2006/12/16, Ismael Cantieri <[EMAIL PROTECTED]>:
> sip, primero se le da el reporte a la ISP, por lo general la ISP te llama y
> te da 24 horas para solucionarlo o te corta.(por lo menos Telmex hace eso)
}
Entel la hace cortita, corta el trafico por el puerto 80, y despues
avisa, bastante inteligente, porque ellos deben saber muy bien, quie
tambien pueden ser involucrados en el problema en el caso que alguien
demande por las estafas que se hacen atraves del phising...
From [EMAIL PROTECTED] Wed Dec 20 19:05:30 2006
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Thu Dec 21 01:39:58 2006
Subject: Ayuda en bajada de phishing (sertotal.cl)
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
2006/12/20, Juan Flores <[EMAIL PROTECTED]>:
> On 12/20/06, Alvaro Herrera <[EMAIL PROTECTED]> wrote:
> > http://blog.php-security.org/archives/61-Retired-from-securityphp.net.html
>
> Parece que fue con elastico
>
> http://developers.slashdot.org/article.pl?sid=06/12/14/0410240&from=rss
Solamente Cristian /y ni eso, estoy seguro de que esta chato de
developear/ niega que PHP sea inseguro. Yo no lo niego. Se que tiene
sus pifias mayores o menores, pero me sirve para la pega. Hay secretos
a voces sobre las buenas practicas de programacion... Si, ustedes los
han escuchado tal vez:
1.- la mejor fuente de informacion es la fuente original del
programa/distribucion: vaya a consultar directamente a www.php.net
cada vez que tenga un problema.
2.- php permite que escribamos codigo en PHP fuera del dominio... todo
nuestro codigo potencialmente vulnerable a cosas como parametros POST
o GET o cosas asi, mejor agruparlo.
3.- todos saben lo que es separar modelo, vista y controlador... basta
aplicarlo con adodb o creole (o alguna biblioteca personal que sirva
para la pega) por la parte del modelo, y con phptal o smarty para la
parte de la vista. el controlador escribamoslo en clases, cosa que
tengamos un metodo mas ordenado para validar todas las entradas que
vayan a la BD, a la sesion o a lo que queramos.
El que los /monos/ como dice Alvaro, no sepan conocer las estupideces
del lenguaje (en cualquiera que sea), no implica que no se pueda
escribir codigo de buena forma y aminorar los problemas de seguridad
con un poquito de esfuerzo.
Yo quedo hasta aqui, me gustaria escuchar musica ahora.
--
Rodrigo Fuentealba Cartes
Desarrollador de Sistemas Web
Registered User 387639 - http://counter.li.org
From [EMAIL PROTECTED] Wed Dec 20 18:11:39 2006
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Thu Dec 21 01:40:08 2006
Subject: Ayuda en bajada de phishing (sertotal.cl)
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
El 19/12/06, Alvaro Herrera<[EMAIL PROTECTED]> escribió:
> >
> > oh oh... presiento que con este thread llegamos a los 300.
>
> 300 fueron los guerreros espartanos que defendieron las Termopilas ante
> el ataque de los persas ... te referias a eso?
no soy tan filósofo... 300 posts en el thread.
(por lo demas, 300 fueron los enemigos que murieron a manos del
Sargento Colipi y sus 9 valientes defendiendo a Chile en el cruce del
puente ;-) algo mas chileno...)
> Creeme que el nivel de confianza que me da sobre PHP es enorme,
> aproximadamente similar (bueh, quizas un poco menor) a la cantidad de
> veces que he visto camellos pasando por ojos de agujas.
Diccionario Arameo: camelos = soga :P
por lo que el dicho es "que la soga pase por ojo de una aguja"
Deshabilita las funciones que no utilices y validas las entradas. Si
estas son persistentes dentro de la aplicacion, /antes/ de meterlas a
una sesion y /antes/ de meterlas en una base de datos, validas. Cuando
te acostumbras lo haces casi por automatico, lo mismo pasa con
cualquier lenguaje de programacion... o en el software Python para Web
no existen los XSS?
> En todo caso mi punto se mantiene. De que sirve que haya un PHP
> "mejorado" para seguridad (Suhosin) si realmente el problema es el PHP
> "de vainilla" que esta lleno de pifias y que miles de monos en Internet
> usan para escribir software que la gente instala en sus sistemas sin
> tener idea de las implicancias?
Hay que ser tonto para pasarle el servidor Web a un mono para que te
programe una pagina en PHP que maneje tus datos
personales/financieros. mejor se la encargas a alguien que sepa, no?
Tambien corres peligro si le pasas PostgreSQL a un mono... believe me,
he tenido que rehacer bases de datos completas y con datos por el mal
modelamiento, y he tenido que corregir /hartas/ funciones y leer
/harto/ sobre tus consejos en postgresql.org.mx (tengo duda de si fue
ahi, la cosa es que lei bastante tu nombre por esos lados...)
// Y eso que a PostgreSQL le tengo una confianza inversamente
proporcional a la cantidad de sogas que han pasado por el ojo de una
aguja en la historia de la humanidad... (mas de alguna debe haber
pasado... pero bueno...) //
--
Rodrigo Fuentealba Cartes
Desarrollador de Sistemas Web
Registered User 387639 - http://counter.li.org
