elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


  Mostrar Mensajes
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 64
1  Programación / Desarrollo Web / Re: [Pregunta]: ¿Hacer esto con los correos electrónicos de los usuarios es legal? en: Hoy a las 14:44
Es verdad que el plazo de 6 horas aporta bastante seguridad. Pero aún así no convence del todo. Resulta que el administrador me cambia la dirección e-mail que debo usar para loguearme. Bien ¿y la nueva dirección es real? ¿corresponde a un correo real? Si es así, no es mi correo. La verdad no veo nada de seguridad en tener que usar como mi identificador una dirección de correo que no es mía; y que quién sabe para qué usará su dueño real. Aunque sea una dirección de un administrador, cualquiera sabe qué a manos puede llegar y qué usos le pueden dar. Y si no es una dirección real actualmente, ¿quién dice que no pueda llegar a serlo y que mañana alguien dé de alta y registre ese mail?

No sé; no es sólo la posible suplantación o la seguridad en general, sino que todo el proceso tiene un punto de artificioso que no me gusta. Éso y además la arbitrariedad de que un administrador lo cambie a gusto. ¿Qué motivos puede haber para asignarte un correo que no es tuyo? Lo lógico sería en todo caso cambiarte la contraseña y asignarte una. Vale, éso, dentro de la excepcionalidad, lo vería más lógico. ¿Pero cambiarte el correo?  :silbar:

Creo que la situación real no se ha explicado del todo y debe ser bastante "rarilla" cuando tú mismo -que es el que sabe de qué va la cosa- debes de tener tus "ideas", lo que se ve muy claro cuando incides muy particularmente en el aspecto "legal" del asunto. Por ahí se ve que no las tienes muy todas contigo y esperas a ver si te "justifican" esa forma de proceder.

Lo cual, dicho sea de paso, yo sería bastante escéptico de conseguirlo mediante las opiniones de un foro; todavía si en vez de foro.elhacker fuese foro.eljurista... ::) Pero vaya que un foro es un foro; y yo ese tipo de dudas las consultaría más bien con un abogado, antes que con un aficionado al hacking o la informática en general. Quien sabe, puede que por aquí haya alguien que reúna ambas condiciones. Aún así no dejaría de ser una opinión "foreril"; si estuviese en juego mi seguridad "legal" buscaría otro tipo de asesoramiento y apoyo más técnico y fiable.

A mí con chicanas, no flaco..

Fíjate como de un problema sobre si pedía email o username te dije que no existe tal vulnerabilidad en todo caso es la misma uses el login que uses ya por el hecho de guardar el email de los usuarios...
Así que eso de que es más recomendable usar el login username porque es más "seguro" es una idea estúpida si es por el problema de la "suplantación", hay que avisarle a facebook, paypal, etc que usen username será más seguro por el problema de "suplantación"

Segundo, quédate tranquilo que si no te sentís calificado para opinar de derecho o informática entonces no comentes me ahorras el tiempo en andar replicandote y si te molestaras en leer y en escribir menos quizás te hayas dado cuenta que en los primeros mensajes había puesto que iba a sacar la modificación de los email por parte de la administración...

No me tomo mal las críticas sino no hubiera creado el tema pero no me gustan las chicanas..

Respecto al problema principal del tema repito que ya lo saqué porque hay gente a la que hay que re escribirle las cosas..

Gracias por las críticas y sugerencias.
2  Programación / Desarrollo Web / Re: [Pregunta]: ¿Hacer esto con los correos electrónicos de los usuarios es legal? en: Ayer a las 21:27
No. Porque ese e-mail que se solicita es para comprobación. No para loguearse después.

Se solicita para mandar desde el servicio un correo a esa dirección y poder comprobar mediante el correo de vuelta que desde esa dirección se ha solicitado realmente el servicio; por ejemplo el participar en un foro.

Una vez que se ha comprobado mediante el correo de vuelta -o la entrada en una página- que el usuario es realmente quien dice ser (en cuanto a su cuenta de correo electrónico se entiende) ya no hay más razón para usar el e-mail como logueo.

Pero de todas formas, si se usa el e-mail -una vez comprobado que es real- para loguerase...
¿cuál es el motivo de cambiarlo unilateral y arbitrariamente desde la administración del sitio?

¿Y se ha comprobado si el nuevo e-mail facilitado es real ? ¿Corresponde a alguien?

Ufff... Me suena a chapuza que ha hecho alguien por su cuenta y riesgo, sin encomendarse a Dios ni al Diablo.
Pinta no la tiene buena,  muy ortodoxo como que no es.


Pero haber..

Citar
Sin embargo, si en un sitio en el que los datos que piden loguearse con e-mail + contraseña, si alguien da como esos datos:
e-mail: morritos_menopausico@dominiocorreo.com
contraseña: la-que-sea

ese alguien sí que está suplantándome, ya que dirección e-mail:
morritos_menopausico@dominiocorreo.com
hay una y sólo una ---> la mía.

El problema tuyo con el login usando una dirección de correo electrónico es la suplantación de identidad, ¿no es así?

Es cierto, cualquiera puede ir y registrarse con un correo existente y que no les pertenezca. Ahora, si la persona no verifica esa dirección en un plazo de 6h se le eliminará la cuenta y quedará como que nunca se registró una cuenta con esa dirección. Ya sea, si el sistema cuenta con un login email+password o un username+password.

Si ese es el problema que decís de "suplantación" está solventado, o por ahí te referís a otro problema que no te puedo entender...
3  Programación / Desarrollo Web / Re: [Pregunta]: ¿Hacer esto con los correos electrónicos de los usuarios es legal? en: Ayer a las 18:25
Yo lo que no entiendo es por qué usar una -supuesta- dirección de e-mail + contraseña como login para un sitio, en lugar de usar nombre-usuario + contraseña.

La diferencia es importante porque nombre-usuario todos sabemos que es algo completamente virtual, es un alias, un nick que -en principio- no tiene por qué corresponderse con una persona real.

Pero una dirección e-mail sí que puede corresponderse con un usuario real que tiene esa dirección e-mail real a través de la cual se envían y reciben mensajes de una persona, y que por tanto puede ser identificada ante situaciones reales.

Y una persona puede fácilmente usar una dirección e-mail real de otra persona, con lo que interferir en la vida real de esa persona. Por lo que no debería de usarse nunca como método-de-logueado un mail. Es cierto que también puede usarse el nombre real de una persona como nombre de usuario, pero la diferencia consiste en que un nombre de usuario se sabe que -por defecto- no tiene porqué corresponderse con el nombre real de una persona que se llame así, en cambio que con una dirección e-mail sí que se puede corresponder con una dirección real de alguien.

Lo aclaro con un ejemplo. Supongamos que yo en la vida real me llamo Morritos Menopáusico, o sea en los documentos legales de mi país figura:
Nombre: Morritos
Apellido: Menopáusico

Y que tengo como dirección e-mail registrada en el dominio de correo dominiocorreo.com la siguiente cuenta:
morritos_menopausico@dominiocorreo.com
desde la cual escribo y recibos correos reales (que evidentemente me identifican y hasta pueden ser usados como prueba en litigios judiciales).

Es cierto que alguien puede registrarse en cierto sitio en el que se exija nombre-de-usuario + contraseña como:
nombre-de-usuario: Morritos Menopáusico
contraseña: la-que-sea

y si lo veo, puede molestarme e incluso en algunos casos como Twiter, Facebook, etc pedir que baneen a alguien que haya usado ese nombre. Aunque lo tendría complicado porque puede haber bastantes personas que se llamen Morritos Menopáusico (en Facebook pueden verse muchas coincidencias) y si nadie usa fotos mías ni otros elementos que se correspondan sólo con mi personalidad, nadie tiene por qué suponer que soy yo realmente o que es alguien que me está suplantando, sino solamente alguien que, en algunos datos (mi nombre y apellido) coincide conmigo.

Sin embargo, si en un sitio en el que los datos que piden loguearse con e-mail + contraseña, si alguien da como esos datos:
e-mail: morritos_menopausico@dominiocorreo.com
contraseña: la-que-sea

ese alguien sí que está suplantándome, ya que dirección e-mail:
morritos_menopausico@dominiocorreo.com
hay una y sólo una ---> la mía.

Y si alguien ve ese usuario en un sitio y me conoce me identifica a mi personalmente. Y puede afectarme personalmente en mi vida. Por ejemplo ¿y si alguien se loguea en un sitio de pederastas con mi e-mail?

CONCLUSIÓN: lo que hay que evitar desde ya -y ya se está tardando en rectificar- es el usar para logueo una dirección-mail + contraseña.


Si en 12 horas o 6 horas (no me acuerdo bien) un usuario que se registró no verifica su correo se le elimina la cuenta por lo que no es posible una suplantación..

Edit: además casi todas las aplicaciones solicitan un correo electrónico independientemente de si se logean con username o email, así que la suplantación es posible ahí también
4  Programación / Desarrollo Web / Re: [Pregunta]: ¿Hacer esto con los correos electrónicos de los usuarios es legal? en: 28 Noviembre 2020, 21:45
Hola, no entiendo para que un administrador necesita cambiar una email o una contraseña.... eso es personal del usuario y únicamente se podría cambiar eso en caso de tener algún problema con la cuenta, pero fuera de eso no veo porque hacer ese cambio y menos sin la autorización del usuario y con eso de avisarle enviandole un email no tiene porqué ser así...

Si yo entro a un sitio y hacen eso con mí cuenta, me sintiera invadido, no me parece bien eso, no olvides que aunque sea tu sitio, pero no es tu cuenta y debes respetar la privacidad y seguridad de tus usuarios.

Vuelvo a repetir lo de avisarle al usuario por e-mail no sirve para nada y no es justificable, no se juega con las cuentas de los usuarios.


Saludos

Citar
"en un principio lo hice por si a un usuario le ocurría algún problema y por cosas de la vida necesitara que se le modifique el correo electrónico..."

fue exactamente lo que dije...  :-\
voy a esperar más comentarios pero seguramente lo saque...
5  Programación / Desarrollo Web / [Pregunta]: ¿Hacer esto con los correos electrónicos de los usuarios es legal? en: 28 Noviembre 2020, 20:54
Hola,

pasa que hay información como lo puede ser un nombre, apellido que un administrador le puede modificar a un usuario... pero hay otra información como el correo electrónico (acceden a la plataforma con el email + password) que también puede ser modificada por un administrador, en un principio lo hice por si a un usuario le ocurría algún problema y por cosas de la vida necesitara que se le modifique el correo electrónico...

"métodos de seguridad"
- Cuando un admin modifica un correo electrónico queda registrado en un log especial que solamente puede ser visualizado por todo el staff. Donde se dice a que usuario se le modifico el email, cual fue el anterior email, cual es el nuevo, la fecha, la ip, y que admin fue el que modificó... además para que se concrete el cambio hay que esperar 48 horas, y además se le avisa al usuario por medio de un mail explicandole que un admin inició una solicitud para modificar el email del usuario, tamb en dicho email se le aclara que el usuario puede cancelar este cambio antes de esas 48 horas...

Pero igualmente con todo esto todavía no me convence de que tan legal sea esto, primero que nada porque como son "credenciales de acceso" es decir, uno se logea con el email + la contraseña (ya la contraseña sí no se puede editar, solamente el mismo usuario)
podría pasar que las credenciales de acceso fueran un "nombre de usuario" + "password", y tendría la misma pregunta de que tan legal sea que un admin pueda modificar el nombre de usuario por tratarse de una credencial de acceso.

Creo que me explique bien...
6  Programación / Desarrollo Web / Re: [Pregunta]: ¿Cómo agregar una nueva versión siendo esta ya visible para todos? en: 28 Noviembre 2020, 16:48
Apache, más que eso no te puedo decir porque no sé...
7  Programación / Desarrollo Web / Re: [Pregunta]: ¿Cómo agregar una nueva versión siendo esta ya visible para todos? en: 28 Noviembre 2020, 14:24
Ahh pensé que así era para el servidor, como se haría entonces a dónde debería ir?

Gracias.
8  Programación / Desarrollo Web / Re: [Pregunta]: ¿Cómo agregar una nueva versión siendo esta ya visible para todos? en: 28 Noviembre 2020, 04:40
Código
  1. $file = 'my_file.php';
  2. $last_modified = filemtime($file);
  3. $etag = md5_file($file);
  4.  
  5. header('age: 0');
  6. header('cache-control: public, max-age=0, must-revalidate');
  7. header('content-encoding: gzip');
  8. header('content-type: text/html; charset=UTF-8');
  9. header('last-modified: '.gmdate('D, d M Y H:i:s', $last_modified).' GMT');
  10. header('etag: '.($etag));
  11.  

Creo que ya sería todo...
En resumen, ¿de está manera ya no tendría ese problema? (no sé si esta vez lo apliqué bien)
9  Programación / Desarrollo Web / Re: [Pregunta]: ¿Cómo agregar una nueva versión siendo esta ya visible para todos? en: 27 Noviembre 2020, 20:56
Las configuraciones del servidor (uso PHP como lenguaje del servidor) las hago de forma dinámica con ini_set pero cual manera debería usar para estas configuraciones de la caché?

Código
  1. header('age: 0');
  2. header('cache-control: public, max-age=0, must-revalidate');
  3. header('content-encoding: gzip');
  4. header('etag: (esa clave larga)');
  5. // o quizás deba usar?
  6. ini_set('age', 0);
  7. ini_set('cache-control', 'public, max-age=0, must-revalidate');
  8. ini_set('content-encoding', 'gzip');
  9. ini_set('etag', '(esa clave larga)');
  10.  

Después está date, pero no estoy seguro si eso haga algo...
10  Programación / Desarrollo Web / Re: [Pregunta]: ¿Cómo agregar una nueva versión siendo esta ya visible para todos? en: 27 Noviembre 2020, 04:58
No entiendo tu pregunta.

src es un atributo.
<script>, <img> son etiquetas.
script, img son elementos (en concreto elementos html).
/x.jpg es una url relativa.
https://example.com/x.jpg es una url absoluta.
En src="/x.jpg", /x.jpg es el valor del atributo src.
v0.0.1 es un query string(cadena de consulta en español, aunque nunca vi utilizar este término en español)
? es un separador para indicar el comienzo del query string en el protocolo http
El query string está compuesto de key/value pairs (en español parejas de claves (identificadores) y valores. Normalmente se utiliza tipo /x.jpg?ancho=400

Te explico como funciona añadir la version o cualquier otra cosa en la url:
Cuando tu introduces un src="example.com/miFoto.jpg" en tu código html, estás definiendo donde se encuentra el recurso.
En la fase de parseo del navegador(cuando cargas la página el navegador lee el texto (codigo html) y lo interpreta para generar la página a partir de él. Al encontrar un <img src="/miFoto.jpg"> añadirá el base url para transformar el valor del atributo src de una ruta/url relativa a una absoluta.
https://developer.mozilla.org/en-US/docs/Web/HTML/Element/base
Por defecto la ruta se obtiene del método href del objeto location. (location.href)
Una vez convertido quedará <img src="https://example.com/miFoto.jpg">

En el siguiente paso que realiza el navegador se obtiene el recurso(miFoto.jpg en este caso) realizando una petición HTTP con el método GET.
La petición que hace el navegador podría ser:
Código
  1. GET /miFoto.jpg HTTP/1.1
  2. Host: example.com
  3. Accept: */*

Entonces el servidor web de example.com recive esta petición y la procesa/parsea para comprenderla y responder en consecuencia.
El servidor web pongamos de ejemplo Apache comprueba el archivo .htaccess (si existe) en la carpeta de la web, donde puede haber unas directivas tal que:
Código
  1. <filesMatch ".(ico|jpg|jpeg|png|gif)$">
  2. Header set Cache-Control "max-age=2592000, public"
  3. </filesMatch>
Aquí se indica que se incluya una cabecera HTTP(header) en la respuesta HTTP que se le dará al navegador en caso de que el recurso solicitado exista y su nombre cumpla con lo indicado en la expresión regular. En este caso se cumplirá para una serie de archivos cuyo nombre acabe por alguna de las extensiones de la expresión.
Entonces se incluye Cache-Control: max-age=2592000, public como cabecera de respuesta.
El navegador recive la imagen en el cuerpo de la petición junto al caché control y en base a el hashea la url del recurso y lo almacena en el caché.

Cuando se vuelve a solicitar la misma imagen, el navegador comprueba si la url que se está solicitando coincide con la que está almacenada en caché. Cuando le añades el ?v0.0.1 la url no coincide, por lo que el navegador entiende que la imagen que tiene en caché no coincide con la que se está solicitando actualmente y entiende como que es una imagen distinta. Se solicita la nueva imagen y se repite todo el proceso.

El efecto de añadir ?v0.0.1 es casi el mismo que si le cambias el nombre a la imagen cada vez que la actualices.
miFoto_v0.0.1.jpg.


PD: De todas formas esto de añadir la versión es un apaño rápido. Una solución para salir del paso de forma rápida y sencilla. Está bien para algún recurso concreto o páginas muy pequeñas y con pocas actualizaciones.

Qué pasa si mañana decides hacer una remodelación de la web? Tendrás que ir url por url y archivo por archivo cambiando las versiones. Si cambias todo de forma global puede que cambies la versión de algún archivo que no ha cambiado y obligas al cliente a descargarlo de nuevo a pesar de tener copia actual en caché.

La solución correcta/recomendada/óptima, es configurar el caché según tus necesidades. Normalmente en el servidor. Como puedes ver en uno de los ejemplos, se pueden usar expresiones regulares para cambiar el caché en archivos concretos. Para el problema que tienes, que creo que es algo más de fase de desarrollo que de producción, te recomiendo configurar el caché de tu servidor como en el ejemplo que te comenté anteriormente (en otra respuesta) de Netlify. Usando el etag para que el navegador compruebe automáticamente si el archivo cambió o no (utilizando e-tag). A parte de que es una solución más robusta, también es más cómoda para ti, ya que no tienes que andar cambiando las url para nada.

Estuve leyendo eso de netlify y quedé medio perdido, en pocas palabras esto:



es equivalente a poner esto en mi html?

Código
  1. <meta age="0">
  2. <meta cache-control="public, max-age=0, must-revalidate">
  3. <meta content-encoding="gzip">
  4. <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  5.  

 :huh: :huh:  :huh:
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 64
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines