Los megachachis de R, al renovar la apariencia de su web y correo, se les ocurrio la genial idea que, una vez estes logueado en el webmail (mensaxeria.mundo-r.com), aparezca el nombre de usuario y password en la barra de direcciones como un elemento más de la url, a la vista de cualquier persona que pase por delante del monitor cuando estás tranquilamente mirando el correo ¬¬
Pues sí, es cierto. Cualquier proxy se quedara con nuestro pass en los logs. Aquí va una captura de pantalla.
pues si, es de una inteligencia sublime, la verdad...
y no solo al pasar por delante, con un snifer facil puedes verlas peticiones de la url y de esta forma usuario y pass
A mi me pasaba eso mismo hace unos anyos con el correo de Eresmas, me aparecia la clave en la URL de la misma manera que he visto en la imagen.
Lo siento por las tildes y demas, no tengo ahora teclado espanyol.
q graciosos los de R XDDDD
vaya panda de inutiles los de la consultora que les haya hecho el webmail... de verdad...
pago 2 decos e tengo solo 1
madre mia, pero quien ha sido el que se le ha ocurrido pasar el pass sin codificar?
lo que hay ver, viva la seguridad y la privacidad
El navegador a través de un form, envíe los parámetros al servidor por POST (no se muestran en la barra de direcciones) o por GET (se muestran) NO TIENE FORMA DE CODIFICAR EL PASSWORD. La única forma de hacerlo seguro es conectándose a la página de webmail mediante HTTPS, en vez de HTTP. De cualquier otra forma, aparezca o no en la barra de direcciones, la password va en claro, y CUALQUIER PROXY tendrá en sus logs lo que ha pasado.
Abur
Si es por post el proxy tendría que almacenar el contenido y no solo las urls y la gran mayoria solo logea urls.
Si haces un formulario de acceso puedes enviar por método GET la contraseña codificándola por ejemplo con MD5 y así no se interpretaría a simple vista.
Sí claro... listillo, ahora resulta que el W3C ha incluido el tag <input type="password_md5_palseñorito">.... no te jode, hay que tener un poco de idea antes de hablar.
Abur
una pista pero pshhhhh .... javascript
Ja ja!, ahora kien es el listo?? has corrido mucho al contestarle.
Se puede encriptar con javascript en MD5 entre otras cosas pajhome.org.uk/crypt/md5/ , que segun tengo entendido no tiene proceso inverso (desencritar) y la manera de comprobar la clave seria encriptando la que tienen ellos y comparandolas.
Salu2
Los clientes, la seguridad, la competencia, la velocidad, los precios son cosas que no competen a R, son preocupaciones absurdas de otras compañías. Pero eh, no pasa nada, que es una empresa gallega, los gallegos lo vamos a contratar igual...
PD: Lo único interesante que ofrece R, lo mismo q el resto de cableras, rápida instalación, y la rapided para resolver las incidencias (todo es de ellos y ellos hacen la instalación, pocos elementos ajenos a la empresa pueden fallar).
te dan la mejor conexión del mercado eh!
aunque a cambio te roben un ojo de la cara
si quieres pásate a la mierda del adsl y ya me contarás si te va mejor
Eso de la mejor velocidad vamos a dejarlo y decir claramente QUE ES MENTIRA, que nos están robando, yo tengo contratado 9MG y me llega 6, y eso cuando no tengo 550 kb, además la conexión NO ES ESTABLE, se corta cada dos por tres, y cuando estás conectado tienes unos dientes de sierra que pa qué, a los de "R" les importe un guevo y parte del otro que les llames, Y NO DEVUELVEN NADA SON UNOS LADRONES
El fallo SOLO OCURRE si accedeis desde la pagina de mensaxeria desde la web principal de R.
Si accedes directamente a traves de webmail.mundo-r.com/cp/?d=mundo-r.com estos parametros no se muestran.
Un saludo
Acabo de comprobar, que accediendo a traves de la pagina de mensajeria, pero utilizando Firefox 1.0.2 desde linux, el fallo no ocurre.
Solo me ocurre desde equipos windows
Acabo de comprobar que el error ha desaparecido.
YA NO SE MUESTRA LA INFORMACIÓN DE PASSWORD.
Comprobado desde todos los navegadores y sistemas operativos.
Parece que ya han solucionado el problema. A las 12:00 del mediodía existía (yo lo pude comprobar), y ahora ya no. Parece que lo han solucionado rápido (así se callarán muchas bocas)
Un saludo
Eso es por culpa de la ESO!!
Que salga ahora el de:
"Nooo si el intrusismo no afecta en nada a la informática, un químico con dos cursillos puede hacer lo mismo que un ingeniero informático"
En temas de informática "importantes", llamando "importantes" a aquellos que precisan de conocimientos avanzados que no se adquieren con un mero cursillo del INEM no hay mucho intrusismo.
Pero a nivel de programación de software de gestión, hacer páginas web, administrar redes y cosas así... me he encontrado de todo.
Uno de mis "jefes" (lo llamo así porque yo trabajaba para ella) era una tía que tras estudiar no me acuerdo que carrera de letras se hizo un par de cursillos en el inem y montó una empresa para hacer webs.
Me tocó hacer para ella una página en PHP, muy sencillita... Ella hacía el "diseño" y yo hacía la programación. Yo trabajo con plantillas para separar el código PHP del HTML y no os podéis imaginar lo que me costó que entendiese como funcionaba... mejor dicho, no lo conseguí porque al final del proyecto seguía sin entender las cosas.
Cada vez que cambiaba algo en el diseño, cogía de Dreamweaver y como lo tenía mal configurado, me machacaba todos los TAGS necesarios para que el PHP parsease la plantilla.
Desde aquella aprendí a que trabajar con esta gente no es bueno. Le sacas las castañas del fuego... y fomentas el intrusismo todavía más.
Abur
Desde luego... las noticias de bandaancha cada vez son peores... Anuncian a bombo y platillo un fallo de seguridad que ya no existe.
Lo he comprobado al leer la noticia de portada y en ninguna de mis cuentas de R me pasa.
Hay que ver...
Abur
Si, posiblemente a raiz de la noticia lo han corregido. Si no seguiría existiendo y así podrías comprobarlo, seguro que lo preferirías.
Sí claro... ahora os creeis tan importantes que R está pendiente de lo que ponéis aquí para corregir sus fallos ....¡¡¡¡Venga yaaaaaaaa!!!!! Mucho flipado hay por aquí
Lo que sí me creo es que un usuario le haya enviado un correo notificándolo y lo hayan corregido por eso... pero nada más. No os vengáis ahora aquí de importantes.
Abur
Don't feed the troll
Si no te gusta el blog no lo leas. Disfruta del trabajo de los demás!
solo tienes que mirar la demanda de comunitel contra un post que se ha puesto aqui.
que no miran las operadoras esta web....???
me decia....???
La verdad es que me parecio muy curioso que nadie lo publicara antes, ya que ví que estaba pasando desde hace semanas (valeeeee, ya se que soy muy dejado de dios ... ¿pero de verdad que nadie lo había visto antes?), pero te aseguro que ayer de noche, cuando les envie el comentario a los de bandaancha SI seguía ocurriendo, al igual que está mañana sobre las 8, otra cosa es que tengas ceguera y no lo quieras ver ¬¬´
En fin, sigue en tu superchahimundo_de_conspiraciones_juedomasonicas de bandaanchistas_publicadores_de_noticias_de_problemas_de_seguridad_ya_corregidos* (*según tu parece que nunca pasó ;P).
Quería deciros k no contrateis el antivirus de "R", en unha merda, se le cuela todo, una vez más tengo que decir QUE SON UNOS LADRONES.
¿¿QUE "R" da la mejor velocidad ?? eso no se lo creen ni ellos ciegos de ribeiro y digamos claramente de una vez QUE ES MENTIRA, y que nos están robando, yo tengo contratado 9MG y me llega 6, y eso cuando no tengo 550 kb, además la conexión NO ES ESTABLE, se corta cada dos por tres, y cuando estás conectado tienes unos dientes de sierra que pa qué, a los de "R" les importe un güevo y parte del otro que les llames, Y NO DEVUELVEN NADA SON UNOS LADRONES
¿¿Alguien sabe de algún programa que recoja por hora-feha, los cortes de conexión y que haga un test según se le indique para ver la velocidad que nos están dando??
