posible ataque ??

Horst H. von Brand Thu Nov 30 18:08:19 2006

Juan MartÃnez <[EMAIL PROTECTED]> wrote:
> Horst H. von Brand escribiÃ³:

> > Hubo una vulnerabilidad que permitia adivinar passwords cuando via
> > una conexion ssh hacias un su(1) o similar... conectarse directamente a
> > root es /mas/ seguro.

> Perdon, que meta mi honorable cuchara, pero por que?

Porque nadie te garantiza que no hayan otras pifias similares a esta (que
paso desapercibida durante /an~os/...).
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513
From [EMAIL PROTECTED]  Thu Nov 30 18:17:11 2006
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Thu Nov 30 18:12:07 2006
Subject: posible ataque ?? 
In-Reply-To: Your message of "Thu, 30 Nov 2006 11:13:50 -0300."
        <[EMAIL PROTECTED]> 
Message-ID: <[EMAIL PROTECTED]>

Pablo E. Siciliano <[EMAIL PROTECTED]> wrote:
> Aprovecho para preguntar, disculpen si me voy un poco del
> tema. Â¿Consideran que una medida que si aporta en seguridad puede ser
> usar alguna implementaciÃ³n de port knocking?

Basta que el malandrin observe lo que haces antes de conectarte al ssh...

[No, no es facil; pero an~ade lio sin demasiado aporte de seguridad, ademas
que tu ISP (administrador "amistoso" del FW de la U, ...) puede decidir
man~ana que alguno(s) de los ports estan off-limit (porque leyo que un
gusano para Palm los usa, o que se yo), y quedaste pagando...
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513
From [EMAIL PROTECTED]  Thu Nov 30 18:38:27 2006
From: [EMAIL PROTECTED] (Alvaro Herrera)
Date: Thu Nov 30 18:33:30 2006
Subject: posible ataque ??
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

Horst H. von Brand escribió:
> Pablo E. Siciliano <[EMAIL PROTECTED]> wrote:
> > Aprovecho para preguntar, disculpen si me voy un poco del
> > tema. Â¿Consideran que una medida que si aporta en seguridad puede ser
> > usar alguna implementaciÃ³n de port knocking?
> 
> Basta que el malandrin observe lo que haces antes de conectarte al ssh...

Igual se pueden hacer cosas +/- complicadas, por ej. requerir contactar
en un puerto cuyo numero depende de la fecha, que el servidor te mande
un challenge y tu le tengas que mandar un response que depende de una
clave secreta (sin revelar la clave obviamente), y luego de eso te manda
de vuelta otro puerto al cual tienes que tocar para que finalmente te
abra el puerto SSH.

(solo un ejemplo de como complicar el algoritmo para que no sea tan
"llegar y llevar")

Claro que ahi la cosa se pone insoportable de usar, tienes que andar con
un software para que haga todo eso en un llavero USB, etc :-)  Y ahi es
cuando te cuestionas si _realmente_ vale la pena toda esa parafernalia o
si bien simplemente deberias sacar un respaldo de tu tesis en un DVD.

-- 
Alvaro Herrera                          Developer, http://www.PostgreSQL.org/
Officer Krupke, what are we to do?
Gee, officer Krupke, Krup you! (West Side Story, "Gee, Officer Krupke")
From [EMAIL PROTECTED]  Thu Nov 30 18:58:49 2006
From: [EMAIL PROTECTED] (Hector Vergara R.)
Date: Thu Nov 30 18:53:52 2006
Subject: Framework para PHP
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

A ver...

Ruby no tiene por que 'emular' bien las sesiones de PHP. Simplemente no esta
hecho para eso.
Las sesiones de PHP las entiende PHP y las sesiones de Ruby las entiende
Ruby.

Respecto a las cosas que no se pueden hacer en PHP, hay muchos ejemplos.

- Uno de ellos es el bug (que se ha repetido continuamente y que solo en php
5.2 es resuelto) que no permite obtener el nombre de la clase de una
instancia heredada. Un ejemplo:

    <......>
    class MiClase extends Clase
        function getName() {
            return __CLASS__;
        }

    $instancia = new MiClase();
    print $instancia->getName();

    En teoria deberia entregar 'MiClase', sin embargo devuelve 'Clase'.
    Esto no permite la implementación _limpia_ del patron ActiveRecord. Muy
importante.

- Muchas de las cosas que se pueden hacer en Rails (mas bien Ruby) es
extender las clases ya definidas. Un ejemplo:
   class Numeric
      def sqrt
         return self ^ 0.5
      end
   end

   puts 16.sqrt

   Dime como puedo hacer eso en PHP y mañana mismo vuelvo a programar en
PHP.

Que quede algo claro: yo vengo del mundo PHP. No odio a PHP.
Ocupe casi 5 años PHP y tengo muy buenos recuerdos de haberlo utilizado.

Respecto a porque RubyOnRails.com usa PHP en su index, ni idea. Quizas sólo
por diversion ;-)

Saludos

On 11/30/06, Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote:
>
> 2006/11/30, Cristian Rodriguez <[EMAIL PROTECTED]>:
> > 2006/11/30, Hector Vergara R. <[EMAIL PROTECTED]>:
> >
> > y no pueden 'emular' muchas cosas de Rails dada la pobre
> > > implementacion de OOP que posee PHP.
> >
> > como que cosa no puede "emular" dices tu ?
> >
>
> bueno, Rails no puede emular bien las sesiones de PHP y otras cosas
> (trabajé en Rails un tiempo y lo deseché porque había cosas inusables
> que están mucho mejor hechas en PHP que en Ruby)
>
> ;)
>
> --
> Rodrigo Fuentealba Cartes
> Desarrollador de Sistemas Web
> Registered User 387639 - http://counter.li.org
>
>

-- 
Hector Vergara Reinoso
Aardvark Labs - http://aardvark.cl
hvergara [at] gmail.com
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: 
http://listas.inf.utfsm.cl/pipermail/linux/attachments/20061130/b94024ca/attachment.html
From [EMAIL PROTECTED]  Thu Nov 30 21:22:51 2006
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Thu Nov 30 21:17:49 2006
Subject: Framework para PHP
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

2006/11/30, Hector Vergara R. <[EMAIL PROTECTED]>:
> A ver...

aere...

> Ruby no tiene por que 'emular' bien las sesiones de PHP. Simplemente no esta
> hecho para eso.

Un lenguaje que no implementa algún tipo de persistencia de datos
entre sus múltiples fases es un lenguaje inútil, más aún en web...
Meter todo entre POST y GET está mal cuando se trata de logging, ¿no?

> Las sesiones de PHP las entiende PHP y las sesiones de Ruby las entiende
> Ruby.

ya, pero las sesiones de Ruby, aún en Rails tienen que ser emuladas, y
son bastante complejas de manejar... Y es sumamente difícil que haya
mecanismos fáciles como $_SESSION['variable'] = $variable;

> Respecto a las cosas que no se pueden hacer en PHP, hay muchos ejemplos.

esto /ya se ha discutido/ en threads anteriores.

> - Uno de ellos es el bug (que se ha repetido continuamente y que solo en php
> 5.2 es resuelto) que no permite obtener el nombre de la clase de una
> instancia heredada. Un ejemplo:
>
>     <......>
>     class MiClase extends Clase
>         function getName() {
>             return __CLASS__;
>         }
>
>     $instancia = new MiClase();
>     print $instancia->getName();
>
>     En teoria deberia entregar 'MiClase', sin embargo devuelve 'Clase'.
>     Esto no permite la implementación _limpia_ del patron ActiveRecord. Muy
> importante.
>
> - Muchas de las cosas que se pueden hacer en Rails (mas bien Ruby) es
> extender las clases ya definidas. Un ejemplo:
>    class Numeric
>       def sqrt
>          return self ^ 0.5
>       end
>    end
>
>    puts 16.sqrt
>
>    Dime como puedo hacer eso en PHP y mañana mismo vuelvo a programar en
> PHP.

¿no se puede hacer extensión de clases? (si vienes del mundo PHP como
afirmas, deberías saber que PHP no es un lenguaje orientado a objetos,
sino que es capaz de manejar objetos: cosas que no son "tan"
distintas, pero tampoco son lo mismo.) Mientras Rails hace todo en
clases, en PHP puedes trabajar con objetos, clases, extensiones y
meter código estructurado entre medio. También es importante hacer
notar que /si/ existen ciertas clases predefinidas (no para numéricos,
como el ejemplo) y que puedes extender... sin problemas.

> Que quede algo claro: yo vengo del mundo PHP. No odio a PHP.
> Ocupe casi 5 años PHP y tengo muy buenos recuerdos de haberlo utilizado.

bkn.

> Respecto a porque RubyOnRails.com usa PHP en su index, ni idea. Quizas sólo
> por diversion ;-)

nope... David Heinemeier Hansson no programa exclusivamente de Ruby.
Hizo esta página hace tiempo y desde entonces no la ha cambiado. Por
demás, la gente de Rails parece muy inmadura en la forma de gestionar
su proyecto, así es que si por el lado de PHP se puede copiar la idea,
obteniendo resultados como los de Symfony al respecto, bueno sería
(total, PHP está en gran parte de las máquinas Linux para Web)

Estamos de acuerdo con Franco Catrín en que PHP tiene sus
limitaciones... pero no existe un lenguaje en el que puedas
implementar toooooooooooooodo lo que se te ocurra (quiero ver el día
en que Java permita crear módulos de kernel o que alguien programe una
página web usando las bibliotecas ncurses.).

-- 
Rodrigo Fuentealba Cartes
Desarrollador de Sistemas Web
Registered User 387639 - http://counter.li.org

posible ataque ??

Responder a