Bueno, pues viendo que en el blog no había hablado antes de esto, voy a hablaros de las redes sociales con las que cuento actualmente, mi opinion acerca de ellas, y una introduccion a su funcionamiento por si os animais a usarlas.
Me centrare en los enlaces a mis paginas que hay en uno de los widgets de mi blog a la derecha:
Ask.fm:
Una de mis redes sociales mas usadas. A pesar de tener un diseño simple, una seguridad deficiente, y ser una red social problematica. Su funcionamiento se basa en preguntas y respuestas que te puede enviar cualquier usuario identificandose junto a la pregunta o de forma anonima. Ultimamente esta ganando mucha popularidad, y ha empezado a ser usada por algunos famosos como Katy Perry o Miley Cyrus. En las respuestas puedes añadir fotos, videos de Youtube, y recientemente le puedes añadir GIFs, lo cual ha hecho que adquiera parte del espiritu de Tumblr. No obstante es una red problematica ya que las preguntas anonimas dejan las puertas abiertas a bullying, no hay ninguna restriccion a palabras ofensivas, etc, etc.
Twitter:
Una red de la cual creo que no hay mucho que explicar. Probablemente sea la mas usada a dia de hoy junto con Facebook. Tambien la uso bastante, si tuviera que destacar algo seria simplemente, que es una red donde seguro te van a leer, no como en otras redes menos usadas.
Tumblr:
Esta seria sin duda mi red social favorita si no fuese porque es la menos popular de todas. Es triste ver que no puedes encontrar a gente conocida aquí. Lo que mas me gusta, en cuanto a funcionamiento, es que al contrario que por ejemplo ask.fm o twitter, en las cuales insertas un texto junto con una imagen/video opcional, aqui puedes insertar diversos contenidos (La mayoria de ellos suelen ser imagenes) junto con un texto que lo describe. Estos contenidos pueden ser fotos, videos (Que puedes coger de Youtube o subir tu mismo), musica (Que puedes subir de tu ordenador), Conversaciones (Formato de texto especial), Citas celebres (Tambien con formato de texto especial), GIFs (Lo que mas identifica a Tumblr), o enlaces.
Ademas de la multitud de contenido, mi parte favorita es la personalización. ¡No hay limite! Puedes personalizar la pagina como te de la gana, editar HTML, meterle Javascript, CSS, ¡todo!
A las malas si no sabes, tambien tengo que decir que el 95% de los perfiles tienen configurados temas (Un HTML ya predefinido) y el 4% restante tienen temas junto con alguna personalizacion simple como añadirle un cursor distinto, o el ya conocido reproductor multimedia SCM.
Mi perfil es del 1% que tiene todo personalizado y unico. Ademas, es el primer tumblr en incorporar un fondo dinamico HTML5, compatible solo en los navegadores mas actuales. En principio tenia pensado que interactuase con el movimiento del raton, pero lo descarté ya que mareaba un poco y hacia que nos fijasemos menos en los contenidos, que es lo que realmente importa.
Este fondo consiste en el tipico cielo "Tumblr", una imagen que va moviendose, solapandose consigo misma, dando una sensacion de nubes que nunca antes se habia visto en ninguna web.
tambien incluye el reproductor SCM, letras que cambian de color, letras transparentes, posts transparentes que se fusionan con el fondo dinamico, cursor personalizado (al estilo MacOs), y mas.
Instagram:
Otra red social al estilo hipster. La usaria más si se pudiera usar también desde el ordenador ademas de en el movil, pero por razones que no entiendo, la version web no permite ni siquiera ver a tus seguidores.
Es tambien bastante popular, consiste en subir fotos desde el movil, aplicarles filtros, y asignarles hashtags igual que en Twitter. Cualquier usuario podra encontrar tus fotos buscando ese hashtag, y todas las fotos tienen formato cuadrado.
Facebook;
Empecé a usarlo por los juegos cuando no lo usaba nadie. Hoy dia parece haber remplazado junto con el Whatsapp a Tuenti.
Facebook siempre ha tenido muchas mas opciones y funciones que Tuenti, de hecho yo lo preferia antes que Tuenti, el problema es que entonces en España la gente joven no lo usaba.
Badoo:
La red social donde se reunen todos los canis y chonis del mundo, y donde tu perfil se resume a tu foto. No os la recomiendo.
Tuenti:
Red social que actualmente esta practicamente muerta. A mi nuca me gustó, como he comentado usaba Tuenti y no Facebook debido a que aquí es donde estaba todo el mundo. Tardó mucho tiempo en implementar funciones que Facebook ya implementaba hace tiempo, como los chats en grupo o las videoconferencias, y todo ello, siempre copiando a Facebook. El "nuevo Tuenti", versión nueva que a nadie gustó, la aparicion de Whatsapp y la creacion de perfiles de Facebook para jugar al Candy Crush (Lo se, es muy triste) hicieron que Tuenti cayera en el olvido rapidamente en practicamente menos de un año entre el 2013 y el 2014. Estoy planteando copiar todas las fotos subidas por mi a Tuenti y resubirlas a Facebook, con tal de que estas fotos no caigan en el olvido, ya que no me extrañaria que Tuenti cerrara en el momento menos esperado dejandonos sin la posibilidad de recuperar nuestras fotos subidas.
Wikiloc:
Red social relacionada con actividades deportivas (Running, ciclismo,...) Te permite subir, ver, y recomendar rutas junto con Google Maps. Antes tenia mas popularidad gracias a su integracion con Google Earth, yo en esos momentos tenia miles de visitas a mis rutas subidas. Aunque parezca mentira lo que acabó con su popularidad, fue precisamente, su popularidad: Los nuevos usuarios que aparecieron empezaron a subir rutas y mas rutas, algunas repetidas, otras mal hechas, otras de Spam, etc, etc. Haciendo que dejase de ser intuitivo a la hora de hacer una ruta de alli. Esta red sigue existiendo y lo sigue usando la gente, pero ya no oigo hablar de ella tanto como hace 2-3 años.
Blogger:
Esta red en la que os encontrais ahora mismo. Lamentablemente la escasez de popularidad ha hecho que me plantee abandonarla este mismo año. Asi es, este año tengo pensado dejar de darle soporte a mi blogger, debido a que no tengo apenas visitas, y la mayoria ni siquiera son del pais en el que me encuentro, cuando lo que tenia pensado es que tuviera publico cercano a Hellín.
Os agradezco toda la atencion a la gente que me ha leido todo este tiempo desde que me cree este blog.
Blog enfocado a la informatica y a la tecnología. Escrito de una forma amena y sencilla de forma que todos los que tengais cierto interes por la tecnología, podais entender.
lunes, 28 de julio de 2014
viernes, 25 de julio de 2014
Vulnerabilidades y fallos de seguridad en Badoo
Badoo... La red social donde todos los canis y chonis del mundo se encuentran en una misma pagina... Donde el 90% de los usuarios solo se meten con el movil porque ni tienen ordenador... (Y así podría seguir)
Bueno, pues esta claro que esta pagina me decepcionó bastante, no voy a volver a explicarlo.
La cuestión es que recientemente me reactivé la cuenta, únicamente con el objetivo de comprobar hasta que punto tenia la red social fallos de seguridad.
A pesar de que Badoo tiene millones de usuarios por todo el mundo, se nota que aun tiene algunos fallos de este tipo, en parte debido a que dado el tipo de usuarios que usan Badoo a nadie le interesaría explotarlos, y a que tampoco tiene la popularidad que tiene por ejemplo Facebook.
No obstante en general es muy muy seguro. Ademas de usar cifrado HTTPS en toda la pagina es imposible por ejemplo visualizar las fotos privadas de una persona sin pedírselo, obtener el perfil de una persona que te aparece en "Encuentros", u obtener el perfil / imagen original de las fotos pixelizadas.
Seguridad de cuenta:
En cuanto a la seguridad de la cuenta, el mayor fallo es permitir el acceso mediante un "secret": una cadena de unicamente 10 caracteres que incluye unicamente numeros y letras mayusculas y minusculas. Este "secret" puede reemplazar a la contraseña totalmente, y puede ser obtenido rapidamente con fuerza bruta.
¿De donde sale este secret? Cuando recibes los emails de Badoo con alguna notificación te aparece un enlace que te hace login automaticamente en Badoo. Asi es, un enlace URL que te hace automaticamente login. Estos enlaces serian de la forma: https://eu1.badoo.com/access.phtml?UID=387680439&secret=xxxxxxxxxx
Donde el UID es el numero de identificacion de usuario unico de cada usuario de Badoo, el cual es el que te aparece al acceder a tu perfil. Ej: mi pagina de perfil es https://badoo.com/0349823157/ (Con un 0 delante).
Como habeis visto es un fallo de seguridad muy grave, dado lo fácil que es acceder por fuerza bruta a una cuenta.
Tambien este UID nos muestra una caracteristica que Badoo nos oculta a los usuarios, que es el momento de creación de una cuenta. En el ejemplo del secret puse la cuenta de Yana, la nueva "mascota" de Badoo, que es la tia que ahora aparece en los videos de la pantalla de inicio como la "chica mas popular de Badoo". La cuestión es que si os fijais, el UID es muy actual, lo que demuestra que esa cuenta se creó practicamente en las mismas fechas que los videos. Esto demuestra que esta cuenta fue creada de forma intencionada, y la popularidad que dicen los de Badoo, se la ganó con los videos que enlazan a su cuenta a todos los usuarios del mundo.
Vulnerabilidades (Glitches) del servidor:
A la hora de configurar tu perfil, la pagina te permite seleccionar los valores que quieras para tu descripcion, atributos, intenciones...
La cuestion es que muchas opciones son cerradas, pero... ¿Que pasa si le envías respuestas al servidor de forma manual?
Y eso es lo que hice, mediante el programa Fiddler del que ya hablé anteriormente pude descubrir que el servidor es muy vulnerable a estas respuestas alteradas. Aqui os pongo varios ejemplos:
Edades de interes: Una vulnerabilidad que afecta plenamente a la funcionalidad de Badoo. En tu perfil debes poner que estas buscando: Chatear, conocer gente, ligar... Y unas edades cuyo rango debe de tener por lo menos 4 años de rango. Ej: "Quiero tener una cita con una chica entre 18 y 22 años" (Ese sería el minimo). Si estas centrad@ unicamente en personas de por ejemplo hasta 20 años, la pagina no te permite configurarlo, ya que eso implicaria que tu perfil apenas pueda aparecer a nadie. Peeeero como no, hay una vulnerabilidad en los servidores que permite configurarlo como quieras enviando la respuesta manualmente. Si veis mi perfil comprobareis que tengo puesto para conocer gente entre 18 y 19 años, una configuración imposible dentro de la pagina, y que ademas afecta a la funcionalidad de la pagina en funciones como "Encuentros".
Autodescripcion: Uno de los campos mas importante de tu perfil es la autodescripcion, un campo de texto de un maximo de 150 caracteres en el que te describes a ti mismo para que lo pueda ver el resto del mundo.
La cuestion es que no puedes escribir mas de 150 caracteres en la pagina, una pena, ¿no? pero... que pasaria si manualmente con Fiddler le envias una descripcion de 5.000 caracteres (por ejemplo). Pues lo que pasa es que el servidor lo recibe... y lo publica! Esto es un fallo muy grave, puesto que hace que paginas como la mia tengan una longitud enorme, y ademas si accedes a esta descripcion desde la app movil, la app hace crash directamente.
Atributos: Si comprobais mi campo de apariencia donde deberia aparecer mi altura y peso, comprobareis que aparece (5'4"). WTF? Normalmente la altura la pone en metros, y entre parentesis apareceria la medida en pulgadas. Los valores se envian al servidor en mm y en la pagina se pueden elegir como 170cm, 171cm... Siempre de 10 en 10mm. ¿Que pasa si se envia por ejemplo 1805mm? Pues lo que habeis visto en mi perfil. El servidor no logra interpretar mi valor de altura en cm y unicamente muestra la conversión a pulgadas entre parentesis.
Seguramente hayan mas fallos, pero como esto no lo leera nadie lo dejo aqui XD.
Bueno, pues esta claro que esta pagina me decepcionó bastante, no voy a volver a explicarlo.
La cuestión es que recientemente me reactivé la cuenta, únicamente con el objetivo de comprobar hasta que punto tenia la red social fallos de seguridad.
A pesar de que Badoo tiene millones de usuarios por todo el mundo, se nota que aun tiene algunos fallos de este tipo, en parte debido a que dado el tipo de usuarios que usan Badoo a nadie le interesaría explotarlos, y a que tampoco tiene la popularidad que tiene por ejemplo Facebook.
No obstante en general es muy muy seguro. Ademas de usar cifrado HTTPS en toda la pagina es imposible por ejemplo visualizar las fotos privadas de una persona sin pedírselo, obtener el perfil de una persona que te aparece en "Encuentros", u obtener el perfil / imagen original de las fotos pixelizadas.
Seguridad de cuenta:
En cuanto a la seguridad de la cuenta, el mayor fallo es permitir el acceso mediante un "secret": una cadena de unicamente 10 caracteres que incluye unicamente numeros y letras mayusculas y minusculas. Este "secret" puede reemplazar a la contraseña totalmente, y puede ser obtenido rapidamente con fuerza bruta.
¿De donde sale este secret? Cuando recibes los emails de Badoo con alguna notificación te aparece un enlace que te hace login automaticamente en Badoo. Asi es, un enlace URL que te hace automaticamente login. Estos enlaces serian de la forma: https://eu1.badoo.com/access.phtml?UID=387680439&secret=xxxxxxxxxx
Donde el UID es el numero de identificacion de usuario unico de cada usuario de Badoo, el cual es el que te aparece al acceder a tu perfil. Ej: mi pagina de perfil es https://badoo.com/0349823157/ (Con un 0 delante).
Como habeis visto es un fallo de seguridad muy grave, dado lo fácil que es acceder por fuerza bruta a una cuenta.
Tambien este UID nos muestra una caracteristica que Badoo nos oculta a los usuarios, que es el momento de creación de una cuenta. En el ejemplo del secret puse la cuenta de Yana, la nueva "mascota" de Badoo, que es la tia que ahora aparece en los videos de la pantalla de inicio como la "chica mas popular de Badoo". La cuestión es que si os fijais, el UID es muy actual, lo que demuestra que esa cuenta se creó practicamente en las mismas fechas que los videos. Esto demuestra que esta cuenta fue creada de forma intencionada, y la popularidad que dicen los de Badoo, se la ganó con los videos que enlazan a su cuenta a todos los usuarios del mundo.
Vulnerabilidades (Glitches) del servidor:
A la hora de configurar tu perfil, la pagina te permite seleccionar los valores que quieras para tu descripcion, atributos, intenciones...
La cuestion es que muchas opciones son cerradas, pero... ¿Que pasa si le envías respuestas al servidor de forma manual?
Y eso es lo que hice, mediante el programa Fiddler del que ya hablé anteriormente pude descubrir que el servidor es muy vulnerable a estas respuestas alteradas. Aqui os pongo varios ejemplos:
Edades de interes: Una vulnerabilidad que afecta plenamente a la funcionalidad de Badoo. En tu perfil debes poner que estas buscando: Chatear, conocer gente, ligar... Y unas edades cuyo rango debe de tener por lo menos 4 años de rango. Ej: "Quiero tener una cita con una chica entre 18 y 22 años" (Ese sería el minimo). Si estas centrad@ unicamente en personas de por ejemplo hasta 20 años, la pagina no te permite configurarlo, ya que eso implicaria que tu perfil apenas pueda aparecer a nadie. Peeeero como no, hay una vulnerabilidad en los servidores que permite configurarlo como quieras enviando la respuesta manualmente. Si veis mi perfil comprobareis que tengo puesto para conocer gente entre 18 y 19 años, una configuración imposible dentro de la pagina, y que ademas afecta a la funcionalidad de la pagina en funciones como "Encuentros".
Autodescripcion: Uno de los campos mas importante de tu perfil es la autodescripcion, un campo de texto de un maximo de 150 caracteres en el que te describes a ti mismo para que lo pueda ver el resto del mundo.
La cuestion es que no puedes escribir mas de 150 caracteres en la pagina, una pena, ¿no? pero... que pasaria si manualmente con Fiddler le envias una descripcion de 5.000 caracteres (por ejemplo). Pues lo que pasa es que el servidor lo recibe... y lo publica! Esto es un fallo muy grave, puesto que hace que paginas como la mia tengan una longitud enorme, y ademas si accedes a esta descripcion desde la app movil, la app hace crash directamente.
Atributos: Si comprobais mi campo de apariencia donde deberia aparecer mi altura y peso, comprobareis que aparece (5'4"). WTF? Normalmente la altura la pone en metros, y entre parentesis apareceria la medida en pulgadas. Los valores se envian al servidor en mm y en la pagina se pueden elegir como 170cm, 171cm... Siempre de 10 en 10mm. ¿Que pasa si se envia por ejemplo 1805mm? Pues lo que habeis visto en mi perfil. El servidor no logra interpretar mi valor de altura en cm y unicamente muestra la conversión a pulgadas entre parentesis.
Seguramente hayan mas fallos, pero como esto no lo leera nadie lo dejo aqui XD.
Suscribirse a:
Entradas (Atom)