Un curioso y (según el autor) muy leve agujero de seguridad en Menéame, permite hacer que cualquiera que entre en tu web se convierta en tu amigo en Menéame, lo complejo es el método utilizado, muy interesante técnicamente.
#22:
#17 ¿Crees deberas que ocultar la información de seguridad, es algo beneficioso?
Eso se llama security through obscurity, y es el modelo que sigue Microsoft. (http://en.wikipedia.org/wiki/Security_through_obscurity), lo cual ha demostrado no ser efectivo, pues ocultar los errores de seguridad a la gente solo crea una falsa sensación de seguridad, y un goteo continuo de agujeros de seguridad en el tiempo.
Meneame es software libre, y si tiene algún problema (por leve que sea) los mas honrado es publicarlo, hablarlo, y arreglarlo, haciendo las cosas bien.
Callarme como una zorra, y decírselo a Perl por privado, no es beneficioso para nadie, mas que para que lo arreglen aquí en meneame.net, y no en el resto de sites posiblemente afectados, que usan este software.
Si el agujero fuese grave, hubiese sido mejor esperar a que lo arreglaran para publicar nada, pero dado que no es el caso, y que no se va romper el saco por este curioso bug, tiene su gracia poderlo ver en activo, antes de que lo arreglen, sobretodo por que no va a causar mucho daño, por que su % de funcionamiento es muy reducido y con unas condiciones muy concretas, y por que el saco no se va a romper, no hablamos de un bug tipo sql injection o XSS.
#54:
#42 ni siquiera en momentos como este se ve en tí ni un ápice de humildad.
#20:
Lo acabo de probar y me he hecho amigo de todos los de menéame, de todo facebook, de todo tuenti, y se me han bajado todos los videos de youporn.
#1:
O sea.... tanto rollo para cotillear a escondidas..... Marujo 2.0
#6:
Ale, ya tienes trabajito para esta noche, perl, a ver cómo lo arreglas
#23:
DEMOSTRADO Casi cualquier cosa que hable sobre Menéame llegará a la portada de Menéame...
#10:
Ahora es cuando va Perl en su Ferrari pagado por el PSOE y le ajusta las cuentas enviándole a Teddy Bautista, por joder el código de los amigos.
#17 ¿Crees deberas que ocultar la información de seguridad, es algo beneficioso?
Eso se llama security through obscurity, y es el modelo que sigue Microsoft. (http://en.wikipedia.org/wiki/Security_through_obscurity), lo cual ha demostrado no ser efectivo, pues ocultar los errores de seguridad a la gente solo crea una falsa sensación de seguridad, y un goteo continuo de agujeros de seguridad en el tiempo.
Meneame es software libre, y si tiene algún problema (por leve que sea) los mas honrado es publicarlo, hablarlo, y arreglarlo, haciendo las cosas bien.
Callarme como una zorra, y decírselo a Perl por privado, no es beneficioso para nadie, mas que para que lo arreglen aquí en meneame.net, y no en el resto de sites posiblemente afectados, que usan este software.
Si el agujero fuese grave, hubiese sido mejor esperar a que lo arreglaran para publicar nada, pero dado que no es el caso, y que no se va romper el saco por este curioso bug, tiene su gracia poderlo ver en activo, antes de que lo arreglen, sobretodo por que no va a causar mucho daño, por que su % de funcionamiento es muy reducido y con unas condiciones muy concretas, y por que el saco no se va a romper, no hablamos de un bug tipo sql injection o XSS.
#15 Llegué hace nada a casa, y acabo de ver el email enviado hace tres horas. No son "tantas" horas y estaba publicado antes de haberme enviado el correo. No es grave, pero tampoco es excusa.
#44 CrazyKing es un compañero de trabajo mio, es lector de mi blog e intento que se meneamize, pero no lo consigo , entra muy poco a meneame, y comenta menos. De hecho si ha comentado en la anterior, supongo que por que era de mi blog. Cualquier admin puede comprobarlo, verá que no somos clones, ni esto es astroturfing.
De igual forma, CrazyKing es desarrollador de eyeOS, por lo cual no alababa mi proyecto, sino el suyo, y es algo lógico, aunque un poco spamoso
#52 no da karma, pero Perl guisa un conejo frito con ajos cada San Pentecostés al que mayor número de amigos tenga para esa fecha. Sin embargo Jonarano en el suyo prepara una fiesta con coca y furcias
#51 Yo, pero si tú no quieres, el sentimiento de rechazo no podría soportarlo, sobretodo en menéame, mejor te meto en tu lista de amigos como dice la noticia
#8 si el número de control tienes que pasarlo por url estamos en las mismas (aunque podría complicar el asunto de varias maneras), a no ser que el número cambie con cada visita; pero entonces tendrías problemas con la gente que abre varias pestañas. Si lo haces por sesión el problema está en la gente que, como yo, tiene varios ordenadores en su red local con la sesión iniciada, pues podría tener problemas al recargar la página en un ordenador y volver al otro sin recargar la página en este último.
A mi lo que me llama la atención es el perfil del usuario que ha enviado la noticia (@crazyking: 2 comentarios, uno dando la razón a jcarlosn y otro alabando un proyecto de este. Y lo otro que ha hecho es enviar esta noticia (del blog de jcarlosn, por cierto)
(trata sobre un fallo de digg que permite obtener las contraseñas de los usuarios por fuerza bruta y que puede que afecte tambien a meneame, aunque no lo e comprobado)
He dicho que lo notifiques por privado, no que ocultes la información.
Si no sabes leer, no es mi problema.
Si quieres ser reina por un día en Meneame, pues eres un triste. POr mi parte, todos aquellos que tratan de boicotear esta pequeña comunidad son despreciables.
Habla con jonarano que más o menos representa a la totalidad para darte cuenta de tus aires de grandeza
¿ Y por que no lo notificas por privado ? ¿ Tienes que alardear en tu blog ?
Si lo que quieres es joder Meneame, márchate. No queremos listillos en Meneame
Comentarios
#17 ¿Crees deberas que ocultar la información de seguridad, es algo beneficioso?
Eso se llama security through obscurity, y es el modelo que sigue Microsoft. (http://en.wikipedia.org/wiki/Security_through_obscurity), lo cual ha demostrado no ser efectivo, pues ocultar los errores de seguridad a la gente solo crea una falsa sensación de seguridad, y un goteo continuo de agujeros de seguridad en el tiempo.
Meneame es software libre, y si tiene algún problema (por leve que sea) los mas honrado es publicarlo, hablarlo, y arreglarlo, haciendo las cosas bien.
Callarme como una zorra, y decírselo a Perl por privado, no es beneficioso para nadie, mas que para que lo arreglen aquí en meneame.net, y no en el resto de sites posiblemente afectados, que usan este software.
Si el agujero fuese grave, hubiese sido mejor esperar a que lo arreglaran para publicar nada, pero dado que no es el caso, y que no se va romper el saco por este curioso bug, tiene su gracia poderlo ver en activo, antes de que lo arreglen, sobretodo por que no va a causar mucho daño, por que su % de funcionamiento es muy reducido y con unas condiciones muy concretas, y por que el saco no se va a romper, no hablamos de un bug tipo sql injection o XSS.
#42 ni siquiera en momentos como este se ve en tí ni un ápice de humildad.
O sea.... tanto rollo para cotillear a escondidas..... Marujo 2.0
Lo acabo de probar y me he hecho amigo de todos los de menéame, de todo facebook, de todo tuenti, y se me han bajado todos los videos de youporn.
Ale, ya tienes trabajito para esta noche, perl, a ver cómo lo arreglas
DEMOSTRADO Casi cualquier cosa que hable sobre Menéame llegará a la portada de Menéame...
Meneame se rompeeeeeeeeeeeeeeeeeee
Ahora es cuando va Perl en su Ferrari pagado por el PSOE y le ajusta las cuentas enviándole a Teddy Bautista, por joder el código de los amigos.
Ironía fina off
Esto acerca a Perl a Fresqui
¿ desesperado por hacer amigos ? ¿ nadie te quiere ?
#1 Próximamente en lurkéame...
#54 no tengo karma suficiente, pero te pondría mil y un positivos si pudiera.
Se puede arreglar fácilmente, agregando un número de control, en lugar de utilizar el user_id solamente.
Hoygan, que han hestado aciendo hen mi kuenta ????
#6 Eh!! No me había dado cuenta de que andabas de nuevo por aquí! Me alegro de "leerte" de nuevo.
Salud!
#35 consiguen-trucar-sistema-amigos-meneame/00015
Consiguen trucar el sistema de amigos de Menéame
rooibo.wordpress.com#13 Perl está notificado hace horas.
#15 Llegué hace nada a casa, y acabo de ver el email enviado hace tres horas. No son "tantas" horas y estaba publicado antes de haberme enviado el correo. No es grave, pero tampoco es excusa.
Si pudieran tener acceso a mi número de cuenta del banco me preocuparía
#45 Aclarado pues, solo me llamó la atención
#29 Las peticiones ajax no cuentan para el a:visited, si metes un número de control, ya eres inmune
#44 CrazyKing es un compañero de trabajo mio, es lector de mi blog e intento que se meneamize, pero no lo consigo , entra muy poco a meneame, y comenta menos. De hecho si ha comentado en la anterior, supongo que por que era de mi blog. Cualquier admin puede comprobarlo, verá que no somos clones, ni esto es astroturfing.
De igual forma, CrazyKing es desarrollador de eyeOS, por lo cual no alababa mi proyecto, sino el suyo, y es algo lógico, aunque un poco spamoso
#52 no da karma, pero Perl guisa un conejo frito con ajos cada San Pentecostés al que mayor número de amigos tenga para esa fecha. Sin embargo Jonarano en el suyo prepara una fiesta con coca y furcias
Antipatriotas!!
#22 Don't feed the #25
#17 Vuelve al foro de deportes del que has salido.
#13 La mafia de menéame son los padres.
#15 #16 Gracias por la aclaración
#12 La mafia de menéame no existe, es imaginación vuestra
#30 Anda! pues eso no lo sabía!
Seran falsos amigos en meneame.... pero no seran amigos de verdad
Categoría Metanoticias ya!!!
CrazyKing , jcarlosn , jue, solo quedan un par de nicks más y me entraria la nostalgia juankeril de hace algunos años.
Wolas a los 2, que hace tiempo que no nos decimos na, leeñee!
Comentario friki del di... de la noche : El icono de amigos me da mala espina porque en el zelda significa que estas a un toque del FAIL .
#32 no se me había ocurrido esa manera tan sofisticada
#8 propongo una forma más sencilla y más cutresalchichera: cambiar el CSS de la página para que los links no cambien de color
No es mas fácil decir: Oye! USUARIO_CUALQUIERA te "amijo!" que no leo tus chistes
en 10 segundos ya eres amijo
#19 Creía que le acercaba a Ferrari
No hay "agujeros leves de seguridad", hay agujeros.
eis CrowDat que tiempos...
ciertamente me paso poco por aquí pero bueno, tendre que pasarme mas
#35 goto #15
#51 Yo, pero si tú no quieres, el sentimiento de rechazo no podría soportarlo, sobretodo en menéame, mejor te meto en tu lista de amigos como dice la noticia
Lo que hace la gente por tener amigos....
¿Alguien quiere ser mi amigo?
si el usuario objetivo ha visitado o leido su rss de conversaciones, me parece, si no nada de nada
#17 goto #13 #15 #16
#8 si el número de control tienes que pasarlo por url estamos en las mismas (aunque podría complicar el asunto de varias maneras), a no ser que el número cambie con cada visita; pero entonces tendrías problemas con la gente que abre varias pestañas. Si lo haces por sesión el problema está en la gente que, como yo, tiene varios ordenadores en su red local con la sesión iniciada, pues podría tener problemas al recargar la página en un ordenador y volver al otro sin recargar la página en este último.
#37 Cierto... no lo había leído.. de todas formas me refiero a esperar a que lo arreglen
#23 Nunca hay autopajas de mas
Lo he probado y no me rula
A lo que llegan los "ajusticiados" por la "mafia" para poder fisgonear lo que hablan en la "elefantanostra".
metanoticias al poder.
uhh te la has ganado, ahora los más xungos del meneo e pondrán mala nota en todo y te comeran el karma... otakus de meneame rulez
#23, creo que no tenemos la misma definición de la palabra "Demostrado": http://meneame.net/search.php?q=meneame&p=title&s=&h=&o=
#13 es más, hace días.
A mi lo que me llama la atención es el perfil del usuario que ha enviado la noticia (@crazyking: 2 comentarios, uno dando la razón a jcarlosn y otro alabando un proyecto de este. Y lo otro que ha hecho es enviar esta noticia (del blog de jcarlosn, por cierto)
relacionada? ->
Aplicando fuerza bruta a Digg
Aplicando fuerza bruta a Digg
securitybydefault.com"muy leve" ya, ya ...
Meneame necesita un buzón de sugerencias como el oxígeno!!
#10 Sorry te vote negativo por error, se me escapo er deo!
#69 Yo proponía llamarlo "autorreferente", pero lo de meta es más friki
¿O sea que hay que tener amigos? ¿Da karma eso?
Así, así, que se enteren esos de menéame
No nos alarmemos! tranquilos! consultemos meneame para buscar alguna solución!
"lo complejo es el método utilizado, muy interesante técnicamente."
se llama Cross-site request forgery
#59 Ahi se demuestra la tirania de perl, quien te dice que el usuari@ no es vegetarian@ (XD).
A todo esto ¿Quien quiere tener amigos en menéame?
nadie ni nada es perfecto....
cambio amigos en menéame por peladillas
¿Y no sería mejor avisar primero a perl antes de publicarlo?
¿Interesante técnicamente? Técnicamente es una patraña. Puede ser interesante por original, pero no técnicamente.
#22
He dicho que lo notifiques por privado, no que ocultes la información.
Si no sabes leer, no es mi problema.
Si quieres ser reina por un día en Meneame, pues eres un triste. POr mi parte, todos aquellos que tratan de boicotear esta pequeña comunidad son despreciables.
Habla con jonarano que más o menos representa a la totalidad para darte cuenta de tus aires de grandeza
¿ Y por que no lo notificas por privado ? ¿ Tienes que alardear en tu blog ?
Si lo que quieres es joder Meneame, márchate. No queremos listillos en Meneame