Seguridad en Banco Rio
Me pregunto quiénes son los que desarrollan el sitio del Banco Rio.
Uso el home banking de ellos hace años, y me he encontrado con algunos pozos de seguridad inmensos.
No los suelo postear para no difundir pánico, pero como este realmente no afecta la “seguridad” en sí tanto como la estupidez de los sysadmin, lo quiero compartir con ustedes:
Si en este momento van a: http://www.gratisbr.com.ar/ (un sitio con internet gratis del banco rio)
Pueden ver el código fuente del jsp.
Eso pasa cuando dejás que un desarrollador Java te haga la página web.
Felicitaciones.
(no voy a contestar pregunta de porqué estaba viendo CNN al momento del incidente)
Update: lo arreglaron
Fallo de seguridad en el Banco Rio
Un fallo de seguridad importante (muestra el codigo fuente JSP directamente) para un Banco. El Banco Rio (santander) lleva arrastrando varios agujeros de seguridad muy grandes que he decidido no publicar, pero este ya me parece estupido (ademas de no t…
No entiendo que tiene que ver. Lo que sucedió allí es un claro problema de directiva de parsing en el webserver. Tan simple como que omitas instalar el mod_php y definirlo en los handlers del apache. Si tenés ganas de exponer las debilidades del lenguaje te recomiendo hacerlo con mas inteligencia.
Con mi comentario anterior me refiero a que lo mismo podria pasarte con php. Es un claro problema de configuración del webserver y reitero, que tendrá que ver el hecho de que dejes que un desarrollador java construya un sistema, la verdad, no lo entiendo.
Por eso dije “estupidez de los sysadmin”.
Lo de pegarle a la gente que desarrolla Java es un comentario mas bien gratuito.
Nunca pedí objetividad en este blog, pero me parece que decir que algo asi tiene alguna relacion con el lenguaje me parece algo (por lo menos) injenuo. Que se podria decir de php entonces? Tendría todas las de perder, dado el grado de conocimiento medio de su gran base de desarrolladores. Es sencillamente infantil.
En realidad, aludo un poco más a que los desarrolladores de Java tienen la mente puesta en otro lado, y no están acostumbrados a desarrollar para web, para lo cuál asumo que lo subieron y no lo probaron online, ni sabrían configurar un Apache.
Un programador PHP está mucho más ligado a las web, y seguramente tuvo que putearse muchas más veces con estos problemas.
Es una opinión personal, cómo vos decís totalmente poco objetiva.
le tocaron el culo y se enojo
uuu (??)
hehe, concuerdo con Beuno. He visto muchisimas chanchadas hechas en los dos lenguajes, pero a la hora de contratar gente para hacer un sitio para mi banco, me aseguraría que realmente sea gente seria.
Y como bien dice Beuno, muchos programadores en Java deberian dedicarse a eso y listo, dejen la web para los que se dedican a eso.
Que al pedo que estan ustedes, uno mira CNN y ve paginas
defectuosas que no joden a nadie, y el otro que se ocupa de
contestar estas boludeces.
Mucho ruido pocas nueces!
Saludos!
la verdad dejense de joder y ponganse las pilas! esto es serio! y en ustedes se esta poniendo toda la confianza, ademas vale la pena hacerlo!
Me pasaron esta url recién, una lastima no haber llegado mas a tiempo, en cuanto a tu primera pregunta, casualmente soy un desarrollador de la empresa.
El primer error de tu parte, es que la url gratisbr.com.ar NO pertenece a Home Banking, así que afirmar tan libremente que hay “pozos de seguridad inmensos” me parece un poco biased de tu parte. Adicionalmente si encontraste TANTOS problemas de seguridad, me parece que el problema es tuyo por seguir usándolo (y dificulto que te encuentres con menos problemas utilizando el servicio de algún otro banco, al menos eso afirman varias auditoras internacionales (serias) de seguridad), te cuento que yo lo uso con frecuencia y bastante confiado.
Igualmente como toda aplicación muy compleja puede tener fallos, pero hay muchos pasos y verificaciones antes que el usuario final vea la aplicación.
Después te das cuenta que el problema es de administración de webserver. Bravo.
Pero después nuevamente, supongo que movido por el fanatismo, despotricas contra los desarrolladores, y que no tenemos nada que ver (como dice alguien en su rta).
Creo que debes estar muy acostumbrado a ser el hombre orquesta, e instalar el SO. configurar el apache, instalar y configurar el MySQL, desarrollar en php y poner ese servidor en algún housing/hosting, yo hice varias veces lo mismo (y no solo con php, sino también con python).
Pero esta claro que no tenes idea de como se trabaja en otros lugares, pensa que hay administradores de servidores (específicos a cada plataforma), webadmins, admins de seguridad, admins de base de datos, además de sectores de homologación.
Probablemente estemos de acuerdo que una página web se haga mas rápido usando php que java, pero acá hay otras cosas que también importan.
Enumero algunas: la comprensión y facilidad de mantenimiento del código por otros desarrolladores, la interoperabilidad de la plataforma (las apps. java se comunican con distintas plataformas: coordinador transaccional, mainframes, queue servers, ldaps, webservices, y unas cuantas cosas mas). Y para muchos (aunque no estoy de acuerdo en esto) el hecho de ser un lenguaje tipado y que se pueden capturar errores en tiempo de compilación.
Entiendo que el problema que encontraste fue falta de coordinación entre todos los sectores (como lo que implica un sitio/dominio nuevo). Es lamentablemente el precio a pagar cuando hay tanta gente involucrada.
De cualquier manera, te recomiendo que si encostras errores tan seguido, los comuniques al banco, creo que a alguien que encontró un error lo recompensaron de alguna manera (lo digo en serio, igualmente no fue una recompensa en metálico).
Saludos y segui asi que vas barbaro.
bueno che, no se enojen!
=D