El furgón de cola
Una de las discusiones eternas en este mundo se debate alrededor de "Cómo justificar la inversión en seguridad". Es la eterna paradoja de "si no pasa nada para que gastamos tanta pasta" y de "si pasa algo para que ha servido gastar tanta pasta". Quizá no hay mejor forma que ver las barbas de tu vecino cortar para que la gente ponga las suyas a remojar, tomar buena nota y no hacer las cosas a la ligera.
Quizá, después del éxito mediático del XSS en la web de eu2010 haya que tomarse más en serio el tema de los XSS, o después de la cagada con el manifiesto CENATIC se tomen más en serio los metadatos. O por lo menos algunos, porque para otros, las auditorías de seguridad deben seguir siendo un gasto de dinero innecesario.
Me sorprende ver como en la campaña del Siereslegalereslegal del ministerio de “kultura” aparece el enésimo XSS, tras que apareciera el de la OCU recomendando Firefox.
XSS en la web de Siereslegal
XSS en la OCU
Esto es un poco como salvaje, a nadie parece importarte la seguridad o, por el contrario, debe ser el gran recortado en los presupuestos tras la situación de crisis. Ayer nos envió un amigo, utilizando el nunca mejor servicio de la SGAE de “enviar a un amigo” este bonito mail de Ramoncín.
Recomendaciones de Ramoncín
El link que se envía a un amigo va en un campo GET del formulario, para que a través de la SGAE se puedan referenciar todos los links que quieras. Vamos, un buen sistema para que la SGAE repartiera Spam, troyanos, botnets, etc… Todo diversión.
Y no me quiero ir sin hacer una mención especial al PEOR PDF de la historia a cargo de Ciberpopulares del PP, que yo pensé que tras el XSS de la web del PSOE no iba a encontrar alguna chorradilla graciosa en los políticos y van y me sorprenden con una captura de la web, conversión a JPEG de baja calidad con mucha perdida, distorsión y conversión a PDF. ¡Ahí!, viva el arte del diseñador.
En fin, algún día seremos un país que se tome en serio la seguridad informática, mientras tanto nos tocará ir en el furgón de cola.
Saludos Malignos!
Quizá, después del éxito mediático del XSS en la web de eu2010 haya que tomarse más en serio el tema de los XSS, o después de la cagada con el manifiesto CENATIC se tomen más en serio los metadatos. O por lo menos algunos, porque para otros, las auditorías de seguridad deben seguir siendo un gasto de dinero innecesario.
Me sorprende ver como en la campaña del Siereslegalereslegal del ministerio de “kultura” aparece el enésimo XSS, tras que apareciera el de la OCU recomendando Firefox.
XSS en la web de Siereslegal
XSS en la OCU
Esto es un poco como salvaje, a nadie parece importarte la seguridad o, por el contrario, debe ser el gran recortado en los presupuestos tras la situación de crisis. Ayer nos envió un amigo, utilizando el nunca mejor servicio de la SGAE de “enviar a un amigo” este bonito mail de Ramoncín.
Recomendaciones de Ramoncín
El link que se envía a un amigo va en un campo GET del formulario, para que a través de la SGAE se puedan referenciar todos los links que quieras. Vamos, un buen sistema para que la SGAE repartiera Spam, troyanos, botnets, etc… Todo diversión.
Y no me quiero ir sin hacer una mención especial al PEOR PDF de la historia a cargo de Ciberpopulares del PP, que yo pensé que tras el XSS de la web del PSOE no iba a encontrar alguna chorradilla graciosa en los políticos y van y me sorprenden con una captura de la web, conversión a JPEG de baja calidad con mucha perdida, distorsión y conversión a PDF. ¡Ahí!, viva el arte del diseñador.
En fin, algún día seremos un país que se tome en serio la seguridad informática, mientras tanto nos tocará ir en el furgón de cola.
Saludos Malignos!
6 comentarios:
me has leido el pensamiento:
"finally in Spain have discovered xss vulnerability (as always to the latest), thanks to Mr Bean #spain_is_different_aka_obsolete
31 minutes ago from Power Twitter"
Muchas veces no es culpa de desarrollo (hablo de mi empresa)..
Nosotros nos gastamos un pastón en securizar la plataforma, en ciclos de desarrollo seguro, en i+d, etc etc y luego resulta que llegan clientes que no quieren tanta seguridad porque vale mucha pasta..
Generalmente este país es un chiste constante en todas las webs de contenido institucional y no tiene pinta de que cambie mucho la cosa estos años..
Saludos nin!
Wi®
No hables de seguridad cuando debes decir informática.
No es que no se tenga en cuenta la seguridad, es que el brutal desconocimiento de la informáticas es terrible.
Siendo éste un hecho relevante no es lo principal, porque para eso están los tecnólogos.
Lo más grande es que los más analfabetos tecnológicos no saben cuán puta poca idea tienen, pensando que saben de qué hablan, e incluso en puestos de responsabilidad sobre tecnología.
Es algo similar a los tecnicoless, pero yo creo que habría que hacerles una definición aparte.
Quedaría más realista decir: algún día seremos un país que se tome en serio las cosas importantes.
Por lo demás, el ser en el anonimato tiene razón.
Chema, esto es cierto?
http://www.theregister.co.uk/2009/11/20/internet_explorer_security_flaw/
Buenisimo tu blog.
@anónimo, parece que sí, pero no se ha publicado la forma de explotarlo.
Saludos!
Publicar un comentario