En "Spacebom Blog" reflexionan acerca del ataque sufrido en Meneame y la reacción tanto de Ricardo Galli como de los autores del ataque, Martes13.net, además destacan que Menéame no utilizaba hasta el reporte del bug encriptación en las contraseñas de los usuarios, lo que no deja de ser bastante llamativo.
Hablando como simple observador, creo que siempre es bueno/necesario conocer lo que dicen y opinan los demás. Luego, con la información en la mano, cada uno que se haga su composción de lugar.
> sabes de sobra que las codificaciones de passwords se hacen desde el primer momento en que comienza a funcionar en abierto un sistema
Sí, y ya me flagelé, te lo dije. Tienes [parte] de razón.
Pero no es verdad que todos los hacen, te sorprenderías la cantidad de software de blogging y foros que guardan la contraseña en texto claro (hint: por ejemplo todos aquellos que te envían la contraseña).
Por otro lado, menéame no tiene datos "personales" y en el momento que haces el login tu contraseña viaja clara por la red, como en todos los blogs y weblogs. Te sorprenderías cómo de accesible es esa información, especialmente si ibas/vas por un proxy o lo haces desde cualquier red corporativa.
Si estás preocupado por eso, espera a que pongamos un servidor SSL... (aunque no creo que lo hagamos, el menos no mientras no haga falta DNI, teléfono o dirección para darse de alta).
> ¿si no estaban las contraseñas encriptadas, basta con crear una web con el código de meneame para conseguir las claves de acceso de miles de usuario?
Cualquier servidor web que tengas puede tener tus contraseñas, están siempre accesibles en texto plano cuando lo pones en el formulario de login o de registro. Estos datos SIEMPRE llegan en texto plano al otro extremo, aunque pasen por un SSL o cifres al final. Todo se basa en la confianza de que la gente del servidor no hará uso de esa información y sobre todo en usar contraseñas distintas.
Vuestras contraseñas no parecen estar comprometidas. La migración estaba preparada desde hace tiempo (si alguien tiene versión antigua, ver el comentario en libs/login.php)
Pero ya me he flagelado por capullo, que lotbl00d no sufra tanto. No te preocupes, que no se ha perdido absolutamente nada (sólo horas a mi sueño y mi autoestima) y el menéame no ha dejado de funcionar ni un minuto durante todo el incidente.
PS: curioso que ahora todos sean expertos y antes nadie miró el código y envió un parche (bueno, sí, una persona me preguntó y le expliqué las razones de ese momento).
lotbl00d, no me refiero a hinchar a alguien, sino me refiero, esto no es "hechar mas leña al fuego", yo creo que ya se hablo bastante del asunto, ya se han expuesto ambas partes y sera gallir el que decida o no tomar acciones severas.
En ese artículo no es está "hinchando" a nadie, al menos asi lo entiendo yo, el autor contrapone los puntos de vista de ambas partes y critica donde tiene que hacerlo. No se pretende criticar por criticar, las cosas están fundamentadas.
Una pregunta, ¿si no estaban las contraseñas encriptadas, basta con crear una web con el código de meneame para conseguir las claves de acceso de miles de usuario?
Partiendo de que la gente tiene mala leche, y que los usuarios no somos muy vivos y usamos la misma contraseña para todo... si me monto una web con el código de meneame, ¿puedo entrar donde quiera no?
#16 gallir: Ahora, una vez encriptadas, están algo más aseguradas que antes, y me importa un cuerno que la migración estuviera ya preparada, sabes de sobra que las codificaciones de passwords se hacen desde el primer momento en que comienza a funcionar en abierto un sistema, y vamos eso te lo enseñan el primer día de programación de cualquier escuela y/o estudio, y tú eres profe tio.
Bueno, si las guardas "hasheadas" (que verbo, ¿no?) ya no nos las podrás enviar en el supuesto caso que las perdamos. ¿Correcto?
Por tanto, todo servicio que permite enviar la contraseña al que la olvida, debe guardarlas en texto plano o cifradas, pero de forma que sea reversible (lo cual en caso de compromiso del sistema, es igual de peligroso). ¿Es así?
Si es así, ¿Por que la indignación de algunos? No entiendo, de verdad.
"El día de ayer Menéame sufrió un ataque debido a bug en el código ya convenientemente subsanado. Ricardo Galli recomienda CAMBIAR LA CONTRASEÑA DE USUARIO de Menéame desde tu página de perfil de usuario
* Para evitar futuros problemas de estos (seguramente todavía hay bugs por descubrir y script kiddies por conocer) las claves de usuarios ya se guardan "cifradas" en MD5. Para los que uséis el software: la migración se hace de forma automática al acceder a los datos de usuario o cuando ese usuario accede al servidor. En todo caso, si queréis aseguraros, ejecutad tomd5.php (está en el directorio scripts), si funciona bien el sistema, está actualizado y el cambio se hizo correctamente indicará "Converted" para todos los usuarios. Si hay alguno que no lo haya estado, forzará la conversión y lo indicará."
Es decir, que efectivamente las contraseñas se estaban guardando en texto plano lo cual es mucho más incalificable, inadmisible, cutre y peligroso que cualquier crítica, deface, ataque o como quieran llamarlo, coño.
Como explican en Spacebom Blog, actualmente el sistema de mename si que encripta las contraseñas con MD5 (y supongo que también habrán encriptado todas las almacenadas), pero Ricardo parece reconocer en comentarios de su blog que antes el sistema las guardaba como texto plano SIN encriptar, lo que sería algo lamentable, ¿alguién con una versión antigua del source code de mename para descargar?
Pues si, todo por una direcciónde correo que al comentar en muchos blogs se hace pública y por una contraseña que lo único que permite es participar en meneame, no sacar dinero de la cuenta de un banco, vamos.
Y si alguien ha puesto la misma contraseña al correo que a la cuenta en meneame pues la verdad lo que está demostrando es que no le importa la seguridad ni la privacidad, que eso si que es una falta de prudencia elemental.
Ricardo no pidio tantos datos como nos pide Yahoo, el ingresar el nombre real era opcional, aunque tampoco no le veo tanta importancia, ni tan grave, lo del password no creo que utilizen el mismo password para todo (¿me equivoco?)
Creo que se esta siendo un poco exagerado por ambas partes, ¿que datos personales se guardan en meneame?, ¿una direccion de correo? (que estoy seguro de que el 90% de los usuarios han metido alguna de gmail o similar). ¿El nombre real del usuario?; ¿que daño han causado los "hackers"?, ¿modificar una noticia?, ¿poner en evidencia que el responsable del servicio es humano y como tal comete errores?, ¿tanto ruido por esto?. En fin este mundo esta lleno de paradojas e incongruencias, y esta es otra de ellas.
No pienso que la crítica moleste a Ricardo, fue gracias a este ataque que se implemento una medida de seguridad necesaria, respecto a la nota sólo es informativa.
>sin embargo solo modificaron una noticia para probar su hallazgo y así alertar al administrador. ¿Hubiera sido más elegante haberlo comunicado por correo electrónico y que el señor Galli se sacara un parche de la manga?, no lo creo.
Bueno, modificaron una noticia poniendo un texto absolutamente incalificable. Habría sido más elegante poner un smiley, por ejemplo.
A mi me parece que un texto en el que se obvia ese pequeño detalle, no se puede considerar acorde con la realidad de lo que pasó y lo voto como erróneo.
Comentarios
Hablando como simple observador, creo que siempre es bueno/necesario conocer lo que dicen y opinan los demás. Luego, con la información en la mano, cada uno que se haga su composción de lugar.
> sabes de sobra que las codificaciones de passwords se hacen desde el primer momento en que comienza a funcionar en abierto un sistema
Sí, y ya me flagelé, te lo dije. Tienes [parte] de razón.
Pero no es verdad que todos los hacen, te sorprenderías la cantidad de software de blogging y foros que guardan la contraseña en texto claro (hint: por ejemplo todos aquellos que te envían la contraseña).
Por otro lado, menéame no tiene datos "personales" y en el momento que haces el login tu contraseña viaja clara por la red, como en todos los blogs y weblogs. Te sorprenderías cómo de accesible es esa información, especialmente si ibas/vas por un proxy o lo haces desde cualquier red corporativa.
Si estás preocupado por eso, espera a que pongamos un servidor SSL... (aunque no creo que lo hagamos, el menos no mientras no haga falta DNI, teléfono o dirección para darse de alta).
Me voy a continuar con el flagelamiento...
> ¿si no estaban las contraseñas encriptadas, basta con crear una web con el código de meneame para conseguir las claves de acceso de miles de usuario?
Cualquier servidor web que tengas puede tener tus contraseñas, están siempre accesibles en texto plano cuando lo pones en el formulario de login o de registro. Estos datos SIEMPRE llegan en texto plano al otro extremo, aunque pasen por un SSL o cifres al final. Todo se basa en la confianza de que la gente del servidor no hará uso de esa información y sobre todo en usar contraseñas distintas.
> si me monto una web con el código de meneame, ¿puedo entrar donde quiera no?
No, estáis confundiendo, las contraseñas nunca se exportaron de este servidor. En eso sí fui muy cuidadoso...
Vuestras contraseñas no parecen estar comprometidas. La migración estaba preparada desde hace tiempo (si alguien tiene versión antigua, ver el comentario en libs/login.php)
Pero ya me he flagelado por capullo, que lotbl00d no sufra tanto. No te preocupes, que no se ha perdido absolutamente nada (sólo horas a mi sueño y mi autoestima) y el menéame no ha dejado de funcionar ni un minuto durante todo el incidente.
PS: curioso que ahora todos sean expertos y antes nadie miró el código y envió un parche (bueno, sí, una persona me preguntó y le expliqué las razones de ese momento).
Kowalski, hasta el "ataque" se guardaban sin cifrar. Ahora ya está actualizado (ver código) y se cifran.
Cambiado.
andate!, que uno de estas noticias más y deberian abrir una nueva categoria "hinchar a meneame"
lotbl00d, no me refiero a hinchar a alguien, sino me refiero, esto no es "hechar mas leña al fuego", yo creo que ya se hablo bastante del asunto, ya se han expuesto ambas partes y sera gallir el que decida o no tomar acciones severas.
En ese artículo no es está "hinchando" a nadie, al menos asi lo entiendo yo, el autor contrapone los puntos de vista de ambas partes y critica donde tiene que hacerlo. No se pretende criticar por criticar, las cosas están fundamentadas.
Una pregunta, ¿si no estaban las contraseñas encriptadas, basta con crear una web con el código de meneame para conseguir las claves de acceso de miles de usuario?
Partiendo de que la gente tiene mala leche, y que los usuarios no somos muy vivos y usamos la misma contraseña para todo... si me monto una web con el código de meneame, ¿puedo entrar donde quiera no?
#16 gallir: Ahora, una vez encriptadas, están algo más aseguradas que antes, y me importa un cuerno que la migración estuviera ya preparada, sabes de sobra que las codificaciones de passwords se hacen desde el primer momento en que comienza a funcionar en abierto un sistema, y vamos eso te lo enseñan el primer día de programación de cualquier escuela y/o estudio, y tú eres profe tio.
Un saludo.
Bueno, si las guardas "hasheadas" (que verbo, ¿no?) ya no nos las podrás enviar en el supuesto caso que las perdamos. ¿Correcto?
Por tanto, todo servicio que permite enviar la contraseña al que la olvida, debe guardarlas en texto plano o cifradas, pero de forma que sea reversible (lo cual en caso de compromiso del sistema, es igual de peligroso). ¿Es así?
Si es así, ¿Por que la indignación de algunos? No entiendo, de verdad.
Saludos
Por cierto.. que alguien (con karma suficiente) cambie en la reseña "Ricardo Gallir" por Ricardo Galli.
Sí, acabo de leer el Wiki de Meneame:
"El día de ayer Menéame sufrió un ataque debido a bug en el código ya convenientemente subsanado. Ricardo Galli recomienda CAMBIAR LA CONTRASEÑA DE USUARIO de Menéame desde tu página de perfil de usuario
* Para evitar futuros problemas de estos (seguramente todavía hay bugs por descubrir y script kiddies por conocer) las claves de usuarios ya se guardan "cifradas" en MD5. Para los que uséis el software: la migración se hace de forma automática al acceder a los datos de usuario o cuando ese usuario accede al servidor. En todo caso, si queréis aseguraros, ejecutad tomd5.php (está en el directorio scripts), si funciona bien el sistema, está actualizado y el cambio se hizo correctamente indicará "Converted" para todos los usuarios. Si hay alguno que no lo haya estado, forzará la conversión y lo indicará."
Es decir, que efectivamente las contraseñas se estaban guardando en texto plano lo cual es mucho más incalificable, inadmisible, cutre y peligroso que cualquier crítica, deface, ataque o como quieran llamarlo, coño.
Como explican en Spacebom Blog, actualmente el sistema de mename si que encripta las contraseñas con MD5 (y supongo que también habrán encriptado todas las almacenadas), pero Ricardo parece reconocer en comentarios de su blog que antes el sistema las guardaba como texto plano SIN encriptar, lo que sería algo lamentable, ¿alguién con una versión antigua del source code de mename para descargar?
No es cuestión de flagelarse Ricardo, pero bueno, no pretendo causar polémica, por mi tema cerrado.
Saludos.
sasto ctovar, pero es que la ignorancia es mala consejera y suele ser muy impetuosa
todos somos humanos... demasiado drama...
Pues si, todo por una direcciónde correo que al comentar en muchos blogs se hace pública y por una contraseña que lo único que permite es participar en meneame, no sacar dinero de la cuenta de un banco, vamos.
Y si alguien ha puesto la misma contraseña al correo que a la cuenta en meneame pues la verdad lo que está demostrando es que no le importa la seguridad ni la privacidad, que eso si que es una falta de prudencia elemental.
quééééé????? contraseñas sin encriptar????? enseguida la cambio!!!!!! al menos deberías guardarlas en md5
Ricardo no pidio tantos datos como nos pide Yahoo, el ingresar el nombre real era opcional, aunque tampoco no le veo tanta importancia, ni tan grave, lo del password no creo que utilizen el mismo password para todo (¿me equivoco?)
Da igual que tengan mi mail, si me mandan spam, será uno más
otia, esto parece un chat
Ánimo Ricardo!, eres grande! este proyecto es genial! me quedo con meneame!
Creo que se esta siendo un poco exagerado por ambas partes, ¿que datos personales se guardan en meneame?, ¿una direccion de correo? (que estoy seguro de que el 90% de los usuarios han metido alguna de gmail o similar). ¿El nombre real del usuario?; ¿que daño han causado los "hackers"?, ¿modificar una noticia?, ¿poner en evidencia que el responsable del servicio es humano y como tal comete errores?, ¿tanto ruido por esto?. En fin este mundo esta lleno de paradojas e incongruencias, y esta es otra de ellas.
No pienso que la crítica moleste a Ricardo, fue gracias a este ataque que se implemento una medida de seguridad necesaria, respecto a la nota sólo es informativa.
q veo mas.. spam o provocacion?, gans de buscar lios .. :S¿ quien sabe
Ya cambie la contraseña gracias. Igual pienso lotbl00d.
cambiado ctovar
>sin embargo solo modificaron una noticia para probar su hallazgo y así alertar al administrador. ¿Hubiera sido más elegante haberlo comunicado por correo electrónico y que el señor Galli se sacara un parche de la manga?, no lo creo.
Bueno, modificaron una noticia poniendo un texto absolutamente incalificable. Habría sido más elegante poner un smiley, por ejemplo.
A mi me parece que un texto en el que se obvia ese pequeño detalle, no se puede considerar acorde con la realidad de lo que pasó y lo voto como erróneo.
Ricardo explicame, guardas contraseñas sin encriptar?