Me ha llegado este email de Ricardo Galli.
Juzguen ustedes.
-----Mensaje original-----
De: Ricardo Galli [-- borrado --]
Enviado el: Saturday, March 04, 2006 10:16 AM
Para: -- borrado --
Asunto: Problemas de seguridad en Blogmemes
Hola Eduardo,
veo que en blogmemes cada vez dedican palabras más "agradables" contra mÃ. En especial con el tema del ataque al menéame, donde no se han cortado un pelo.
Pues bien, perdà 15 minutos para ver el código del Blogmemes (versión
0.4.2.21) y me encontré con problemas y bugs de seguridad muy graves (muchos más de los que tenÃa el menéame). Sobre todo de inyección de SQL por la falta de verificación de los variables del GET o POST.
Por ejemplo en profile_edit.php
if ($bm_users->update_profile($_POST))
que llama a:
function update_profile($data)
{
$sql = ' update users set ';
$sql .= ' email = \''.$data['email'].'\',';
$sql .= ' fullname= \''.$data['fullname'].'\',';
$sql .= ' website = \''.$data['website'].'\',';
$sql .= ' blog = \''.$data['blog'].'\' ';
$sql .= ' where ID = '.$data['user_id'];
$this->db->execute($sql);
o en memes.php
function do_login($user, $pass)
{
$user = $this->db->fetch_object("select ID, username, password, email,join_date,admin,website,blog,fullname from users where
lower(username)='".strtolower($user)."'")
Asà está plagado de este tipo de errores, en ningún momento sanitizas o controlas esas variables y luego las usas directamente para crear el sql.
PodrÃa haberte modificado la base de datos, o cambiar las claves con métodos de inyección muchos más sencillos de los que han usado para el menéame (ni siquiera hace falta que los sepa, me basta con "copiar" los que han usado contra el menéame).
Además tengo la impresión que tienes que tener el "register global variables"
en el php del servidor. Espero que no sea asÃ, porque sino el problema es aún más grave.
Supongo que ya te servirá de ejemplo para darte cuenta de los problemas.
Aunque estoy muy mosqueado por cómo me han tratado en Blogmemes sin que venga a cuento, no publicaré estos problemas ni este mensaje. Al menos no por ahora, pero es urgente que lo arregles, si han probado con el Menéame, en poco tiempo lo harán con Blogmemes, hay gente cabreada de ambos "lados".
Pero espero que lo soluciones y pongas un artÃculo en blogmemes de los problemas resueltos y quién y cómo te ha informado.
Si necesitas más ayuda para solucinarlos, encantado (aunque tendrÃa que estudiarme el Smarty, que no lo conozco), pero antes espero ver una respuesta pública de "desagravio", que las contrarias ya hubo demasiadas.
Un abrazo.
--
ricardo galli GPG id C8114D34
http://mnm.uib.es/gallir/
Estás mal tÃo.
Después de aguantar sin decir _nada_ ni responder a todos los insultos y difamaciones contra mà que han salido en tu blog y en blogmemes. Después de relicenciarte código del menéame que has usado para que no violes la Affero, todo eso porque me parece interesante el proyecto, me parecÃas un tÃo interesante y pensaba que lo merecÃas y que no tenÃa sentido entrar en batallitas.
Aún asÃ, aunque venÃa _muy_ cabreado y aguantándome las ganas, te envÃo un mail privado con los problemas que tienes en el código, porque me interesa de verdad que lo arreglas --sino por que coño te iba a escribir--, y lo hago de la forma correcta y ética ¿y respondes de esta forma? ¿no sabes distinguir cuando una persona intenta de verdad tender puentes y bajar el tono además de ponerte sobre aviso?
No, no sólo que ni respondes a mi mensaje, lo publicas en tu blog e inmediatamente en Blogmemes y además haciéndote la vÃctima como si a mi me interesara atacar a blogmemes.
¿Te dedicarás a eso? ¿A mantener guerras inútiles contra mà y menéame? ¿Para atraer visitas?
No entiendo nada, allá tú. Te he avisado de los problemas de forma privada y tú los publicas...
Creo que he actuado de forma correcta. He detectado problemas muy graves y en vez de descojonarme de risa en mi blog después de lo que habéis dicho de mÃ, te lo informo personalmente, en un mail privado. Y mira...
No entiendo nada. Ni siquiera has sabido respetar un mensaje explÃcitamente personal.
Bien. Si Blogmemes se dedicará a esto, a favorecer los ataques personales contra otros, prefiero no tener ningún tipo de contacto.
Que tengas suerte.
Hice publico el email porque en el hay una amenaza velada.
Segundo, ya no hay codigo tuyo en blogmemes.
Tercero, yo nunca te he atacado personalmente, y te pido que me demuestres donde lo he hecho.
Solo he comentado las cosas que no me gustaban de meneame, de hecho no me gustaba estar obligado a votar, y eso ya lo eliminaste.
Tampoco he creado polémica para aumentar las visitas a blogmemes como tu crees, de donde inventas esas cosas?
Estas algo paranoico Ricardo. Insisto, si a alguien no le gusta meneame, no lo visite, y lo mismo vale para blogmemes.
Tu planteas que estoy en guerra contigo, cuando nunca ha sido asÃ. Hay gente que ha manifestado en Blogmemes, su descontento con algunas prácticas en meneame, y lo hacen a tÃtulo personal.
Yo te he felicitado por el éxito de meneame. Y una vez te puse un comentario en tu blog y tu no lo publicaste.
Nadie está en guerra contigo, pero parece que tú sÃ, te peleas con todo el mundo.
Relájate más.
Conozco a Ricardo, somos amigos socios en Menéame. No hay ninguna amenaza en su email ni quiere pelearse contigo. Al contrario, te está ayudando esperando que lo agradecieras y terminara lo que no le gusta, y por lo que se le ve enfadado.
Está enfadado porque tú apoyas las acusaciones a Menéame desde tus lugares, desde Blogmemes con tus comentarios hasta este blog.
Juegas a lenguaje polÃticamente correcto para decir las cosas, como si criticar con buenas palabras le quitase gravedad a la crÃtica.
¿Recuerdas tu post, que estuvo enlazado en portada de Blogmemes, donde todas las razones para usar Blogmemes eran acusaciones tuyas, directas, a Menéame? Lo borraste, parece --y si es que no, enlázalo que no lo encuentro.
Esto es lo que se desprende del tono de lo escrito. En mi caso es más fácil interpretar a Ricardo porque le conozco en persona. En tu caso me cuesta más porque no te conozco. Pero siempre es muy complicado saber interpretar los tonos de los mensajes:
http://www.wired.com/news/technology/0,70179-0.html
Como era?
¿Ver la paja en el ojo ajeno y no ver el tronco en el propio?
Meneame tiene un bosque.