Gestión de accesos, ¿con JavaScript?

Escrito el 5 mayo 2008, 01:42pm en Seguridad

Tagged with:

Con este caso bien podría crear una nueva categoría llamada “animaladas”, porque no le cabe otro calificativo. ADI** es una asociación de derecho informático, y en su menú tienen un enlace a una zona que en teoría es exclusiva para miembros, y al ingresar nos encontramos con un pad numérico como pueden ver en la siguiente imagen.

Acceso JS


A simple vista esto es “seguro”, pero ¿qué sucede si miramos el código fuente (HTML) de la web en cuestión?, nos vamos a encontrar con un código en Javascript como el que muestro a continuación:

<script language="JavaScript">
var usermulcode=1200
var code=0
var mul=1
var digit=0
var fails=0
function Enter_code(number)
{
code=code*10+number
mul=mul*number
document.codepad.thecode.value=code
digit++
if (digit==4)
{
if (mul==1200)
{
location="mostrarmiembros1.php"
}

else
{
// aquí va el manejo de errores.
}
}
}
function keycodepad(mulcode)
{
// aquí va el código que dibuja el pad numérico.
}
</script>

He resaltado algunas partes en negrita, lo primero es la variable usermulcode, cuyo valor igual a 1200 es lo que nos da acceso al área de miembros. El formulario funciona llamando a la función Enter_code() cada vez que se presiona un botón (numero), y a la variable mul se le asigna el valor de la misma multiplicado por el valor del botón presionado en cada caso, además de realizar esa operación, tenemos un sumador llamado digit, cada botón presionado incrementa su valor en 1, cuando la misma llega a 4 se controla que el valor de la variable mul sea igual a 1200, de ser verdadero el resultado somos redireccionados al archivo mostrarmiembros1.php, una vez dentro tenemos acceso a los datos de los miembros que van desde domicilio personal, teléfono celular hasta datos laborales.

Acceso JS

Para acceder a dicha área o bien podemos copiar y pegar el nombre del archivo en la barra de direcciones de nuestro explorador, o ponernos a pensar unos segundos y buscar una secuencia numérica que nos dé como resultado el valor de mul: 1200.

Por ejemplo: 6558, 5586, 5568, 6585…

Me parece que el uso de Javascript no es el indicado para la gestión de accesos a un área que debería ser “privada”.

Comentarios (2)

  1. Victor Bracco — mayo 6, 2008 a las 8:36 pm

    Por Dios!
    Creo que la gente que aparece listada ahí, tiene el derecho informático de exigir un poco más de privacidad, no?

  2. Martin Aberastegue — mayo 6, 2008 a las 10:43 pm

    Ya lo creo.

Los comentarios están cerrados para este artículo.