Comentarios en: Tr.im es un 3 en 1: Acortar URLs, claves en claro y sin posibilidad de baja. Recomendaciones http://auditoriasistemas.com/2009/04/28/inseguridad-trim-acortador-url/ Seguridad, utilidad, confianza, privacidad, disponibilidad y continuidad de los sistemas - Integridad, confidencialidad y confiabilidad de la información. Thu, 07 May 2009 12:47:21 +0000 hourly 1 http://wordpress.org/?v=abc Por: losimo http://auditoriasistemas.com/2009/04/28/inseguridad-trim-acortador-url/comment-page-1/#comment-223 losimo Thu, 07 May 2009 12:47:21 +0000 http://auditoriasistemas.com/?p=103#comment-223 Este <a href="http://TwitPWR.com/eq5/" rel="nofollow">complemento</a>de firefox va bastante bien para previsualizar el enlace. Un saludo! Este complementode firefox va bastante bien para previsualizar el enlace.

Un saludo!

]]> Por: admin http://auditoriasistemas.com/2009/04/28/inseguridad-trim-acortador-url/comment-page-1/#comment-211 admin Wed, 29 Apr 2009 08:40:54 +0000 http://auditoriasistemas.com/?p=103#comment-211 1. Confirmado. La baja la tramitan a través de email. 2. Falso. La contraseña solo la debe saber el usuario. Con la capacidad de resetear no hace falta almacenarla en claro ya que para software de terceros se debería usar una clave de aplicación (API key) para cada usuario. Ejemplo: friendfeed.com 3. Aunque la pregunta es muy generalista, la respuesta es clara con el futuro soporte OAuth para Twitter no debería hacer falta dar el password de Twitter. Alerta: OAuth es un protocolo estándard que recientemente le han sido encontradas vulnerabilidades y han sido corregidas. Ver en http://blog.oauth.net/2009/04/25/an-update-on-the-oauth-session-fixation-vulnerability/ 1. Confirmado. La baja la tramitan a través de email.
2. Falso. La contraseña solo la debe saber el usuario. Con la capacidad de resetear no hace falta almacenarla en claro ya que para software de terceros se debería usar una clave de aplicación (API key) para cada usuario. Ejemplo: friendfeed.com
3. Aunque la pregunta es muy generalista, la respuesta es clara con el futuro soporte OAuth para Twitter no debería hacer falta dar el password de Twitter. Alerta: OAuth es un protocolo estándard que recientemente le han sido encontradas vulnerabilidades y han sido corregidas. Ver en http://blog.oauth.net/2009/04/25/an-update-on-the-oauth-session-fixation-vulnerability/

]]> Por: Tristán http://auditoriasistemas.com/2009/04/28/inseguridad-trim-acortador-url/comment-page-1/#comment-210 Tristán Tue, 28 Apr 2009 19:10:02 +0000 http://auditoriasistemas.com/?p=103#comment-210 Os paso la respuesta de tr.im a mi petición: 1º mi email: On 28-Apr-09, at 11:10 AM, UserVoice wrote: wrote: I've a couple of BIG doubts: - I cannot find the option to delete my account. What if I want to close my account? - Hide/Show option: I find it dangerous, don't you?? - What securities do I have that my password won't be "stolen"? Thank you! 2º Su respuesta: 1. We dont have many people request to delete their account, but we will certainly take care of it for you if you ever want that. We will delete all of your data. 2. This is a balance between users needing support for configuring 3rd party software. There is really no real security issue here at all, it is only perception. We cant deal with tons of emails about "what is my password for configuring 3rd party software?". 3. None. If we are successfully hacked the hackers will have access to all your tr.im data, including your tr.im password. We will soon be on Twitter OAuth which will mean we wont have your Twitter passwords. however. We are very secure. We take a lot of precautions and monitor the network closely. -- tr.im support@tr.im http://twitter.com/trimurls/ Os paso la respuesta de tr.im a mi petición:

1º mi email:
On 28-Apr-09, at 11:10 AM, UserVoice wrote:

wrote:
I’ve a couple of BIG doubts:
– I cannot find the option to delete my account. What if I want to close my account?
– Hide/Show option: I find it dangerous, don’t you??
– What securities do I have that my password won’t be “stolen”?

Thank you!

2º Su respuesta:

1. We dont have many people request to delete their account, but we will certainly take care of it for you if you ever want that. We will delete all of your data.

2. This is a balance between users needing support for configuring 3rd party software. There is really no real security issue here at all, it is only perception. We cant deal with tons of emails about “what is my password for configuring 3rd party software?”.

3. None. If we are successfully hacked the hackers will have access to all your tr.im data, including your tr.im password. We will soon be on Twitter OAuth which will mean we wont have your Twitter passwords. however. We are very secure. We take a lot of precautions and monitor the network closely.

– tr.im

support@tr.im
http://twitter.com/trimurls/

]]> Por: Tristán http://auditoriasistemas.com/2009/04/28/inseguridad-trim-acortador-url/comment-page-1/#comment-209 Tristán Tue, 28 Apr 2009 18:45:39 +0000 http://auditoriasistemas.com/?p=103#comment-209 Yo me he dado de alta esta mañana a raiz del post de @edans Espero que todos estos problemas, sean los "típicos" de proyectos que arrancan y que van solucionando poco a poco! Cuál es vuestra recomendación? Por favor, compartid el resultado de vuestras peticiones a tr.im! Gracias Yo me he dado de alta esta mañana a raiz del post de @edans

Espero que todos estos problemas, sean los “típicos” de proyectos que arrancan y que van solucionando poco a poco!

Cuál es vuestra recomendación? Por favor, compartid el resultado de vuestras peticiones a tr.im!

Gracias

]]> Por: Benjamin http://auditoriasistemas.com/2009/04/28/inseguridad-trim-acortador-url/comment-page-1/#comment-208 Benjamin Tue, 28 Apr 2009 11:43:41 +0000 http://auditoriasistemas.com/?p=103#comment-208 Siempre es posible no pasar ni un parametro por URL, que es lo que normalmente las hace tan largas. Hoy en día tanto ASP.NET como PHP, que cubren el espectro mas amplio de lenguajes orientados a web, soportan variables en sesion de servidor. Al no haber ni cookies, URLs largas o sesiones locales de navegador, es posible tener todo en "www.midominio.com" sin cambiar nada. Desventajas: - Si el programador se equivoca a la hora de guardar esas variables, no es posible corregirlas "a mano" como aún se puede en algunos sitios. - Segun el volumen de tráfico esto podría presentar un problema al servidor a la hora de gestionar todo a la vez, pero esto es solventable segun la máquina que se use. Siempre es posible no pasar ni un parametro por URL, que es lo que normalmente las hace tan largas. Hoy en día tanto ASP.NET como PHP, que cubren el espectro mas amplio de lenguajes orientados a web, soportan variables en sesion de servidor.

Al no haber ni cookies, URLs largas o sesiones locales de navegador, es posible tener todo en “www.midominio.com” sin cambiar nada.

Desventajas:
- Si el programador se equivoca a la hora de guardar esas variables, no es posible corregirlas “a mano” como aún se puede en algunos sitios.
- Segun el volumen de tráfico esto podría presentar un problema al servidor a la hora de gestionar todo a la vez, pero esto es solventable segun la máquina que se use.

]]>