Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Problema de seguridad webmail de R cable [solucionado]

Josh

Los megachachis de R, al renovar la apariencia de su web y correo, se les ocurrio la genial idea que, una vez estes logueado en el webmail (mensaxeria.mundo-r.com), aparezca el nombre de usuario y password en la barra de direcciones como un elemento más de la url, a la vista de cualquier persona que pase por delante del monitor cuando estás tranquilamente mirando el correo ¬¬

Pues sí, es cierto. Cualquier proxy se quedara con nuestro pass en los logs. Aquí va una captura de pantalla.

ivimail

pues si, es de una inteligencia sublime, la verdad...

🗨️ 1
BocaDePez
BocaDePez

y no solo al pasar por delante, con un snifer facil puedes verlas peticiones de la url y de esta forma usuario y pass

tumerudi

A mi me pasaba eso mismo hace unos anyos con el correo de Eresmas, me aparecia la clave en la URL de la misma manera que he visto en la imagen.

Lo siento por las tildes y demas, no tengo ahora teclado espanyol.

Pishu

q graciosos los de R XDDDD

vaya panda de inutiles los de la consultora que les haya hecho el webmail... de verdad...

🗨️ 1
BocaDePez
BocaDePez

pago 2 decos e tengo solo 1

isidro1915

madre mia, pero quien ha sido el que se le ha ocurrido pasar el pass sin codificar?

lo que hay ver, viva la seguridad y la privacidad

🗨️ 7
BocaDePez
BocaDePez

El navegador a través de un form, envíe los parámetros al servidor por POST (no se muestran en la barra de direcciones) o por GET (se muestran) NO TIENE FORMA DE CODIFICAR EL PASSWORD. La única forma de hacerlo seguro es conectándose a la página de webmail mediante HTTPS, en vez de HTTP. De cualquier otra forma, aparezca o no en la barra de direcciones, la password va en claro, y CUALQUIER PROXY tendrá en sus logs lo que ha pasado.

Abur

🗨️ 6
Josh

Si es por post el proxy tendría que almacenar el contenido y no solo las urls y la gran mayoria solo logea urls.

BocaDePez
BocaDePez

Si haces un formulario de acceso puedes enviar por método GET la contraseña codificándola por ejemplo con MD5 y así no se interpretaría a simple vista.

🗨️ 4
BocaDePez
BocaDePez

Sí claro... listillo, ahora resulta que el W3C ha incluido el tag <input type="password_md5_palseñorito">.... no te jode, hay que tener un poco de idea antes de hablar.

Abur

🗨️ 3
BocaDePez
BocaDePez

una pista pero pshhhhh .... javascript

🗨️ 1
Pnia

Ja ja!, ahora kien es el listo?? has corrido mucho al contestarle.

Se puede encriptar con javascript en MD5 entre otras cosas pajhome.org.uk/crypt/md5/ , que segun tengo entendido no tiene proceso inverso (desencritar) y la manera de comprobar la clave seria encriptando la que tienen ellos y comparandolas.

Salu2

blablabla665464

Los clientes, la seguridad, la competencia, la velocidad, los precios son cosas que no competen a R, son preocupaciones absurdas de otras compañías. Pero eh, no pasa nada, que es una empresa gallega, los gallegos lo vamos a contratar igual...

PD: Lo único interesante que ofrece R, lo mismo q el resto de cableras, rápida instalación, y la rapided para resolver las incidencias (todo es de ellos y ellos hacen la instalación, pocos elementos ajenos a la empresa pueden fallar).

🗨️ 2
BocaDePez
BocaDePez

te dan la mejor conexión del mercado eh!

aunque a cambio te roben un ojo de la cara

si quieres pásate a la mierda del adsl y ya me contarás si te va mejor

🗨️ 1
BocaDePez
BocaDePez

Eso de la mejor velocidad vamos a dejarlo y decir claramente QUE ES MENTIRA, que nos están robando, yo tengo contratado 9MG y me llega 6, y eso cuando no tengo 550 kb, además la conexión NO ES ESTABLE, se corta cada dos por tres, y cuando estás conectado tienes unos dientes de sierra que pa qué, a los de "R" les importe un guevo y parte del otro que les llames, Y NO DEVUELVEN NADA SON UNOS LADRONES

BocaDePez
BocaDePez

El fallo SOLO OCURRE si accedeis desde la pagina de mensaxeria desde la web principal de R.

Si accedes directamente a traves de webmail.mundo-r.com/cp/?d=mundo-r.com estos parametros no se muestran.

Un saludo

🗨️ 2
BocaDePez
BocaDePez

Acabo de comprobar, que accediendo a traves de la pagina de mensajeria, pero utilizando Firefox 1.0.2 desde linux, el fallo no ocurre.

Solo me ocurre desde equipos windows

🗨️ 1
BocaDePez
BocaDePez

Acabo de comprobar que el error ha desaparecido.

YA NO SE MUESTRA LA INFORMACIÓN DE PASSWORD.

Comprobado desde todos los navegadores y sistemas operativos.

Parece que ya han solucionado el problema. A las 12:00 del mediodía existía (yo lo pude comprobar), y ahora ya no. Parece que lo han solucionado rápido (así se callarán muchas bocas)

Un saludo

Graku

Eso es por culpa de la ESO!!

Galastiko

Que salga ahora el de:
"Nooo si el intrusismo no afecta en nada a la informática, un químico con dos cursillos puede hacer lo mismo que un ingeniero informático"

🗨️ 1
BocaDePez
BocaDePez

En temas de informática "importantes", llamando "importantes" a aquellos que precisan de conocimientos avanzados que no se adquieren con un mero cursillo del INEM no hay mucho intrusismo.

Pero a nivel de programación de software de gestión, hacer páginas web, administrar redes y cosas así... me he encontrado de todo.

Uno de mis "jefes" (lo llamo así porque yo trabajaba para ella) era una tía que tras estudiar no me acuerdo que carrera de letras se hizo un par de cursillos en el inem y montó una empresa para hacer webs.

Me tocó hacer para ella una página en PHP, muy sencillita... Ella hacía el "diseño" y yo hacía la programación. Yo trabajo con plantillas para separar el código PHP del HTML y no os podéis imaginar lo que me costó que entendiese como funcionaba... mejor dicho, no lo conseguí porque al final del proyecto seguía sin entender las cosas.

Cada vez que cambiaba algo en el diseño, cogía de Dreamweaver y como lo tenía mal configurado, me machacaba todos los TAGS necesarios para que el PHP parsease la plantilla.

Desde aquella aprendí a que trabajar con esta gente no es bueno. Le sacas las castañas del fuego... y fomentas el intrusismo todavía más.

Abur

BocaDePez
BocaDePez

Desde luego... las noticias de bandaancha cada vez son peores... Anuncian a bombo y platillo un fallo de seguridad que ya no existe.

Lo he comprobado al leer la noticia de portada y en ninguna de mis cuentas de R me pasa.

Hay que ver...

Abur

🗨️ 7
blablabla665464

Si, posiblemente a raiz de la noticia lo han corregido. Si no seguiría existiendo y así podrías comprobarlo, seguro que lo preferirías.

🗨️ 5
BocaDePez
BocaDePez

Sí claro... ahora os creeis tan importantes que R está pendiente de lo que ponéis aquí para corregir sus fallos ....¡¡¡¡Venga yaaaaaaaa!!!!! Mucho flipado hay por aquí

Lo que sí me creo es que un usuario le haya enviado un correo notificándolo y lo hayan corregido por eso... pero nada más. No os vengáis ahora aquí de importantes.

Abur

🗨️ 4
BocaDePez
BocaDePez

Don't feed the troll

BocaDePez
BocaDePez

Si no te gusta el blog no lo leas. Disfruta del trabajo de los demás!

🗨️ 1
BocaDePez
BocaDePez
javierul

solo tienes que mirar la demanda de comunitel contra un post que se ha puesto aqui.

que no miran las operadoras esta web....???

me decia....???

BocaDePez
BocaDePez

La verdad es que me parecio muy curioso que nadie lo publicara antes, ya que ví que estaba pasando desde hace semanas (valeeeee, ya se que soy muy dejado de dios ... ¿pero de verdad que nadie lo había visto antes?), pero te aseguro que ayer de noche, cuando les envie el comentario a los de bandaancha SI seguía ocurriendo, al igual que está mañana sobre las 8, otra cosa es que tengas ceguera y no lo quieras ver ¬¬´

En fin, sigue en tu superchahimundo_de_conspiraciones_juedomasonicas de bandaanchistas_publicadores_de_noticias_de_problemas_de_seguridad_ya_corregidos* (*según tu parece que nunca pasó ;P).

BocaDePez
BocaDePez

Quería deciros k no contrateis el antivirus de "R", en unha merda, se le cuela todo, una vez más tengo que decir QUE SON UNOS LADRONES.

BocaDePez
BocaDePez

¿¿QUE "R" da la mejor velocidad ?? eso no se lo creen ni ellos ciegos de ribeiro y digamos claramente de una vez QUE ES MENTIRA, y que nos están robando, yo tengo contratado 9MG y me llega 6, y eso cuando no tengo 550 kb, además la conexión NO ES ESTABLE, se corta cada dos por tres, y cuando estás conectado tienes unos dientes de sierra que pa qué, a los de "R" les importe un güevo y parte del otro que les llames, Y NO DEVUELVEN NADA SON UNOS LADRONES

BocaDePez
BocaDePez

¿¿Alguien sabe de algún programa que recoja por hora-feha, los cortes de conexión y que haga un test según se le indique para ver la velocidad que nos están dando??