GHalician’s Space

Muchos ya conocereis esta noticia pero desde ghalician.es queremos que todos aquellos que lean este blog se puedan aprovechar de esta oferta.

En colaboración con tractis (los pedidos se hacen en su página), os regalamos Lectores de DNI Electrónico.

¿Qué teneis que hacer?
Solo ir a la web de tractis, cubrir vuestros datos y pagar los dos euros que cobran como gastos de envío.
Daos prisa puesto que ya hay varias comunidades autonomas que han agotado su cupo, aunque en la web han dispuesto un formulario para que si en tu comunidad ya no hay disponibles te puedan avisar si se lleva a cabo una segunda campaña

Evidentemente, ni que decir que ghalician.es no obtiene ni un chavo por esto, solo se trata de una oferta muy buena que creemos que no os debeis perder

Para acceder a la web de tractis, o bien la buscais por google, o, más cómodo, pinchás en el banner que os pongo debajo.

Ya ha saluido el tan nombrado Windows 7, y en MS han tenido a bien actualizarnos la lista de políticas de seguridad.
Una increible lista de más de 3000 elementos que junto con otras partes del nuevo sistema operativo intentarán que este sea un poco más seguro.

No obstante no os creais que de esta lista todo es nuevo, los que conozcáis las politicas de seguridad del windows 2000 o del 2008, seguro que la mayor parte os van a sonar bastante. o tras evidentemente no, puestoq ue hacen referencia aelementos exclusivos del nuevos sistema operativo

La lista os la podéis descargar de aquí

Al final ha hecho falta un segundo aviso, pero al final lo han corregido
Aqui os envio la respuesta a mi ultimo aviso, en el cual detalla el errorde seguridad que existía:

Muchas gracias Xaby por avisarnos. Estamos trabajando ya en una solución.
Un cordial saludo

CEPSA
e-Center

—–Mensaje original—–
De: Xavy [mailto:xavy@ghalician.es]
Enviado el: lunes, 23 de marzo de 2009 20:56
Para: e-center
Asunto: [Fwd: Re: Sugerencia: Sugerencia] Atte, Dpto de Diseño y Seguridad

Buenas tardes:
No hace mucho he remitido a través del formulario de contacto disponible
en su web esta sugerencia, para “sugerir” valga la redundancia la
securizacion de su web, ya que permite el listado de directorios con
plantillas de configuracion y otros archivos que entiendo que no
deberian estar a la vista del usuario, y que podrían convertirse en un
agujero de seguridad, si alguien con no muuy buenas intenciones
investigase sobre ellos.

Como ejemplo, la URL
https://www.porquetuvuelves.com/siteminderagent/aps/templates/ permite
dicho listado, o también
https://www.porquetuvuelves.com/siteminderagent/forms/ (básicamente
cualquier subdirectorio que cuelgue de /siteminderagent/.

Por ello quisiera rogarles que tengan en cuenta la seguridad de sus
usuarios (asi como la de sus sistemas) y tengan a bien securizar este
acceso, a fin de evitar posibles males mayores.

Reciban un atento saludo y a su disposicion para cualquier consulta que
deseasen realizar

Xavy

Básicamente en esos directorios lo que almacenaban eran las plantillas y algunos archivos de configuracion de lo que posiblemente sería un antiguo sistema de gestión que tenían. El hecho de que no los boorrasen con toda seguridad implicaba que las bases de datos no habrían sido borradas, lo cual con no mucha investigación podría llevar a un escalado de privilegios en las mismas (os imaginais por ejempolo acceder a la base de datos que contenga los puntos de porquetuvuelves y poner que tienes 100000000000000000 puntos? Gasolina de por vida gratis, chicos!

Pues vbien hoy he recibido este mensaje por su parte y efectivamente ya han corregido este error, que por menor que fuese, seguramente podia dar lugar a problemas más serios

Ayer os comentaba de la notificación hecha a porquetuvuelves.com debido a un posible advisory en su web:
Pues bien de momento parecen cumplir, pues al menos he recibido una rápida respuesta:

Estimad@ Soci@,

Te informamos que hemos pasado nota al departamento correspodiente para que gestionen la incidencia.

Gracias por contactar con nosotros.

Un saludo,
Porque Tu Vuelves CEPSA, Servicio de Atención al Cliente.
902 545 545
www.porquetuvuelves.com
¿Quieres conseguir un 5% de descuento en tus compras? Visita www.visacepsa.com

Os seguiré informando

Hoy, realizando unas consultas en esta web, he descubierto, lo que más investigado, podría convertirse en un error de seguridad grave. He advertido en la direccion de contacto para que lo puedan corregir, motivo por el cual no voy a explicar los detalles del agujero de seguridad que plantea lo que hoy por casualidad me he encontrado.
Una vez lo solucionen, os comentaré de qué se trataba.