martes, 1 de junio de 2010

Nueva solucion al error del SCU

Hola, ya habiamos hablado en los post anteriores sobre un error en el portal del SCU (Sistema de Control de Usuarios (de la biblioteca)) que permitia que cualquier usuario que haya iniciado sesion pueda consultar y modificar los datos de cualquier otro usuario. Vease:

http://alguienenlafisi.blogspot.com/2010/04/el-cambio-de-sexo-de-salomon.html

Tambien se comentó la eficaz "solucion" que puso el equipo de informatica de la biblioteca una semana despues de reportado el error. Vease:

http://alguienenlafisi.blogspot.com/2010/05/error-en-el-scu-corregido.html

Pero hace un tiempo volvieron a activar el sistema y el error seguia presente. Sin embargo hoy revise nuevamente el portal y me di con la sorpresa de que habian adoptado una nueva solucion y quize comentarla en el blog.

La solucion consiste en encriptar el codigo de usuario cuando se lo envia en la consulta. Es decir si antes en la URL aparecía:

/scu/Usuarios/ResultadosCon.asp?cor=08200090

Ahora aparece algo asi:

/scu/Usuarios/ResultadosCon.asp?cor=A55E33BE219A8420

Entonces si queremos consultar los datos de Salomon primero debemos encriptar su codigo (08200111) y luego reemplazar el criptograma en la variable "cor". Pero como desconocemos el algoritmo de encriptacion que se esta usando no podemos encriptar nada ni consultar los datos de nadie.

Este es un caso de seguridad por oscuridad. Es decir mientras nadie sepa como se esta encriptando el codigo podemos estar tranquilos. Pero si alguien se pone a recolectar datos y a analizarlos podria llegar a romper la encriptacion y el problema aparecera nuevamente. Con esto quiero decir que aun no se ha arreglado el problema en si pero su explotacion se ha vuelto mas complicada.

Bien, el reto criptografico del SCU queda propuesto. No parece muy complicado pero voy a dejar eso para otro post ahora estamos a una semana de los parciales y no queda mucho tiempo para "webear" :P

Es todo por ahora, hasta la proxima. Saludos.

No hay comentarios:

Publicar un comentario