Eli
300meneos

"¡Malditos hackers! ¡Violaron mi seguridad JavaScript!"

Mucho cuidado, que sólo los funcionarios del gobierno pueden ver las páginas seguras de este sitio. O cualquiera que vea el HTML de la página de login y lea el usuario y la contraseña en el JavaScript de seguridad. O que ponga en el navegador la URL de alguna de esas páginas. O que se las encuentre en la caché de Google. Ah, pero cuando los "hackearon", tomaron medidas inmediatas: corrieron a cambiar el usuario y la contraseña en el script. ¡Ahora sí es seguro!

 34 comentarios en: tecnología, internet karma: 744
etiquetas: javascript, seguridad, wtf
votos negativos: 0  usuarios: 180  anónimos: 120  
  1. #1   The Daily WTF genial, como siempre :-)
    votos: 2, karma: 26
    por Hass el 01-03-2008 14:52 UTC
  2. #2   Se puede ser más inepto, pero requiere de estudios superiores y una dedicación plena.
    votos: 20, karma: 180
    por Bill_Gates el 01-03-2008 14:53 UTC
  3. #3   » ver comentario
    votos: 28, karma: -156
    por SGAY el 01-03-2008 15:08 UTC
  4. #4   <script language="javascript">
    <!–//
    /*This Script allows people to enter by using a form that asks for a
    UserID and Password*/
    function pasuser(form) {
    if (form.id.value=="buyers") {
    if (form.pass.value=="gov1996") {
    location="officers.federalsuppliers.com/agents.html;
    } else {
    alert("Invalid Password")
    }
    } else { alert("Invalid UserID")
    }
    }
    //–>
    </script>

    xD xD
    votos: 13, karma: 86
    por Arcade el 01-03-2008 15:17 UTC
  5. #5   ¿Habeis visto este comentario? Es genial:

    thank you hackers for trying to destroy federal suppliers guides reputation. i have worked here with my wife for 10 years now and have helped hundreds of clients obtain federal government work. i have 4 children and though you don't care you are hurting the feelings of many good employees and customers by your immature actions. sorry our site wasn't protected to your standards however all of you are being reported to the appropriate authorities as we have your information too. you should of protected your info a little better. not only is the company legit we actually have held a 5 year GSA contract with the federal government
    and one of my best ...  » ver todo el comentario
    votos: 5, karma: 45
    por rafaLin el 01-03-2008 16:03 UTC
  6. #6   #3 Si en la puerta de tu casa pones un cartel que diga "La llave está debajo del felpudo" luego no te quejes de que alguien ha entrado y que la culpa de la inseguridad es solo de la gente que entra a robar.
    votos: 11, karma: 77
    por XAbou el 01-03-2008 16:44 UTC
  7. #7   #6 Míralo como si fuera un centro comercial o una iglesia que te dejen entrar no quiere decir que puedas robar. :roll:
    votos: 3, karma: 9
    por rodz el 01-03-2008 16:47 UTC
  8. #8   EPIC FAIL!
    votos: 3, karma: 12
    por koedo el 01-03-2008 17:03 UTC
  9. #9   #3 #6 nadie se ha llevado nada material de esa web. Como tu dices si te dejan entrar en una iglesia o en un centro comercial y tu ves un cartel o un número de teléfono y luego lo usas no es robar. No te pueden obligar a olvidar o no usar lo que hayas visto. Otra cosas es que te lleves cosas materiales.

    PD: La SGAE y su manía de que copiar información es robar está haciendo estragos en las mentes españolas.
    votos: 6, karma: 51
    por Hugolp el 01-03-2008 17:07 UTC
  10. #10   » ver comentario
    por --15912-- el 01-03-2008 17:07 UTC
  11. #11   Since there's really only one thing that could cause such a dialog to pop-up so fast, I checked the source code...

    Para eliminar sospechas, en futuras ocasiones se está contemplando poner un retardo de 0.2 segundos ... y la contraseña en el código javascript, para ahorrar espacio en la base de datos :-P
    votos: 4, karma: 38
    por Liveral el 01-03-2008 17:11 UTC
  12. #12   Luego se preguntarán por qué tienen que contratar a alguien con estudios en vez de al cuñado del primo del vecino para que les haga la web...
    votos: 7, karma: 60
    por Delawen el 01-03-2008 17:12 UTC
  13. #13   » ver comentario
    por GONZO el 01-03-2008 17:15 UTC
  14. #14   Que fort :S
    votos: 0, karma: 6
    por peluthc el 01-03-2008 17:26 UTC
  15. #15   HOYGAN AN CANVIAO LA CONTRASENIA!!!

    <script language="javascript">
    <!–//
    /*This Script allows people to enter by using a form that asks for a
    UserID and Password*/
    function pasuser(form) {
    if (form.id.value=="zzzzzz") {
    if (form.pass.value=="fffxxx") {
    location="officers.federalsuppliers.com/agents.html;
    } else {
    alert("Invalid Password")
    }
    } else { alert("Invalid UserID")
    }
    }
    //–>
    </script>
    votos: 4, karma: 43
    por Darth_CioN el 01-03-2008 17:39 UTC
  16. #16   Como se puede ser un webmaster tan penoso...

    Ahh, y señores, el HTML de una página es público, tu navegador lo lee para interpretarlo (es texto plano), y tu eres libre de leerlo también, es más, al principio de internet había mucha gente que se bajaba las webs como texto plano (sin navegador) y leían el HTML directamente (el HTML es muy muy simple, y más en esos tiempos). Ahora, si pones un javascript en el código fuente de tu página te arriesgas a que lo miren, es más, está ahí para que tećnicamente lo lean (para que lo lean los navegadores web, pero no exclusivamente).
    votos: 4, karma: 36
    por FLIPE el 01-03-2008 17:46 UTC
  17. #17   ¿Porqué lapidaron el comentario de #3? Fue una opinión inocente (demasiado inocente) que no ofendía ni provocaba a nadie... Cada día los "hackers" son menos tolerantes, recuerdo que que en los 80s se destacaban por ser gente muy amable, quizá es que no era cool ser hacker en esos tiempos.

    Y para inocentes los que pagaron por ese sitio.
    votos: 6, karma: 13
    por shinzou el 01-03-2008 17:50 UTC
  18. #18   ¿Y si la hubieran cifrado con MD5? No haría ya imposible la entrada aun viendo el hash?
    votos: 0, karma: 6
    por albertux88 el 01-03-2008 18:00 UTC
  19. #19   Debieron contratar a un tipo que tenía un anuncio así: "Webs por 50€ en Frontpage y por 20€ más, con javascripts."
    votos: 0, karma: 6
    por Welling el 01-03-2008 18:05 UTC
  20. #20   #18 Da igual como compruebes la password, mientras siga existiendo en el código
    location="officers.federalsuppliers.com/agents.html;
    votos: 2, karma: 23
    por geloso el 01-03-2008 18:07 UTC
  21. #21   #18 es que ni siquiera es necesario saber el password: basta con poner en el navegador la dirección que aparece ahí mismo, en el "location". Como dicen en los comentarios del artículo, esto es como ponerle una puerta a una casa sin paredes.
    votos: 3, karma: 29
    por AndresD el 01-03-2008 18:08 UTC
  22. #22   #20 , #21 Ups, cierto! Cagada de novato xDD.
    votos: 1, karma: 14
    por albertux88 el 01-03-2008 18:12 UTC
  23. #23   Es como si para apagar la alarma de tu casa en vez de un código tienes que meter la respuesta a un acertijo. Cualquiera con un poco de tiempo libre y algo de ingenio puede sacarlo.
    votos: 0, karma: 6
    por Delawen el 01-03-2008 18:28 UTC
  24. #24   » ver comentario
    votos: 10, karma: -85
    por logongas el 01-03-2008 18:59 UTC
  25. #25   #24 ya que está claro que no tienes ganas de leer el artículo, mira al menos el código que copia el comentario #15. ¿A eso lo llamas comprobación contra el servidor? Y sí, claro que "habrá un filtro que sólo te permitirá verla si en la sesión del servidor pone que te has autentificado". Por eso el autor todas las páginas "seguras" están en la caché de Google:

    www.google.com/search?q=site%3Aofficers.federalsuppliers.comn

    ¿Será Google un usuario autorizado del sitio? ¿Te diste de alta en Menéame sólo para eso?
    votos: 4, karma: 36
    por AndresD el 01-03-2008 19:15 UTC
  26. #26   Ups.

    Puse:

    "Por eso el autor todas las páginas "seguras" están en la caché de Google"

    Quise poner: "Por eso el autor del artículo pudo ver las páginas 'seguras' y todas están en la caché de Google"
    votos: 0, karma: 9
    por AndresD el 01-03-2008 19:17 UTC
  27. #27   #12 Los estudios en este caso no hubieran solucionado nada. El que es gilipollas lo es, con estudios o sin ellos.
    votos: 2, karma: 21
    por psk el 01-03-2008 19:18 UTC
  28. #28   A ver #25 , el comentario de #20 es el siguiente:

    Da igual como compruebes la password, mientras siga existiendo en el código
    location="officers.federalsuppliers.com/agents.html;

    Y sigo reafirmandome que si compruebas el password contra el servidor y pones un filtro en todas las páginas entonces éstas ya serían seguras y por lo tanto: SI que importa como compruebes la password (contra el servidor) y da igual que pongas el location (Pq el filtro te impide verlas).
    Es decir que el comentario de #20 es erroneo.
    Otra cosa es que #20 hubiera querido decir que si se sigue sin poner el filtro en la páginas da igual como compruebes el password. Pero si esa era su intención que se explique mejor.¿O debo suponer que sabe lo que es un filtro?
    Y por cierto ¿te molesta que te critique una persona que acaba de registrarse?
    "El que se pica ajos come"
    votos: 4, karma: -9
    por logongas el 01-03-2008 19:30 UTC
  29. #29   #28 vale tranki. Sí, soy novato en el tema y en menéame, pero no hace falta ponerse así no?

    Bajo mi punto de vista #20 y #21 tienen razón en contra de lo que he dicho, pero de todas formas ese login yo lo hubiera hecho con sesiones en PHP.

    Saludos.
    votos: 1, karma: -2
    por albertux88 el 01-03-2008 19:40 UTC
  30. #30   #27 Con estudios me refería a alguien que haya estudiado algo de informática, obviamente. Por muy gilipollas que sea uno, si ha estudiado en serio Javascript, no pone ahi el usuario y la contraseña.
    votos: 0, karma: 6
    por Delawen el 01-03-2008 19:44 UTC
  31. #31   #28 el comentario #20 es correcto, no sacando de contexto la cosas...
    votos: 2, karma: 19
    por Welling el 01-03-2008 20:56 UTC
  32. #32   Si no sabes javascript, no sabes informática.
    -Cursos CCC. xD
    votos: 2, karma: 29
    por Gry el 01-03-2008 21:38 UTC
  33. #33   #4 y #15: El mejor, el último comentario:

    if (form.id.value=="buyers" && form.pass.value=="gov1996") {
    location="officers.federalsuppliers.com/agents.html;
    } else if (form.id.value=="buyers" && form.pass.value!="gov1996") {
    alert('You got the UserID right, but not the password. The password is
    gov1996. You MUST enter gov1996 in the password field.');
    } else if (form.id.value!="buyers" && form.pass.value=="gov1996") {
    alert('The password is correct, but not the UserID. Please,
    enter "buyers" (without the quotes) as UserID.');
    } else {
    alert('Hey, you didn't got anything right. Please, take note of
    that: The UserID is "buyers" (without the quotes) and the password
    is gov1996. Put the UserID in the top box, where it's written
    "User:". Put the password in the bottom box, where it's written
    "Password"');
    }
    votos: 2, karma: 23
    por matacca el 01-03-2008 23:57 UTC
  34. #34   Ya no está en linea la porquería. Pero es que la mejor solución que pudieron hallar es dar de baja el sitio? No aprenden, a esta gente no le entran balas.
    votos: 0, karma: 8
    por fabaya el 02-03-2008 03:16 UTC
comentarios cerrados

menéame