lunes, 27 de junio de 2016

La Universidad de Córdoba muestra mis claves y mi DNI

Ya escribí que "A la Universidad de Córdoba le importas 0", además que hace un tiempo también dejé por aquí algunos de los fallos que tienen en su web, fallos nivel principiante. Pero es que lo último que me encontré fue algo que teniendo en cuenta lo que he vivido con la seguridad de la UCO, no me llega a sorprender, pero que igualmente es muy muy peligroso.


No sé ya cómo decírselo, ya que veo que las palabras que uso no son capaces de entenderlas. Pero yo tengo esperanzas, pocas, pero tengo esperanzas en que un día cambien. Pero mientras tanto, a ver si a base de publicar y reportarles, publicar y reportarles, publicar y reportarles, escarmientan de una vez y se empiezan a preocupar algo por la gente.

Antes de nada, os dejo esta reflexión y es que lo más seguro es que la Universidad de Córdoba haya suspendido algunas asignaturas de gente que seguro saben, que tener una web en HTTP y manejar datos de clientes, no es una buena idea. Pero esa gente suspensa por una Universidad a la cual se le olvida hacer lo más básico, se le olvida sumar 2 y 2.

Entrando en materia, el caso es que no sé quién, me dijo el día 20 que salían las notas de selectividad, y yo pensaba que era el 23. Así pues, me fui a la página donde introduciendo mi DNI y la clave que ellos me proporcionaron, podría consultar mi nota. Pues bien, voy y veo que va en HTTP, y en ese momento dije "Bien, otra entrada para el blog sobre la UCO".

Escribí mi DNI, mi clave y antes de dar en entrar, abrí Wireshark y escribí el filtro para ver el POST del login. Y como me esperaba, ahí estaba mi DNI y mi clave.


Recordad, que esto es porque al ir en HTTP y no en HTTPs, donde podrían usar HSTS, el valor del max-age es igual a 0 segundos. Yo esto siempre lo he comparado con una carretera en la cual hay una señal que te dice "a partir de ahora hasta los próximos X segundos, el tránsito de esta autopista, es totalmente lisa y segura en tránsito". En este caso desde ahora hasta los próximos 0 segundos, con la UCO vas seguro en tránsito, es decir, nunca.


Pongámonos en la situación de que al fin se suprimen las contraseñas, y como método de autenticación se usa, por ejemplo el DNI, pues cumpliría con el "algo que tengo", "algo que sé" y "algo que soy"- Pues simplemente por introducir mi DNI en un sitio como este, ya abría perdido toda mi vida.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...