Gravatar de Armonth

Posible fallo en Comment Quicktags, plugin de WordPress para dar estilo a los comentarios

Publicado el Domingo 07 de Mayo del 2006 @ 2:18 por Armonth.

  • 2
  • 0

  • Comentar

Estaba uno mirándose una extensión llamada Comment Quicktags la cual ofrece en el formulario de comentarios una barra de botones para facilitar la inclusión de estilos (negritas, enfásis, etc) pero mejor no:

Acabo de leer lo que comenta el autor de Mangas Verdes en A la caza del troyano: le habían introducido un trozo de código en su página que provocaba que a los usuarios de Internet Explorer con Javascript habilitado y sin antivirus se les intentará descargar un troyano.

Después de ello en Localizado, Aislado y ¡Destruido! se ha sabido que la causa era un agujero en el plugin Comment Quicktags, o posiblemente en la versión que tenía Manual Almeida (el autor duda de si es problema de su versión o de la oficial).

Mangas Verdes recomienda revisar sus bitácoras a los bloggers que usen este plugin y en caso de encontrar alguna redirección a us-counter (el lugar al que eres redirigido para descargar el troyano) deshabilitar el plugin.

Moralejas:

  • Que un código sea software libre garantiza que cualquiera puede revisarlo, pero no garantiza que sea seguro o el mismo que en teoría deberías obtener.

  • Si es posible se debe revisar que el original y la copia descargada de un trozo de código sean la misma, para ello es buena idea usar pruebas de redundancia cíclica, el cambio de un solo byte de información dará como resultado una cadena MD5 (o CRC o la del algoritmo usado) totalmente distinta.

Por supuesto, que nos den un CRC o MD5 en la web de la misma persona que nos ofrece un código no es 100% fiable, éste también puede estar comprometido. Pero la seguridad no es un producto, es un proceso (¿De quién era esta frase?) y cada paso extra que damos puede poner las cosas más difíciles a quien nos quiera fastidiar.

,

2 Comentarios (feed)

  1. Gravatar de Federico Federico nos comenta:

    Que un código sea software libre garantiza que cualquiera puede revisarlo…

    Cualquier que sepa algo de programación, y aún así pasó un tiempo sin que nadie notara el problema.

    Domingo, 7 de Mayo/2006 @ 17:59

  2. Gravatar de Armonth Armonth nos comenta:

    Eso es lógico Federico: Es como decir que cualquiera puede leer el Quijote en castellano… cualquier sí, cualquiera que sepa castellano :-)

    Esto siempre sera un problema, tanto con software privativo como libre dependes de código de terceras personas y a menudo desconoces la calidad de su trabajo, pero claro hay que ceder por que no vas a programar absolutamente tú mismo todo lo que necesites hacer en un ordenador aparte que el resultado podría ser más pobre (en mi caso seguro x-D)…

    Domingo, 7 de Mayo/2006 @ 22:01

Comentarios cerrados