Español (ES)
Usuario anónimo
Iniciar sesión | Regístrate gratis
Foro de Dudas y sugerencias sobre el foro y comunidad

Responder / Comentar
Foro Dudas y sugerencias sobre el foro y comunidad
Por MeLlamoPablo2755
Hace 7 años / Respuestas: 21 / Lecturas: 2196

Carta abierta a 3DJuegos en relación a la seguridad del sitio

Hey. La seguridad informática me lleva apasionando desde hace bastante tiempo, y hoy, al recibir el correo de 3DJ para recordar mi contraseña, he visto que están incumpliendo una de las reglas más básicas de seguridad: almacenan las contraseñas en texto plano.

He enviado un correo a sugerencias@3djuegos.com pero aún así quiero publicarlo aquí por varios motivos:

[list][*]Para que no se quede perdido en el fondo del buzón de sugererencias.
[*]Para que conozcáis las cuestiones más importantes de seguridad los que no las conozcáis aún
[*]Para animaros a que uséis una contraseña distinta para cada sitio. Esto es muy importante, lo creáis o no. Es un coñazo, lo sé, pero hay muchos programas que te hacen la vida más fácil, como puede ser [url=https://keepass.info/]KeePass[/url] (el que uso y recomiendo), o incluso el propio administrador de contraseñas del Chrome o Firefox sirve.[/list]

[spoiler="Este es el correo que he enviado"]Estimados administradores de 3DJuegos,

soy un estudiante de programación, y un lector y usuario bastante veterano de su revista, y he quedado decepcionado con dos aspectos relacionados con la gestión de contraseñas que se realiza en 3DJuegos.

En primer lugar, existe un límite de 32 caracteres para las contraseñas, algo desaconsejable porque se está reduciendo deliberadamente la seguridad de las mismas. No hay ningún motivo para imponer un límite así; el impacto en el tamaño de las bases de datos y el rendimiento de los servidores es despreciable, y aporta mayor seguridad a los que usamos contraseñas largas gracias a gestores de contraseñas. Lo razonable sería un máximo de unos 1000 caracteres para evitar ataques DDoS mediante la subida de contraseñas de millones de caracteres, pero nada más.

En segundo lugar (y esto es mucho más importante que lo anterior) al usar la función de "Recordar contraseña" he recibido un correo que contiene mi contraseña en sí, y no un enlace para poder recuperarla. Esto es grave porque a) el correo electrónico no es un medio de comunicación criptográficamente seguro y está sujeto a ataques Man-in-the-middle y b) esto indica que en vuestra base de datos estáis almacenando las contraseñas en texto plano, en lugar de almacenar un "hash" empleando un algoritmo seguro.

Esto es un problema por dos motivos: por un lado, si en algún momento algún atacante consigue acceso no autorizado a su base de datos, dispondrá en un instante de una relación de todos los nombres de usuarios, correos electrónicos y contraseñas. Y, sin ánimo de ofender, si no han tomado medidas de seguridad básicas como es el almacenamiento de "hashes" de contraseñas en lugar de su versión en texto plano, no es descabellado imaginar que un atacante logre conseguir acceso no autorizado. Si le ha ocurrido a gigantes como MySpace, LinkedIn, Adobe o Tumblr, les puede ocurrir a ustedes.

Por otro lado, ustedes mismos tienen acceso a esa relación de nombres de usuario, correos electrónicos y contraseñas. Una contraseña no es información a la que ustedes tengan derecho a acceder, es simplemente el utensilio que el usuario emplea para iniciar sesión en vuestro sitio.

Con este correo electrónico mis pretensiones son tres:
[list][*]Que aumenten el número de caracteres máximo que puede contener una contraseña en 3DJuegos y,
[*]que se deshagan de todas las contraseñas en texto plano en medida de lo posible y almacenen en su lugar "hashes" de las contraseñas usando un algoritmo estándar.
[*]Como, a juzgar por las extensiones de los ficheros que se hallan en las distintas URLs de 3DJuegos, ustedes usan PHP para los procesos del lado del servidor, les envío asimismo dos enlaces a la documentación oficial de PHP que detallan este asunto en profundidad:

FAQ sobre Hashes de contraseñas seguros - [url]http://php.net/manual/es/faq.passwords.php[/url]
Función password_hash() - [url]http://php.net/manual/es/function.password-hash.php[/url]
[*]Como consecuencia, no podrán enviar la contraseña en texto plano a modo de recordatorio a los usuarios. En su lugar, les recomiendo emplear el método más común: enviar al usuario un enlace temporal donde puede introducir una nueva contraseña.[/list]

Por último, les envío también un enlace a un sitio (en inglés) que hace una excelente síntesis de todo este problema: [url]https://plaintextoffenders.com/faq/devs#_=_[/url]

Les ruego que consideren seriamente la implementación de estas medidas, pues son sencillas, y proporcionarán un considerable aumento en la seguridad de su sitio.

Muchísimas gracias por su atención.
Un cordial saludo,
Pablo.[/spoiler]

¿Que no os habéis enterado de nada? Para que veáis la gravedad del problema, os he hecho un [spoiler="pequeño esquema"]Carta abierta a 3DJuegos en relación a la seguridad del sitio[/spoiler].
108 VOTOS
XDevilis21346Hace 7 años1



[spoiler="PD:"][/spoiler]
EDITADO EL 01-07-2016 / 18:50 (EDITADO 1 VEZ)
51 VOTOS
NormanNIC2626Hace 7 años2
@MeLlamoPablo
Mostrar cita
Hey. La seguridad informática me lleva apasionando desde hace bastante tiempo, y hoy, al recibir el correo de 3DJ para recordar mi contraseña, he visto que están incumpliendo una de las reglas más básicas de seguridad: almacenan las contraseñas en texto plano. He enviado un correo a sugerencias@3djuegos.com pero aún así quiero publicarlo aquí por varios motivos: [list][*]Para que no se quede perdido en el fondo del buzón de sugererencias. [*]Para que conozcáis las cuestiones más importantes de seguridad los que no las conozcáis aún [*]Para animaros a que uséis una contraseña distinta para cada sitio. Esto es muy importante, lo creáis o no. Es un coñazo, lo sé, pero hay muchos programas que te hacen la vida más fácil, como puede ser [url=https://keepass.info/]KeePass[/url] (el que uso y recomiendo), o incluso el propio administrador de contraseñas del Chrome o Firefox sirve.[/list] [spoiler="Este es el correo que he enviado"]Estimados administradores de 3DJuegos, soy un estudiante de programación, y un lector y usuario bastante veterano de su revista, y he quedado decepcionado con dos aspectos relacionados con la gestión de contraseñas que se realiza en 3DJuegos. En primer lugar, existe un límite de 32 caracteres para las contraseñas, algo desaconsejable porque se está reduciendo deliberadamente la seguridad de las mismas. No hay ningún motivo para imponer un límite así; el impacto en el tamaño de las bases de datos y el rendimiento de los servidores es despreciable, y aporta mayor seguridad a los que usamos contraseñas largas gracias a gestores de contraseñas. Lo razonable sería un máximo de unos 1000 caracteres para evitar ataques DDoS mediante la subida de contraseñas de millones de caracteres, pero nada más. En segundo lugar (y esto es mucho más importante que lo anterior) al usar la función de "Recordar contraseña" he recibido un correo que contiene mi contraseña en sí, y no un enlace para poder recuperarla. Esto es grave porque a) el correo electrónico no es un medio de comunicación criptográficamente seguro y está sujeto a ataques Man-in-the-middle y b) esto indica que en vuestra base de datos estáis almacenando las contraseñas en texto plano, en lugar de almacenar un "hash" empleando un algoritmo seguro. Esto es un problema por dos motivos: por un lado, si en algún momento algún atacante consigue acceso no autorizado a su base de datos, dispondrá en un instante de una relación de todos los nombres de usuarios, correos electrónicos y contraseñas. Y, sin ánimo de ofender, si no han tomado medidas de seguridad básicas como es el almacenamiento de "hashes" de contraseñas en lugar de su versión en texto plano, no es descabellado imaginar que un atacante logre conseguir acceso no autorizado. Si le ha ocurrido a gigantes como MySpace, LinkedIn, Adobe o Tumblr, les puede ocurrir a ustedes. Por otro lado, ustedes mismos tienen acceso a esa relación de nombres de usuario, correos electrónicos y contraseñas. Una contraseña no es información a la que ustedes tengan derecho a acceder, es simplemente el utensilio que el usuario emplea para iniciar sesión en vuestro sitio. Con este correo electrónico mis pretensiones son tres: [list][*]Que aumenten el número de caracteres máximo que puede contener una contraseña en 3DJuegos y, [*]que se deshagan de todas las contraseñas en texto plano en medida de lo posible y almacenen en su lugar "hashes" de las contraseñas usando un algoritmo estándar. [*]Como, a juzgar por las extensiones de los ficheros que se hallan en las distintas URLs de 3DJuegos, ustedes usan PHP para los procesos del lado del servidor, les envío asimismo dos enlaces a la documentación oficial de PHP que detallan este asunto en profundidad: FAQ sobre Hashes de contraseñas seguros - [url]http://php.net/manual/es/faq.passwords.php[/url] Función password_hash() - [url]http://php.net/manual/es/function.password-hash.php[/url] [*]Como consecuencia, no podrán enviar la contraseña en texto plano a modo de recordatorio a los usuarios. En su lugar, les recomiendo emplear el método más común: enviar al usuario un enlace temporal donde puede introducir una nueva contraseña.[/list] Por último, les envío también un enlace a un sitio (en inglés) que hace una excelente síntesis de todo este problema: [url]https://plaintextoffenders.com/faq/devs#_=_[/url] Les ruego que consideren seriamente la implementación de estas medidas, pues son sencillas, y proporcionarán un considerable aumento en la seguridad de su sitio. Muchísimas gracias por su atención. Un cordial saludo, Pablo.[/spoiler] ¿Que no os habéis enterado de nada? Para que veáis la gravedad del problema, os he hecho un [spoiler="pequeño esquema"][/spoiler].
Más que todo te felicito por todos tus conocimientos sobre esto y tengo que decirte que todo esto me sonó muy razonable,talvez 3Djuegos no valore este post pero todos esos votos que tienes significa que te apoyan (no sé si hay trolos que dieron like por gusto) pero como dije antes felicidades!
1 VOTO
Pastillas4618Hace 7 años3
Me lo he leído completo y apoyo la propuesta.

Debo decir que es muy peligroso porque si descubre el correo también puede descubrir cuentas como por ejemplo Paypal.
Me he descojonado con "mellamopablo" soy gilipollas123 
1 VOTO
Abrahamfcb25763Hace 7 años4
Pues nunca he usado la función de recordar contraseña en 3dj que yo recuerde, así que no lo había visto. Un gran fallo, sí. Cuando hoy en día hasta el sitio más modesto cifra las passwords.

Yo también desde hace años uso keepass, gran aplicación.
EDITADO EL 01-07-2016 / 20:19 (EDITADO 1 VEZ)
Helderx8033Hace 7 años5
Vaya no tenia ni idea que te enviaban la contraseña, estoy totalmente de acuerdo quizás mande también un correo a esa dirección para que ya sean varias personas y así presten más atención.
EDITADO EL 01-07-2016 / 20:53 (EDITADO 1 VEZ)
Tavo-from-mexico50506Hace 7 años6
Esto si que merece difusión y ojalá que lo implementen.
CharlieWilliams16136Hace 7 años7
Me sumo a las felicitaciones al OP y también pido la implementación de esas medidas. Estas son el tipo de cosas de las que el -o los- webmasters de la web deberían tomar nota.
EDITADO EL 01-07-2016 / 22:43 (EDITADO 1 VEZ)
Enrique1167
Hace 7 años8
Primero, perdonar si no pongo tildes, estoy escribiendo desde un movil y no se porque, pero no me salen.   

Es una cuestion interesante.

Sobre permitir contraseñas de mas de 32 caracteres, estoy de acuerdo. 

Quiero aclarar que las contraseñas se guardan en "hashes" en la db, que es lo que se usa para validar las contraseñas. Tambien guardamos una copia encriptada para permitir la recuperacion de contraseñas. Lo que quiero decir con esto es que no guardamos nada en texto plano.
11 VOTOS
MeLlamoPablo2755Hace 7 años9
@Enrique
Mostrar cita
Primero, perdonar si no pongo tildes, estoy escribiendo desde un movil y no se porque, pero no me salen. Es una cuestion interesante. Sobre permitir contraseñas de mas de 32 caracteres, estoy de acuerdo. Quiero aclarar que las contraseñas se guardan en "hashes" en la db, que es lo que se usa para validar las contraseñas. Tambien guardamos una copia encriptada para permitir la recuperacion de contraseñas. Lo que quiero decir con esto es que no guardamos nada en texto plano.
Buenas, ¡gracias por responder! Mis disculpas, porque al no saber exactamente cómo funciona 3DJuegos en el lado del servidor no puedo saber 100% de lo que estoy hablando, pero me pareció bastante razonable pensar que las contraseñas se guardaban en texto plano en la base de datos. Sin embargo, hago copy-paste de un fragmento del [url=https://plaintextoffenders.com/faq/devs#_=_]enlace en inglés que incluí en el correo[/url]: [i][b]5. Fine, so I’ll encrypt the passwords (using something like RSA or Blowfish). This way passwords are not in the database and they are still retrievable.[/b] No, if you can decrypt your passwords, so can the hacker that gets control of your servers and database. Again, this information is not yours to retrieve.[/i] No esoty diciendo que esa página sea la biblia de la seguridad informática, pero sí que propone en mi opinión muy buenos argumentos. Y lo que viene a decir es que si ustedes podéis desencriptar las contraseñas, también puede cualquier atacante. Lo que estaríais haciendo no es reducir enormemente el daño que se puede causar si alguien entra en vuestra base de datos (si las contraseñas están hasheadas con bcrypt y con sales, por ejemplo, el hacker tardaría años en crackear una sola contraseña, y todo ese esfuerzo le serviría solo para un único usuario, no para todos). Lo que estaríais haciendo es ponerle una traba, un inconveniente menor que con un poco de tiempo se "soluciona" (hablando desde la perspectiva de un supuesto hacker). De nuevo, no sé exactamente qué pasa en vuestros servidores. Pero si cuando pido un correo de recuperación de contraseña lo que recibo es mi contraseña en texto plano inmediatamente, el programa está desencriptando la contraseña automáticamente, y para eso necesita la contraseña de encriptación. Si la contraseña de encriptación está en una parte del código o en la base de datos, entonces el hacker tiene acceso a ella. Y ahora estamos en las mismas: el hacker descarga la base de datos, halla la contraseña de encriptación y desencripta las contraseñas, obteniendo así esa relación de correos y contraseñas, solo que esta vez se ha tomado unos minutos más. Por otra parte, esto tampoco soluciona el otro problema que planteé: que ustedes (ni ustedes ni ningún webmaster) no deberíais tener acceso a la versión en texto plano. Como ya sabréis, la diferencia entre la encriptación y el hashing es que a partir de un archivo encriptado se puede obtener el archivo original (gracias a la contraseña de encriptación), pero a partir de un hash no se puede obtener el archivo original. Entonces, si ya estáis usando un método de hashing adecuado, ¿para qué guardar las copias de las contraseñas encriptadas? Para permitir su recuperación, sí, pero como ya expuse, la forma estándar de hacerlo (enviar un enlace temporal donde el usuario pueda resetear su contraseña) es más segura porque a) el enlace es temporal, así que no pasa nada si al usuario se le olvida borrarlo y b) si el correo se intercepta el daño es menor porque las posibilidades de que el usuario tenga esa contraseña en distintos sitios a la vez son altas; en ese caso el hacker tendría acceso a 3DJuegos, mientras que con el sistema actual, tendría acceso a todas las cuentas donde el usuario emplee ese mismo correo y esa misma contraseña. De nuevo, muchísimas gracias por su atención.
EDITADO EL 03-07-2016 / 01:44 (EDITADO 1 VEZ)
5 VOTOS
ComoSeria215Hace 7 años10
Yo pense lo mismo dela contraseña al ver que me la mandaban por e-mail, aunque decidi no darle mucha importancia.
Mimi-0318041Hace 7 años11
No entiendo una mierda, pero mis dies.
10 VOTOS
Nachokyle50327Hace 7 años12
El tema es una pasada y tienes más razón que un santo. Ahora, lo mejor sin duda es la cara de maldad del hacker.
3 VOTOS
Gonito7547Hace 7 años13
Garulo4
Expulsado
Hace 7 años14
Si estoy yo aquí significa que la seguridad de este sitio es mínima.
2 VOTOS
Alfema8140Hace 7 años15
Coincido con @MeLlamoPablo, las contraseñas de las webs y otros muchos sitios no deberían guardarse en un formato reversible, es decir, cojo la contraseña le aplico un algoritmo que cifra la contraseña y es lo que guardo, pero puedo aplicar el algoritmo de forma inversa y recupero la clave original. 

Ej.: La clave es [b]25[/b], el "algoritmo" es multiplicarlo por [b]5[/b], como resultado tengo [b]125[/b] que es lo que guardo, si alguien accede a 3D Juegos y se lleva la base de usuarios también pudiera acceder al fuente donde aparezca este "algoritmo", sólo tiene que dividir 125 entre 5 para obtener la contraseña original que es 25.

Lo seguro, o al menos más seguro, es guardar la contraseña usando un algoritmo irreversible, que cifre la contraseña y la guarde de forma que no se pueda aplicar el algoritmo de forma inversa para obtener la contraseña original.

Ej.: La clave es [b]25[/b], lo pasamos a binario [b]11001[/b], ejecutamos un desplazamiento de bit hacia la derecha, por ejemplo dos posiciones, nos quedaría [b]00110[/b], que sería lo que guardamos, si hacemos lo contrario, desplazar los bits hacia la izquierda obtendremos [b]11000[/b], en decimal es 24, no coincide con nuestra contraseña y por lo tanto el atacante no puede acceder a nuestros datos.

Espero que lo hayáis entendido, el tema de seguridad, cifrado y demás es bastante "engorroso".

Editado: En cuanto a la longitud de 32 caracteres, si usamos letras, números y símbolos podemos generar contraseñas que un ordenador tarde siglos en romper por fuerza bruta. Podéis hacer pruebas en la web de [url=https://password.kaspersky.com/es/?utm_medium=rdr&utm_source=redirector&utm_campaign=old_url]Karspesky[/url], una simple contraseña de 15 caracteres tardaría 17 años en ser descifrada por [b]Conficker botnet[/b], para cuando lo hiciera la contraseña ya no sería útil.

--
Saludos
EDITADO EL 03-08-2016 / 02:02 (EDITADO 1 VEZ)
2 VOTOS
Responder / Comentar
Anterior
Subir
Foros > Dudas y sugerencias sobre el foro y comunidad > Carta abierta a 3DJuegos en relación a la seguridad del sitio

Hay 21 respuestas en Carta abierta a 3DJuegos en relación a la seguridad del sitio, del foro de Dudas y sugerencias sobre el foro y comunidad. Último comentario hace 6 años.

  • Regístrate

  • Información legal
Juegos© Foro 3DJuegos 2005-2024. . SOBRE FORO 3DJUEGOS | INFORMACIÓN LEGAL