Nos han aportado una enorme frescura, con ideas que no se nos habían ocurrido ”

Gabinete prensa Metges de Catalunya

 

SERVICIOS

 

SECCIONES

 
¡CONTACTA AHORA! 902 74 79 72
 
 
OFERTA
 
 
 

Tr.im es un 3 en 1: Acortar URLs, claves en claro y sin posibilidad de baja. Recomendaciones

Tr.im es un 3 en 1: Acortar URLs, claves en claro y sin posibilidad de baja. Recomendaciones publicado el 28 abril 2009 en Auditoria Seguridad, Consultoría Tecnológica, Gestión de sistemas, Información, LOPD, Medidas de Seguridad
Etiquetas: , , , ,

Leer en Google Leer en Yahoo RSS

RSS es un sencillo formato de datos que es utilizado para redifundir contenidos a suscriptores de un sitio web. El formato permite distribuir contenido sin necesidad de un navegador, utilizando un software disenado para leer estos contenidos RSS (agregador).

Usa los acortadores de URLs a tu riesgo.

Hoy he visto un post de Enrique Dans recomendando un servicio para acortar URLs llamado tr.im.

Nos habla de los acortadores de URLS. Que se usan para “empaquetar” referencias en servicios en los que el espacio de texto es fundamental y de un único problema de punto único de posible fallo (via Joshua Schachter)

No nos dice nada de el ocultamiento de URLs malignas o que nos dirijan a sitios no deseados. Estos ataques explotan vulnerabilidades de los servicios web que permiten robar contraseñas y apropiarse de las cuentas de usuario e identidad de las personas en esas redes sociales. Aquí os dejo un ejemplo de cómo pasó un ataque de estos.

He querido evaluar tr.im y me han bastado pocos segundos para ver 2 problemas elementales:

  • ¿Cómo me doy de baja? ¿Estamos condenados a estar siempre fichados por tr.im?
  • Se puede ver la contraseña en texto claro (esto es sin asteriscos *). Ejemplo:

trim1trim2


Cómo podemos ver, con un sólo botón (SHOW) podemos ver la contraseña que teníamos asignada.

¿Que he hecho?

He enviado un correo electrónico a soporte de tr.im para poder darme de baja y también he abierto dos casos de soporte

¿Que puedo hacer yo?

Estos servicios se pueden usar de forma anónima sin registrarse. No tienes esas funcionalidades tan geniales que nos promociona que valora positivamente Enrique Dans, pero si tienes presupuesto siempre puedes crear tu propio acortador de URLs o en otro caso evaluar desde el punto de vista de la seguridad cual deberías usar.

Cómo usuario es imprescindible protegerse tanto de la gente en quien confías cómo en la gente en quien no confías. Un enlace acortado no nos dice donde será la destinación final.

Hay clientes de microblogging cómo TweetDeck que permiten visualizar una vista previa antes de proceder a seguir el enlace:

  • Story title
  • Short url
  • Long url

Dicho esto, usa los acortadores de URLs a tu riesgo.
Actualización 28/4/09 12:30: que nos promociona que valora positivamente Enrique Dans

7 comentarios

  1. Si no te fías siempre puedes usar http://www.longurlplease.com/ Y yo no “promociono” nada ni a nadie. Simplemente hablo de cosas que he visto y me han llamado la atención.

    Comentario by Enrique Dans — abril 28, 2009 @ 12:16 pm

  2. Actualización 28/4/09 12:30. Para ser más exactos lo hemos cambiado por “que valora positivamente” Enrique Dans

    Comentario by admin — abril 28, 2009 @ 1:12 pm

  3. Siempre es posible no pasar ni un parametro por URL, que es lo que normalmente las hace tan largas. Hoy en día tanto ASP.NET como PHP, que cubren el espectro mas amplio de lenguajes orientados a web, soportan variables en sesion de servidor.

    Al no haber ni cookies, URLs largas o sesiones locales de navegador, es posible tener todo en “www.midominio.com” sin cambiar nada.

    Desventajas:
    - Si el programador se equivoca a la hora de guardar esas variables, no es posible corregirlas “a mano” como aún se puede en algunos sitios.
    - Segun el volumen de tráfico esto podría presentar un problema al servidor a la hora de gestionar todo a la vez, pero esto es solventable segun la máquina que se use.

    Comentario by Benjamin — abril 28, 2009 @ 1:43 pm

  4. Yo me he dado de alta esta mañana a raiz del post de @edans

    Espero que todos estos problemas, sean los “típicos” de proyectos que arrancan y que van solucionando poco a poco!

    Cuál es vuestra recomendación? Por favor, compartid el resultado de vuestras peticiones a tr.im!

    Gracias

    Comentario by Tristán — abril 28, 2009 @ 8:45 pm

  5. Os paso la respuesta de tr.im a mi petición:

    1º mi email:
    On 28-Apr-09, at 11:10 AM, UserVoice wrote:

    wrote:
    I’ve a couple of BIG doubts:
    – I cannot find the option to delete my account. What if I want to close my account?
    – Hide/Show option: I find it dangerous, don’t you??
    – What securities do I have that my password won’t be “stolen”?

    Thank you!

    2º Su respuesta:

    1. We dont have many people request to delete their account, but we will certainly take care of it for you if you ever want that. We will delete all of your data.

    2. This is a balance between users needing support for configuring 3rd party software. There is really no real security issue here at all, it is only perception. We cant deal with tons of emails about “what is my password for configuring 3rd party software?”.

    3. None. If we are successfully hacked the hackers will have access to all your tr.im data, including your tr.im password. We will soon be on Twitter OAuth which will mean we wont have your Twitter passwords. however. We are very secure. We take a lot of precautions and monitor the network closely.

    – tr.im

    support@tr.im
    http://twitter.com/trimurls/

    Comentario by Tristán — abril 28, 2009 @ 9:10 pm

  6. 1. Confirmado. La baja la tramitan a través de email.
    2. Falso. La contraseña solo la debe saber el usuario. Con la capacidad de resetear no hace falta almacenarla en claro ya que para software de terceros se debería usar una clave de aplicación (API key) para cada usuario. Ejemplo: friendfeed.com
    3. Aunque la pregunta es muy generalista, la respuesta es clara con el futuro soporte OAuth para Twitter no debería hacer falta dar el password de Twitter. Alerta: OAuth es un protocolo estándard que recientemente le han sido encontradas vulnerabilidades y han sido corregidas. Ver en http://blog.oauth.net/2009/04/25/an-update-on-the-oauth-session-fixation-vulnerability/

    Comentario by admin — abril 29, 2009 @ 10:40 am

  7. Este complementode firefox va bastante bien para previsualizar el enlace.

    Un saludo!

    Comentario by losimo — mayo 7, 2009 @ 2:47 pm

RSS feed para los comentarios de esta entrada.

Lo siento, el formulario de comentarios está cerrado en este momento.