#3 Si publicase el fallo antes de ser subsanado no debería menearse tampoco, la información de ese tipo, mejor no divulgarla.
De todas formas coincido con que es irrelevante decir "hay un fallo pero ni lo cuento ni lo demuestro."
Pepelux es el creador de TuentiPlus ( http://www.tuentiadictos.es/tag/tuentiplus/ ) el cual ha exáminado la seguridad de Tuenti varias veces, por lo que no tiene pinta de ser ninguna falsa. Lo que si es cierto que sería muy comprometido desvelar el bug antes de ser corregido. Quizás Tuenti debería habilitar un email destinado solo a la notificación de fallos de seguridad para poder aumentar su tiempo de respuesta para solventarlo. Como más detalles se puede decir que se trata de un ataque SQL Inject ciego (por true/false)
Comentarios
Cuando publique y comente el fallo, lo menearé. Hasta entonces entiendo que es irrelevante
#3 Si publicase el fallo antes de ser subsanado no debería menearse tampoco, la información de ese tipo, mejor no divulgarla.
De todas formas coincido con que es irrelevante decir "hay un fallo pero ni lo cuento ni lo demuestro."
El mayor fallo de seguridad es publicar tus propios datos
¿Otro?
Pepelux es el creador de TuentiPlus ( http://www.tuentiadictos.es/tag/tuentiplus/ ) el cual ha exáminado la seguridad de Tuenti varias veces, por lo que no tiene pinta de ser ninguna falsa. Lo que si es cierto que sería muy comprometido desvelar el bug antes de ser corregido. Quizás Tuenti debería habilitar un email destinado solo a la notificación de fallos de seguridad para poder aumentar su tiempo de respuesta para solventarlo. Como más detalles se puede decir que se trata de un ataque SQL Inject ciego (por true/false)
Ya está solucionado el fallo y publicado en mi blog