La Seguridad de BlogMemes

Tras leer este artículo entendí el origen del email de Ricardo Galli.

Como no leo su blog muy a menudo, no tenía idea.

La verdad es que ya he resuelto el problema, y quizás quede alguna pifia por ahí, pero creo que deberiamos anularlas ahora que hay más manos manteniendo el código.

Todo esto será modificado en el next release de akarrú.

De paso vamos a recuperar un feature que Shezzo me pidió especialmente, y es la persistencia del login.
Si todo sale bien, durante este sábado deberían estar todos los cambios listos.

Todo por culpa de los chicos de martes 13, que no deberían haber hecho el defacement, y que es verdad que tienen mala ortografía, pero creo que debemos agradecerles, pues nos ayudan a construir software más robusto, gracias a que el código está disponible para ser estudiado.

Por favor, no ataquen blogmemes en inglés y francés, porque no le he pasado los cambios a sialoo.

¿Que tan mal está el código actual?

Bueno, la verdad que los comentarios del post anterior no son totalmente ciertos.
En blogmemes hay sanitización de variables en muchos formularios, y al desplegar el código, como pueden notar todos los que han intentado ingresar código html. Por lo que blogmemes no es vulnerable a script injections.

Sobre el sql injections, en nuestro servidor hemos configurado magic quotes, y otras cortapisas. Pero este es un proyecto open source, y no debería fiarse de la configuración que pueda o no tener el ambiente donde correrá.

Si alguien ve el código fuente de blogmemes, podrá criticarme, con justa razón, el uso de MD5.
Siendo yo mismo uno de los mayores críticos al uso de MD5, el que la esté usando es, por decir lo menos, vergonzoso. Como ya expliqué antes, al partir usando DiggClone, muchas malas prácticas fueron heredadas, pero eso no es excusa.
Debe ser corregido.

Los usuarios de blogmemes no deben preocuparse, porque sus claves serán protegidas.
Estoy trabajando en una limpieza de las claves, pero sin que afecte el login.