sitio hackeado

Ricardo Albarracin B. rab en bsd.cl
Mie Nov 30 11:00:51 CLST 2005


On Wed, 30 Nov 2005 09:12:58 -0300
Alvaro Herrera <alvherre en alvh.no-ip.org> wrote:


> Entiendo este punto, pero IMHO te equivocas -- lo que suele suceder es
> que los programadores de aplicaciones estan acostumbrados a hacer la
> mayor parte de la pega escribiendo codigo al lado de la aplicacion,
> pega que podrian pasarle al DBMS.  Pero como no conocen de DBMSs de
> verdad, solo conocen juguetes, no tienen idea como hacer eso de pasarle
> la pega al DBMS.  Por este mismo motivo, cuando disponen de un DBMS de
> verdad, lo unico que hacen con el es lo mismo que hacian cuando tenian
> el juguete, y por lo tanto no le ven "ninguna ventaja".

Es TAN CIERTO esto que muchos "desarrolladores" se molestan ante la evidencia 
"tan dura", pero es la verdad... de hecho me han hackeado mi sitio que estaba
desarrollado en productos GPL usando:

	-PHP sobre apache usando (adivinen) MySQL, sobre Mambo.
	Como la gran mayoria de los sitios...

	Hay un exploit que aun no se ha estudiado en detalle. 

Hay metodos para hacerle hasta un "cat a /etc/passwd" por web....SI a ese nivel y lo 
he hecho ya que no lo podia creer, despues de eso quede con cita al sicologo para que 
me saque el trauma, causado, estoy en tratamiento y se requieren al menos 5 sesiones.

La verdad despues de esta amarga experiencia... nunca volvere a usar MySQL y otras
herramientas comunes...

[.....] En lo demas concuerdo plenamente con Alvaro, hay que sacar los dogmas y malas
costumbres de los desarrolladores y usar herramientas de verdad...

Hay varias frases el respecto que ejemplifican este ejemplo.... algunas mas violentas que
otras, pero el tema pasa por aprender a usar herramientas de verdad.... MUY NECESARIO en estos
dias, en que las redes se han convertido en medio muy toxicos...

Salu2
Ricardo


Más información sobre la lista de distribución Linux