Comentarios para Diario de un programador http://blog.cuerty.com Historias, pensamientos, ideas y proyectos de un programador viviendo en Buenos Aires, Argentina. Thu, 20 May 2010 12:36:54 -0700 http://wordpress.org/?v=2.8.6 hourly 1 Comentario de Sobre editar… por magia roja http://blog.cuerty.com/2009/03/22/sobre-editar/#comment-2877 magia roja Thu, 20 May 2010 12:36:54 +0000 http://blog.cuerty.com/?p=11#comment-2877 Buenas noches, este wordpress es excelente. Es excelente leer esto dando vueltas. Sigan comentando con esta excelencia. Hasta pronto Buenas noches, este wordpress es excelente. Es excelente leer esto dando vueltas. Sigan comentando con esta excelencia. Hasta pronto

]]> Comentario de Bases de datos, passwords, seguridad y otras yerbas por Gustavo http://blog.cuerty.com/2010/03/24/bases-de-datos-passwords-seguridad-y-otras-yerbas/#comment-2669 Gustavo Thu, 25 Mar 2010 13:11:40 +0000 http://blog.cuerty.com/?p=178#comment-2669 Creo que repercutió negativamente porque un emprendimiento que cuenta con 3.2 millones de U$S de inversiòn, esté basado en un sistema hecho por freelancers. Cuando lo empezaron a desarrollar internamente, no lo reescribieron desde cero, además de no contratar gente calificada por los niveles de sueldo que pagan. Espero que hayan aprendido la lección: programadores bien pagos e idóneos y sistemas en base a frameworks bien conocidos (ej.: Symfony o Zend Framework) Creo que repercutió negativamente porque un emprendimiento que cuenta con 3.2 millones de U$S de inversiòn, esté basado en un sistema hecho por freelancers. Cuando lo empezaron a desarrollar internamente, no lo reescribieron desde cero, además de no contratar gente calificada por los niveles de sueldo que pagan.
Espero que hayan aprendido la lección: programadores bien pagos e idóneos y sistemas en base a frameworks bien conocidos (ej.: Symfony o Zend Framework)

]]> Comentario de Bases de datos, passwords, seguridad y otras yerbas por qwerty http://blog.cuerty.com/2010/03/24/bases-de-datos-passwords-seguridad-y-otras-yerbas/#comment-2665 qwerty Thu, 25 Mar 2010 01:15:46 +0000 http://blog.cuerty.com/?p=178#comment-2665 @Ezequiel: efectivamente, las saltearon, como esta dando vueltas en twitter un rt de algo que dije por chat: "Quizás pensaron que base64 es 59 veces más groso que md5" @Ezequiel: efectivamente, las saltearon, como esta dando vueltas en twitter un rt de algo que dije por chat: “Quizás pensaron que base64 es 59 veces más groso que md5″

]]> Comentario de Bases de datos, passwords, seguridad y otras yerbas por Matiu http://blog.cuerty.com/2010/03/24/bases-de-datos-passwords-seguridad-y-otras-yerbas/#comment-2664 Matiu Thu, 25 Mar 2010 00:18:15 +0000 http://blog.cuerty.com/?p=178#comment-2664 Excelente post! Gracias. Guardar password en texto plano es inaceptable. O de vago o de ignorante. Lo lamento profundamente por Geelbe. Excelente post! Gracias.

Guardar password en texto plano es inaceptable. O de vago o de ignorante.

Lo lamento profundamente por Geelbe.

]]> Comentario de Bases de datos, passwords, seguridad y otras yerbas por Ezequiel http://blog.cuerty.com/2010/03/24/bases-de-datos-passwords-seguridad-y-otras-yerbas/#comment-2663 Ezequiel Wed, 24 Mar 2010 23:02:27 +0000 http://blog.cuerty.com/?p=178#comment-2663 Un dato de color. Habiendo visto algunas contraseñas me parece que no solo las encodearon con base64... también las saltearon??? Si desencriptas las contraseñas terminan todas igual... Estoy en lo correcto o hay algo que me estoy perdiendo? Un dato de color. Habiendo visto algunas contraseñas me parece que no solo las encodearon con base64… también las saltearon??? Si desencriptas las contraseñas terminan todas igual…

Estoy en lo correcto o hay algo que me estoy perdiendo?

]]> Comentario de Bases de datos, passwords, seguridad y otras yerbas por alejolp http://blog.cuerty.com/2010/03/24/bases-de-datos-passwords-seguridad-y-otras-yerbas/#comment-2662 alejolp Wed, 24 Mar 2010 19:13:47 +0000 http://blog.cuerty.com/?p=178#comment-2662 eehh, no habia leido todo lo que escribiste. el link que te dejé ya lo tenías ahi... :) el problema con las salted es que podés armarte una rainbow con esa salt, y estás en la misma que usando md5/sha1. eehh, no habia leido todo lo que escribiste. el link que te dejé ya lo tenías ahi… :)

el problema con las salted es que podés armarte una rainbow con esa salt, y estás en la misma que usando md5/sha1.

]]> Comentario de Bases de datos, passwords, seguridad y otras yerbas por alejolp http://blog.cuerty.com/2010/03/24/bases-de-datos-passwords-seguridad-y-otras-yerbas/#comment-2661 alejolp Wed, 24 Mar 2010 17:54:01 +0000 http://blog.cuerty.com/?p=178#comment-2661 Hace poco me crucé con esto, Un paso mas allá de las salted passwords How to safely store a password: http://codahale.com/how-to-safely-store-a-password/ Saludos! Hace poco me crucé con esto, Un paso mas allá de las salted passwords

How to safely store a password:
http://codahale.com/how-to-safely-store-a-password/

Saludos!

]]> Comentario de Bases de datos, passwords, seguridad y otras yerbas por qwerty http://blog.cuerty.com/2010/03/24/bases-de-datos-passwords-seguridad-y-otras-yerbas/#comment-2659 qwerty Wed, 24 Mar 2010 16:28:07 +0000 http://blog.cuerty.com/?p=178#comment-2659 @Eric Londaits: Estoy de acuerdo, SQL Injection no es aceptable ni remotamente, solamente queria aclarar que era comun por si alguien no-tecnico leia el articulo (despues de todo es el item #2 en la lista de los errores mas comunes cuando uno programa: http://www.sans.org/top25-programming-errors/). Considero que sitios como Geelbe, que manejan transacciones comerciales de una u otra forma deberian ser scaneados regularmente con herramientas como Peach Fuzzer, scapy y w3af. Eso y tener programadores que sean concientes de lo que hacen. @Eric Londaits: Estoy de acuerdo, SQL Injection no es aceptable ni remotamente, solamente queria aclarar que era comun por si alguien no-tecnico leia el articulo (despues de todo es el item #2 en la lista de los errores mas comunes cuando uno programa: http://www.sans.org/top25-programming-errors/).

Considero que sitios como Geelbe, que manejan transacciones comerciales de una u otra forma deberian ser scaneados regularmente con herramientas como Peach Fuzzer, scapy y w3af. Eso y tener programadores que sean concientes de lo que hacen.

]]> Comentario de Bases de datos, passwords, seguridad y otras yerbas por Eric Londaits http://blog.cuerty.com/2010/03/24/bases-de-datos-passwords-seguridad-y-otras-yerbas/#comment-2658 Eric Londaits Wed, 24 Mar 2010 16:01:18 +0000 http://blog.cuerty.com/?p=178#comment-2658 Agradezco que hayas puesto este post para educar al público general y también a la gente comercial de Geelbe que quizás no sabía estas cosas y fue "embaucada" por programadores incompetentes. Sin embargo quisiera hacer un par de salvedades a lo que decís: 1) Guardar las passwords en texto plano es completa y absolutamente inaceptable por varias razones: a) Guardarlas encriptadas no es esfuerzo alguno b) Nunca se puede saber si no serán vistas. Es imposible asumir que el sitio es inhackeable. c) Aún si nunca son hackeadas están a la vista de los empleados de Geelbe (el dba, por ej). Nadie de Geelbe (ni el presidente ni sus empleados) deberían tener almacenados datos críticos del usuario que no necesitan para operar (i.e. la password en texto plano). Encriptar las contraseñas es primero que nada una muestra de respeto básica a los usuarios. 2) Es verdad que un SQL Injection es un error recontra común... pero a la vez es muy sencillo de evitar usando prácticas o frameworks adecuados. Es un ataque que se puede evitar con una revisión metódica de todas las instancias de tratamiento de datos de entrada. Para una empresa ser vulnerable a este tipo de ataques hoy día es completa, total y absolutamente inaceptable. Hay ataques más complejos como los de XSS y CSRF que son mucho más difíciles de tapar, con los que estaría un poco más dispuesto a hacer concesiones... pero no inyección SQL. Nota al margen: La verdadera bolilla negra acá va para las empresas de tarjeta de crédito, que en vez de exigir huevadas varias respecto a la seguridad deberían mirar lo mínimo y básico de la seguridad del sitio (como la forma de almacenar las contraseñas)... porque aunque los números de tarjeta no queden expuestos hay un problema de seguridad grosísimo inherente en difundir contraseñas y mails de los usuarios que te dieron su número de tarjeta... alcanzan para contactar a esos usuarios con una historia de terror ("un error en el sistema de autorizaciones, necesitamos revertirle un cargo para que no aparezca en su próxima liquidación") y sacarles los datos de tarjeta por métodos varios ("por seguridad no nos mande el número, haga un scan de la tarjeta y mándela por mail..." o "mándenos el número por fax a.. (locutorio)" o "llame a este número de teléfono y deje su nombre y número de tarjeta en el contestador (celular con chip)"). Agradezco que hayas puesto este post para educar al público general y también a la gente comercial de Geelbe que quizás no sabía estas cosas y fue “embaucada” por programadores incompetentes.

Sin embargo quisiera hacer un par de salvedades a lo que decís:

1) Guardar las passwords en texto plano es completa y absolutamente inaceptable por varias razones:

a) Guardarlas encriptadas no es esfuerzo alguno

b) Nunca se puede saber si no serán vistas. Es imposible asumir que el sitio es inhackeable.

c) Aún si nunca son hackeadas están a la vista de los empleados de Geelbe (el dba, por ej). Nadie de Geelbe (ni el presidente ni sus empleados) deberían tener almacenados datos críticos del usuario que no necesitan para operar (i.e. la password en texto plano). Encriptar las contraseñas es primero que nada una muestra de respeto básica a los usuarios.

2) Es verdad que un SQL Injection es un error recontra común… pero a la vez es muy sencillo de evitar usando prácticas o frameworks adecuados. Es un ataque que se puede evitar con una revisión metódica de todas las instancias de tratamiento de datos de entrada. Para una empresa ser vulnerable a este tipo de ataques hoy día es completa, total y absolutamente inaceptable. Hay ataques más complejos como los de XSS y CSRF que son mucho más difíciles de tapar, con los que estaría un poco más dispuesto a hacer concesiones… pero no inyección SQL.

Nota al margen:

La verdadera bolilla negra acá va para las empresas de tarjeta de crédito, que en vez de exigir huevadas varias respecto a la seguridad deberían mirar lo mínimo y básico de la seguridad del sitio (como la forma de almacenar las contraseñas)… porque aunque los números de tarjeta no queden expuestos hay un problema de seguridad grosísimo inherente en difundir contraseñas y mails de los usuarios que te dieron su número de tarjeta… alcanzan para contactar a esos usuarios con una historia de terror (”un error en el sistema de autorizaciones, necesitamos revertirle un cargo para que no aparezca en su próxima liquidación”) y sacarles los datos de tarjeta por métodos varios (”por seguridad no nos mande el número, haga un scan de la tarjeta y mándela por mail…” o “mándenos el número por fax a.. (locutorio)” o “llame a este número de teléfono y deje su nombre y número de tarjeta en el contestador (celular con chip)”).

]]> Comentario de Bases de datos, passwords, seguridad y otras yerbas por Julio http://blog.cuerty.com/2010/03/24/bases-de-datos-passwords-seguridad-y-otras-yerbas/#comment-2657 Julio Wed, 24 Mar 2010 14:33:58 +0000 http://blog.cuerty.com/?p=178#comment-2657 Angel muy buen post. Despues de ver tantos y tan diferentes problemas en todos lados, uno puede afirmar ese dicho "Existen dos clases de sistemas, los hackeados y los que van a ser hackeados". Angel muy buen post.

Despues de ver tantos y tan diferentes problemas en todos lados, uno puede afirmar ese dicho “Existen dos clases de sistemas, los hackeados y los que van a ser hackeados”.

]]>