Portada
Hace 16 años | Por AndresD a thedailywtf.com
Publicado hace 16 años por AndresD a thedailywtf.com

"¡Malditos hackers! ¡Violaron mi seguridad JavaScript!"

 thedailywtf.com

Mucho cuidado, que sólo los funcionarios del gobierno pueden ver las páginas seguras de este sitio. O cualquiera que vea el HTML de la página de login y lea el usuario y la contraseña en el JavaScript de seguridad. O que ponga en el navegador la URL de alguna de esas páginas. O que se las encuentre en la caché de Google. Ah, pero cuando los "hackearon", tomaron medidas inmediatas: corrieron a cambiar el usuario y la contraseña en el script. ¡Ahora sí es seguro!

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 28 34

Comentarios

D
editado

Se puede ser más inepto, pero requiere de estudios superiores y una dedicación plena.

V 20
K 180
Arcade
editado





lol lol

V 13
K 86
XAbou
editado

#3 Si en la puerta de tu casa pones un cartel que diga "La llave está debajo del felpudo" luego no te quejes de que alguien ha entrado y que la culpa de la inseguridad es solo de la gente que entra a robar.

V 11
K 77
D
editado

Luego se preguntarán por qué tienen que contratar a alguien con estudios en vez de al cuñado del primo del vecino para que les haga la web...

V 7
K 60
D
editado

#3 #6 nadie se ha llevado nada material de esa web. Como tu dices si te dejan entrar en una iglesia o en un centro comercial y tu ves un cartel o un número de teléfono y luego lo usas no es robar. No te pueden obligar a olvidar o no usar lo que hayas visto. Otra cosas es que te lleves cosas materiales.

PD: La SGAE y su manía de que copiar información es robar está haciendo estragos en las mentes españolas.

V 6
K 51
D
editado

http://www.luds.net/galeries/nelson.gif p0wned! lol lol lol

Próximamente, en la web del ejército de EEUU, acceso a los planos de sus misiles con una contraseña larguísima... oculta en un archivo .js lol lol lol lol lol lol lol

#4 y ni siquiera cumple los estándares W3C, debería aparecer y no el atributo language lol

V 7
K 51
rafaLin
editado

¿Habeis visto este comentario? Es genial:

thank you hackers for trying to destroy federal suppliers guides reputation. i have worked here with my wife for 10 years now and have helped hundreds of clients obtain federal government work. i have 4 children and though you don't care you are hurting the feelings of many good employees and customers by your immature actions. sorry our site wasn't protected to your standards however all of you are being reported to the appropriate authorities as we have your information too. you should of protected your info a little better. not only is the company legit we actually have held a 5 year GSA contract with the federal government
and one of my best clients just broke 500,000 dollars in federal sales directly related to the GSA contract we got them. i am proud to work here and help small businesses obtain government workand also help federal buyers locate qualified small businesses to do business with. if you not interested in government work or our services of helping small businesses navigate the federal market fine but please don't slander the company. its rude, your comments are not truthful we are not a scam and i hope someday you realize that all you have to do is check us out with dun & bradstreet or GSA or the florida local and state chambers of commerce to see that what we do is real and federal buyers do request both our hardcopy guides and the online directory as well.

Me parto lol

V 5
K 45
D
editado

HOYGAN AN CANVIAO LA CONTRASENIA!!!



V 4
K 43
Liveral
editado

Since there's really only one thing that could cause such a dialog to pop-up so fast, I checked the source code...

Para eliminar sospechas, en futuras ocasiones se está contemplando poner un retardo de 0.2 segundos ... y la contraseña en el código javascript, para ahorrar espacio en la base de datos

V 4
K 38
A
autor
editado

#24 ya que está claro que no tienes ganas de leer el artículo, mira al menos el código que copia el comentario #15. ¿A eso lo llamas comprobación contra el servidor? Y sí, claro que "habrá un filtro que sólo te permitirá verla si en la sesión del servidor pone que te has autentificado". Por eso el autor todas las páginas "seguras" están en la caché de Google:

http://www.google.com/search?q=site%3Aofficers.federalsuppliers.com&hl=en

¿Será Google un usuario autorizado del sitio? ¿Te diste de alta en Menéame sólo para eso?

V 4
K 36
dinky
editado

Como se puede ser un webmaster tan penoso...

Ahh, y señores, el HTML de una página es público, tu navegador lo lee para interpretarlo (es texto plano), y tu eres libre de leerlo también, es más, al principio de internet había mucha gente que se bajaba las webs como texto plano (sin navegador) y leían el HTML directamente (el HTML es muy muy simple, y más en esos tiempos). Ahora, si pones un javascript en el código fuente de tu página te arriesgas a que lo miren, es más, está ahí para que tećnicamente lo lean (para que lo lean los navegadores web, pero no exclusivamente).

V 4
K 36
Gry
editado

Si no sabes javascript, no sabes informática.
-Cursos CCC. lol

V 2
K 29
A
autor
editado

#18 es que ni siquiera es necesario saber el password: basta con poner en el navegador la dirección que aparece ahí mismo, en el "location". Como dicen en los comentarios del artículo, esto es como ponerle una puerta a una casa sin paredes.

V 3
K 29
H
editado

The Daily WTF genial, como siempre

V 2
K 26
matacca
editado

#4 y #15: El mejor, el último comentario:

if (form.id.value=="buyers" && form.pass.value=="gov1996") http://officers.federalsuppliers.com/agents.html";
"> else if (form.id.value=="buyers" && form.pass.value!="gov1996") else if (form.id.value!="buyers" && form.pass.value=="gov1996") "> else is gov1996. Put the UserID in the top box, where it's written
"User:". Put the password in the bottom box, where it's written
"Password"');
">

V 2
K 23
geloso
editado

#18 Da igual como compruebes la password, mientras siga existiendo en el código
location="officers.federalsuppliers.com/agents.html;

V 2
K 23
D
editado

#12 Los estudios en este caso no hubieran solucionado nada. El que es gilipollas lo es, con estudios o sin ellos.

V 2
K 21
Welling
editado

#28 el comentario #20 es correcto, no sacando de contexto la cosas...

V 2
K 19
D
editado

#20 , #21 Ups, cierto! Cagada de novato lol.

V 1
K 14
Candidatas
46
meneos
ocio El 17% de los fondos europeos han sido transferidos a Llados Fitness
34
meneos
politica Compromís acusa a PP y Vox de incumplir en Elche la Constitución por mezclar la religión con la política
18
meneos
cultura Un nuevo estudio afirma que el misterioso manuscrito Voynich esconde un manual cifrado
21
meneos
tecnología La maldición de Monkey Island (The Curse of Monkey Island) (ENG)
35
meneos
actualidad La Audiencia condena a un año y medio de cárcel a la mayoría de acusados por las agresiones del 9 d'Octubre
34
meneos
cultura Una larga avenida columnada romana descubierta en la ciudad de Antalya
27
meneos
actualidad La Comunidad de Madrid cesa a un arquitecto autonómico por ausentarse de su puesto desde la pandemia
27
meneos
actualidad Tesla emite aviso de reparación para cerca de 4.000 Cybertruck por problemas con acelerador
39
meneos
actualidad Roban una escultura de bronce de un millón de euros para venderla al peso por 1.345
19
meneos
metal Necrophobic - Clavis Inferni
15
meneos
actualidad Los vecinos de Puerta del Ángel (Madrid) plantan cara al fondo buitre que encarece la vivienda del barrio
42
meneos
actualidad Llamamiento desesperado para ayudar a Alejandro, de diez años, con leucemia: "Quedan cuatro semanas para encontrar un donante de médula"
20
meneos
actualidad Cataluña instalará una desalinizadora flotante en el Puerto de Barcelona y descarta los barcos
40
meneos
actualidad La Fiscalía del Supremo pide condenar a un juez, fiscal y policía por la detención de los familiares de un político del PP balear
s
editado

¿Porqué lapidaron el comentario de #3? Fue una opinión inocente (demasiado inocente) que no ofendía ni provocaba a nadie... Cada día los "hackers" son menos tolerantes, recuerdo que que en los 80s se destacaban por ser gente muy amable, quizá es que no era cool ser hacker en esos tiempos.

Y para inocentes los que pagaron por ese sitio.

V 6
K 13
D
editado

EPIC FAIL!

V 3
K 12
D
editado

#6 Míralo como si fuera un centro comercial o una iglesia que te dejen entrar no quiere decir que puedas robar. roll

V 3
K 9
A
autor
editado

Ups.

Puse:

"Por eso el autor todas las páginas "seguras" están en la caché de Google"

Quise poner: "Por eso el autor del artículo pudo ver las páginas 'seguras' y todas están en la caché de Google"

V 0
K 9
f
editado

Ya no está en linea la porquería. Pero es que la mejor solución que pudieron hallar es dar de baja el sitio? No aprenden, a esta gente no le entran balas.

V 0
K 8
D
editado

No me lo puedo creer

V 0
K 7
D
editado

Es como si para apagar la alarma de tu casa en vez de un código tienes que meter la respuesta a un acertijo. Cualquiera con un poco de tiempo libre y algo de ingenio puede sacarlo.

V 0
K 6
Welling
editado

Debieron contratar a un tipo que tenía un anuncio así: "Webs por 50€ en Frontpage y por 20€ más, con javascripts."

V 0
K 6
D
editado

#27 Con estudios me refería a alguien que haya estudiado algo de informática, obviamente. Por muy gilipollas que sea uno, si ha estudiado en serio Javascript, no pone ahi el usuario y la contraseña.

V 0
K 6
D
editado

¿Y si la hubieran cifrado con MD5? No haría ya imposible la entrada aun viendo el hash?

V 0
K 6
p
editado

Que fort

V 0
K 6
D
editado

#28 vale tranki. Sí, soy novato en el tema y en menéame, pero no hace falta ponerse así no?

Bajo mi punto de vista #20 y #21 tienen razón en contra de lo que he dicho, pero de todas formas ese login yo lo hubiera hecho con sesiones en PHP.

Saludos.

V 1
K -2
l
editado

A ver #25 , el comentario de #20 es el siguiente:

Da igual como compruebes la password, mientras siga existiendo en el código
location="officers.federalsuppliers.com/agents.html;

Y sigo reafirmandome que si compruebas el password contra el servidor y pones un filtro en todas las páginas entonces éstas ya serían seguras y por lo tanto: SI que importa como compruebes la password (contra el servidor) y da igual que pongas el location (Pq el filtro te impide verlas).
Es decir que el comentario de #20 es erroneo.
Otra cosa es que #20 hubiera querido decir que si se sigue sin poner el filtro en la páginas da igual como compruebes el password. Pero si esa era su intención que se explique mejor.¿O debo suponer que sabe lo que es un filtro?
Y por cierto ¿te molesta que te critique una persona que acaba de registrarse?
"El que se pica ajos come"

V 4
K -9
l
editado

A ver si aprendemos un poquito de informática, que hay demasiados aficionado que se dedica a criticar a los demas, y me refiero a los comentarios #20, #21 y #22.
Se puede poner perfectamente location="officers.federalsuppliers.com/agents.html; en el código con tal de que primero compruebes contra el servidor el usuario/password y el servidor se guarde en la sesión que el usuario/password son válidos. Pq al navegar hacia la página que pone en el location habrá un filtro que solo te permitirá verla si en la sesión del servidor pone que te has autentificado.

V 10
K -85
S
editado

Y si dejas la puerta de tu casa abierta, es correcto entrar?
Pues me parece lo mismo. Si en este mundo existe tanta inseguridad solo es culpa de todos quienes quieren entrar en lo que no es de su propiedad.

V 28
K -156