Fotomurcia

De hoy no pasa Ara, como no salgais hoy… ya no somos vuestros amigos, ale!! Y david por dios, si no quieres salir, no hace falta que te apuntes a un campeonato de futbol los Sábados a las 23:00, tan solo dilo :D.

No sé si al alguien más le habrá pasado, pero por lo menos a mi si. Y no se por qué. El caso es que en los comentarios no se por qué no iban los acentos. Se convertían en carácteres raros. Pero en los post iban perfectamente. Así que me puse a buscar una solución.

Como no sabía como solucionarlo agregué al fichero wp-comments-post.php la siguiente función (concretamente en la línea 25):

function filtrar($variable)
{
if($variable){
$variable=str_replace("ñ","&ntilde ;",$variable);
$variable=str_replace("á","&aacute ;",$variable);
$variable=str_replace("é","&eacute ;",$variable);
$variable=str_replace("í","&iacute ;",$variable);
$variable=str_replace("ó","&oacute ;",$variable);
$variable=str_replace("ú","&uacute ;",$variable);
}else unset($variable);
return $variable;
}
$comment_content=filtrar($_POST[comment]);(borrar el espacio que hay entre los &acute y las ; )

Lo que hace la función es simplemente mirar el mensaje escrito antes de insertarlo en la base de datos y remplazar los caracteres de las comillas (é), por su equivalente en html (&eacute) que si que es interpretado por mis comentarios. Además se puede usar como función censuradora de palabras, por si quereis que en los comentarios no salgan algunas palabras y en su defecto se muestren otras. Por ejemplo, la línea

$variable=str_replace("sgae","innombrable",$variable);

remplazaría automáticamente al escribir sgae por innombrable (como para nombrarla y que lo lea el Farré).

Seguro que hay una forma más rápida y automática de solucionar el pequeño problemilla, pero a veces soy tan burro que prefiero programarme la solución que buscar la rápida. Si a alguien le pasa lo mismo y no sabe como solucionarlo, ésta puede ser una solución.

Antes de nada y para los que no lo sepais www.meneame.net es un sistema de votos de noticias de blogs y menear es la forma de votar dichas noticias. Un sistema de promoción para que gente que no conoce tu blog pueda visitarte .

Pues bien, Javi meneó la noticia de Caso Práctico de Intrusión Web porque le pareció interesante y no tardó en ser vista en la página de menéame. Ayer, el dia que se meneó, recibí 620 visitas únicas y unas 3000 impresiones de página.

¿Sirvió para algo?

Personalmente… creo que no mucho. Pero aun esta por ver si algunas de las 500 visitas (mas o menos) que propocionó menéame.net se convierte el lector. Si no se convierten en lectores, las visitas únicas no sirven para nada. Solo para consumir ancho de banda.

Un ejemplo, ayer con la publicidad de Google, de los 500 nuevos visitantes que entraron por menéame.net, ninguno pinchó en la publicidad para ayudar al blog. ¿Por qué? porque entran, leen y se van. Es posible que la mitad hoy ni se acuerde de donde leyeron la noticia. Por eso yo creo que menéame.net es una forma de ganar visitas, pero no lectores.

Personalmente no voy a “menear” (publicar en menéame.net) ninguna de mis noticias porque no creo que sirva de mucho. Prefiero tener 15 lectores fieles, que no 6000 visitantes que entren, lean y no vuelvan. Pero aun así, si alguien encuentra algún post del blog de interés, puede menearlo si lo estima oportuno.

Repito, es mi opinión personal.

Si señores. Ya están aquí. Los suecos han llegado. La locura en todo el sureste español se ha desatado. Gente de Alicante, Granada, Valencia, Albacete, Almeria, y toda la Región de Murcia está ya pensando como le quedará la cocina o los taburetes playeros que pondrán. Y la verdad esque son los reyes. Los reyes de las pijaditas. Lo tienen todo estudiado los cabrones. Entrar y salir sin nada en las manos es muuuuuuuuuuy chungo.

Hoy para romper la rutina, hemos ido Isa y yo de pasea al IKEA (suena a garrulo eh?) y yo me he quedado impresionado (Isa ya conocía el de Madrid). Para empezar la inmensidad de la superficie y lo estudiado que lo tienen todo. Si entras, ya no hay marcha atrás. Para salir tienes que recorrerte IKEA al completo. Y no es fácil. En cada sección pijaditas repartidas por doquier resaltan a la vista y, claro, piensas… tiene que ser mio!! Diseño innovador y precio tirado. Yo hoy casi me compro mil pijaditas de esas. Por lo menos ya tengo pensado como quedará mi cuarto con los pequeños cambios que le meteré (poca cosa, unas lejas, una estructura de cama alta, un sofa, un escritorio nuevo y poco mas).

De gente pa’que contarte!! A las siete y pico las puertas estaban cerradas para entrar y una cola de agarrate esperando para entrar. No había visto algo asi (bueno, casi, los cartageneros la fliparon con el Corte Inglés pero ya se han dado cuenta que no es para tanto). Si es lo que digo, que somos mu’garrulos. Abren algo y todos en tropel a comprar antes de que se acabe. Señores, que lo han abierto, pero no lo cierran!!. Por lo menos en mi defensa diré que fui para romper la rutina, pasearme un ratillo y “descubrir un nuevo mundo”.

En fin, al final todos somos igual de borregos porque decidme, quien viva a menos de 400 km de Murcia, que su madre, padre o familiar no ha dicho ya de ir a IKEA o tiene la idea por lo menos. La verdad esque me lo he pasado bien, pero no creo que vuelta hasta que se calme la cosa y vaya a comprar, que parece que lo cierran mañana.

Por cierto Ara, tu madre se ha descojonado al vernos allí. Pensaría que vamos a poner la cocina ya (primero la casa no?).

ACTUALIZACION: se me olvidó poner el nuevo catalogo de IKEA para jovenes parejas. Ademas de ver el color, las medidas y el precio, hay que mirar la comodidez….

Este es un post de tranquilidad para vosotros, murcianitos (que no marcianitos) mios. Esque se estan poniendo celosillos de que www.fotomurcia.com.es ya no sea solo suya. Ahora la visita más gente. Pero no os preocupeis, fotomurcia sigue siendo la página en la que pongo las fotos de las fiestas, y en donde podeis hablar y comentar sin problemas. En esta página vosotros estais antes que ninguno y lo sabeis (no te pongas celosilla Arita).

Fotomurcia ahora es un poquito mas conocida por gente de fuera, pero porque nos encuentran en Google y porque… porque… yo que se, parece ser que les gusta.

Antes solo ponia un par de noticias al mes, en las fiestas. Ahora con todos los erasmus por ahi fuera ya ni eso. Asi que empecé a poner noticias que me gustaría que conocierais. Que la gente conociera. Tenía que aplacar mi sed de publicaciones. Asi que que empecé a postear mis cosillas. Pero aun sigue siendo fotomurcia, vuestra página.

Por cierto, reprimenda a los erasmus. Tomás (Roma), no sabemos nada de ti. Yo por lo menos desde Navidades. Kiko (Oporto), hace tiempo que no escribes. Jesuuú (Preston o algo asi), habla por el msn cuando tengas tiempo y escribe. El unico que da señales es Pablito (Newcastle). Asi que ya estais haciendo un balance de estos 6 meses y enviandomelo al correo para que todos sepamos que tal por ahi.

Y no solo los partidos de los domingos del PPV, sino que hablo de cualquier evento deportivo que se precie. Antes de seguir has de saber que todo esto es totalemente legal. Asi que no te asustes.

¿Cómo se puede hacer esto?

Para mucha gente no habré descubierto Roma (para Tomás menos todavía) pero a mucha os servirá de algo. Los requisitos son solo tener una conexión de banda ancha (quien no la tiene hoy dia) y registraros en un foro para ver la agenda de retransmisiones. El foro en cuestión es el de www.rojadirecta.com. Aquí os muestro, de ejemplo, que se puede ver hoy Jueves:

00:00 Amistoso: Venezuela - Colombia
01:00 Clausura: Boca Juniors - Gimnasia La Plata
01:00 Basket college (ACC): Duke - Florida State
03:00 Amistoso: México - Ghana
03:00 NBA: Philadelphia - Houston
09:30 Golf: Asian Tour Golf Open Jakarta Indoenia
12:00 Amistoso: Holanda - Ecuador (diferido)
16:30 Tenis: ATP Dubai
17:30 Amistoso sub21: Inglaterra - Noruega
19:00 Champions: Chelsea - Barcelona (diferido)
20:00 Premier reserves: Reservas del Manchester United - Reservas del Wolves
20:40 Euroliga: Maccabi Tel Aviv - Ülkerspor
03:30 NBA: Dallas - San Antonio
05:30 Amistoso: Suíza - Escocia (diferido)

Para poder ver las retransmisiones y saber por donde lo echan solo hace falta ir al post de televisado por internet –> agenda de retransmisiones por internet y si estais registrados podreis ver los partidos, horarios y canal.

Para poder ver todo esto hacen falta programas que visualizan canales chinos que son los que emiten todos esos partidos. Yo solo uso 2 programas, el PPLive y el TVans (con el PPLive la liga española de los domingos asegurada). Ahi podeis descargaros el que querais y los parches en español.

Una vez instalados, se abre, se va al post del foro, y se mira el partido que quieras. Por ejemplo un partido de la NBA. En el post de transmisiones vemos:

03:00 NBA: Philadelphia - Houston
- Shandong Sport PPlive
- Shanghai Sports [También conocido como SMG sports, ÉϺ£ÌåÓý̨] PPlive PPstream tvants Tvkoo!, Pcast, Tvants, SopCast Tvants PPlive(en pplive no está disponible temporalmente)
- Guangdong Sports [También conocido como ¹ã¶«ÌåÓý , Euo Football] PPstream, tvants, Pcast, Tvkoo! PPlive(no disponible en pplive temporalmente)
- Hubei Sports PPlive Tvants(en tvants podría no funcionar)
- Fujian 8 Sports PPlive
- BTV6 Feidian Mysee
- Star Sports PPlive PPStream, SopCast, Tvkoo, Feidian(Boiling Point), Tvants(en tvants podría no funcionar), mysee, mysee 

Lo que quiere decir esque se ve en el canal tal: en los programas cual Este partido lo podemos ver en 6 canales distintos del PPLive. Pues bien, vamos al PPLive y seleccionamos el canal que queramos. Esperamos que se cargue la imagen y si podemos enchufar el PPLive 15 minutos antes del partido, se verá perfecto.

Para saberlo todo todo todo visita el post del novato

ACTUALIZACIÓN: El texto aqui posteado está escrito en un lenguaje muy coloquial y sin florituras para que todo el mundo, incluso los que no tienen ni papa, sepan más o menos de que hablo. Para el que quiera rigurosidad (yo le llamo floritura) puede leer el comentario de Felipe Alfaro.

Bueno, el título es un poco peliculero ya que no es ni mucho menos intrusión, si no más bien errores comunes que cometen los webmasters y dichos errores son las principales puertas de acceso a los portales que administran. Lo que aqui explico se podria hacer con unos conocimientos muy muy básicos, asi que casi cualquiera habría sido capaz de entrar a la administración de uno de los blogs más visitados de la blogosfera.

El caso en cuestión es referente al famosísimo blog de mi amigo Javi Moya y de como he logrado acceder al panel de administración de su blog. Antes de nada decir que antes de publicar este post me puse en contacto con Javi Moya para solucionar el problema. Así que este texto será solo informativo y de curiosidad.

En la captura de la derecha, podemos ver el panel de administración del blog de Javi, como prueba de haber estado alli. Aunque tranquilos, no le cambié nada ni husmeé ni nada por el estilo. Nada más tener el acceso se lo comenté a Javi porque si lo he logrado yo, alguien con no tan buenas intenciones ha podido o podría hacerlo.

Bien, entremos en materia. En la mayoría de portales web con sistema de administración, la contraseña se guarda en la base de datos encriptada en MD5 (de 32 bits de numeros y letras, es decir, 32 caracteres 128 bits representado en 32 digitos en hexadecimal). Entonces en la base de datos podemos encontrar que cada usuario tiene la pareja nombre y contraseña en md5

admin - e07186fbff6107d0274af02b8b930b65

El problema reside en que no se puede hacer la función inversa, es decir, a partir del MD5, sacar la contraseña. Solo se puede hacer por fuerza bruta, es decir, probando todas las combinaciones posibles de dichos caracteres. De ahi el principal problema de los webmaster.

Situemonos. Durante la migración de Javi a su nuevo host (felicidades por ello Javi), Javi no se dió cuenta y puso el backup (copia de ‘porsiaca’) de su base de datos al descubierto. Solo fue durante un dia creo. Es posible que nadie se percatase, pero yo como soy muy curioso me di cuenta. Primer error. Las bases de datos pueden contener datos muy importantes que en manos listas pueden ser revelados. En dicha base de datos estaba el MD5 de la contraseña de Javi y me decidí a probar que tal era.

Como dije antes, la robusted del MD5 reside en la longitud y caracteres de la contraseña. Ejemplo, para adivinar una contraseña de 8 numeros (tipo dni) solo se tardan unos 2 minutos en romper la clave a partir de su MD5 (solo se combinan 10 elementos o números, del 0 al 9). En cambio, para adivinar la misma contraseña, pero con la letra del dni en mayúscula se pueden tardar meses ya que ahora hay que combinar los 10 números y las 29 mayúsculas del alfabeto. 39 en total. Segundo error. La contraseña de Javi era medianamente robusta ya que contenia numeros y letras minúsculas, pero era muy corta, lo que facilitaba el ataque. Esto era el hash MD5 de Javi y el tiempo del ataque. (Las X son para guardar algo de privacidad)

Hash MD5 - X5c4Xc889c4d0286X281327XX5ca6a0X	

Process started - 2006-03-01 09:38:01

Process finished - 2006-03-01 11:17:40

Password - XXXXXXXXXXX

En algo menos de dos horas se pudo sacar la contraseña. Resultado, acceso garantizado al panel del blog de Javi. ¿Y esto es un problema? Bueno, lo es. Se podrían borrar post, poner noticias de cualquier tipo aunque todo esto se resolvería con un backup. Pero yendo (se escribe asi no?) mas allá se podría llegar a obtener la cuenta ftp de host o de las bases de datos (pudiendo hacer inyecciones SQL), subir alguna shell y en el peor de los casos rootear el server si este no estuviera actualizado, consiguiendo que todo tu trabajo fuera a parar a alguien no deseado o incluso borrado. Todo un peligro en algunas manos.

Conclusiones y consejos

Para todos los webmastes o bloggers un par de consejillos. Sobre todo no publiqueis ni dejeis por ahi vuestras bases de datos o backups ya que es un riesgo tanto para vosotros como para los usuarios ya que revelareis muchos datos de ellos. Y sobre todo usar contraseñas más robustas, es decir, al ser posible de más de 10 caracteres incluyendo en ellos números, minúsculas, mayúsculas y si es posible, algún carácter especial. Con eso seguro que aun teniendo la base de datos, puedan lograr la contraseña y hacer daño en el blog.