Conozco una persona que explica, muy a menudo, que cuando busca en google algo, casi siempre lo encuentra, pero también, otras cosas que no buscaba. Esta cuestión precisamente es lo que me paso el pasado sábado. Buscaba una cosa concreta en la web del Ayuntamiento y encontré otra, por casualidad , que me dejó con cara de tonto, si no la tengo ya hace tiempo que posiblemente sea que sí.
En la web hay un apartado para que los ciudadanos puedan crear un blog, perfecto nada que decir, aunque si me sorprendió por decirlo de forma suave la forma que utilizan para dejar registrarse a los usuarios que quieren utilizar este servicio. Con solo indicar un login, password, cuenta de correo, además de un nombre tenemos la puerta abierta para escribir la que queramos en una web institucional. Faltaría más, está claro, pero aquí no radica “el problema”.
La contrariedad es que no se comprueba si los datos son ciertos o no. Te puedes inventar el nombre, el correo electrónico y cualquier dato que pidan para el registro ya que no es confirmado a la hora de dejarte pasar. Cualquier webmaster que tenga un servicio así lo mínimo que comprueba mediante un correo a la dirección del registro que te valides para la activación con un link que le confirmara que por lo menos un dato es cierto, el correo, en este caso.
Aquí no, puerta abierta para colgar lo que quieras. Por el contrario en otro servicio que también ofrecen, las noticias diarias del ayuntamiento sí creo recordar que mandan correo de confirmación por lo que si saben, cómo se hace.
Aquí todo se basa en la ip, supongo, pero se me ocurren un par de “herramientas”, sin pensar mucho, para salir con una ip que no es la tuya y poner un relato porno con su correspondiente foto para engordar un poco la entrada por citar un ejemplo o incluso una caricatura poco favorecida de alguien de la casa o enlazar a sitios donde bajarte películas. Además este tipo de sitios por propio funcionamiento interno el usuario puede inyectar código HTML por lo que la bomba de relojería sin saber, con no muchos conocimientos informáticos, quien pone la espoleta puede ser cuestión de tiempo. Esto último no lo probé, por mi propia seguridad ya que no utilicé nada extraño en el registro, por lo que no lo aseguro pero no me extrañaría por no decir que es imposible que no se pueda inyectar.
Yo hice un registro el pasado sábado, ayer publique un post de prueba y nadie confirmó ni siquiera si, por lo menos, el correo era correcto. Otra cosa es si se podría seguir el rastro del usuario del correo, por lo que si alguien utiliza alguna herramienta oscura puede colgar lo que le de la real gana. Luego que le busquen, ya digo yo de antemano viendo el funcionamiento, que no será posible por lo que veremos cuanto tardan en darse cuenta. En este tema si se darán prisa, en otros que me consta leen aquí, solo les importa disimular no haciendo nada.
Vamos que con lo que cobra alguno de estos, no me estoy refiriendo a políticos y si a otros, podrían pensar un poco más antes de ponerlas en el ámbito público. Validarte con datos falsos es una de las consecuencias de esta dejadez pero lo más grave sería que encima alguien se valide con datos de otra persona y escriba cositas que pueden atribuirse al otro.
Por si acaso, como decía antes, me registre con el nombre cabezonespuntocom no vaya a ser que alguien le dé por darse de alta con ese nombre y intoxicar.
En la web hay un apartado para que los ciudadanos puedan crear un blog, perfecto nada que decir, aunque si me sorprendió por decirlo de forma suave la forma que utilizan para dejar registrarse a los usuarios que quieren utilizar este servicio. Con solo indicar un login, password, cuenta de correo, además de un nombre tenemos la puerta abierta para escribir la que queramos en una web institucional. Faltaría más, está claro, pero aquí no radica “el problema”.
La contrariedad es que no se comprueba si los datos son ciertos o no. Te puedes inventar el nombre, el correo electrónico y cualquier dato que pidan para el registro ya que no es confirmado a la hora de dejarte pasar. Cualquier webmaster que tenga un servicio así lo mínimo que comprueba mediante un correo a la dirección del registro que te valides para la activación con un link que le confirmara que por lo menos un dato es cierto, el correo, en este caso.
Aquí no, puerta abierta para colgar lo que quieras. Por el contrario en otro servicio que también ofrecen, las noticias diarias del ayuntamiento sí creo recordar que mandan correo de confirmación por lo que si saben, cómo se hace.
Aquí todo se basa en la ip, supongo, pero se me ocurren un par de “herramientas”, sin pensar mucho, para salir con una ip que no es la tuya y poner un relato porno con su correspondiente foto para engordar un poco la entrada por citar un ejemplo o incluso una caricatura poco favorecida de alguien de la casa o enlazar a sitios donde bajarte películas. Además este tipo de sitios por propio funcionamiento interno el usuario puede inyectar código HTML por lo que la bomba de relojería sin saber, con no muchos conocimientos informáticos, quien pone la espoleta puede ser cuestión de tiempo. Esto último no lo probé, por mi propia seguridad ya que no utilicé nada extraño en el registro, por lo que no lo aseguro pero no me extrañaría por no decir que es imposible que no se pueda inyectar.
Yo hice un registro el pasado sábado, ayer publique un post de prueba y nadie confirmó ni siquiera si, por lo menos, el correo era correcto. Otra cosa es si se podría seguir el rastro del usuario del correo, por lo que si alguien utiliza alguna herramienta oscura puede colgar lo que le de la real gana. Luego que le busquen, ya digo yo de antemano viendo el funcionamiento, que no será posible por lo que veremos cuanto tardan en darse cuenta. En este tema si se darán prisa, en otros que me consta leen aquí, solo les importa disimular no haciendo nada.
Vamos que con lo que cobra alguno de estos, no me estoy refiriendo a políticos y si a otros, podrían pensar un poco más antes de ponerlas en el ámbito público. Validarte con datos falsos es una de las consecuencias de esta dejadez pero lo más grave sería que encima alguien se valide con datos de otra persona y escriba cositas que pueden atribuirse al otro.
Por si acaso, como decía antes, me registre con el nombre cabezonespuntocom no vaya a ser que alguien le dé por darse de alta con ese nombre y intoxicar.
0 comentarios:
Publicar un comentario