Portada
Hace 15 años | Por CrazyKing a rooibo.wordpress.com
Publicado hace 15 años por CrazyKing a rooibo.wordpress.com

Consiguen trucar el sistema de amigos de Menéame

 rooibo.wordpress.com

Un curioso y (según el autor) muy leve agujero de seguridad en Menéame, permite hacer que cualquiera que entre en tu web se convierta en tu amigo en Menéame, lo complejo es el método utilizado, muy interesante técnicamente.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 34 71

Comentarios

D
editado

#17 ¿Crees deberas que ocultar la información de seguridad, es algo beneficioso?

Eso se llama security through obscurity, y es el modelo que sigue Microsoft. (http://en.wikipedia.org/wiki/Security_through_obscurity), lo cual ha demostrado no ser efectivo, pues ocultar los errores de seguridad a la gente solo crea una falsa sensación de seguridad, y un goteo continuo de agujeros de seguridad en el tiempo.

Meneame es software libre, y si tiene algún problema (por leve que sea) los mas honrado es publicarlo, hablarlo, y arreglarlo, haciendo las cosas bien.

Callarme como una zorra, y decírselo a Perl por privado, no es beneficioso para nadie, mas que para que lo arreglen aquí en meneame.net, y no en el resto de sites posiblemente afectados, que usan este software.

Si el agujero fuese grave, hubiese sido mejor esperar a que lo arreglaran para publicar nada, pero dado que no es el caso, y que no se va romper el saco por este curioso bug, tiene su gracia poderlo ver en activo, antes de que lo arreglen, sobretodo por que no va a causar mucho daño, por que su % de funcionamiento es muy reducido y con unas condiciones muy concretas, y por que el saco no se va a romper, no hablamos de un bug tipo sql injection o XSS.

V 29
K 320
D
editado

#42 ni siquiera en momentos como este se ve en tí ni un ápice de humildad.

V 34
K 308
D
editado

O sea.... tanto rollo para cotillear a escondidas..... Marujo 2.0 lol

V 27
K 271
D
editado

Lo acabo de probar y me he hecho amigo de todos los de menéame, de todo facebook, de todo tuenti, y se me han bajado todos los videos de youporn.

V 20
K 224
D
editado

Ale, ya tienes trabajito para esta noche, perl, a ver cómo lo arreglas lol

V 19
K 192
D
editado

DEMOSTRADO Casi cualquier cosa que hable sobre Menéame llegará a la portada de Menéame...

V 14
K 160
D
editado

Meneame se rompeeeeeeeeeeeeeeeeeee lol

V 11
K 140
andresrguez
editado

Ahora es cuando va Perl en su Ferrari pagado por el PSOE y le ajusta las cuentas enviándole a Teddy Bautista, por joder el código de los amigos.

Ironía fina off

V 12
K 121
filipo
editado

Esto acerca a Perl a Fresqui

V 8
K 105
D
editado

¿ desesperado por hacer amigos ? ¿ nadie te quiere ?

V 11
K 99
jm22381
editado

#1 Próximamente en lurkéame... roll

V 4
K 87
o
editado

#54 no tengo karma suficiente, pero te pondría mil y un positivos si pudiera.

V 6
K 69
D
editado

Se puede arreglar fácilmente, agregando un número de control, en lugar de utilizar el user_id solamente.

V 4
K 56
D
editado

Hoygan, que han hestado aciendo hen mi kuenta ????

V 3
K 46
D
editado

#6 Eh!! No me había dado cuenta de que andabas de nuevo por aquí! Me alegro de "leerte" de nuevo.
Salud!

V 3
K 43
splinter
editado

#35 consiguen-trucar-sistema-amigos-meneame/00015

Hace 15 años | Por CrazyKing a rooibo.wordpress.com
Publicado hace 15 años por CrazyKing a rooibo.wordpress.com

Consiguen trucar el sistema de amigos de Menéame

 rooibo.wordpress.com

V 3
K 42
D
editado

#13 Perl está notificado hace horas.

V 2
K 40
gallir
editado

#15 Llegué hace nada a casa, y acabo de ver el email enviado hace tres horas. No son "tantas" horas y estaba publicado antes de haberme enviado el correo. No es grave, pero tampoco es excusa.

V 14
K 40
D
editado

Si pudieran tener acceso a mi número de cuenta del banco me preocuparía

V 2
K 39
D
editado

#29 Las peticiones ajax no cuentan para el a:visited, si metes un número de control, ya eres inmune

V 2
K 32
uno_ke_va
editado

#45 Aclarado pues, solo me llamó la atención

V 2
K 32
D
editado

#44 CrazyKing es un compañero de trabajo mio, es lector de mi blog e intento que se meneamize, pero no lo consigo lol, entra muy poco a meneame, y comenta menos. De hecho si ha comentado en la anterior, supongo que por que era de mi blog. Cualquier admin puede comprobarlo, verá que no somos clones, ni esto es astroturfing.

De igual forma, CrazyKing es desarrollador de eyeOS, por lo cual no alababa mi proyecto, sino el suyo, y es algo lógico, aunque un poco spamoso

V 2
K 29
D
editado

#52 no da karma, pero Perl guisa un conejo frito con ajos cada San Pentecostés al que mayor número de amigos tenga para esa fecha. Sin embargo Jonarano en el suyo prepara una fiesta con coca y furcias

V 3
K 29
D
editado

Antipatriotas!!

V 2
K 28
natrix
editado

#22 Don't feed the #25

V 1
K 24
D
editado

#15 #16 Gracias por la aclaración

#12 La mafia de menéame no existe, es imaginación vuestra

V 1
K 23
court
editado

#30 Anda! pues eso no lo sabía!

V 1
K 23
Nirgal
editado

#13 La mafia de menéame son los padres.

V 1
K 23
atzu
editado

#17 Vuelve al foro de deportes del que has salido.

V 1
K 23
f
editado

Seran falsos amigos en meneame.... pero no seran amigos de verdad lol

V 1
K 22
D
editado

Categoría Metanoticias ya!!!

V 2
K 21
D
editado

#32 no se me había ocurrido esa manera tan sofisticada lol

V 1
K 20
D
editado

CrazyKing , jcarlosn , jue, solo quedan un par de nicks más y me entraria la nostalgia juankeril de hace algunos años.

Wolas a los 2, que hace tiempo que no nos decimos na, leeñee!

V 1
K 20
ronko
editado

Comentario friki del di... de la noche : El icono de amigos me da mala espina porque en el zelda significa que estas a un toque del FAIL .

V 1
K 20
D
editado

#8 propongo una forma más sencilla y más cutresalchichera: cambiar el CSS de la página para que los links no cambien de color lol

V 1
K 20
D
editado

#19 Creía que le acercaba a Ferrari lol

V 1
K 19
D
editado

No hay "agujeros leves de seguridad", hay agujeros.

V 1
K 19
Candidatas
25
meneos
tecnología La última actualización de Windows de Microsoft rompe las VPN y no hay solución [ING]
45
meneos
politica A tres metros del abuelo tras años buscándole: las familias empiezan a visitar las exhumaciones de Cuelgamuros
59
meneos
politica El espionaje en el PP de Madrid (IV): “Todo el rato diciendo que si nos vamos de putas”
20
meneos
palabros De dónde viene la expresión "crecerle a uno los enanos", qué significa y cuál es su historia
36
meneos
politica Florida: entró en vigor la prohibición del aborto a partir de las seis semanas
21
meneos
actualidad La holandesa Eva Vlaardingerbroek da un discurso en la CPAC y puede decirte lo que muchos pensaban en los años treinta (hol)
121
meneos
cultura De Eugenio Monesma a la Mano de Irulegui
63
meneos
actualidad El espionaje en el PP de Madrid (I): “Planeaban la utilización de personas con fines sexuales para conseguir lo que querían”
42
meneos
actualidad Israel calificó a Petro de "antisemita lleno de odio" y lo apuntó por beneficiar a Hamás tras ruptura diplomática
28
meneos
cultura Paco de Lucía: cuando un maestro se va
28
meneos
actualidad El 'bullying' en los colegios más caros de España: "Me da pereza hasta desearte la muerte"
28
meneos
ocio Restauración del cuchillo de supervivencia de piloto japonés de la época de la guerra de Vietnam
Abeel
editado

No es mas fácil decir: Oye! USUARIO_CUALQUIERA te "amijo!" que no leo tus chistes

en 10 segundos ya eres amijo lol

V 1
K 19
C
autor
editado

eis CrowDat lol que tiempos...
ciertamente me paso poco por aquí pero bueno, tendre que pasarme mas

V 1
K 16
Carme
editado

#35 goto #15

V 2
K 15
D
editado

#51 Yo, pero si tú no quieres, el sentimiento de rechazo no podría soportarlo, sobretodo en menéame, mejor te meto en tu lista de amigos como dice la noticia
lol

V 1
K 14
n
editado

Lo que hace la gente por tener amigos....

V 1
K 13
D
editado

si el usuario objetivo ha visitado o leido su rss de conversaciones, me parece, si no nada de nada

V 0
K 12
D
editado

#17 goto #13 #15 #16

V 0
K 12
court
editado

#8 si el número de control tienes que pasarlo por url estamos en las mismas (aunque podría complicar el asunto de varias maneras), a no ser que el número cambie con cada visita; pero entonces tendrías problemas con la gente que abre varias pestañas. Si lo haces por sesión el problema está en la gente que, como yo, tiene varios ordenadores en su red local con la sesión iniciada, pues podría tener problemas al recargar la página en un ordenador y volver al otro sin recargar la página en este último.

V 0
K 12
D
editado

¿Alguien quiere ser mi amigo?

V 0
K 12
jamaicano
editado

#23 Nunca hay autopajas de mas

V 0
K 11
D
editado

#37 Cierto... no lo había leído.. de todas formas me refiero a esperar a que lo arreglen

V 0
K 11
D
editado

A lo que llegan los "ajusticiados" por la "mafia" para poder fisgonear lo que hablan en la "elefantanostra".

V 0
K 10
D
editado

Lo he probado y no me rula cry

V 0
K 10
D
editado

#13 es más, hace días.

V 0
K 9
b
editado

uhh te la has ganado, ahora los más xungos del meneo e pondrán mala nota en todo y te comeran el karma... otakus de meneame rulez

V 0
K 9
uno_ke_va
editado

A mi lo que me llama la atención es el perfil del usuario que ha enviado la noticia (@crazyking: 2 comentarios, uno dando la razón a jcarlosn y otro alabando un proyecto de este. Y lo otro que ha hecho es enviar esta noticia (del blog de jcarlosn, por cierto)

V 0
K 9
estoyausente
editado

metanoticias al poder. lol

V 0
K 9
Greg
editado

#23, creo que no tenemos la misma definición de la palabra "Demostrado": http://meneame.net/search.php?q=meneame&p=title&s=&h=&o=

V 0
K 9
D
editado

relacionada? ->
Aplicando fuerza bruta a Digg

Hace 15 años | Por --109791-- a securitybydefault.com
Publicado hace 15 años por --109791-- a securitybydefault.com

Aplicando fuerza bruta a Digg

 securitybydefault.com
(trata sobre un fallo de digg que permite obtener las contraseñas de los usuarios por fuerza bruta y que puede que afecte tambien a meneame, aunque no lo e comprobado)

V 0
K 8
D
editado

"muy leve" ya, ya ... lol

Meneame necesita un buzón de sugerencias como el oxígeno!!

V 0
K 8
D
editado

¿O sea que hay que tener amigos? ¿Da karma eso?

V 0
K 7
D
editado

#69 Yo proponía llamarlo "autorreferente", pero lo de meta es más friki

V 0
K 7
kamandula
editado

#10 Sorry te vote negativo por error, se me escapo er deo!

V 0
K 7
a
editado

nadie ni nada es perfecto....

V 0
K 6
Zade
editado

cambio amigos en menéame por peladillas

V 0
K 6
N
editado

Así, así, que se enteren esos de menéame

V 0
K 6
vashtardo
editado

No nos alarmemos! lol tranquilos! consultemos meneame para buscar alguna solución!

V 0
K 6
a
editado

"lo complejo es el método utilizado, muy interesante técnicamente."
se llama Cross-site request forgery

V 0
K 6
D
editado

#59 Ahi se demuestra la tirania de perl, quien te dice que el usuari@ no es vegetarian@ (XD).

V 0
K 6
T
editado

A todo esto ¿Quien quiere tener amigos en menéame? lol

V 0
K 6
D
editado

¿Y no sería mejor avisar primero a perl antes de publicarlo?

V 1
K 2
uno_ke_va
editado

¿Interesante técnicamente? Técnicamente es una patraña. Puede ser interesante por original, pero no técnicamente.

V 2
K -19
D
editado

#22

He dicho que lo notifiques por privado, no que ocultes la información.
Si no sabes leer, no es mi problema.

Si quieres ser reina por un día en Meneame, pues eres un triste. POr mi parte, todos aquellos que tratan de boicotear esta pequeña comunidad son despreciables.
Habla con jonarano que más o menos representa a la totalidad para darte cuenta de tus aires de grandeza

V 26
K -231
D
editado

¿ Y por que no lo notificas por privado ? ¿ Tienes que alardear en tu blog ?
Si lo que quieres es joder Meneame, márchate. No queremos listillos en Meneame

V 33
K -280