi q no me miren xq desde ya estoy diciendo q no es mi intención joder sino avisar.

para demostrarlo no pensaba en borrar nada ni hacer nada, simplemente colgar una imagen para q lo vierais vosotros mismos.

además.... estais expuestos desde q hicisteis esa "elección" a mi q no me cuelguen nada.... llegado el caso... habría q demostrar muchas cosas....

en fin... es una batalla q no tiene cabida ni lugar.

repito lo q dije desde el principio: tenéis un hueco, arregladlo. simplemente eso.... simple y evidentemente una sugerencia inocente, constructiva y.... de agradecer.

saludos.

Franzol · 27/12/2006, 05:10

Me encantaría poder ver la imagen subida para cambiar lo que sea necesario y pedirte disculpas.

Por el momento, no consideramos que esto sea un problema de seguridad, y no lo haremos hasta que tengamos alguna evidencia.

Por nuestra parte, y hasta que tengamos alguna demostración, el tema queda cerrado.

Un saludo.

28/12/2006, 04:20

Sólo un apunte... de todas las historias q conozco acerca del hacking, el demostrar q hay un fallo de seguridad, se suele hacer de otra manera, q no borrando posts...

Ah¡¡ y un apunte final... dices q has encontrado toda esa info en Google... mira q llevo un tiempo buscando y no he encontrado nada...

¿Podrías pasarme las URLs de esas páginas q has encontrado con tanta facilidad y donde describen esas formas tan sencillas de hackear la web? Más q nada para intentarlo por mi cuenta q yo sí q tengo tiempo... Q conste q te lo estoy diciendo totalmente en serio. Gracias por la ayuda

Un saludo

28/12/2006, 13:07

Hard_Vader solo tengo una cosa que decirte, y es que encuentro que tu actitud respecto a este tema es de un pringao que va de hacker. O haces algo o callate ya y deja de liarla. No viene a cuento para nada.

Desde el primer momento, el FUNDADOR DE LA WEB, por si te parece poco, te ha dicho que no se trata de un agujero de seguridad. Si tu, o google, o quien sea lo considera así, bien por ti, pero no está intencionado a serlo, asi que dejalo ya.

Es uno de esos post pa "tocar los cojones". Me explico. Etá MUY bien que hayas hecho ese comentario, pero DESDE EL PRIMER MOMENTO se te ha contestado que estaba todo controlado, no tenías porque llevarlo a más...

También tengo que decir que admiro el respeto y la serenidad de Franzol. Espero que en este mensaje no se me haya ido mucho la olla pero es que me he puesto enfermo leyendo este post. De nuevo disculpas si he ofendido a alguien, excepto Hard_Vader.

Salu2. *n4pZt3r*

28/12/2006, 16:21

yo voy a hacer la misma peticion que Salvadorp, porque tambien llevo un tiempo buscando y hasta año nuevo tengo las mañanas libres para intentar "hackear" Hard-H2o usando ese agujero de seguridad, por favor aunque sea por MP mandanos las webs que has encontrado de como hacerlo ya que es un tema que ademas de interesarme le vendria la mar de bien a la web

Un saludo.
PD: Si no nos demuestras nada. pues pensaque que en vez e hacking eres un poquillo lammercillo

28/12/2006, 17:24

Si estoy con worsito. A mi me huele a lammer que te cagas

.

Salu2!

28/12/2006, 17:26

Iniciado por salvadorp

Sólo un apunte... de todas las historias q conozco acerca del hacking, el demostrar q hay un fallo de seguridad, se suele hacer de otra manera, q no borrando posts...

Ah¡¡ y un apunte final... dices q has encontrado toda esa info en Google... mira q llevo un tiempo buscando y no he encontrado nada...

¿Podrías pasarme las URLs de esas páginas q has encontrado con tanta facilidad y donde describen esas formas tan sencillas de hackear la web? Más q nada para intentarlo por mi cuenta q yo sí q tengo tiempo... Q conste q te lo estoy diciendo totalmente en serio. Gracias por la ayuda

Un saludo

En efecto. Y no pretendía ponerma a borrar posts como loco, nunca ha sido mi intención. Si acaso crear uno... y acto seguido borrarlo o cerrarlo como prueba. Pero esto es lo más simple de entre todo lo q podría hacerse.

Las URL no son importantes, lo importante es el concepto. La denominación del tipo de ataque que yo mismo desconocia antes de abrir si quiera este post. Como a mi no me costí trabajo ninguno descubrirlo... no considero q deba costaros a vosotros.

Iniciado por n4pZt3r

Hard_Vader solo tengo una cosa que decirte, y es que encuentro que tu actitud respecto a este tema es de un pringao que va de hacker. O haces algo o callate ya y deja de liarla. No viene a cuento para nada.

...y yo encuentro la tuya de lo más absurdo. Haz el favor de leer bien lo escrito hasta ahora antes de ofender.

Siempre he dicho que:

- sé que es un hueco, no que lo haya usado nunca;
- no soy ningún experto en hacking;
- no es una elección acertada por parte de los admins;
- todo es bla bla bla si no se demuestra.

....qué es lo que no has entendido?

por cierto... antes de decir q soy un pringui q va de hacker haz el favor de cambiarte ese nick....

Iniciado por n4pZt3r

Desde el primer momento, el FUNDADOR DE LA WEB, por si te parece poco, te ha dicho que no se trata de un agujero de seguridad. Si tu, o google, o quien sea lo considera así, bien por ti, pero no está intencionado a serlo, asi que dejalo ya.

...como ya he dicho.... me queda claro que es una elección... pero sigo diciendo que es una mala elección... esto tampoco lo entiendes?

Iniciado por n4pZt3r

Es uno de esos post pa "tocar los cojones". Me explico. Etá MUY bien que hayas hecho ese comentario, pero DESDE EL PRIMER MOMENTO se te ha contestado que estaba todo controlado, no tenías porque llevarlo a más...

te vuelvo a repetir q OK por conocer el tema... pero q es una mala elección. no pretendo tocar nada a nadie sino salvaguardar los datos de los usuarios y protestar x lo q considero está muy mal gestionado y se usa en favor de la web. no se si estas entendiendo esto pero weno...

Iniciado por n4pZt3r

También tengo que decir que admiro el respeto y la serenidad de Franzol. Espero que en este mensaje no se me haya ido mucho la olla pero es que me he puesto enfermo leyendo este post. De nuevo disculpas si he ofendido a alguien, excepto Hard_Vader.

Salu2. *n4pZt3r*

Franzol no hace más q comentar desde el punto de vista q debe tener un moderador y salvaguardando la posibilidad de q realmente pueda aprovechar el posible hueco.
Lo q haces tu en cambio es seguir las palabras de franzol como si fuera dios.
No me ofendes xq sé que ignoras de qué va el tema. Pero trankilo... te perdono. xDD

Iniciado por worsito

yo voy a hacer la misma peticion que Salvadorp, porque tambien llevo un tiempo buscando y hasta año nuevo tengo las mañanas libres para intentar "hackear" Hard-H2o usando ese agujero de seguridad, por favor aunque sea por MP mandanos las webs que has encontrado de como hacerlo ya que es un tema que ademas de interesarme le vendria la mar de bien a la web icon_wink.gif
Un saludo.
PD: Si no nos demuestras nada. pues pensaque que en vez e hacking eres un poquillo lammercillo icon_razz.gificon_razz.gificon_razz.gificon_razz.g ificon_razz.gif

pues te contesto igual a él... lo importante es saber el concepto, la idea, la denominación....
como ya he dicho.... todo es bla bla bla hasta no demostrar nada y hasta q no termine las compras de navidad.. como q no.

jejejeje de lammer nada.... nunca hablo desde la ignorancia xq si no... no hablo.

nuevamente... pasen unas muy felices fiestas!!

recuerden q esto no es más q un foro y q aki estamos para debatir sobre asuntos q... pensemoslo bien.. no tienen realmente ninguna importancia, no le den más de la q realmente tiene....

saludos.

28/12/2006, 17:29

Iniciado por n4pZt3r

Si estoy con worsito. A mi me huele a lammer que te cagas

.

Salu2!

... juraría q no vas a tener muchos reyes este año niño... anda y deja de leer webs de hacking q no te sirven más q para poner numeritos en vez de letras... en vez de eso.... estudia!!

28/12/2006, 19:29

tu no serias el hacker aquel de IRC que se formateo su disco duro en un supusto ataque?

Di lo que quieras pero me da que lo que mas sabes de hacker es sacarle la pass del msn a tus compis de clase para hacerte pasar por ellos,o demuestras o sigues de supuesto que es lo que eres un pseudohacker que encima va de listo ¿que quieres que te paguemos los de la web para que no hagas nada en el superhipermegahueco de seguridad que has encontrado?.En la red hay miles de hacker HARD-H2O en una pagina muyyyy visitada muchisimo y me extraña que ningun hacker de conocimientos medio bajos (simplemente por joder) no haya hecho uso ya de el,sin embargo otras paginas mucho menos visitadas tal como HC o CM si lo han sido y ya van varias veces ¿casualidad? como diria friker jimenez ¿serendipia? no lo se amigos pero si se algo :tu crees saber algo que no sabes y que jamas explotaras y encima indirectamente quieres que te demos algo yo lo que te daria es un baneo y un sugus de fresa

Buenas tardes

28/12/2006, 21:56

Ahora por favor, pido un respeto para Hard_Vader, no me gustan los ataques q está recibiendo, simplemente eso.

Hard_Vader, para empezar, te pido disculpas porq es verdad q muchas veces hacemos poco para evitar estas "salidas de tono" porq a veces nos sentimos "ofendidos" y nos ofuscamos un poco.

También decirte que por favor pares esa actitud beligerante porq en cualquier universo de discurso dentro de un foro, lo q haces últimamente al postear se podría considerar propio de un troll, no q lo seas, me refiero a q se puede empezar a pensar, por favor entiéndeme q no tengo ánimo de molestar.

En el futuro espero q todos los comentarios en este hilo sean constructivos y sin apreciaciones personales para no deslucir lo q siempre pretendo cuando escribo, una charla distendida sin ningún tipo de ofensa o cualquier cosa q se le pueda parecer.

Ahora bien, tú mismo has dicho q de forma personal y directa has leido q ese tiempo de sesión es un hueco de seguridad, con lo q has tenido q leer la forma de poder explotarlo... y yo ahora te pido, q sea lo q sea lo q hayas leido nos lo comuniques, a ser posible por mp, aunq simplemente sólo sea la info, para poder documentarnos de ello y si realmente es un hueco de seguridad, saber cómo taparlo y evitar esa posible "explosión".

No acepto q hables de "concepto de hueco de seguridad" porq para tu información, cualquier mensaje ICMP se puede considerar como fallo de seguridad y hay firewalls q chapan ese tipo de mensajes de aplicación, así q por favor lo de "concepto" me parece tan general q no me vale, quiero hechos concretos y todo ello en favor de la web.

¿Podrías ayudarnos?

Un saludo

PD. Cualquier mensaje o expresión fuera de tono será editada y/o eliminada venga de quien venga... y por supuesto eso de "por alusiones" o "En respuesta" no me vale, dos personas no discuten si una no quiere...

30/12/2006, 07:52

Salvadorp, me quito el sombrero ante ti, ahi se demuestra la paciencia y la ganas de querer hacer de los moderadores, yo ya tenia los nervios medio encrispaos solo de leer el post, porque esque hay gente algo tozuda...Saludos