El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se soluciona una vulnerabilidad que podría permitir a un atacante evitar los controles de acceso.
El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.
Se ven afectadas las versiones 8.x anteriores a 8.2.8 y 8.3.1. Se recomienda la actualización a las versiones Drupal 8.2.8 o 8.3.1.
Hispasec @unaaldia: Corregida vulnerabilidad crítica en Drupal
desarrollo con drupal, nuevas aplicaciones, software libre, soluciones a problemas técnicos, tutoriales interesantes, enlaces
miércoles, 26 de abril de 2017
martes, 11 de octubre de 2016
What Yahoo's NSA Surveillance Means for Email Privacy - ProtonMail Blog
Two weeks ago, we published a security advisory regarding the mass hacking of Yahoo. Unfortunately, due to recent events, we are issuing a second advisory regarding all US email providers.
What happened?
This week, it was revealed that as a result of a secret US government directive, Yahoo was forced to implement special surveillance software to scan all Yahoo Mail accounts at the request of the NSA and FBI.
Sometime in early 2015, Yahoo secretly modified their spam and malware
filters to scan all incoming email messages for the phrases in the court
order and then siphoned those messages off to US intelligence. This is
significant for several reasons:
Sometime in early 2015, Yahoo secretly modified their spam and malware
filters to scan all incoming email messages for the phrases in the court
order and then siphoned those messages off to US intelligence. This is
significant for several reasons:
- This is the first known incident
where a US intelligence directive has indiscriminately targeted all
accounts as opposed to just the accounts of suspects. Effectively, all
500 million+ Yahoo Mail users were presumed to be guilty.
- Instead of searching stored messages, this directive forced Yahoo to scan incoming messages in real-time.
- Because ALL incoming email messages
were targeted, this program spied on every person who emailed a Yahoo
Mail account, violating the privacy of users around the world who may
not even have been using a US email service.
What does this mean for US tech companies?
This is a terrible precedent and ushers in a new era of global mass surveillance. It
means that US tech companies that serve billions of users around the
world can now be forced to act as extensions of the US surveillance
apparatus. The problem extends well beyond Yahoo. As was
reported earlier, Yahoo did not fight the secret directive because Yahoo
CEO Marissa Mayer and the Yahoo legal team did not believe that they
could successfully resist the directive.
means that US tech companies that serve billions of users around the
world can now be forced to act as extensions of the US surveillance
apparatus. The problem extends well beyond Yahoo. As was
reported earlier, Yahoo did not fight the secret directive because Yahoo
CEO Marissa Mayer and the Yahoo legal team did not believe that they
could successfully resist the directive.
What Yahoo's NSA Surveillance Means for Email Privacy - ProtonMail Blog
lunes, 10 de octubre de 2016
El CCN-CERT publica Informe sobre los riesgos en el uso de WhatsApp
El CCN-CERT ha publicado un informe sobre los riesgos en el uso de WhatsApp en el que da a conocer los problemas de seguridad más conocidos y habituales del conocido programa de mensajería.
También ofrece recomendaciones de seguridad para ayudar a prevenir cualquier posible incidente. El documento, de 21 páginas, incide en los siguientes problemas de seguridad del servicio:
Hispasec @unaaldia: El CCN-CERT publica Informe sobre los riesgos en el uso de WhatsApp
También ofrece recomendaciones de seguridad para ayudar a prevenir cualquier posible incidente. El documento, de 21 páginas, incide en los siguientes problemas de seguridad del servicio:
- Secuestro de cuentas aprovechando fallos de la red
- Borrado inseguro de conversaciones
- Difusión de información sensible durante la conexión inicial
- Robo de cuentas mediante SMS y acceso físico
- Robo de cuentas mediante llamada y acceso físico
- Peligros de la descarga de WhatsApp de markets no oficiales
- Ataques de phishing utilizando WhatsApp web
- Almacenamiento de la información en la base de datos
- Intercambio de datos personales entre WhatsApp y Facebook
- Otros fallos de seguridad anteriores
Hispasec @unaaldia: El CCN-CERT publica Informe sobre los riesgos en el uso de WhatsApp
jueves, 15 de septiembre de 2016
Obteniendo el valor de un checkbox en Struts
El checkbox es un control que tiene un comportamiento un poco especial. Cuando el checkbox está activado la propiedad asociada es modificada a true, pero cuando se desactiva el checkbox no se realiza ninguna acción.
Así que para funcione correctamente la propiedad del checkbox debe estar inicializada a false. Pero hay otro problema, si solo lo inicializarmos en el constructor del ActionForm no se actualizará en sucesivos cambios del checkbox, por ello debemos inicializar el valor en la función reset.
Código del ActionForm:
Sino lo realizamos así la propiedad "activado" siempre devuelve true sea cual sea el estado del checkbox.
Así que para funcione correctamente la propiedad del checkbox debe estar inicializada a false. Pero hay otro problema, si solo lo inicializarmos en el constructor del ActionForm no se actualizará en sucesivos cambios del checkbox, por ello debemos inicializar el valor en la función reset.
Código del ActionForm:
public class EncuestadoVOForm extends ActionForm{
private boolean activado; //propiedad asociada al checkbox
//constructor
public EncuestadoVOForm() {
activado = false; //inicializamos en el constructor
}
public void reset(ActionMapping mapping,
HttpServletRequest request) {
activado = false; //inicializamos en el reset
}Sino lo realizamos así la propiedad "activado" siempre devuelve true sea cual sea el estado del checkbox.
jueves, 28 de abril de 2016
Los mejores canales de Telegram
En mi campaña por la promoción de Telegram entre mis contactos, voy a compartir un listado de los canales de Telegram que más me gustan:
- https://telegram.me/canalestelegram: Un canal de canales, este canal es un directorio de otros canales ordenados por temática.
- https://telegram.me/chollazos: Uno de los canales de chollos y ofertas que más me gustan. Siguiéndolo no te perderás ningún chollo y con enlaces directos a las fichas de los productos. También actualizan los post cuando los productos se han agotado.
- https://telegram.me/eldiarioes: El canal de eldiario.es en mi opinión es un ejemplo de buen hacer en canales de telegram de periodicos. No se limitan a enlazar las noticias sino que publican viñetas, imágenes e incluso audios visualizables directamente en la aplicación.
- https://telegram.me/OnlineMusicArchive: Un buen canal con contenidos musicales descargables.
- https://telegram.me/kioskototal: Para estar al tanto de las novedades del kiosko, también con contenidos descargables.
- https://telegram.me/estrenoscine: También con contenidos descargables para que puedas pasar un rato viendo buen cine.
- https://telegram.me/ganar_dinero: Páginas para ganar dinero por Internet y consejos para poder utilizarlas mejor.
No olvides que a través de la utilidad de búsqueda de Telegram puedes encontrar canales.
También existen webs como http://grupostelegram.com que funcionan como directorio de canales.
¿A que esperas para pasarte a Telegram? https://telegram.org/
Suscribirse a:
Entradas (Atom)