Portada
Hace 14 años | Por CrazyKing a rooibo.wordpress.com
Publicado hace 14 años por CrazyKing a rooibo.wordpress.com

Consiguen trucar el sistema de amigos de Menéame

 rooibo.wordpress.com

Un curioso y (según el autor) muy leve agujero de seguridad en Menéame, permite hacer que cualquiera que entre en tu web se convierta en tu amigo en Menéame, lo complejo es el método utilizado, muy interesante técnicamente.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 34 71

Comentarios

D
editado

#17 ¿Crees deberas que ocultar la información de seguridad, es algo beneficioso?

Eso se llama security through obscurity, y es el modelo que sigue Microsoft. (http://en.wikipedia.org/wiki/Security_through_obscurity), lo cual ha demostrado no ser efectivo, pues ocultar los errores de seguridad a la gente solo crea una falsa sensación de seguridad, y un goteo continuo de agujeros de seguridad en el tiempo.

Meneame es software libre, y si tiene algún problema (por leve que sea) los mas honrado es publicarlo, hablarlo, y arreglarlo, haciendo las cosas bien.

Callarme como una zorra, y decírselo a Perl por privado, no es beneficioso para nadie, mas que para que lo arreglen aquí en meneame.net, y no en el resto de sites posiblemente afectados, que usan este software.

Si el agujero fuese grave, hubiese sido mejor esperar a que lo arreglaran para publicar nada, pero dado que no es el caso, y que no se va romper el saco por este curioso bug, tiene su gracia poderlo ver en activo, antes de que lo arreglen, sobretodo por que no va a causar mucho daño, por que su % de funcionamiento es muy reducido y con unas condiciones muy concretas, y por que el saco no se va a romper, no hablamos de un bug tipo sql injection o XSS.

V 29
K 320
D
editado

#42 ni siquiera en momentos como este se ve en tí ni un ápice de humildad.

V 34
K 308
D
editado

O sea.... tanto rollo para cotillear a escondidas..... Marujo 2.0 lol

V 27
K 271
D
editado

Lo acabo de probar y me he hecho amigo de todos los de menéame, de todo facebook, de todo tuenti, y se me han bajado todos los videos de youporn.

V 20
K 224
D
editado

Ale, ya tienes trabajito para esta noche, perl, a ver cómo lo arreglas lol

V 19
K 192
D
editado

DEMOSTRADO Casi cualquier cosa que hable sobre Menéame llegará a la portada de Menéame...

V 14
K 160
D
editado

Meneame se rompeeeeeeeeeeeeeeeeeee lol

V 11
K 140
andresrguez
editado

Ahora es cuando va Perl en su Ferrari pagado por el PSOE y le ajusta las cuentas enviándole a Teddy Bautista, por joder el código de los amigos.

Ironía fina off

V 12
K 121
filipo
editado

Esto acerca a Perl a Fresqui

V 8
K 105
D
editado

¿ desesperado por hacer amigos ? ¿ nadie te quiere ?

V 11
K 99
jm22381
editado

#1 Próximamente en lurkéame... roll

V 4
K 87
o
editado

#54 no tengo karma suficiente, pero te pondría mil y un positivos si pudiera.

V 6
K 69
D
editado

Se puede arreglar fácilmente, agregando un número de control, en lugar de utilizar el user_id solamente.

V 4
K 56
D
editado

Hoygan, que han hestado aciendo hen mi kuenta ????

V 3
K 46
D
editado

#6 Eh!! No me había dado cuenta de que andabas de nuevo por aquí! Me alegro de "leerte" de nuevo.
Salud!

V 3
K 43
splinter
editado

#35 consiguen-trucar-sistema-amigos-meneame/00015

Hace 14 años | Por CrazyKing a rooibo.wordpress.com
Publicado hace 14 años por CrazyKing a rooibo.wordpress.com

Consiguen trucar el sistema de amigos de Menéame

 rooibo.wordpress.com

V 3
K 42
D
editado

#13 Perl está notificado hace horas.

V 2
K 40
gallir
editado

#15 Llegué hace nada a casa, y acabo de ver el email enviado hace tres horas. No son "tantas" horas y estaba publicado antes de haberme enviado el correo. No es grave, pero tampoco es excusa.

V 14
K 40
D
editado

Si pudieran tener acceso a mi número de cuenta del banco me preocuparía

V 2
K 39
uno_ke_va
editado

#45 Aclarado pues, solo me llamó la atención

V 2
K 32
D
editado

#29 Las peticiones ajax no cuentan para el a:visited, si metes un número de control, ya eres inmune

V 2
K 32
D
editado

#44 CrazyKing es un compañero de trabajo mio, es lector de mi blog e intento que se meneamize, pero no lo consigo lol, entra muy poco a meneame, y comenta menos. De hecho si ha comentado en la anterior, supongo que por que era de mi blog. Cualquier admin puede comprobarlo, verá que no somos clones, ni esto es astroturfing.

De igual forma, CrazyKing es desarrollador de eyeOS, por lo cual no alababa mi proyecto, sino el suyo, y es algo lógico, aunque un poco spamoso

V 2
K 29
D
editado

#52 no da karma, pero Perl guisa un conejo frito con ajos cada San Pentecostés al que mayor número de amigos tenga para esa fecha. Sin embargo Jonarano en el suyo prepara una fiesta con coca y furcias

V 3
K 29
D
editado

Antipatriotas!!

V 2
K 28
natrix
editado

#22 Don't feed the #25

V 1
K 24
atzu
editado

#17 Vuelve al foro de deportes del que has salido.

V 1
K 23
Nirgal
editado

#13 La mafia de menéame son los padres.

V 1
K 23
D
editado

#15 #16 Gracias por la aclaración

#12 La mafia de menéame no existe, es imaginación vuestra

V 1
K 23
court
editado

#30 Anda! pues eso no lo sabía!

V 1
K 23
f
editado

Seran falsos amigos en meneame.... pero no seran amigos de verdad lol

V 1
K 22
D
editado

Categoría Metanoticias ya!!!

V 2
K 21
D
editado

CrazyKing , jcarlosn , jue, solo quedan un par de nicks más y me entraria la nostalgia juankeril de hace algunos años.

Wolas a los 2, que hace tiempo que no nos decimos na, leeñee!

V 1
K 20
ronko
editado

Comentario friki del di... de la noche : El icono de amigos me da mala espina porque en el zelda significa que estas a un toque del FAIL .

V 1
K 20
D
editado

#32 no se me había ocurrido esa manera tan sofisticada lol

V 1
K 20
D
editado

#8 propongo una forma más sencilla y más cutresalchichera: cambiar el CSS de la página para que los links no cambien de color lol

V 1
K 20
Abeel
editado

No es mas fácil decir: Oye! USUARIO_CUALQUIERA te "amijo!" que no leo tus chistes

en 10 segundos ya eres amijo lol

V 1
K 19
D
editado

#19 Creía que le acercaba a Ferrari lol

V 1
K 19
Candidatas
48
meneos
actualidad ¿Millennials Vs boomers? ¡No, es lucha de clases, amigo!
41
meneos
actualidad El nudismo vuelve a estar permitido en Hendaia
54
meneos
actualidad Europa está siendo arrastrada a una guerra evitable
62
meneos
politica La Xunta pagó sobreprecios del 37% a la empresa que propició la comisión de dos millones a la pareja de Ayuso
26
meneos
ocio Polonia - La agencia de viajes de García-Castellón
25
meneos
cultura Alex Garland imagina una guerra civil en EEUU: “Trump es un extremista que se ha apoderado de un partido convencional”
51
meneos
actualidad Amazon espía a sus rivales infiltrando a sus empleados en otras
17
meneos
cultura Cómo libraban la guerra en alta mar los antiguos griegos (ENG)
33
meneos
actualidad Efectos de la contaminación en Cardiología: detrás del repunte de muertes por infartos
79
meneos
actualidad Las campañas de desinformación suelen ser de triple capa: digital, mediática y política. Un buen ejemplo es la campaña del PP #AyusoTeníaRazón
27
meneos
actualidad Piden al juez el embargo de bienes preventivo a un secretario de Estado, un consejero y otros tres alcaldes de Almería
20
meneos
cultura Una larga avenida columnada romana descubierta en la ciudad de Antalya
D
editado

No hay "agujeros leves de seguridad", hay agujeros.

V 1
K 19
C
autor
editado

eis CrowDat lol que tiempos...
ciertamente me paso poco por aquí pero bueno, tendre que pasarme mas

V 1
K 16
Carme
editado

#35 goto #15

V 2
K 15
D
editado

#51 Yo, pero si tú no quieres, el sentimiento de rechazo no podría soportarlo, sobretodo en menéame, mejor te meto en tu lista de amigos como dice la noticia
lol

V 1
K 14
n
editado

Lo que hace la gente por tener amigos....

V 1
K 13
D
editado

¿Alguien quiere ser mi amigo?

V 0
K 12
D
editado

si el usuario objetivo ha visitado o leido su rss de conversaciones, me parece, si no nada de nada

V 0
K 12
D
editado

#17 goto #13 #15 #16

V 0
K 12
court
editado

#8 si el número de control tienes que pasarlo por url estamos en las mismas (aunque podría complicar el asunto de varias maneras), a no ser que el número cambie con cada visita; pero entonces tendrías problemas con la gente que abre varias pestañas. Si lo haces por sesión el problema está en la gente que, como yo, tiene varios ordenadores en su red local con la sesión iniciada, pues podría tener problemas al recargar la página en un ordenador y volver al otro sin recargar la página en este último.

V 0
K 12
D
editado

#37 Cierto... no lo había leído.. de todas formas me refiero a esperar a que lo arreglen

V 0
K 11
jamaicano
editado

#23 Nunca hay autopajas de mas

V 0
K 11
D
editado

Lo he probado y no me rula cry

V 0
K 10
D
editado

A lo que llegan los "ajusticiados" por la "mafia" para poder fisgonear lo que hablan en la "elefantanostra".

V 0
K 10
estoyausente
editado

metanoticias al poder. lol

V 0
K 9
b
editado

uhh te la has ganado, ahora los más xungos del meneo e pondrán mala nota en todo y te comeran el karma... otakus de meneame rulez

V 0
K 9
Greg
editado

#23, creo que no tenemos la misma definición de la palabra "Demostrado": http://meneame.net/search.php?q=meneame&p=title&s=&h=&o=

V 0
K 9
D
editado

#13 es más, hace días.

V 0
K 9
uno_ke_va
editado

A mi lo que me llama la atención es el perfil del usuario que ha enviado la noticia (@crazyking: 2 comentarios, uno dando la razón a jcarlosn y otro alabando un proyecto de este. Y lo otro que ha hecho es enviar esta noticia (del blog de jcarlosn, por cierto)

V 0
K 9
D
editado

relacionada? ->
Aplicando fuerza bruta a Digg

Hace 14 años | Por --109791-- a securitybydefault.com
Publicado hace 14 años por --109791-- a securitybydefault.com

Aplicando fuerza bruta a Digg

 securitybydefault.com
(trata sobre un fallo de digg que permite obtener las contraseñas de los usuarios por fuerza bruta y que puede que afecte tambien a meneame, aunque no lo e comprobado)

V 0
K 8
D
editado

"muy leve" ya, ya ... lol

Meneame necesita un buzón de sugerencias como el oxígeno!!

V 0
K 8
kamandula
editado

#10 Sorry te vote negativo por error, se me escapo er deo!

V 0
K 7
D
editado

#69 Yo proponía llamarlo "autorreferente", pero lo de meta es más friki

V 0
K 7
D
editado

¿O sea que hay que tener amigos? ¿Da karma eso?

V 0
K 7
N
editado

Así, así, que se enteren esos de menéame

V 0
K 6
vashtardo
editado

No nos alarmemos! lol tranquilos! consultemos meneame para buscar alguna solución!

V 0
K 6
a
editado

"lo complejo es el método utilizado, muy interesante técnicamente."
se llama Cross-site request forgery

V 0
K 6
D
editado

#59 Ahi se demuestra la tirania de perl, quien te dice que el usuari@ no es vegetarian@ (XD).

V 0
K 6
T
editado

A todo esto ¿Quien quiere tener amigos en menéame? lol

V 0
K 6
a
editado

nadie ni nada es perfecto....

V 0
K 6
Zade
editado

cambio amigos en menéame por peladillas

V 0
K 6
D
editado

¿Y no sería mejor avisar primero a perl antes de publicarlo?

V 1
K 2
uno_ke_va
editado

¿Interesante técnicamente? Técnicamente es una patraña. Puede ser interesante por original, pero no técnicamente.

V 2
K -19
D
editado

#22

He dicho que lo notifiques por privado, no que ocultes la información.
Si no sabes leer, no es mi problema.

Si quieres ser reina por un día en Meneame, pues eres un triste. POr mi parte, todos aquellos que tratan de boicotear esta pequeña comunidad son despreciables.
Habla con jonarano que más o menos representa a la totalidad para darte cuenta de tus aires de grandeza

V 26
K -231
D
editado

¿ Y por que no lo notificas por privado ? ¿ Tienes que alardear en tu blog ?
Si lo que quieres es joder Meneame, márchate. No queremos listillos en Meneame

V 33
K -280