Archivo de la categoría Programación

Vulnerabilidades en la Web de P.C. Green (Parte III)



Después de acontecimientos pasados, y tras comprobar que en efecto no tienen intención de corregir los problemas de seguridad, reemprendemos la labor con esta nueva entrega.

El artículo de hoy solamente se centrará en las debilidades tipo Pishing o Content spoofing.

Cuando accedemos a la sección de tienda de P.C. Green, y si prestamos un poco de atención a la URL que aparece en nuestro navegador que es del estilo a www.pcgreen.com/wac2/webtemplates/m2/index.asp?trg=newandspecial.asp&SID=672A87D731C84735BD0023839C737400, podremos concluir varios detalles que pueden resultarnos de interés:
– La web está desarrollada en páginas ASP.…

Continuar leyendo...

Conclusiones sobre el futuro de C++ Builder



Leyendo la transcripción de The future of C++Builder with Eli Boling, en Borland Development Network, he podido confirmar algunas conclusiones a las que ya había llegado, y matizar otras.

– Aparecerá aproximadamente con la nueva versión de Delphi.
– Incorporará un IDE mejorado, basado en el actual de Delphi 2005.
– Añade algunas mejoras en cuanto a plantillas y compatibilidad con bibliotecas estándar en el compilador.
– No hay grandes mejoras en cuanto a calidad de código generado, ni soporte de instrucciones IA64, aunque si a nivel de ensamblador.
– Los componentes VCL seguirán estando escritos en Object Pascal.…

Continuar leyendo...

Vulnerabilidades en la Web de P.C. Green (Parte II)



En nuestro anterior capítulo, avisé a P.C. Green de las deficiencias de su web, previamente al análisis público en mi bitácora, por si querían solucionar las incidencias.

Pese a que no lo esperaba, ya he tenido respuesta por su parte, bueno, de su daemon:

From: Mail Delivery System <[email protected]>
To: Javier Gutiérrez Chamorro
Date: Mon, 31 Jan 2005 20:59:33 +0100 (CET)
Subject: Undelivered Mail Returned to Sender

This is the Postfix program at host cocotero.tiscali.es.

I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations.…

Continuar leyendo...

Vulnerabilidades en la Web de P.C. Green (Parte I)



Con todo lo que ha ocurrido hoy con P.C. Green, no he podido evitar el echarle un vistazo a su web.

He quedado francamente sorprendido. Hacía mucho que no veía un sitio potencialmente vulnerable a todos los ataques de intrusión.

Así que he decidido hacer un artículo comentando las malas prácticas que se utilizan en esa web, para que sepamos aquello que es potencialmente inseguro, y por tanto deberemos evitar.

Por ética, he decidido avisar a P.C. Green antes de publicar el artículo, de esta forma disponen de un margen de tiempo para corregir los problemas, antes de que queden expuestos al público.…

Continuar leyendo...

Benchmark de CPU/FPU en Flash



He desarrollado un pequeño benchmark en Flash, que de forma muy sencilla nos da el rendimiento sintético de nuestro procesador.

Se utilizan operaciones con enteros, coma flotante y cadenas para realizar la simulación, y se retorna un valor cuantitativo calibrado en referencia a mi AMD Athlon XP 2400+.

El resultado es simplemente orientativo, ya que dependiendo de los procesos que tengamos en ejecución en ese momento, el resultado puede variar (habitualmente a la baja).

El objetivo de mi experimento era simplemente ver que arquitecturas favorecen en mayor medida la ejecución de Flash, por lo que agradecería vuestras colaboraciones.…

Continuar leyendo...

Cookies vs Sesiones en PHP



A estas alturas, huelga decir, que es mucho más sencillo y seguro utilizar sesiones en vez de cookies, para almacenar información temporal sobre el usuario conectado al sistema.

Habitualmente necesitamos guardar el estado de datos tales como el ID de usuario conectado, y tenerlos disponibles durante toda la aplicación.

Es evidente que si almacenamos el ID de usuario en una cookie, la manipulación de ese dato, es tan sencilla como editar un en nuestro disco duro.

A nivel de rendimiento, también es mucho más eficiente utilizar sesiones, aproximadamente un 400% más veloces.

Con este artículo, no quiero decir que no debemos usar cookies, ya que son indispensables cuándo lo que se necesita es almacenar información durante más de una sesión, o bien si necesitamos poder leerla y guardarla desde Javascript.…

Continuar leyendo...

Trabajo en SPHPBlog



He tenido algo de tiempo estos días y lo he dedicado a Simple PHP Blog.

Ahora la página de estadísticas, es algo más veloz, además de ofrecer conteos sobre votos y puntuaciones de los artículos.

Lo siguiente que tengo en mente para desarrollar es:
– Búsqueda mejorada: Permitiendo elegir la cantidad de resultados a mostrar, y donde buscar (entradas, comentarios, páginas estáticas, …). Por defecto se retornarán como mucho 10 resultados, centrándose en las entradas. El usuario podrá alterar estos valores.
– Implementar algún tipo de cache permanente en la función blog_entry_listing.…

Continuar leyendo...

Ofuscador de direcciones de email



He recibido alguna que otra felicitación por la forma en que ofuscamos las direcciones de email en las páginas de comentarios de Simple PHP Blog.

El algoritmo utilizado es el resultado de la combinación entre la idea de Alex y la mía, por lo que no es de extrañar que actualmente sea bastante efectivo.

El funcionamiento es bien sencillo. Partiendo de una dirección de email típica, por ejemplo [email protected], se transformaría en <script language="Javascript" type="text/javascript">s0='&#121;&#111;'; s1='&#109;&#105;&#100;&#111;&#109;&#105;&#110;&#105;&#111;&#46;&#101;&#115;'; document.write('<a href="mailto:' + s0 + '@' + s1 + '">' + s0 + '@' + s1 + '</a>');</script>; en vez de en el tradicional <a href="mailto:[email protected]">[email protected]</a>.…

Continuar leyendo...

Hisoft Basic



El compilador de Basic de Hisoft para el Sinclair ZX Spectrum de 48K, apareció por primera vez en 1986.

Fue escrito por Cameron Hayne, quien estima que empleó en el desarrollo un año hombre, lo cual sería hoy en día un esfuerzo minúsculo para desarrollar un compilador.

Estaba totalmente programado en código máquina del Z80, apenas ocupaba 12 Kb de memoria. Ésta pequeña maravilla era capaz de compilar la mayoría de programas Basic sin ningún cambio. A diferencia de otras herramientas, soportaba totalmente los números en coma flotante.

Posteriormente se fueron corrigiendo errores, y añadiendo nuevas funcionalidades, hasta llegar a la versión 1.2 de 1987.…

Continuar leyendo...

Actualización a Simple PHP Blog 0.4.0



Se ha liberado el nuevo SPHPBlog 0.4.0 final.

Con la cantidad de cambios que incluye, en el último momento Alex ha decidido bautizarla como 0.4.0 en vez de 0.3.8.

Como de costumbre, desde hace unas horas, mi weblog, está ya actualizado a esta nueva versión.

Lo podéis descargar desde sourceforge.net/project/showfiles.php?group_id=106696.



Continuar leyendo...