Portada
mis comunidades
otras secciones
#1:
#0 No es que nadie pudiera verlo en la página. Es que nadie puede ver la página ahora.
Por lo demás este señor o es tonto (lo cual es muy peligroso) o nos quiere engañar. No se trata de una captura con el "fotochop" sino de una vulnerabilidad XSS que -si bien no modifica el contenido de la página- si permite visualizar cualquier cosa en la página mediante un enlace malicioso.
Por ejemplo se podria usar para mostrar una noticia falsa, introducir un virus en el ordenador del usuario, o atacar otras páginas.
Y es que lo de usar document.write con una variable get es una fallo muy básico... Claro que este señor no ha programado nada: el usaba el OpenCMS y no sabe lo que es XSS ni javascript...
Por lo demás este señor o es tonto (lo cual es muy peligroso) o nos quiere engañar. No se trata de una captura con el "fotochop" sino de una vulnerabilidad XSS que -si bien no modifica el contenido de la página- si permite visualizar cualquier cosa en la página mediante un enlace malicioso.
Por ejemplo se podria usar para mostrar una noticia falsa, introducir un virus en el ordenador del usuario, o atacar otras páginas.
Y es que lo de usar document.write con una variable get es una fallo muy básico... Claro que este señor no ha programado nada: el usaba el OpenCMS y no sabe lo que es XSS ni javascript...
#10:
No fue fotomontaje. Fotomontaje seria si hacen un captura, con photoshop le metan a mister bean y lo suben a otra pagina, por ejemplo www.juanita.es y dicen que juanita.es es la pagina de la ue.
Pero esto no fue así, la pagina web de la ue, es dinamica, y sale de una forma u otra dependiendo de los parámetros que se le pasa, igual que google, que muestra una cosa u otra dependiendo de lo que estas buscando.
Para que os hagais una idea con google, es como si en el recuadrito de busqueda le pones que busque "ultimo disco de Bisbal", y una trocito de codigo malicioso diciendo que tambien te saque arriba a la derecha la foto de bisbal. El resultado de esa busqueda te mostraría A TI, el ultimo disco de bisbal y una fotito en google arriba a la derecha.
Claro que para que esto ocurra, tienes que hacer esta extraña búsqueda, la cual ya la ha preparado la persona que postea el enlace y te sale un enlace que es un chorizo impresionantemente largo.
¿Es un error en la programacion de la web? SI
¿Es un problema para la seguridad de la propia web? NO
¿Es un problema para la seguridad de los usuarios que la visitan? SI
¿Es una cagada por parte de esa empresa? SI, digna de un becario o el "si es informatico sabe hacerlo, asi que ese mismo que es el que menos cobra"
¿Es una burrada de dinero los 9 millones por la web? SI, en especial viendo que son fallos de principiantes.
Pero esto no fue así, la pagina web de la ue, es dinamica, y sale de una forma u otra dependiendo de los parámetros que se le pasa, igual que google, que muestra una cosa u otra dependiendo de lo que estas buscando.
Para que os hagais una idea con google, es como si en el recuadrito de busqueda le pones que busque "ultimo disco de Bisbal", y una trocito de codigo malicioso diciendo que tambien te saque arriba a la derecha la foto de bisbal. El resultado de esa busqueda te mostraría A TI, el ultimo disco de bisbal y una fotito en google arriba a la derecha.
Claro que para que esto ocurra, tienes que hacer esta extraña búsqueda, la cual ya la ha preparado la persona que postea el enlace y te sale un enlace que es un chorizo impresionantemente largo.
¿Es un error en la programacion de la web? SI
¿Es un problema para la seguridad de la propia web? NO
¿Es un problema para la seguridad de los usuarios que la visitan? SI
¿Es una cagada por parte de esa empresa? SI, digna de un becario o el "si es informatico sabe hacerlo, asi que ese mismo que es el que menos cobra"
¿Es una burrada de dinero los 9 millones por la web? SI, en especial viendo que son fallos de principiantes.
#2:
Un comentario en la noticia de El Mundo: "Yo he trabajado en administración de hosting, despliegue web y desarrollo web, y si el problema de la seguridad es falso como dice este señor, el sitio no estaba comprometido, y el error solo se debe al acceso simultáneo de múltiples usuarios... eso no debería "tumbar" el sistema y tan solo un usuario que intente acceder encontrará un error de acceso al sitio, pero habrá usuarios que sí puedan acceder sin problemas, sin embargo, el hecho es que el sitio está caído aún (8:30 AM), así que lo que este señor comenta en la entrevista sobre la seguridad, no cuela." 
#6:
#1 Yo he hackeado faisbuk!
http://tinyurl.com/mlsbxt
Vamos a ver, si no se modifica el contenido original, ni hackeo ni leches.
Todo lo demas son magufadas.
http://tinyurl.com/mlsbxt
Vamos a ver, si no se modifica el contenido original, ni hackeo ni leches.
Todo lo demas son magufadas.
#9:
R.-_Este_ lunes se registraron hasta 5.000 entradas por segundo, cuando nuestros servidores tienen una capacidad de unas 300. Los problemas terminaron hacia las 22.30 horas.
Una polla como una olla, intente entrar en su pagina señor responsable de contenidos http://www.eu2010.es/
(ahora mismo caida y lleva asi 2 dias entericos...) CHAPUZA Y DE LAS GORDAS
Una polla como una olla, intente entrar en su pagina señor responsable de contenidos http://www.eu2010.es/
(ahora mismo caida y lleva asi 2 dias entericos...) CHAPUZA Y DE LAS GORDAS
Comentarios
#0 No es que nadie pudiera verlo en la página. Es que nadie puede ver la página ahora.
Por lo demás este señor o es tonto (lo cual es muy peligroso) o nos quiere engañar. No se trata de una captura con el "fotochop" sino de una vulnerabilidad XSS que -si bien no modifica el contenido de la página- si permite visualizar cualquier cosa en la página mediante un enlace malicioso.
Por ejemplo se podria usar para mostrar una noticia falsa, introducir un virus en el ordenador del usuario, o atacar otras páginas.
Y es que lo de usar document.write con una variable get es una fallo muy básico... Claro que este señor no ha programado nada: el usaba el OpenCMS y no sabe lo que es XSS ni javascript...
#1 Yo he hackeado faisbuk!
http://tinyurl.com/mlsbxt
Vamos a ver, si no se modifica el contenido original, ni hackeo ni leches.
Todo lo demas son magufadas.
#6 A mi me crujieron a negativos por pensar lo mismo.
mr-bean-cuela-web-oficial-presidencia-espanola/1#c-15
Mr. Bean 'se cuela' en la web oficial de la presid...
elmundo.es#6 Si ¿verdad?
http://namb.la/popular/tech.html
http://namb.la/popular/919d.jpg
#37 déjalo es inutil (negacionismo corporativo)
#6 veamos un ejemplo:
publico una noticia en un portal bien visitado, tipo Menéame, Digg, o algún periódico con malas intenciones. Es una noticia sensacional, yo que se, una decisión filtrada que ponga patas arriba algún departamento o algo escandaloso. En la noticia pongo un link a la web de la presidencia europea donde se puede leer el comunicado "oficial". Por supuesto, este link está trucado para inyectar código, sólo que en lugar de Mr. Bean, pongo la noticia que me he inventado.
Sí, en un tiempo, minutos si es a las 10 de la mañana, horas si lo hago por la noche, el gobierno lo desmentirá, pero mientras tanto, miles o millones de personas verán mi noticia pufada sin siquiera molestarse en mirar la URL para ver que hay un pufo. Y aunque lo desmientan, el mal ya está hecho.
¿Sigues pensando que es algo inocuo?
#6 por si te parece poco grave o de poca repercusión, porque se basa en difundir una falsedad comprobable, otro ejemplo:
Publico una noticia, enlace, artículo, un feed de titulares o lo que quieras en medios muy visibles, con un link malintencionado a la web de la presidencia. Ese link inyecta en la web una noticia real de la misma web, y además añade una cajita (puede ser un simple iframe o inyectar código más elaborado) con:
- una encuesta
- suscribirse a las noticias
- comentarios falsos, y posibilidad de comentar
- cualquier otra cosa que llame a participar al visitante
en cualquier caso, en esa cajita hay unos campos de formulario para enviar lo que sea (respuesta a la encuesta, comentario...) y además, dirección de email, DNI, nombre, teléfono, contraseña... Incluso puedo pedir los datos de Hotmail/Gmail/Facebook/Tuenti/Loquesea con la excusa de "Añadir a tus contactos/amigos la Presidencia Europea". Estos datos se envían a un servidor de mi propiedad, donde haré un uso no lícito con ellos (spam electrónico o telefónico, robo de cuentas...)
O podría ir a por nota inyectando una tienda online de merchandising relacionado con la presidencia europea, como pines, camisetas o mecheros, y hacerme por el mismo medio con datos de tarjetas de crédito (mínimo nombre del titular, número, fecha de caducidad y código de validación, suficiente para comprar en millones de tiendas online).
Ale, ahí tienes un ataque con XSS + phising, sin mucha dificultad, camuflado bajo la web REAL de la presidencia europea. El que no se fije en la URL y quiera "participar" la ha cagado, y dudo que NADIE se fije en el 100% de URLs que visita, mucho menos cuando visitas una web ya no solo de la administración pública española, sino europea.
¿Sigues pensando que es algo inocuo un XSS?
#1 #2 Yeeeee fascistas que si los de ZP dice que no la han pirateado es que no la han pirateado, dejad de pensar y si quereis libertades iros a otro pais. //IRONIC
No fue fotomontaje. Fotomontaje seria si hacen un captura, con photoshop le metan a mister bean y lo suben a otra pagina, por ejemplo www.juanita.es y dicen que juanita.es es la pagina de la ue.
Pero esto no fue así, la pagina web de la ue, es dinamica, y sale de una forma u otra dependiendo de los parámetros que se le pasa, igual que google, que muestra una cosa u otra dependiendo de lo que estas buscando.
Para que os hagais una idea con google, es como si en el recuadrito de busqueda le pones que busque "ultimo disco de Bisbal", y una trocito de codigo malicioso diciendo que tambien te saque arriba a la derecha la foto de bisbal. El resultado de esa busqueda te mostraría A TI, el ultimo disco de bisbal y una fotito en google arriba a la derecha.
Claro que para que esto ocurra, tienes que hacer esta extraña búsqueda, la cual ya la ha preparado la persona que postea el enlace y te sale un enlace que es un chorizo impresionantemente largo.
¿Es un error en la programacion de la web? SI
¿Es un problema para la seguridad de la propia web? NO
¿Es un problema para la seguridad de los usuarios que la visitan? SI
¿Es una cagada por parte de esa empresa? SI, digna de un becario o el "si es informatico sabe hacerlo, asi que ese mismo que es el que menos cobra"
¿Es una burrada de dinero los 9 millones por la web? SI, en especial viendo que son fallos de principiantes.
#10
¿Es un problema para la seguridad de la propia web? NO
Bueno, y si meto un trozo de codigo con el que elimino la parte en la que el usuario hace login y meto la mia propia... sigue sin tener problemas de seguridad la pagina?
Si la pagina de tu banco tuviera esos 'problemillas' dirias que no tiene problemas de seguridad?
#10 ¿Es un problema para la seguridad de la propia web? NO
Eso es discutible, en este caso la web no necesita ninguna identificación, pero un fallo de seguridad como este puede dar lugar al robo de cuentas.
Un comentario en la noticia de El Mundo: "Yo he trabajado en administración de hosting, despliegue web y desarrollo web, y si el problema de la seguridad es falso como dice este señor, el sitio no estaba comprometido, y el error solo se debe al acceso simultáneo de múltiples usuarios... eso no debería "tumbar" el sistema y tan solo un usuario que intente acceder encontrará un error de acceso al sitio, pero habrá usuarios que sí puedan acceder sin problemas, sin embargo, el hecho es que el sitio está caído aún (8:30 AM), así que lo que este señor comenta en la entrevista sobre la seguridad, no cuela."
¿Todavía no sabe el responsable de la página lo que es un XSS?
#5 Puede que este cegado por el dinero del pliego. Corre por los foros una copia de los que se embolsan al mes estos responsables de contenidos de la web de la presidencia, entre los 4.100€ del redactor y los 8.100€ del subdirector de equipo. Y creo que el señor Calvo no figura entres estos cargos asi que... imaginemos pues su retribucion...
R.-_Este_ lunes se registraron hasta 5.000 entradas por segundo, cuando nuestros servidores tienen una capacidad de unas 300. Los problemas terminaron hacia las 22.30 horas.
Una polla como una olla, intente entrar en su pagina señor responsable de contenidos http://www.eu2010.es/
(ahora mismo caida y lleva asi 2 dias entericos...) CHAPUZA Y DE LAS GORDAS
#9: Pues yo sí que veo la web ahora mismo, y perfectamente.
Ahora, una web así te la hago yo por unos 3.000 euritos.
Esto adquiere tintes de leyenda urbana tipo ricky-perro-mermelada/foigras, todo el mundo conoce a algún amigo o familiar que lo ha visto...
#3 Solo que en este caso el gobierno admitió la vulnerabilidad.
Y digo yo ¿Estas noticias no las podía meter en páginas que ya estén en marcha de la UE, en vez de tirar 400.000 € a la basura?
El problema es que no diferencian a Mr Bean de Zapatero y así nos va.
P.-¿Cuál es la mayor dificultad que se han encontrado?
R.-Son muchas, la verdad. Había que trabajar con un nuevo gestor de contenido
De Wikipedia:
"La historia de OpenCms comienza alrededor de 1999 con su predecesor, el MhtCms, que no era de fuentes abiertas. La primera versión de fuentes abiertas fue liberada en la exposición CeBit 2000."
Si señor, un nuevo gestor de contenidos, totalmente nuevo y hecho a medida, y claro, no saben utilizarlo...
5000 peticiones por segundo? Entonces, en una hora, tuvieron 18 millones de visitas?
Y una MIERDA (con perdón)
Totalmente denigrante lo de esta gente
El sitio vuelve a funcionar, pero con muchísimos fallos, a parte, no tienen nada en "Política de Privacidad" ni en "Condiciones generales de uso", si váis para la traducción en vasco por ejemplo, solo tienen traducidas las pestañas no la información bonita página de 400K, jajaj
#13 Cierto cierto, hora aprox de arranque del sistema 15:30h
Espero que lo hayan apuntado bien para el SLA del servicio y pasarselo a Telefonica...
Edit: por cierto parece que ya han arreglado el ultimo bug xss que permitia video
Error
Error
This page can't be displayed. Contact support for additional information.
Norabuena a los administradores por su rapidez y eficacia
#13 entre unos y otros le estáis haciendo una batería de testing que os tendrían también que poner en nómina de la bromita
Tenían que hacer camisetas: "Yo vi a Mr Bean"
Error
org.opencms.search.CmsSearchException: Búsqueda de "query:[path:/sites/presidencia/en/agenda/consejoeuropeo/* AND type:EsIeciEvento AND date:[1262811515249 TO 9999999999999]] fields:[type, date] sort:[unknown]" fallida.
La búsqueda va de vicio...
Al colectivo "Ricky Martin" parece que no le importa que se gasten 9.650.000 euros de dinero del estado en una web impresentable que no cumple con los requisitos mínimos. Ni siquiera estaba disponible el dia de su presentacion oficial y daba un precioso error 503.
Que curioso, claro que pensándolo bien... ese dinero puede comprar la fidelidad incondicional de no poca gente.
No passsssa nadaaaa
¿5000 visitas por segundo? La noticia está de coña. Eso es imposible, más que nada por que si ese ritmo aguantase durante 1 hora habría tenido nada menos que: 18.000.000 de visitantes y si fuese todo el día tendría 432.000.000 visitantes. Ah y 5.000 por minuto también me parece una burrada, como muchísimo 5.000 por hora que ya va siendo algo más "real".
"Es importante señalar que los 11.9 millones de euros no son sólo para que se encarguen de la seguridad de nuestra web." Es importante señalar dice. Ya sería la ostia que se gastasen los 11.9 de millones de euros SOLO en la seguridad.
¿ A mi que me expliquen por que cojones España se tiene que dar autobombo tal y como esta la situación ?
El gobierno de ZP se piensa que somos idiotas?..Dimite ya
Como siga asi la pagina, caida a estas horas y con un mensaje de "Forbidden", la levantaran cuando ya se hayan pasado los 6 meses de la presidencia.
Casi dos mil millones de las antiguas pesetas por una web y su "equipamiento". ¿Esto a alguien le parece normal?
la mayor parte de los contenidos de la web sigue sin estar traducidos al catalan.
Ala, 12 millones pa la saca
vergonzoso
Tampoco les vendría mal utilizar la etiqueta en la página
Como Ricky Martin y la nocilla, no te godeee
#12 ¿¿pero no era mermelada??
Me parece una tontería que digan que no pasó nada, ¿qué más dará? como si nadie se hubiera dado cuenta de que ZP es igualito a Mr.Bean...
o_º ¿No os recuerda ese hombre un poco a Rajoy?
Yo acabo de verlo hace unos minutos en la tele junto al Guey, la Gueina, el Prigsipito y la presentadora del telediario.
al final va a cobrar sentido la frase "no somos nadie"
ke por favor alguien le diga a esta persona para ke está el ke la direccion de la web ya se ve en la barra de direcciones como para ponerla otra vez en el titulo.
De verguenza lo ke estara cobrando esta persona por mantener la web y los resultados ke esta dando ademas de respuestas.
#27 http://rae.es
#27 las 'q' y 'u' son tus amigas
¿Entonces fue un montaje de El Mundo? Recordemos el 11M y el chino
#8 Lo dudo, porque ellos mismos han entrevistado al responsable de la página. Yo no sé si es verdad al final de momento ya es una cagada que el servidor sirva sólo para 300 entradas. Encima lleva colgada hace días.