Vía Messenger Stuff me encuentro con estos bonitos iconos para el día de los enamorados. No es que sea partidario de este tipo de cosas (lo digo por el Messenger de Microsoft) pero estoy seguro de que a más de uno/a le agradará.
Category Archives: Internet
El informático, ese bicho tan raro.
Estoy realmente asqueado. ¿A vosotros no os pasa? A ver a ver, os comento de forma más clara. ¿No os cansáis de esa gente que anda todo el día detrás de vosotros para preguntaros mil y una cosas sobre informática y que piensan que tu vida se resume en estar en un maldito cubículo mirando un par de pantallas llenas de números y letras que ellos no entenderían jamás? Pero es que además la cosa no se queda ahí. Te miran como un bicho raro y para colmo resulta que como no tienes un pico en una mano y una pala en otra pues resulta que no trabajas. Claro claro… si es que ahora resulta que también cualquier cosa que no sea estar delante de un ordenador no puedes hacerla. Tu punto de vista sobre las cosas, no lo valorará nadie (porque claro, tú eres informático y no sabes nada más que de ordenadores) y encima cuando intentes explicarles cualquier proyecto que tengas en mente sobre algún negocio te mirarán con cara rara y pensarán para sí mismos: “este tío es tonto, nada más que tiene pájaros en la cabeza… ¿cómo cojones va a ganar dinero con una basura como la que está contando…?” Sí señores, no sois los únicos/as que estáis en la misma situación.
Os diré más aún: a mí en mi familia directamente me miran así, como bicho raro cuando voy a visitarles sin saber de lo que hablo pero al mismo tiempo juzgándote por ello. Pero eso sí…. “oye, ponme un antivirus de esos que tú sabes”. Sí claro, y que te vaya por tabaco también, te la chu!”·$ un rato al mismo tiempo que ves el fútbol y no diga ni pío y lo detecte todo. Y lo que yo me pregunto una y otra vez es: ¿para qué demonios quiere la gente un ordenador si luego tienen que llamar al amigo informático de turno a que se lo pongan todo si NO TIENEN NI IDEA DE CÓMO USAR LO QUE ESTÁS PONIENDO? Y encima, es que ni se preocupan por ello… No, te equivocas si piensas que yo soy uno de ellos que van a las casas de los amigos (sí, de esos amigos que sólo te avisan o llaman para que le pongas un programa para bajar MP3 o abrirle los puertos en el router porque su programa P2P no funciona como debiera….
¿Pero en qué mundo vivimos? Lo más bonito es que luego, cuando alguno de nosotros (los informáticos) llegamos a tener un buen proyecto y ganamos dinero lo único que recibimos de esta gente es: “ese seguro que trapichea con algo… eso de los ordenadores y los servidores… ¿qué es eso? Si esa mier!”$ seguro que no da ni céntimo y este está vendiendo droga o algo así”.
Luego están, los que vas a su casa de visita y te comentan: “el ordenador me va lento”. Con amabilidad (eso antes, que no ahora) vas y enciendes el ordenador (acordándose de su madre mientras pulsas el botón) y ves que Windows (porque esta gente sólo quiere esta basura para Messenger y Emule) tarda en cargar y que la barrita esta tareas que se le llama, va llenándose de basura (i.e: programas que no sirven absolutamente para nada y que los usuarios con poca materia gris instalan a cascoporro) sin remedio alguno. Decides abrir el internet explorer (¿morcilla? ¿qué es eso tío? Mi madre compró ayer alguna pero nos la comimos con los garbanzos) y una horda de pezones, ojetes, tetas, almejas, piernas abiertas, labios sugerentes, culos en pompa y demás cositas que uno pone cuando está con la mujer salen a tu encuentro como si fueran un cobrador del frac. Dejemos unos segundos para la publicidad:
- Vaya buyate.
- ¿Esa no era Carmen de Mairena?
- No se… yo la verdad es que no veo esas cosas.
- Aaah.
Sí claro… si es que ahora aparecerán por arte de magia… En fin señores, no accedan tan fácilmente y hagan lo posible por repeler este tipo de gente. No sigo que me encabrono.
¿Irán caída?
Bicheando un rato por internet, me encuentro con esta página de reporte de tráfico de routers de países y continentes. El caso es que veo que Irán, tiene de “packet loss” un 100%, ¿qué habrá pasado?
10 secretos sucios del web hosting gratis. Lo que no quieren que sepas.
Navegando por Go Articles me encuentro con este que traduzco más abajo, bastante interesante:
1.- No proporcionan servicio de soporte las 24 horas los 7 días de la semana. El soporte al cliente parece no ser importante ahora, pero el primer problema que tengas, hubieras deseado escoger una empresa con mejor servicio de cara al cliente. Hay más cosas de las que preocuparse en la vida que el servicio técnico de tu página web, escoge una empresa que te de bien servicio.
2.- No te ofrecen información estadística de tu web. Con un servicio de web gratis, pierdes un montón de información que con un servicio de pago tendrías. Por ejemplo, ¿sabes cuántas visitas has tenido este mes? Si no tienes estadísticas, no sabrás si tu negocio va bien.
3.- Te obligan a tener banners en tu página. Éstos hacen verse a tu página poco profesional. Normalmente, estos banners de publicidad no tienen nada que ver con el contenido de tu página web. Supone una distracción para tus clientes. A unas malas, pueden ver algo que les interese y abandonan tu página para irse a la que la publicidad les mostró.
4.- No tienes acceso FTP. Pregúntale a cualquier programador si el acceso FTP es esencial para una página web a medida. Sin él, no podrás subir la información de tu web al completo. Pero además, tendrás que subir los archivos uno por uno. Esto puede hacerte perder el tiempo, sobre todo para páginas webs grandes.
5.- No te garantizan la disponibilidad de la página. La mayoría de las buenas compañías garantizan una disponibilidad del 99%, sin embargo las compañías de hosting gratis no pueden sostener este uptime, no garantizándolo. Cada minuto que pasa y tu página web está caída, pierdes dinero. Piensa que el coste de un buen hosting es lo que vas a perder si esto ocurre.
6.- No te permiten usar tu propio nombre de dominio. Normalmente debe ser un subdominio de su dominio principal. Esto hará que la longitud de tu página sea mayor y sea más difícil de aprender para los clientes y por consiguiente más difícil de encontrar.
7.- No les gusta que metas software com Joomla o WordPress. Esto hace que el mantenimiento de la página sea mucho mucho más fácil de llevar. Muchas empresas de hosting de pago, no sólo te dejan tener este tipo de software en tu alojamiento, sino que además lo proveen de forma gratis.
8.- No te dan suficiente espacio en disco o transferencia al mes. Éste varía dependiendo de para qué vayas a usar el hospedaje pero generalmente no te ofrecen suficiente.
9.- No te dan cuentas de correo con el servicio. Aunque seas una pequeña empresa, necesitas al menos de 5 direcciones de correo para que los clientes contacten contigo. Se ve muy poco profesional si tienes un correo para tu empresa del tipo pepe@hotmail.com o cualquier de los demás servicios de correo gratis que existen.
10.- Sólo tienen un servidor. Mientras que un servidor es suficiente para la mayoría de las ocasiones, qué ocurre siel servidor necesita mantenimiento o peor aún, que se estropea en el momento menos oportuno. No tendrás página web porque los servicios de web hosting gratis no tienen servidor backup.
Acerca del autor:
Este artículo ha sido escrito por Joe Arieno CEO de WebHost-Associate.com. Si te gustó este artículo y te gustaría saber qué cuesta poner tu empresa en internet visita WebHost-Associate.com y cuando estés listo te enseñaremos de montar una página web que satisfaga TODAS LAS NECESIDADES DE TU NEGOCIO!!
Traducido por Jacob F.P.
¿Tu página web es segura? Pruébalo.
en el blog de ModSecurity me encuentro con el siguiente post. No tiene desperdicio y la verdad es que es 100% verídico. No hay que dejarse guiar por las apariencias y extremar precauciones en lo que a seguridad informática se refiere. Traduzco:
Así que, ¿tu página web es segura? Pruébalo.
1. Sí, lo es.
Entonces, se oyen grillos (silencio para los colegas poco imaginativos). Esto es completamente inaceptable. El fallo está en proporcionar seguridad con palabras. Queremos seguridad, pero con hechos. Piénsalo de esta forma: ¿un auditor se conformaría con esa respuesta? ¿Podrías pasar una auditoría PCI con responder sí?. No verdad, entonces necesitas demostrarlo con hechos.
2. Sí lo es. Tenemos el producto X, Y, Z, etc.
Esto es mejor, pero es otra de las expresiones que se basan en las palabras y no en los hechos. El único hecho es que la tecnología puede ser manipulada, invertida y comprometida. Puede ser efectiva contra un modelo de ataque y complétamente débil contra otro.
Esto me recuerda a una respuesta que suelen dar mucho: “Sí, porque usamos un certificado SSL“. Ugh… déjame contarte algo sobre los certificados SSL que pude sufrir con una de estas webs. Hace tiempo decidí hacer una compra online de unas hierbas que pueden calentarse en el microondas, para los músculos. Cuando visité la página web del fabricante fuí sorprendido con un mensaje que decía: ¡Somos un sitio web seguro! Usamos un SSL de 128 bits. Esto demostraba que mi número de tarjeta de crédito no se enviaría en texto plano. Durante el proceso de compra, decidí verificad la información del certificado SSL. Hice doble click sobre el candado que aparece en la parte inferior derecha y verifiqué si el dominio al que pertenecía el certificado SSL era el correcto y coincidía con la dirección que estaba visitando el cual estaba firmado por una empresa de renombre como Verisign y que, finalmente, el certificado era válido. Todo parecía estar en orden así que procedí con la compra e introducí los datos de mi tarjeta de crédito. Pulsé el botón de comprar y me mostró un mensaje que hizo que mi estómago diera un vuelco. El mensaje viene a continuación, de cualquier forma, he modificado la información para protegerme a mí y a mi banco:
To:companyname@aol.com From: RCBarnett@email.com Subject:ONLINE HERBPACK!!! name: Ryan Barnett address: 1234 Someplace Ct. city: Someplace state: State zip: 12345 phone#: Type of card: American Express name on card: Ryan Barnett card number: 123456789012345 expiration date: 11/05 number of basics: Number of eyepillows: Number of neckrings: 1 number of belted: 1 number of jumbo packs: number of foot warmers: 1 number of knee wraps: number of wrist wraps: number of keyboard packs: number of shoulder wrap-s: number of cool downz: number of hats-black: number of hats-gray: number of hats-navy: number of hats-red: number of hats-rtcamo: number of hats-orange: do you want it shipped to a friend: name: their address: their city: their state: their zip:
cgiemail 1.6
No podía creerlo. Tal y como pensaba han enviado mis datos bancarios en texto plano a una cuenta de correo de AOL. ¿Cómo es posible? Fueron lo intelitgentes como para que la información del usuario fuera enviada con SSL de 128 bits a la página web, ¿por qué no hicieron lo mismo con el proceso de envío de la información? Debe haber un error. En el correo se podía ver un mensaje que indicaba que la aplicación usada para el pedido era CGIMAIL 1.6. Al instante me puse a buscar información en Google. Encontré un enlace para webmasters acerca de CGIMAIL. Rápidamente revisé el contenido y encontré lo que estaba buscando: ¿qué consejos acerca de la seguridad de CGIMAIL existen?:
Intercepción de los datos enviados por un navegador al servidor y viceversa.
Riesgo: con CGIMAIL al igual que en muchos programas de envío de correos a través de formulario se puede esnifar en cualquier punto entre el servidor web y el usuario. Como no hay encriptación, no es recomendable usarlo para información confidencial o números de tarjetas de crédito.
Bingo, tal y como sospechaba. Gasté el resto del día intentando contactar con mi banco acerca de la posibilidad de que hubieran comprometido la información de mi tarjeta de crédito y para echarle un ojo a mi cuenta. También contacté con la compañía enviando un correo electrónico a la misma dirección de AOL haciendo incapié en la falta de seguridad que tenían en su proceso de compra. Resumiendo: usar SSL no es sinónimo de seguridad.
3. Sí, tenemos certificación PCI.
Generalmente hablando, son como requerimentos que se prueban con una lista de pruebas escritas en papel los cuales controlan ataques. PCI es la excepción e intenta ser más relevante en lo que a problemas de seguridad en una web se refiere. Aunque hay ciertos aspectos buenos de PCI, por favor ten esto presente siempre:
Es mucho más fácil aprobar una auditoría PCI si eres seguro que ser seguro porque tienes que pasar una auditoría PCI.
PCI, como otras muchas, es un estándar mínimo de cuidado y pasar el test hace tu sitio “unhackeable”. Para una empresa sería como meterse en en océano con unos chalecos y botes salvavidas, saliendo seco previamente del puerto. Si el cumplimiento de estas reglas y premisas va más allá de un papel escrito, nos vamos acercando a la verdadera evidencia. De todas formas, no he visto ninguno de estos con evidencia real. Revisa el post de Richard en su blog en cumplimiento de controles de seguridad para más detalle acerca de esto y qué está mal. Lo que realmente necesitamos es más “evaluacion de campo”. Hablaré acerca de esto en posts posteriores en mi blog.
4. Sí, tenemos logs indicando que hemos evitado ataques web X, Y y Z (SQL Injection, XSS, etc).
Esto se va acercando a la respuesta correcta, pero aún no es la respuesta adecuada. Por primera vez tenemos evidencia (logs) pero éstos probablemente no tienen el “retrato” correcto. Creo que la forma en que la gente monta y usa un WAF es incorrecta. La mayoría de la gente monta un WAF centrándose en dar alertas que sólamente proporciona logs cuando coincide una de nuestras reglas. Claro, esos WAF detectan y paran un ataque potencialmente peligroso pero, ¿qué hay de lo que hizo en todo el proceso? ¿Fueron ataques normales o hubo algún que otro potencialmente perligroso y no reconocido por el mecanismo de prevención? Montar un WAF a nivel HTTP es una opción muy buena raramente usada. Existe una antigua cita que recoge este concepto:
“En un incidente, si no tienes buenos logs (p.e auditar) deberás tener buena suerte.”
5. Sí, no tenemos ninguna indicación de que nuestras aplicaciones web estén respondiendo a los patrones de los ataques.
Alguien podría llamar a esto racionalmente el concepto de seguridad. El que esta pregunta sea aceptable o no depende de la naturaleza de las indicaciones. Si no tienes ningún indicio porque no estás monitoreando nada, entonces la escusa es absurda. Si no tienes ningún indicio y auditas el estado de una aplicación web, entonces estamos avanzando. Esto lidera parte de la respuesta siguiente, que se acerca mucho a la pregunta ideal.
6. Sí, no tenemos ningún indicio de que nuestra aplicación esté interactuando con el exterior respondiendo a patrones y estamos tomando, analizando y escalando redes, hosts y ataques a aplicaciones web y violaciones de éstas.
Estamos muy muy cerca de la respuesta correcta. La ausencia de evidencia de intrusión es significativa si estás seguro de que estás correctamente instrumentado y conoces a fondo la aplicación web. Debes monitorear concienzudamente el servidor para que la aplicación web sea “segura”. La falta de una fuerte auditoría de los logs es la razón más común por la que las empresas no pueden contestar de esta forma. Velo de la siguiente forma: Common Log Format (CLF) no so adecuados para una respuesta rápida y adecuada ante un incidente. Falta mucha información. Si esta respuesta está muy cerca de la correcta, ¿por qué no lo es?
7. Sí, no tenemos ningún indicio de que nuestra aplicación esté interactuando con el exterior respondiendo a patrones y guardamos, analizamos y escalamos una variedad de host, redes y evidencia basada en aplicaciones web de intrusiones. Habitualmente testeamos nuestra detección y equipo de repuesta, procesos y utilidades haciendo simulacros que coinciden o exceden las capacidades e intenciones de las amenazas que tenga nuestra empresa.
Aquí puedes ver por qué la respuesta seis era insuficiente. Si crees que la respuesta 6 es suficiente, olvidaste que tus van más allá que detectar y reportar las intrusiones. Periódicamente debes probar la efectividad de tu defensa con ejercicios neutrales. La respuesta final es una suma de las demás y de que conoces la aplicación que estás intentando asegurar. Piensa sobre este ejercicio, si realizas un ataque sin que los del equipo de respuesta lo sepa, ¿cómo responde tu empresa? ¿Se han dado cuenta de la prueba que hiciste ellos solos? ¿Escalaron el problema de forma correcta? ¿Cuánto tardaron después de adoptar las medidas oportunas? Si no tienes respuestas para este tipo de ataques en directo, seguramente no sabrás cuán efectiva es tu defensa.
Conclusión.
Indirectamente, este post tambin explica por qué sólo: escaneo de vulnerabilidades web, pruebas de penetración, montaje de un firewall para la aplicación web y análisis de logs no es suficiente para una buena “seguridad”. Mientras cada uno de estos puntos ayuda a la seguridad de un sitio web, son inefectivas en otras. Es el conjunto de todos esos esfuerzos lo que hace que algunas organizaciones tengan un sitio web “que se defiende”, como Richard dice.
Posteado por rcbarnett at January 30, 2008 12:45 PM y traducido por Jacob F.P
Fuente: ModSecurity Blog.