Evitar sql injection y xss
Claudio Salazar wrote: Ricardo Mun~oz A. escribió: Aldrin Gonzalo Martoq Ahumada wrote: [...] El problema con el código que miré de CakePHP es que no es ni chicha' ni limona'. No es un ORM, no es una API a base de datos, no es una framework de templates... es una mezcla de todo eso y parece que mucho mas. [...] Y bueno, ahí me dió lata seguir leyendo... en las paginas 32-35 de la presentacion en [1] esta mucho mejor explicado como maneja Cake lo que es SQL injection, XSS, el manejo de la salida HTML, etc. el link al sitio de IBM solo descibe una clase opcional (Sanitize) que se puede usar en Cake. entonces, al parecer quedo la impresion de que en Cake se deben hacer muchas cosas a mano, pero no es asi. basicamente: - SQL injection - pag. 32 (es automatico) - limpieza de HTML - pag. 33 (es automatico) - XSS - pag.35 (output de los datos de POST se limpian automaticamente) [1] http://cake.insertdesignhere.com/files/nyphp_presentation.pdf Nunca podemos confiarnos tanto de software de terceros. Tu sitio tiene vulnerabilidad XSS. cual sitio? Te mande un mail. no me ha llegado mail tuyo. -- Ricardo Mun~oz A. Usuario Linux #182825 (counter.li.org) From [EMAIL PROTECTED] Wed Sep 26 09:55:59 2007 From: [EMAIL PROTECTED] (Miguel Oyarzo O.) Date: Wed Sep 26 09:58:13 2007 Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral In-Reply-To: [EMAIL PROTECTED] m References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] At 19:49 23-09-2007, Fernando Fenando wrote: Estimados Listeros, acudo a uds para pedirles apoyo, orientacion e ideas para encontrar un tema de tesis doctoral, yo tengo algunas ideas que abarcan principalmente temas de agentes inteligentes y clusters de alta disponibilidad pero me gustaria tener otras visiones o nuevas ideas que puedan dar pie a un tema interesante en ambientes linux. Espero que puedan ayudarme con su experiencia y conocimientos. Atte, Fernando Fernando, No le des muchas vueltas al tema de tu tesis y cumple el requisito nomas.. Nadie se hace famoso por su tesis (al menos no en Chile) Saludos, Miguel Oyarzo Austro Internet S.A. Punta Arenas
[OFFTOPIC] Apoyo en busca de tema de tesis doctoral
Miguel Oyarzo O. escribió: At 19:49 23-09-2007, Fernando Fenando wrote: Estimados Listeros, acudo a uds para pedirles apoyo, orientacion e ideas para encontrar un tema de tesis doctoral, yo tengo algunas ideas que abarcan principalmente temas de agentes inteligentes y clusters de alta disponibilidad pero me gustaria tener otras visiones o nuevas ideas que puedan dar pie a un tema interesante en ambientes linux. Espero que puedan ayudarme con su experiencia y conocimientos. No le des muchas vueltas al tema de tu tesis y cumple el requisito nomas.. Nadie se hace famoso por su tesis (al menos no en Chile) Quizas no, pero si haces algo decente te puede ayudar a conseguir buena pega (lo digo por experiencia propia, yo hice mi memoria de titulo desarrollando Postgres y asi fue como me involucré en ello). -- Alvaro Herrera http://www.flickr.com/photos/alvherre/ Hackers share the surgeon's secret pleasure in poking about in gross innards, the teenager's secret pleasure in popping zits. (Paul Graham) From [EMAIL PROTECTED] Wed Sep 26 11:32:17 2007 From: [EMAIL PROTECTED] (Hugo Figueroa R.) Date: Wed Sep 26 12:02:17 2007 Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral In-Reply-To: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Fernando, No le des muchas vueltas al tema de tu tesis y cumple el requisito nomas.. Nadie se hace famoso por su tesis (al menos no en Chile) Que tercer mundista, si bien al cumplir los requisitos estas al otro lado, siempre una memoria es la oportunidad de aprender, investigar, descubrir, aunque no sea un aporte relevante para los demas, pero por lo menos para uno mismo, cuando yo hice mi memoria entre mis compañeros habian dos tendencias, hacer un sistema(con todo lo que implica) o escojer un tema y hacer tu aporte, yo podria haber optado por lo mas facil que era hacer un sistema y terminar el tramite(eso se estilaba entre mis compañeros), pero hice mi memoria de seguridad informatica(tema del cual no sabia nada de nada), por las ganas de aprender sobre el tema, tambien tenia claro que me podia meter en las patas del caballo por que me enfrentaba a algo que no conocia, pero me tire, tuve la oportunidad de hacer una auditoria de seguridad real a un departamento de informatica, encontre fallos de seguridad graves, y se hizo un manual para corregir todo, plan de contingencia, politicas de respaldo, etc , fue una buena experiencia, me sirvio mucho, y lo mejor es que pude aplicar de forma real y con resultados positivos el tema de mi memoria, Slds. ¡Sé un mejor ambientalista! Encuentra consejos para cuidar el lugar donde vivimos. http://telemundo.yahoo.com/promos/mejorambientalista.html From [EMAIL PROTECTED] Wed Sep 26 12:41:26 2007 From: [EMAIL PROTECTED] (Miguel Oyarzo O.) Date: Wed Sep 26 13:36:13 2007 Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] At 11:32 26-09-2007, Hugo Figueroa R. wrote: Fernando, No le des muchas vueltas al tema de tu tesis y cumple el requisito nomas.. Nadie se hace famoso por su tesis (al menos no en Chile) Que tercer mundista, si bien al cumplir los requisitos estas al otro lado, siempre una memoria es la oportunidad de aprender, investigar, descubrir, aunque no sea un aporte relevante para los demas, pero por lo menos para uno mismo, Na... para nada... soy realista no mas En *general* ninguna empresa te pregunta por tu trabajo memoria (quizas en ambientes academicos,, no se) pero en el mundo del trabajo fuera de la U eso NO existe eso (si el rendimiento academico o en laboratorios) Despues de par de años a nadie le interes, mas que al autor o algun individuo que la quiera usar para mejorar o potenciar algo, aun que lo dudo. Te llena de alegria hacer una buena memoria: SI ... pero queda para ti nomas (tu mismo lo dices arriba). En la vida real importa tu skill y como las justificas. Si la memoria te mejora tu skill es otra cosa. tercermundista? na... realista: MEMORIA = TRAMITE FINAL PARA OBTENER TU TITULO. No recuerdo a nadie famoso la mejor tesis de grado de un año. Si conzco un monton de investigadores y docentes que escriben papers, publican con latex, etc, y que aportan en forma real al mundo (algunos no se daran ni cuenta lo importantes que son). Saludos Miguel Oyarzo Austro Internet Punta Arenas Chile
[OFFTOPIC] Apoyo en busca de tema de tesis doctoral
El 26/09/07, Miguel Oyarzo O. [EMAIL PROTECTED] escribió: Fernando, No le des muchas vueltas al tema de tu tesis y cumple el requisito nomas.. Uhm... casi siempre he sido un poco antipático, pero esta vez no puedo dejar de expresar mi molestia. No tengo título ni tantos cientos de años de experiencia para criticar, pero principalmente soy chileno y no tengo reparo en apoyar, aplaudir y felicitar lo bueno que se quiera generar / se esté generando en nuestro país. Con consejos como esos, poco podremos aportar a que Chile sea mejor mirado en el extranjero. Nadie se hace famoso por su tesis (al menos no en Chile) Nadie se hace famoso por su tesis en ninguna parte, pero créeme que sí por el conocimiento que ha logrado a través de una oportunidad de investigar, en la cual se te proporcionan bastantes medios para poder hacer lo que tú quieras. Basta ser acertado y, claro, no abarcar muchas cosas que no puedas hacer (lo que te sugirió el doc). De aquí de la lista, creo que Alvaro, Germán y Cristian (entre otros que se me escapan) han tenido un buen reconocimiento por el conocimiento que han ganado a través de sus investigaciones y desarrollos, y si alguna vez me decido a estudiar la ingeniería (cosa que estoy planteándome hacer este próximo año, ya que desafortunadamente la institución en la que me matriculé y pretendí estudiar tiene docentes con serias deficiencias mentales) me gustaría llegar a ese nivel; el quedarnos con lo que nos enseñan en las aulas solamente genera desastres y desprestigio a la profesión de la informática. IMHO, En vez de desechar ese tema, creo que deberías mirar (veo que ya lo has hecho de un nivel muy por encimita) lo que hay con respecto a eso, porque es un tema lo suficientemente recurrente; abordar un punto de vista por sobre esas investigaciones, meter en una juguera y hacer un prototipo funcional básico, a modo de comprobar tus teorías (sin intentar hacerlo todo en una aplicación World Class que supere a Google Earth). Luego, con tu título en mano, puedes inclusive hacer tu empresa e implementar en un tiempo razonable (no, no hablo de 6 meses); es más duro de esta manera llegar a cumplir tu objetivo, pero es más satisfactorio para ti el trabajo. -- Rodrigo Fuentealba
Puertos alternativos
Hola, Me gustaria saber si existe o alguien conoce alguna politica estandar para elegir un numero de puerto alternativo. En particular tengo que reemplazar el puerto (servicio RMI en servicor de aplicación j2ee) por otro libre, y me gustaria saber si hay alguna regla de buenas costubres mejor que elegir cualquier puerto desocupado. Gracias Germán From [EMAIL PROTECTED] Wed Sep 26 14:36:24 2007 From: [EMAIL PROTECTED] (Renato Covarrubias Romero) Date: Wed Sep 26 14:38:49 2007 Subject: Puertos alternativos In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El Miércoles 26 Septiembre 2007, German Castro Donoso escribió: Hola, Me gustaria saber si existe o alguien conoce alguna politica estandar para elegir un numero de puerto alternativo. En particular tengo que reemplazar el puerto (servicio RMI en servicor de aplicación j2ee) por otro libre, y me gustaria saber si hay alguna regla de buenas costubres mejor que elegir cualquier puerto desocupado. Yo al menos miro /etc/services Saludos... -- Renato Covarrubias Romero - counter.li.org #399677 rcovarru [at] alumnos.inf.utfsm.cl rnt [at] bla.cl Estudiante Ingenieria Civil Informatica, Casa Central, UTFSM.
[OFFTOPIC] Apoyo en busca de tema de tesis doctoral
El Wed, 26 Sep 2007 12:41:26 -0400 Miguel Oyarzo O. [EMAIL PROTECTED] escribió: Na... para nada... soy realista no mas En *general* ninguna empresa te pregunta por tu trabajo memoria (quizas en ambientes academicos,, no se) pero en el mundo del trabajo fuera de la U eso NO existe eso (si el rendimiento academico o en laboratorios) Si nadie te lo pregunta, mostraselos de motus propio. Un saludo -- Satoru Lucas Shindoi - [EMAIL PROTECTED] SysAdmin GNU/Linux, *NIX Oficina (06 a 15 hs) 03783 463449 / 425612 Particular (16 hs en adelante) 03783 459196 ICQ: 95357247 - Gmail: [EMAIL PROTECTED] - [EMAIL PROTECTED] Messenger: [EMAIL PROTECTED] - Yahoo: [EMAIL PROTECTED] -- Sistemas de Informacion - DPEC - https://www.dpec.com.ar/sistemas Tixpert - www.tixpert.com.ar - Tecnología, Investigación, Experiencia. Proyectos NEA - www.nea.org.ar
[OFFTOPIC] Apoyo en busca de tema de tesis doctoral
En la vida real importa tu skill y como las justificas. Si la memoria te mejora tu skill es otra cosa. Ahi esta el punto. El objetivo de todo trabajo de titulo (memoria, tesis, proyecto, tesina, etc.) es que sea un reforzamiento a los conocimientos y habilidades propias, para marcar y reforzar una tendencia a seguir (personal) y que pueda aportar para el CV (como skill) a la hora de justificar sus cononcimientos. Ahora si nos ajustamos a lo que sea no mas con tal de que obtenga el titulo, en realidad es valido pero desperdiciamos ese tiempo que puede ser mejor aprovechado. Y segun yo esa seria la idea de responder en la lista,darle buenos consejos. tercermundista? na... realista: MEMORIA = TRAMITE FINAL PARA OBTENER TU TITULO. Como el autor original del thread lo hizo con la intencion de buscar ideas esto en realidad no aporta mucho. si el quisiera ajustarse a los requerimientos no mas es algo que el se encargara de decidir. La idea es que le den tips que le sirvan para mejorar su busqueda. Por mi parte afirmo lo que dijo el doc, encomendarse a san google y hacer fuertes busquedas de soluciones a problemas que esten regularmente hechos, donde pueda ampliar una solucion y al alcance de su tiempo y capacidad. From [EMAIL PROTECTED] Wed Sep 26 14:59:14 2007 From: [EMAIL PROTECTED] (Alejandro Gasca) Date: Wed Sep 26 15:27:46 2007 Subject: Puertos alternativos In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El día 26/09/07, German Castro Donoso [EMAIL PROTECTED] escribió: Hola, Me gustaria saber si existe o alguien conoce alguna politica estandar para elegir un numero de puerto alternativo. En particular tengo que reemplazar el puerto (servicio RMI en servicor de aplicación j2ee) por otro libre, y me gustaria saber si hay alguna regla de buenas costubres mejor que elegir cualquier puerto desocupado. Gracias Germán te servira: http://www.iana.org/assignments/port-numbers en particular donde dice: DYNAMIC AND/OR PRIVATE PORTS The Dynamic and/or Private Ports are those from 49152 through 65535 Alejandro From [EMAIL PROTECTED] Wed Sep 26 15:06:35 2007 From: [EMAIL PROTECTED] (Daemon) Date: Wed Sep 26 15:35:08 2007 Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] On 9/26/07, Rodrigo Fuentealba [EMAIL PROTECTED] wrote: El 26/09/07, Miguel Oyarzo O. [EMAIL PROTECTED] escribió: Nadie se hace famoso por su tesis en ninguna parte, pero créeme que sí por el conocimiento que ha logrado a través de una oportunidad de investigar, en la cual se te proporcionan bastantes medios para poder hacer lo que tú quieras. Basta ser acertado y, claro, no abarcar muchas cosas que no puedas hacer (lo que te sugirió el doc). Lo que importa es el conocimiento, como lo adquiriste termina siendo irrelevante -- Blake Ross - Mozilla Team Salu2
[OFFTOPIC] Apoyo en busca de tema de tesis doctoral
At 15:22 26-09-2007, Pedro GM wrote: En la vida real importa tu skill y como las justificas. Si la memoria te mejora tu skill es otra cosa. Ahi esta el punto. El objetivo de todo trabajo de titulo (memoria, tesis, proyecto, tesina, etc.) es que sea un reforzamiento a los conocimientos y habilidades propias, para marcar y reforzar una tendencia a seguir (personal) y que pueda aportar para el CV (como skill) a la hora de justificar sus cononcimientos. Ahora si nos ajustamos a lo que sea no mas con tal de que obtenga el titulo, en realidad es valido pero desperdiciamos ese tiempo que puede ser mejor aprovechado. Y segun yo esa seria la idea de responder en la lista,darle buenos consejos. tercermundista? na... realista: MEMORIA = TRAMITE FINAL PARA OBTENER TU TITULO. Parece que muchos toman la meoria de titulo como una oportunidad para redimirse o a lo lejos una absolucion ! Si una buena memoria no implica para nada que seas buen profesional despues. El alumno malo o mediocre seguira siendo mediocre afuera. Si en ese mismo periodop te sacas la mugre investigando, leyendo y haciendo, luego te das cuenta que un solo trabajo final no es el COROLARIO de tu existencia. Hay laboratorios que aportan mas experiencia que una tesis final (que por lo general se piensa debe ser la obra para impresionar a todos, pero que rara vez se logra). LA MEJOR MEMORIA = Algo practico y mostrando algo de skill alcanzado, pero no trates de impresionar, eso es muy dificil y podrias terminar gastando plata y tiempo Luego puedes impresionar a tu empleador o a tus propios clientes mostrando toda la capacidad obtenida (alli no tienes perdon si no lo logras). Saludos, Miguel Oyarzo Austro Internet S.A. Punta Arenas
Puertos alternativos
German Castro Donoso wrote: Hola, Me gustaria saber si existe o alguien conoce alguna politica estandar para elegir un numero de puerto alternativo. En particular tengo que reemplazar el puerto (servicio RMI en servicor de aplicación j2ee) por otro libre, y me gustaria saber si hay alguna regla de buenas costubres mejor que elegir cualquier puerto desocupado. Gracias Germán aunque me imagino que ya revisaste, en http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers hay un listado de puertos oficiales y no oficiales para servicios. aunque no sale ahi el port . saludos From [EMAIL PROTECTED] Wed Sep 26 17:30:26 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Wed Sep 26 17:42:55 2007 Subject: Evitar sql injection y xss In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El 26/09/07, Ricardo Mun~oz A. [EMAIL PROTECTED] escribió: Cristian Rodriguez wrote: Ricardo Mun~oz A. escribió: shuata... entonces no tienes idea que CakePHP lo puedo ejecutar sin problemas en PHP5? cual es la idea de de tanto FUD con respecto a Cake? No es FUD, si esta programado para una version del lenguaje obsoleta, llena de limitaciones y errores el resultado va a ser malo auqnue funcione el versiones posterioires. y sigues con tu FUD; estas diciendo que todas las aplicaciones que funcionan con PHP4 estan llenas de limitaciones y errores solo debido a la version del lenguaje. pero, lo que tambien estas diciendo (sin darte cuenta?) es que si PHP5 me acepta el mismo codigo que PHP4 No todo funciona igual. Hay un registro de cambios en www.php.net para poder migrar de php 4 a php 5.2 automaticamente PHP5 pasa a ser igual de limitado y lleno de errores como PHP4. Ejejejeje, pongámoslo fácil: Compré un equipo de radio marca PHP modelo 4.3 que sólo me soporta escuchar bandas AM y escuchar vinilos. Luego compré un equipo de radio marca PHP modelo 5.2 que soporta bandas AM, FM, TV y escuchar CD-ROM's, pero como puedo escuchar AM, ¿es igual de limitado? No sé en qué parte del Universo vives tú, pero acá en el planeta Tierra, el segundo equipo de radio no es tan limitado como el primero. (si PHP4 me permite escribir codigo malo, entonces tambien me lo va permitir PHP5). Si tú usas PHP 5 como si fuera PHP 4, y no lees los cambios, los hints de seguridad y todas esas cosas; es lo mismo que usar Python 3.0 si sigues usándolo como si fuera Python 1.2, o Visual Basic .NET 2005 con los objetos DCOM de Visual Basic 6: no es problema del lenguaje, sino de tu forma de utilizarlo. Considera seriamente volver a estudiar PHP. te das cuenta de eso? Entiende: PHP 5 es un lenguaje completamente nuevo, con backwards compatibility (a medias), hacia PHP 4, pero cuya forma recomendada de usar es completamente distinta, cuya manera de declarar las clases (públicas, protegidas y privadas, algo que tengo entendido que PHP 4 no soporta completamente bien, pero no tengo ningún PHP 4 para comprobarlo) es distinta, cuya manera de organizar el código para terminar con el spaghetti es mucho mejor. ademas, PHP4 sera soportado hasta el an~o 2012 en RHEL4, CentOS4, etc. (ver [1]) por lo que tu FUD de que PHP4 no esta soportado tampoco es cierto. El soporte que RHEL 4, CentOS 4 u otra distribución le da a las aplicaciones cuyo release ha pasado consiste en hacer backporting de muchos parches. Si PHP 5 reescribió completamente su esquema de clases y objetos, ¿me puedes decir qué clase de marañas tendrán que hacer cuando se pille un error en esta parte de PHP 4, y cuánto se demorarán en parcharlo? El soporte que te ofrece RHEL refiere a incluirlo en la distribución, mantenerlo funcionando y que no se rompa ante otras bibliotecas, pero ellos no son totalmente expertos en el funcionamiento de PHP y aún si picaran código, el duplicado de esfuerzos conllevaría, en este caso, a inconsistencias. Slackware ya retiró de sus filas a PHP 4 y no lo recomienda para nada, ya pasaron sus años de fama; Slackware 11 lo mantendrá sólo hasta que sea viable, y eso no será por mucho. Cristian que te cuente sobre SuSE. Eso ocurre cuando el cambio es drástico en una distribución, cosa que en el caso de MySQL, no importa, porque reimplementan sobre lo mismo y no hay mucha diferencia entre el código que comparten 5.0.41 y 4.1.11 (pero sí la hay en el código que se agregó). ahora, antes de que R.Fuentealba diga que estoy defendiendo PHP4, aclaro altiro que es obvio que PHP5 es mucho mejor, pero hay que ser suficientemente inteligente para darse cuenta que en la realidad existen (muchos) miles de hosts con PHP4 que no van a migrar a PHP5 en el corto/mediano plazo. ¿Por ejemplo? Esos hosts son aquellos a los que les interesa ganar plata y DEBEN ser tildados de irresponsables; podrían adquirir demandas (aunque en la práctica, nadie lo hace y todos se resisten por un tema de
Evitar sql injection y xss
Rodrigo Fuentealba escribió: El 26/09/07, Ricardo Mun~oz A. [EMAIL PROTECTED] escribió: automaticamente PHP5 pasa a ser igual de limitado y lleno de errores como PHP4. Ejejejeje, pongámoslo fácil: Compré un equipo de radio marca PHP modelo 4.3 que sólo me soporta escuchar bandas AM y escuchar vinilos. Luego compré un equipo de radio marca PHP modelo 5.2 que soporta bandas AM, FM, TV y escuchar CD-ROM's, pero como puedo escuchar AM, ¿es igual de limitado? El problema a que apunta Ricardo no son las capacidades, sino los problemas. Si la banda AM te permite (supongamos) quemar la radio cuando se reciba una señal determinada, entonces el equipo nuevo es igual de vulnerable si tiene AM, porque todavía puedes quemar el equipo. Si puedes ver TV y escuchar CDs, super bien, pero cuando me lo queme el vecino que me odia no me voy a sentir muy feliz. -- Alvaro Herrera http://www.amazon.com/gp/registry/CTMLCN8V17R4 Syntax error: function hell() needs an argument. Please choose what hell you want to involve. From [EMAIL PROTECTED] Wed Sep 26 17:47:58 2007 From: [EMAIL PROTECTED] (Marco Bravo) Date: Wed Sep 26 17:50:24 2007 Subject: Puertos alternativos In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Estimado, En estricto rigor puedes ocupar cualquier puerto que no sea reservado. Cuando levanto multiples instancias en Jboss debo hacer eso. Saludos. El día 26/09/07, German Castro Donoso [EMAIL PROTECTED] escribió: Hola, Me gustaria saber si existe o alguien conoce alguna politica estandar para elegir un numero de puerto alternativo. En particular tengo que reemplazar el puerto (servicio RMI en servicor de aplicación j2ee) por otro libre, y me gustaria saber si hay alguna regla de buenas costubres mejor que elegir cualquier puerto desocupado. Gracias Germán -- Atentamente. Marco Bravo http://marcosbravo.blogspot.com From [EMAIL PROTECTED] Wed Sep 26 17:21:30 2007 From: [EMAIL PROTECTED] (Marcelo Espinosa Alliende) Date: Wed Sep 26 17:55:32 2007 Subject: nombre raro para archivos de certificados In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El mié, 26-09-2007 a las 16:17 -0400, Victor Hugo dos Santos escribió: Hola a todos, estoy configurando algunos servicios con SSL y el tema es que en los clientes redhat (AS 4), me da el siguiente error: Peer does not recognize and trust the CA that issued your certificate. bien, es claro lo que dices.. y me puse a revisar en el cliente que era lo que estaba malo.. y el tema es que había copiado el archivo ca.crt para la carpeta correcta, pero por algún motivo no lo reconoce.. tuve que crear un link con el nombre 5ed36f99.0 apuntando al archivo y entonces funciono. busque un poco en internet.. y aparenta que el tema es que este nombres son HASH de los certificados. sera cierto ??? Si. hay alguna otra explicacion para tener un nombre así ??? se utiliza para buscar el certificado en tu lista de certificados... primero busca en cert.pem, si no lo encuentra ahí... a partir del hash del certificado remoto busca un archivo con nombre hash.0 (la extensión es un incremental en caso de que dos o más certificados tengan el mismo hash). si no fuese así, tendría que abrir uno por uno los posibles archivos de certificados y verificar si al interior está el certificado buscado, lo cual resulta ineficiente, es posible que en un solo archivo tengas muchos certificados(caso cert.pem)... como puedo generarlo ??? $ openssl x509 -noout -hash -in vsignss.pem f73e89fd When an application encounters a remote certificate, it will typically check to see if the cert can be found in cert.pem or, if not, in a file named after the certificate?s hash value. If found, the certificate is considered verified. para mayores detalles busca el HOWTO de OpenSSL (especialmente la línea de comandos)... hay muchos. aquí va uno: http://www.madboa.com/geek/openssl/ Saludos. -- Marcelo Espinosa Alliende, mailto:[EMAIL PROTECTED] Jefe Depto de Servicios Computacionales Dirección de Informática Universidad del Bío-Bio fono: +56 41 2731531, http://marcelo.ubb.cl
[OFFTOPIC] Apoyo en busca de tema de tesis doctoral
Miguel Oyarzo O. escribió: At 15:22 26-09-2007, Pedro GM wrote: En la vida real importa tu skill y como las justificas. Si la memoria te mejora tu skill es otra cosa. Ahi esta el punto. El objetivo de todo trabajo de titulo (memoria, tesis, proyecto, tesina, etc.) es que sea un reforzamiento a los conocimientos y habilidades propias, para marcar y reforzar una tendencia a seguir (personal) y que pueda aportar para el CV (como skill) a la hora de justificar sus cononcimientos. Ahora si nos ajustamos a lo que sea no mas con tal de que obtenga el titulo, en realidad es valido pero desperdiciamos ese tiempo que puede ser mejor aprovechado. Y segun yo esa seria la idea de responder en la lista,darle buenos consejos. tercermundista? na... realista: MEMORIA = TRAMITE FINAL PARA OBTENER TU TITULO. Parece que muchos toman la meoria de titulo como una oportunidad para redimirse o a lo lejos una absolucion ! Si una buena memoria no implica para nada que seas buen profesional despues. nadie dice eso, por que el desempeño profesional es un tema a diario no de una sola vez. Es un tiempo que es mejor aprovechar en algo que sirva para futuro (conocimiento), a cualquier cosa. El alumno malo o mediocre seguira siendo mediocre afuera. Si en ese mismo periodop te sacas la mugre investigando, leyendo y haciendo, luego te das cuenta que un solo trabajo final no es el COROLARIO de tu existencia. No tendria por que serlo. Hay laboratorios que aportan mas experiencia que una tesis final (que por lo general se piensa debe ser la obra para impresionar a todos, pero que rara vez se logra). Eso es cierto, si lo ves desde el punto técnico lo que encuentro muy valido pues es lo que uno después mas valora (conocimiento). EL mensaje es simple aprovechar el tiempo(que si o si tendrá que invertirse) en algo útil, sin exagerar en recursos(tiempo, dinero, etc), ya que se gana un conocimiento mas adecuado a los objetivos propios, que el mero tramite. Si se entiende otra cosa ya va por un tema personal... ademas de darle mas cuerda al tema :) From [EMAIL PROTECTED] Wed Sep 26 18:52:05 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Wed Sep 26 18:55:08 2007 Subject: Evitar sql injection y xss In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El 26/09/07, Alvaro Herrera [EMAIL PROTECTED] escribió: Rodrigo Fuentealba escribió: El problema a que apunta Ricardo no son las capacidades, sino los problemas. Si la banda AM te permite (supongamos) quemar la radio cuando se reciba una señal determinada, entonces el equipo nuevo es igual de vulnerable si tiene AM Pasemos de la metáfora entonces, a un ejemplo esencial. No me meteré en XSS ni nada de eso (no me quiero quebrar la cabeza para ello), es solamente la forma correcta de hacer las cosas en PHP 5. PHP 4 te permite hacer algo como esto: ?php class Test { var $valor; function funciontest() { } } ? PHP 5 también te lo permite. Sin embargo, la manera de interpretarlo es la misma que si escribieras: ?php class Test { public $valor; public function funciontest() { } } ? Si escribes todas tus propiedades y métodos de manera pública, tendrás luego un posible problema de seguridad, si utilizas la posibilidad de autocarga de objetos que trae PHP 5. A eso apunta Cristian y a eso apunto yo cuando decimos que mucho del código que sea escrito en PHP 4 estará mal diseñado, aunque pueda correr en PHP 5. Hay una cantidad de cosas que están plenamente diseñadas y que deberíamos considerar. - http://www.php.net/manual/en/migration5.php Si nos vamos a: http://www.php.net/manual/es/migration5.incompatible.php, vamos a ver bastante información sobre las cosas que han cambiado. porque todavía puedes quemar el equipo. Si puedes ver TV y escuchar CDs, super bien, pero cuando me lo queme el vecino que me odia no me voy a sentir muy feliz. Sobre lo que alega Ricardo: lo mismo ocurrió cuando a PostgreSQL le cambiaron el valor default_with_oids a off. Leí que algunos usaban el OID como primary key dentro de sus modelos de datos, y que reclamaron aún cuando la razón de este cambio es que usar el OID como PK es para evitar una mala práctica de programación. Lo que ocurre en PostgreSQL cada vez que se cambia de versión es que debes seguir un procedimiento antes de reemplazar el motor 7.4.13 por el motor de 8.2.5; en PHP es exactamente lo mismo, la documentación existe sobre qué hacer y en qué fijarse, pero en general los usuarios de PHP no tienen conciencia de ello. ¿de quién es la culpa, si les hemos dicho que lo lean? (no, no desarrollo el lenguaje PHP pero soy responsable de él en una distro). Saludos, -- Rodrigo Fuentealba
Evitar sql injection y xss
Rodrigo Fuentealba escribió: porque todavía puedes quemar el equipo. Si puedes ver TV y escuchar CDs, super bien, pero cuando me lo queme el vecino que me odia no me voy a sentir muy feliz. Sobre lo que alega Ricardo: lo mismo ocurrió cuando a PostgreSQL le cambiaron el valor default_with_oids a off. Leí que algunos usaban el OID como primary key dentro de sus modelos de datos, y que reclamaron aún cuando la razón de este cambio es que usar el OID como PK es para evitar una mala práctica de programación. Este es un mal ejemplo, porque el cambio de OID es simplemente una optimizacion. Si lo necesitas, simplemente ponlo en ON y todo seguira funcionando OK. No hay ningun hoyo nuevo de seguridad. El problema ocurre cuando el codigo anterior sigue funcionando sin cambios, por lo tanto el usuario puede hacer un upgrade, su codigo seguira funcionando, y no hara nada. Dado que el codigo se interpreta de una manera equivalente, el problema de seguridad persiste -- con la diferencia de que PHP5 es seguro, por lo tanto el usuario se queda con la falsa sensacion de seguridad. Lo que ocurre en PostgreSQL cada vez que se cambia de versión es que debes seguir un procedimiento antes de reemplazar el motor 7.4.13 por el motor de 8.2.5; Dump/reload. En PHP no tienes que hacer nada: tomas el codigo viejo, lo pones en el servidor nuevo, y listo. Sigue funcionando. en PHP es exactamente lo mismo, la documentación existe sobre qué hacer y en qué fijarse, pero en general los usuarios de PHP no tienen conciencia de ello. ¿de quién es la culpa, si les hemos dicho que lo lean? Obviamente es de quien diseñó PHP4. Y pudiendo arreglarlo (rompiendo la compatibilidad hacia atras y por lo tanto forzando a los usuarios a cambiar el codigo), no lo hacen. En Postgres, si el problema de seguridad requiere un cambio en el codigo que significa perdida de compatibilidad hacia atras, se hace. La compatibilidad hacia atras es muy importante y se valora mucho, pero la seguridad se valora mucho mas. -- Alvaro Herrerahttp://www.advogato.org/person/alvherre La libertad es como el dinero; el que no la sabe emplear la pierde (Alvarez) From [EMAIL PROTECTED] Wed Sep 26 19:37:35 2007 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Wed Sep 26 19:40:02 2007 Subject: Evitar sql injection y xss In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El 26/09/07, Alvaro Herrera [EMAIL PROTECTED] escribió: Rodrigo Fuentealba escribió: porque todavía puedes quemar el equipo. Si puedes ver TV y escuchar CDs, super bien, pero cuando me lo queme el vecino que me odia no me voy a sentir muy feliz. Sobre lo que alega Ricardo: lo mismo ocurrió cuando a PostgreSQL le cambiaron el valor default_with_oids a off. Este es un mal ejemplo, porque el cambio de OID es simplemente una optimizacion. Si lo necesitas, simplemente ponlo en ON y todo seguira funcionando OK. No hay ningun hoyo nuevo de seguridad. Sabía que lo sería. En PHP 5 también hay un ejemplo equivalente, que es el short_open_tag, que ahora es por defecto off, y ya no puedes escribir código utilizando: ? echo('Hello World'); ? Esto, cuando estás generando un XML, te complica con la declaración inicial: ?xml version=1.0? El problema ocurre cuando el codigo anterior sigue funcionando sin cambios, por lo tanto el usuario puede hacer un upgrade, su codigo seguira funcionando, y no hara nada. Dado que el codigo se interpreta de una manera equivalente, el problema de seguridad persiste -- con la diferencia de que PHP5 es seguro, por lo tanto el usuario se queda con la falsa sensacion de seguridad. Lo que Cristian y yo decimos es que PHP 5 es seguro, pero debemos olvidar las viejas prácticas de PHP 4, por lo tanto debe hacerse una revisión del código (que, en muchos casos, no es necesario que sea exhaustiva). Si no existiera cambio alguno, no habrían notas de migración. Ahora, idioteces como el RFI: ?php if(isset($_GET['error'])) { include $_GET['error']; } ? No hay cómo evitarlas, porque no se puede modificar la mentalidad del usuario; como mucho debería haber notas de seguridad, y las que publica Stefan Esser son bastante contundentes en ese aspecto. Lo que ocurre en PostgreSQL cada vez que se cambia de versión es que debes seguir un procedimiento antes de reemplazar el motor 7.4.13 por el motor de 8.2.5; Dump/reload. En PHP no tienes que hacer nada: tomas el codigo viejo, lo pones en el servidor nuevo, y listo. Sigue funcionando. Nope. En PHP debes probar la aplicación utilizando E_ALL para desplegar los errores más graves. Las cosas que han cambiado te lanzarán, cuando menos, un E_NOTICE. Si tienes aplicaciones que incluyen clases, debes revisar sus declarativos. Sobre
Evitar sql injection y xss
Leonardo Soto M. escribió: Seguro?. Ojo, que la solución práctica no es tan simple como escapemos todo el HTML que aparezca. También debe existir un mecanismo para que se pueda incluir HTML cuando el desarrollador lo necesite. Si, 100%, absolutamente seguro. todo lo que tu sugieres hacer se puede hacer con esas librerias o con el interprete ( con PHP 5.2 o superior) , otra cosa bien distinta es que la gente no sepa como ;) Tener un lenguaje de programacion es como tener un tractor, si logras hacerlo andar no significa que automaticamente aprendas a sembrar y cosechar maiz ;) -- You don't have to burn books to destroy a culture. Just get people to stop reading them. --Ray Bradbury Cristian Rodríguez R. SUSE LINUX Products GmbH Research Development From [EMAIL PROTECTED] Wed Sep 26 22:00:31 2007 From: [EMAIL PROTECTED] (Cristian Rodriguez) Date: Wed Sep 26 22:03:00 2007 Subject: Evitar sql injection y xss In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED][EMAIL PROTECTED] l.gmail.com46F88C91.200 [EMAIL PROTECTED][EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] Ricardo Mun~oz A. escribió: y sigues con tu FUD; estas diciendo que todas las aplicaciones que funcionan con PHP4 estan llenas de limitaciones y errores solo debido a la version del lenguaje. Los errores del lenguaje fomentan los problemas en las applicaciones. ademas, PHP4 sera soportado hasta el an~o 2012 en RHEL4, CentOS4, etc. (ver [1]) por lo que tu FUD de que PHP4 no esta soportado tampoco es cierto. Te puedo asegurar que PHP4 esta absolutamente abandonado a su suerte, ya nadien lo corrige ni siquiera se mira. porque te lo puedo asegurar ? porque yo soy contribuidor de PHP, yo ayudo a hacer y probar el interprete (JFYI:P) jejjeje... era casi obvia tu respuesta ;) LOgico, si hay un libro gratuito que habla de ello en detalle, para que vamos a gastar tiempo en explicarlo aqui ? para eso existe el FM no ? la tontera de PHP4 (malo) vs. PHP5 (bueno) lo veo totalmente irrelevante... No, es super relevante para el caso ;) -- You don't have to burn books to destroy a culture. Just get people to stop reading them. --Ray Bradbury Cristian Rodríguez R. SUSE LINUX Products GmbH Research Development From [EMAIL PROTECTED] Wed Sep 26 23:18:48 2007 From: [EMAIL PROTECTED] (Fernando Fenando) Date: Wed Sep 26 23:21:18 2007 Subject: [OFFTOPIC] Apoyo en busca de tema de tesis doctoral In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] El día 26/09/07, Pedro GM [EMAIL PROTECTED] escribió: Como el autor original del thread lo hizo con la intencion de buscar ideas esto en realidad no aporta mucho. si el quisiera ajustarse a los requerimientos no mas es algo que el se encargara de decidir. La idea es que le den tips que le sirvan para mejorar su busqueda. Por mi parte afirmo lo que dijo el doc, encomendarse a san google y hacer fuertes busquedas de soluciones a problemas que esten regularmente hechos, donde pueda ampliar una solucion y al alcance de su tiempo y capacidad. Exactamente! seria fácil buscar cosas por ahí y hacer un copy/paste y fin del tema, pero lo que yo quiero es ayuda y orientacion en temas que me puedan conducir a realizar algo interesante con lo me sienta a gusto y poder cumplir una meta personal. Asi que las ideas y consejos siguen siendo bienvenidos! y les doy mi agradecimiento a todos aquellos que han puesto su tiempo en este thread :) Saludos a todos! From [EMAIL PROTECTED] Wed Sep 26 23:30:04 2007 From: [EMAIL PROTECTED] (Aldrin Gonzalo Martoq Ahumada) Date: Wed Sep 26 23:32:31 2007 Subject: Puertos alternativos In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] On 9/26/07, German Castro Donoso [EMAIL PROTECTED] wrote: Me gustaria saber si existe o alguien conoce alguna politica estandar para elegir un numero de puerto alternativo. En particular tengo que reemplazar el puerto (servicio RMI en servicor de aplicación j2ee) por otro libre, y me gustaria saber si hay alguna regla de buenas costubres mejor que elegir cualquier puerto desocupado. Como dijeron, puedes usar cualquier puerto. No tienes que pedirle permiso a la IANA si usas el puerto 25, si quieres. Ahora, hay ciertas convenciones de facto que se siguen. Puede ser por que si (todo el mundo lo hace) o porque la herramienta o el software esta configurado asi. Ejemplo del primer caso: casi todas las instalaciones tomcat y otras Java utilizan el puerto 8080. Hay mucho software que tambien usa defacto el puerto 8080 para cosas totalmente distintas (ejs: varios proxy's de web); asi que basicamente todos ponen cualquier cosa no-root HTTP en el puerto 8080. Ejemplo del segundo caso: en WAS cuando creas un servidor nuevo en la misma maquina, automaticamente asigna el puerto