entrar registro
fermin
#15 Por un lado, si te refieres a ver código fuente actual de mñm, pues no se puede ver porque desde 2019 no publican nada.
Por otro lado, como usamos parte del código antiguo de mñm, se supone que deberíamos estar preocupados en mdtz... pero yo creo que no deberíamos tener miedo, ya que parece que en mñm desarrollaron una nueva API para la versión "no rancia", y entiendo yo que han entrado por ahí para el leak de datos. En nuestro caso, si no hackearon mñm con el código antiguo, pues deberíamos estar un poco más tranquilos, ya que en lo que respecta al código que evita las inyecciones de código SQL, etc, sigue siendo el mismo, y parece ser bastante seguro por el momento.

Dicho esto, ya sabéis que la seguridad total no existe, y siempre existe la posibilidad de que alguien nos hackee, por supuesto. Pero al menos por mi parte, he revisado las partes de código referentes a la DB y parecen seguras; ahí Gallir hizo un buen trabajo, IMHO.
5    k 113
--972--
#16 Así es, hace años que cerraron el código a todo lo nuevo. Lo de que el desarrollo era interno permitía eso (no tenían contribuciones de terceros parece ser). Pero en cualquier caso me refería al código de mdtz por el código compartido, aunque si ya le has echado un ojo al código SQL creo que estamos mejor entonces. Es posible que la hayan pifiado en el código nuevo como apuntas, viendo el desastre visible que tienen en producción. ¡Gracias!
3    k 74
fermin
#18 La web nuestra, al igual que la versión "rancia" (antigua) de mñm, no usa API directamente para hacer el renderizado; éste se realiza en el servidor directamente. Además, todos los datos que se reciben de usuario y van a parar en alguna "query" a la DB, pasan por una capa de "limpiado" (una especie de ORM) para evitar inyecciones SQL y estas cosas.

Yo creo (ojo, creo) que el nuevo becario no debió tener en cuenta este tipo de cosas cuando implementó la nueva API. También puede ser que hayan entrado de otra forma... porque por la información que corre hasta ahora no se puede saber cómo lo han hecho ni qué tipo de ataque han usado... que no tendría obligatoriamente que ser el de inyección SQL.

Bueno, a ver si podemos enterarnos de algo más en breve...
3    k 74
--972--
#20 --972--
 *
#19 Que a lo mejor hasta los servidores en AWS estaban abiertos de patas con el sistema operativo que venía en ese momento sin actualizar dependencias del sistema o de los scripts...
2    k 54
fermin
#20 Todo es posible... aunque mucho me temo que no nos vamos a enterar de lo ocurrido :-(
2    k 55
fermin
#20 Cuando cayó hace unos 10 años mñm por un problema con los servidores de AWS, recuerdo que Gallir escribió en su blog un extenso artículo explicando todo lo ocurrido con el más mínimo detalle. Hoy esto dudo mucho que ocurra.
2    k 55
suscripciones por RSS
ayuda
+mediatize
estadísticas
mediatize
mediatize