CMS - Sistemas de gestión de contenidos

Rodrigo Fuentealba the.code.keeper en gmail.com
Dom Mayo 18 03:24:50 CLT 2008 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Marco González Luengo escribió:

> Puede que hayan muchos caminos para llegar a Roma, pero en materia de
> seguridad, una de las cosas importantes que debes llevar para ese
> camino es dar seguridad.

Eso es cierto.

> En este caso, las variables planteadas son
> fácilmente manipulables, y hasta visibles, por lo que se puede manejar
> la base de datos fácilmente. Es como dejar la caja fuerte cerrada, y
> pegarle en la puerta un post-it con la combinación. :O

El planteamiento es que no es realmente un GRAVE problema de seguridad,
sino una GRAVE falla de concepto. Ergo, prefiero usar otro CMS a usar
Joomla. Dios sabe de esto, y por eso es que mata un gatito blanco cada
vez que usas Joomla.

Si bien concretamente no estoy seguro de que esta falla sea explotable
instalando Joomla "as is", el hecho de que instales un módulo de
terceros que no puedes verificar porque no conoces bien cómo funciona
Joomla internamente puede dejar la crema; y eso es darle una navaja a un
mono...

Joomla no se hace responsable de tus problemas de seguridad si instalas
modulos de terceras personas, y ningun proyecto, de hecho, lo hará. Sin
embargo, cosas como Symfony, Drupal y flyspray se preocupan de que si
viene un módulo pifiado, es ideal que éste no intervenga en las
funciones internas del CMS.

> Ahora, el ejemplo planteado por nuestro amigo tiene la particularidad
> de estar presente en una versión final de un software, lo que si bien
> es un "pequeño bug", es un bug que puede joder miles de cosas...

Claro, arreglar eso probablemente quebrará muchas cosas dentro de Joomla.

> incluyendo datos privados y la sensación de suciedad que te deja el
> saber que has sido hackeado.

Yep. Me contaron que ser violado es horrible; en terminos informaticos,
claro esta.

> Me imagino que por lo menos lanzaron un
> parche, porque si ese hoyo sigue ahí... pues "ouch".

Ouch... eso viene desde hace mil.

> Así, con esto se descarta completamente que esto sea un "pequeño bug".

;-)

- --
Rodrigo Fuentealba
Concepción, Región del Bío-Bío, Chile
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkgv2cIACgkQoqmdUrqLMt0NqwCePvlRHkfc5OAVNePqrV6vCHBm
5+cAoKK42clPhUYdhmmJ/DcTQHo49Ow9
=yV46
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Linux