MUY IMPORTANTE: SEGURIDAD EN LOS FOROS

[Beltza]

Hola a todos.

Como ya se anunció en este post ...

http://www.24flotilla.com/html/modules. ... ic&t=11931

..., había un problema de vulnerabilidad en el sistema de privados del foro. Gamab ha logrado solucionarlo. Este fin de semana se corregirán los problemas con un sistema de encriptación que hará imposible la lectura de esos mensajes para los posibles intrusos, como también para la administración o cualquier otro usuario.
El efecto secundario de los cambios que se harán será la pérdida de todos los mensajes privados antiguos. Por tanto evitad comunicarse por este medio durante el fin de semana, y haced copia de aquellos mensajes que se consideren necesarios.

Gamab ha descubierto igualmente otro agujero de seguridad relacionado con los avatares alojados en la web de la 24. Es necesario anular este servicio, por lo que los avatares necesarimente deberán enlazarse a fuentes externas a la flotilla. Este mismo fin de semana también se procederá a este cambio. Por tanto, verificad que los avatares corresponden a enlaces externos de la flotilla.

Aprovecho para agradecer a Gamab todo su esfuerzo en la mejora de la web.

Un saludo.

[Enriquebell]

Gracias por el aviso y a seguir asi!

[casicop]

Gracias por el aviso y muchas gracias a Gamab por su trabajo.

[ductorroella]

Ok felicidades para Gamab por su excelente trabajo

[Mix-martes86]

Vaya, y eso que mi careto era ya patrimonio cultural de la 24... ¡que se llevan el archivo de Salamancaa!

[Favre]

Gracias por el aviso. Revisaré lo del avatar.

Buen trabajo el de Gamab.

Saludos.

[Miguel]

Buen trabajo Gamab

[Nazarius]

Enterada toda la tripulación.
A la orden.
Un grato saludo.

[pitu]

Gamab, vaya crack!!

[Caminante]

Fundamental el trabajo de gamab.. ::maest

Saludos y felicitaciones ::ok

[Siurell]

Buen trabajo Gamab. ::plas

Cambiando el avatar.

[gamab]

Beltza lo ha dejado todo muy bien explicado, asi que poco tengo que añadir. Durante este finde borrare la tabla que contiene los mensajes privados y una vez borrada la misma, cambiare el modulo de gestion de privados para que se almacenen de forma codificada en la BBDD. La forma de codificacion, sera mediante un algoritmo de 256bits, que considero lo suficientemente seguro. De esta forma, aunque alguien logre permiso de administrador y quiera leer los privados de alguien, no podria hacerlo. Sirva de ejemplo, una linea:

Nosotros enviamos esto:

mensaje de prueba

Y en la base de datos, se almacena esto:

W9xRL412HexQIJ6BIX5xZT9yNV1ilffuehS6/b2Q11U

Con este metodo, nadie va a poder leer los mensajes privados. Ni siquiera un usuario con permiso para ello. Lo unico que podra leer sera la linea cifrada. El riesgo de poder descifrarlo, lo considero casi nulo(nunca hay nada seguro) ya que es un sistema muy dificil de vulneral. Seria mas facil robar la contraseña de usuario que saltarse la proteccion.

[Funken]

De esta forma, aunque alguien logre permiso de administrador y quiera leer los privados de alguien, no podria hacerlo. Sirva de ejemplo, una linea:

Nosotros enviamos esto:

mensaje de prueba

Y en la base de datos, se almacena esto:

W9xRL412HexQIJ6BIX5xZT9yNV1ilffuehS6/b2Q11U

Con este metodo, nadie va a poder leer los mensajes privados.

Pues yo lo leo la mar de bien... en uno pone "mensaje de prueba" y en el otro... "mensaje de prueba".

¿Estás seguro que ese algoritmo encripta bien?

Un saludo.

[gamab]

Pues yo lo leo la mar de bien... en uno pone "mensaje de prueba" y en el otro... "mensaje de prueba".

¿Estás seguro que ese algoritmo encripta bien?

GRRRRRRRRR ya te pillare yo a ti.

[Cabosieso]

Recibido.
Gracias por vuestro trabajo y tiempo.
::plas ::plas ::plas ::plas ::plas