No pasa nada. Podéis bajar lo que queráis del eMule. Pero no lo vendáis
27 / 08 / 2008 por franEs lo que dijo Jorge MartÃn, Jefe del Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica de la ComisarÃa General de PolicÃa Judicial, en la ponencia que dió el pasado 18/11/2007 en el Congreso de Webmasters.
Es noticia porque hoy han colgado el video de la ponencia en youtube, ahora todo el mundo puede verlo y saber cual es la verdad.
De todas formas parece, si por la sgae fuera, no serÃa legal y en esa vÃa está trabajando, parece ser que incluso a nivel polÃtico. Su objetivo ilegalizar las descargas de archivos mediante p2p y de paso sacar tajada de ello.
Aunque el video no es solo interesante por esta frase, en él Jorge MartÃn nos insta a que prestemos un poco de atención en la seguridad de las aplicaciones web que desarrollamos.
Hace referencia al Top 10 de vulnerabilidades más importantes de las aplicaciones web, encabezadas por las siguientes técnicas:
- “Cross site Scripting”. Es una tipo de inyección HTML que se produce cuando una aplicacion toma datos que introduce el usuario y los envia al navegador sin validarlos o codificarlos.Para prevenir esta técnica debemos siempre comprobar que datos envÃa el usuario y que datos se reciben, para confirmar que son los mismos (video 2).
- “Injection flaws” (Injection SQL.). Son técnicas de inyección que utilizan SQL como lenguaje. Ocurre cuando se envian datos, que ha introducido el usuario, al interprete sin validarlos, normalmente como parte de una consulta. El atacante puede forzar al intertrepe a ejecutar consultas de modificación, inserción y eliminación de registros en una base de datos.Para prevenir esta técnica es importante evitar mostrar información sobre nuestra base de datos en los mensajes de error que se puedan producir y restringir los permisos de los módulos de nuestra aplicación sobre la base de datos.
- “Malicious file execution”. Inclusion remota de ficheros, que permite al atacante incluir codigo hostil pudiendo llegar a controlar incluso llamadas al SO.Para evitarlo debemos controlar que tipo de fichero se está subiendo.
- “Insecure Direct Object Reference”. Referencias directas a objetos, ocurre cuando el programador expone una referencia a una implementación interna (como puede ser la estructura de un fichero, de un directorio, de un registro de la base de datos, …) como parametro de la URL.La mejor solución es utilizar un valor de Ãndice o un mapa de la referencia para prevenir ataques de la manipulación del parámetro (http://www.example.com/application?file=1)
- “Information Leakage and Improper Error Handling “. Perdida de información y manejo inadecuado de errores, ocurre cuando se muestra información sensible que puede ser utilizada por el atacante para realizar otros ataques más avanzados.Lo evitaremos realizando un correcto manejo de los errores que se producen en la aplicación.
La famosa frase se encuentra en el sexto video de la conferencia, pero inserto el primero porque realmente la conferencia no tiene desperdicio.
http://es.youtube.com/watch?v=DkFhPWC3g48
Visto en la noticia: PolicÃa: “No pasa nada, podeis bajar lo que querais de la mula”, ya en vÃdeo de meneame.
Recomiendo también pasarse por el comentario 21 de la noticia, en el cual nos deja ver cuales son las intenciones de la SGAE con el tema de las descargas de internet. Asà que habrá que estar alerta de los posibles acontecimientos y no dejar que nos prohiban algo que realmente es legal, simplemente porque unas instituciones quieran ganar más dinero.
Archivada en 06 - reflexiones.
Comentarios (RSS 2.0).
Puedes dejar una respuesta
También puedes enlazarla en tu web.
Septiembre 16th, 2008 at 16:12
Ya me quedo más tranquilo, mire usté!