Desde hace un tiempo que quiero armar algunos posts sobre horrores que veo en la web, pero aveces no me decido o me tapa el tiempo u otras cosas… pero hoy me saqué con lo que vi…. así que acá va….

Me pasaron el link de http://www.redpanal.com , un nuevo sitio que promete poder convertirse en algo interesante, pero que dudo que lo logre, al menos en su formato actual, pero eso es para otro post. Y me puse a mirar el desarrollo….y la verdad que deja que desear…

Por ejemplo utilizando el siguiente link http://www.redpanal.com/buscar.php?&q=tango&sort=NO_EXISTE se puede ver un error que sale por pantalla y se muestra la sentencia SQL con el error, el primero es un error de configuración del php y el segundo un error de programación pasar datos al query sin validar.

O este otro: http://www.redpanal.com/buscar.php?&q=amador&enviar=Buscar&sort=p.genero%20ASC donde se puede ver al final del link que se usa la sentencia SQL en el HTTP GET para ordenar las listas.

O editando el perfil del usuario (para esto hay que registrarse), se puede llegar a este error ingresando comillas en el nombre:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'hola mundo'', nombre = 'nelson-fernandez', sexo_id = 0, fecha_nacimient' at line 3
UPDATE usuarios SET nombre_contacto = ''hola mundo'', nombre = 'nelson-fernandez', sexo_id = 0, fecha_nacimiento = '--', sitio_web = '', blog = '', AIM = '', yahoo = '', MSN = '', gtalk = '', skype = '', pais_id = 0, provincia = '', ciudad = '', codigo_postal = '', descripcion = '', is_suscripcion_newsletter = 0, is_mail_publico = 0, is_alertas = 0, modified = '1214349162' WHERE id = 595 

Donde se puede obtener como esta armada la base de usuarios.

Viendo eso, solo queda dedicarle algo de tiempo y entusiasmo a http://www.redpanal.com/dologin.php y seguro que algo se va a lograr.

Otro sitio que llamó mi atención fue la parte de clasificados de CriticalDigital. Si se entra a esta página http://clasificados.criticadigital.com.ar/articulos.php y se busca por el tag “type=’hidden’” en el fuente html se van a ver los parámetros para la búsqueda SQL … embebidos en el form HTML !!! ... lo cual lo hace muy apetitoso de ponerse a jugar….. y si se pone uno a mirar el SQL que utiliza para filtrar los distintos tipos de clasificados (autos,casas) es peor todavia ! ... para hacer el filtro utiliza esta sentencia (solo pego la condición del sql):

CLASIFICADO.ID_CLASIFICADO NOT IN (SELECT ID_CLASIFICADO FROM AUTO) AND  CLASIFICADO.ID_CLASIFICADO NOT IN (SELECT ID_CLASIFICADO FROM CASA)

Necesita de 3 selects para filtrar una vista por un artículo a la venta !! y si al sitio le llegara a ir medianamente bien, el costo de armar ese filtro seria carísimo !!! y nuevamente se muestra a los posibles hackers información de cómo están construidas las tablas y poder deducir otras partes del sitio.

Horrores…

A quien esté interesado:

CertiSur S.A. es una empresa de servicios informáticos, afiliada de VeriSign desde 1999, especializada en tecnología PKI, Identidad y Autenticación, está buscando profesionales informáticos para unirse a CertiSur S.A.

Esperamos que el postulante tenga conocimientos en:

• Teoría de redes (conocimientos de protocolos y servicios actualmente utilizados en internet)
• Teoría de Seguridad (conocimiento de firewall y autenticación)
• Administración de equipos Unix (Solaris/Linux) y Windows.

Nuestros proyectos requieren que la persona postulante posea:

• Iniciativa y proactividad
• Actitud positiva para resolver problemas
• Confidencialidad

Cualquier persona que crea que pueda y desee ser partícipe de nuestro staff, le rogamos envíe su CV a rrhh(arroba)certisur.com

Una semana complicada esta última. Bastante carga laboral, algunos temas familiares y mi nene que estaba de vacaciones me mantuvieron con los tiempos muy ajustados, pero acá estamos nuevamente.

Antes de continuar con nuestros posts, les deseamos a todos un muy Feliz y Próspero 2007 desde este rincón.

Hoy se cumplen 5 años de la sanción de la Ley de Firma Digital – Nro 25.506. Si bién la ley fue reglamentada por los decretos Nº 2628/02 y 724/06 aún no se encuentrán emitidos los procedimientos de licenciamiento para las autoridades certificantes.

En el artículo 48 de la ley se puede leer….

En un plazo máximo de 5 (cinco) años contados a partir de la entrada en vigencia de la presente ley, se aplicará la tecnología de firma digital a la totalidad de las leyes, decretos, decisiones administrativas, resoluciones y sentencias emanados de las jurisdicciones y entidades comprendidas en el artículo 8º de la Ley 24.156.

Hoy se cumplen 5 años….....

He tenido el privilegio de trabajar en el Proyecto de Firma Digital, tanto en sus aspectos técnicos como en la asistencia de la redacción de los documentos para el proceso de licenciamiento de las autoridades certificantes. Un proyecto donde está trabajando gente muy capaz y con mucha experiencia. Un proyecto donde hay mucho por hacer.

Hoy es uno de esos días en que te acordas de todos esos políticos que seguramente tendrán hoy una explicación muy ‘política’ para intentar explicar que esta pasando con la entrada en vigencia de la ley, pero hay un hecho que es inexcusable…..... hoy pasaron 5 años…....

Invitamos a todos a un nuevo sitio que hemos llamado codeAr.com.ar.
Es un metablog, que va a empezar a agrupar a los blogs de desarrolladores argentinos. La idea es poder intentar conocer que esta pensando, leyendo y desarrollando la comunidad Argentina. Poder tener un punto de entrada para conocer gente que esta muy dispersa y que es difícil de encontrar muchas veces.
Si tenés un blog sobre desarrollo de sistemas o de temas afines y trabajas en Argentina, te invitamos a mandarnos un mail a codear en netflux punto com punto ar para agregar tu blog.
A los que son lectores, los invitamos a suscribirse al RSS y conocer nuevos blogs.