Telefe Noticias estrena bugs… digo web

Escrito el 17 junio 2009, 09:13pm en Seguridad

Tagged with: , , , ,

Telefe (canal argentino de TV) estreno hace muy poco una nueva web, mas allá de lo criticable o no desde el punto de vista diseño y SEO por el tener una portada completamente en Flash, esta el utilizar una version vulnerable de Joomla (un CMS). ¿Acaso la empresa que realizo el desarrollo no hace testing de sus productos? Deben estar muy preocupados en “vender, vender, vender”. Estamos en el año 2009, y todavía gran parte de los desarrolladores siguen sin controlar las variables como corresponde y prevenir un simple Cross Site Scripting (XSS). Deberian comenzar a pensar que no todos los usuarios son buenos, basta con solo uno para dañar la imagen de la empresa.

Telefe Noticias XSS

Esto hasta podría pasar por un error tonto y sin importancia para más de uno, pero ¿Qué hay de utilizar una versión vulnerable de Joomla? Cualquiera puede entrar y aprovecharse de este error y explotar el mismo para modificar la contraseña del usuario administrador del sitio.

Telefe Noticias - Joomla Bug

¿Vamos a seguir pensando todavía, que la seguridad y el testeo son meros accesorios?

Comentarios (37)

  1. Alejandro — junio 17, 2009 a las 10:24 pm

    JOJOJO!! Tremendo!!

    (sin más comentarios, me despido).

  2. Oscar — junio 19, 2009 a las 2:48 am

    Lei este articulo y me parecido curioso este error, fui a la web para tratar de cambiar la contraseña del administrador y no tenia el error antes mencionado (XSS), si fuera cierto esto, esta pagina quizas ya la fueran hackeado, acordamosnos que telefe noticias fue hackeada el año pasado, pero desde que telefe lanzo su primera web revolucionaria (talento argentino) telefe nunca ha tenido problemas de seguridad y eso que conozco a personas que han tratado de hacerles mal.

    Con respecto al flash, estoy deacuerdo que con amigable con los motores de busqueda, PERO no olvidemos que esta compañia es de entretenimiento y me parece excelente el trabajo que hicieron, en lo personal no me gusta las paginas 100% flash, pero esta ves tengo que aceptar que esta web esta Super!!!!, en realidad no se quien la hizo pero che, los felicitos,
    les doy un 10, es que hay mucho que decir, la nevegacion, los videos, la manera como muestran la informacion es muy util y no hay por donde confirdirte como lo que pasa en la web del canal 13.

  3. Martín Aberastegue — junio 19, 2009 a las 10:37 am

    Oscar: el error que te permitiria cambiar la clave del admin no era un XSS, eso estaba en otra seccion de la web, la falla del cambio de password se debe a una inyeccion de codigo SQL. Ya avisamos utilizando el formulario de contacto de la web, posiblemente lo hayan solucionado (Lo cual me parece perfecto!)

    Sobre lo ultimo, ¿trabajas para la empresa que lo desarrollo? 😛 Podra ser una compañia de entretenimiento pero eso no justifica un sitio poco usable. Me queres decir ¿por que usan flash para mostrar un listado de las ultimas noticias en el sitio?

  4. Oscar — junio 19, 2009 a las 12:59 pm

    No trabajo para la empresa que lo desarrollo, pero creo que se me puede hacer dificil entrar al canal e ir donde los personas que lo desarrollaron para preguntarle ¿Porque usaron flash?, como dije a mi los sitios 100% flash no me gustan, pero en este tengo que admitir que esta super, que te puedo decir Martir, es que en la argentina no hay nada que se compare a esto, y corre mucho mas rapido que cualquier otra pagina, no se que fue lo que hicieron para que corra tan rapido. Yo soy tambien bien critico como tu, pero yo no te he visto que tu ha aceptado que el sitio esta bien, y la verdad que yo lo veo y esta super!!!

  5. Martín Aberastegue — junio 19, 2009 a las 4:56 pm

    Oscar, que en Argentina no hay sitios comparables con este?? El sitio no corre tan rapido, ademas de que tenes videos que no hay forma de pausarlos! tenes que verlos si o si… a quien se le ocurrio eso, acaso son anuncios, no se pueden silenciar?! Es muy poco usable ese sitio..

  6. Oscar — junio 19, 2009 a las 5:28 pm

    Bueno no es para que te enojes, yo si puedo pausar el video y silenciarlo, no se de que tu hablas, quizas necesites un curso de navegacion de internet, no te enojes tu tienes tu punto de vista y yo el mio, y creo que el mio y mucho mejor que tuyo.

  7. David — junio 19, 2009 a las 5:32 pm

    jaja, parece que Martín esta enojado, bueno lo que yo tengo que decir, que yo si veo los video bien y los puedo pausar y silencia, chau chau

  8. Martín Aberastegue — junio 19, 2009 a las 6:45 pm

    David o Oscar, como quieran llamarse, no es enojo… es solo que me molesta que gente relacionada al proyecto ese 🙂 venga a hacerse pasar por un usuario normal 🙂 y a decir cosas sin sentido y alabar su laburo en lugar de tomar las criticas como deberia ser.

    La proxima vez traten al menos de no comentar desde la misma IP 🙂

  9. carlos — junio 19, 2009 a las 6:52 pm

    Ja el sitio es super, una super cagad*.

  10. David — junio 19, 2009 a las 7:01 pm

    nostros no trabajamos ahi, que de malo tiene que aqui en la oficina nos gustes estar comentando en los blog, y no solo en tuyo, es mas te deberia de alagar que personas comenten en tu blog, que el cual ese el sentido que lo pongas en internet, no hablamos cosas sin sentido, solo decimos la verdad, y lo cierto que ubiera un problema, ya la web estuviera hackeada, es lo que podemos decir aqui y tu lo sabes, asi que si no quieres que te hackeamos la pagina mejor tranquilizate.

    saludos.

  11. Federiko — junio 19, 2009 a las 7:02 pm

    Sinceramente yo vi la página y coincido con Martín, el sitio es por demás de poco usable. No hablemos de cuestiones más específica como SEO y demás, Pero para la persona común que visita un sitio que su scroll del mouse no funciones es un fracaso de usabilidad. Y Si Oscar y David de verdad son parte de la empresa que desarrollo el sitio, chicos admitir que se cometió un error y agradecer que el que lo haya encontrado sea tan amable de informarlo antes que alguien explote esa vulnerabilidad, no es ser menos profesional, al contrario denota la poca profesionalidad de trabajo.

  12. Oscar — junio 19, 2009 a las 7:04 pm

    tranquilo martin, no pasa nada, no le hagas caso a david es un poco enojon, nos gusta mucho los post que pones en tu blog, pero en eso ultimo que dice david es muy cierto, acordate que aqui en la argentina hay muchas personas que les gusta esta hackeando web, ese es mi ultimo comentarios, nos vemos

  13. Martín Aberastegue — junio 19, 2009 a las 7:07 pm

    Oscar, si es cierto hay mucha gente al vicio :P, por aca estamos temblando por eso 😛

  14. Ignacio — junio 20, 2009 a las 2:54 am

    no me parece un buen sitio, sin entrar en el tema del SEO, la navegabilidad es molesta, no me convence ni me parece super rapido. Eso si, los videos si se pueden pausear y bajar el volumen aunque no me extrañaria que lo hayan cambiado luego de que escribieras el post.

  15. Jorge — junio 22, 2009 a las 2:29 pm

    Wow que kilombo se te armo por lo de Telefe! Buena tela para cortar y muchos temas para debatir!

    Lo importante Martin es tener contactos, porque seguramente el que le hizo la web y el seo a Telefe no fue alguien especializado y capacitado en eso…

    Seguramente fue el primo, sobrino, o amigo de tal o cual… Asi que… usando la frase de telefe noticias al final…

    Asi estan las cosas estamos PAIS y se las hemos contado!

    ABRAZO!

  16. Jorge Mudry — junio 22, 2009 a las 10:25 pm

    Me parece extremadamente subjetiva la opinion del usuario oscar-david. No podes decir que ese sitio todo hecho en flash es “super”. No es usable para nada, carece totalmente de argumento valido el realizar todo el site en flash.

    Coincido con Federiko, lo menos que podrian hacer es agradecer (estoy seguro que Martin no recibio ni un mail por la molestia que se tomo al advertirles de los fallos de seguridad)

    Lo de los video es cierto, yo entre apenas salio y NO tenian controles de ningun tipo, se ve que ahora los agregaron.

    Jaja muy graciosa la amenaza a martin! Pobre pibe che, encima que le dedica tiempo a publicar cosas copadas, ahora le quitan el sueño matandolo de miedo

    Salu2

  17. marcoss — junio 22, 2009 a las 10:29 pm

    jajajaja, una masa Oscar/David 😛

  18. juanito el webmaster — junio 23, 2009 a las 2:37 am

    Hola yo si conosco a los desarrolladores, vamos a hablar en claro, que jack le hicieron a la web??, yo se que es muy tentador, yo no trabajo en seguridad, pero conosco a la gente que esta en el area, es my bueno, les aseguro no se metan con el, numero dos la web es toda flash, ustedes pienzan que detras de todas estas cosas no hay contratos, etc, como desarrollador amo la web en todos sus sentidos, me gusta usar google para mis mails, para que me encuentre resultados, me gusta flash y la programacion orientada objetos como me gusta tambien desarrollar accesibilidad, el trabajo de SEO no es lo fundamental hoy en dia cuando todo terminara siendo maquinas virtuales como flash o como la combinacion AJAX, ke lindo es el MYSQL, ke Lindo es el PHP genrando XML, ke bueno que es flash con el H264, que basura que es silverligth, que bueno que es Ubuntu, con librerias como jquery que en fin, al ojo de google, son la misma mierda, que difiere trabajar con algo o con otra cosa, lo unico que veo son comentarios envidiosos del contrato de ellos, ganas de no ver lo bueno de las cosas, podriamos hablar de este blog, y diriamos mira que template poronga y todos esos BAnner ke basura, y el SEO de que tanto habla se lo genera el CMS, entonces, que hablan gente, fijense cosas interesantes, y aprendan, hay cosas que ningun desarrollador SNOB de anteojos coool, pudo hacer, el cliente elige, y el cliente no, entonces, critiquen lo que no les gusta de la desicion de la compania, pero cual compania decide? el cliente, los desarrolladores, vamos chicos, no se hagan los boludos uqe lo unico que quieren es tirar mierda porque de otra manera no saben ganar una licitacion o un negocio, porque no les da la cabeza , aveces hacer algo simple, no requiere 234234 servidores, pasa que ustedes los bloggers, la mierda de la web, son la evolucion de esos sitios pedorros de banners, y lo siguien siendo, y se escudan bajo google ke si tiene chapa, para seguir choreando haciendo una web para una pime pedorra, le pasan precios de 3000 por una web de dos solapas a una mina que lo necesita, y se regalarian con telefe estoy seguro, solo por el nombre en su CV, entonces mirense un poquito, que idiotas son, que tonto es hablar sobre algo, sin criticarlo bien, es Flash? porke? es accesible? es navegable? ke diferencias hay entre navegable y accesible,? es para ricachones? o es para toda la gente,? es para vos, o es para el cliente,? es para el ego del desarrollador o es para el ego de quienes los dirigen? no importa, es una web, te gusta, te quedas, no te gusta, te vas a ver el AJAX de TN. no haces un post pelotudo chupa culo de google, porque ganas con adsense loooser, sos la basura de internet bloggger, flogger, internet es saber, es aprender, y es compartir, fuera de post, no hay nada mas copado. abrazo

  19. XML XHTML — junio 23, 2009 a las 3:12 am

    no soy el hijo de nadie si te importa el chusmerio,

  20. gonzalo — junio 23, 2009 a las 3:14 am

    che, porque borras los post?

  21. gonzalo — junio 23, 2009 a las 3:15 am

    ha moderas, todo, que chabon, donde esta la accesibilidad, ? que acaso la web noes libre man?

  22. Martín Aberastegue — junio 23, 2009 a las 10:48 am

    Juanito, XML XHTML, Gonzalo o como quiera llamarse la gente de Streamibox.com :), les aclaro que los comentarios pasan a la espera de aprobación cuando es la primera vez que lo hacen en la web, es para prevenir un poco el spam. Ahí están aprobados sus comentarios, son desopilantes! 😛

    Me alegraron el día 🙂

  23. TONi — junio 23, 2009 a las 11:19 am

    JAJAJAJAJA, que gracioso todo esto TIN..!

    Que gracioso, se cambio de maquina el chabon..!
    oscar, david, gonzalo, xml, juanito, etc.. etc… si trabajan para un lugar donde hacen paginas web, lo minimo que tienen que saber es que es la Accesibilidad y Usabilidad Web…

    Changos, evolucionen, Flash puede quedar muy lindo… (NO en este caso) pero quedo en el olvido..!

  24. Federiko — junio 23, 2009 a las 11:23 am

    Juanito, me parece totalmente desacertado tu comentario, de nuevo creo que actúas mas bajo un ego herido que te hayan criticado tu trabajo que de una posición objetiva. Los comentarios que yo veo acá en ningún momento fueron agresivos, por lo que sigo sin ver por qué descargar tu ira en alguien que escribe en un blog. Después de leer tus fundamentaciones con respecto al sitio dejan ver tu poco conocimiento al respecto a temas de desarrollo web, diciendo frases como “el trabajo de SEO no es lo fundamental hoy en dia cuando todo terminara siendo maquinas virtuales como flash o como la combinacion AJAX”, el SEO ahora más que nunca es importante, si no porque gigantes de software se batallan por quien tiene su mejor buscador. Microsoft modifico su framework de ajax para poder soportar SEO, así como Silverlight también lo soporta. De qué manera crees que personas van a encontrar tu contenido si no es por un motor de búsqueda. Por último insultar a alguien por usar un cms que hace gran parte del trabajo cuando Uds. implementaron uno y aun así no pueden lograr que realice su trabajo correctamente, es bastante irónico. Y creo que nadie te envidia que hayas obtenido tu trabajo para Telefe, al menos yo no, me parece genial que sea una empresa Argentina quien lo haga. Creo que desaprovechas una oportunidad muy grande agrediendo a personas que son los clientes del sitio que creaste y del cual podes tener un enorme feedback.

  25. carloscba — junio 23, 2009 a las 11:38 am

    Viendo la pagina de streamibox es evidente que venden un producto feo y TELEFE lo compro. Por mas bonito que sea el SEO, la accesibilidad, el diseño etc. si el cliente quiere feo y en flash se le hace feo y en flash, en eso estoy totalmente de acuerdo con “Juanito el webmaster”. ¿O acaso alguien le ha dicho que no a un cliente por la convicción de que lo que quería era lo incorrecto?. Doña Rosa le pide seguridad al banco, al sitio de TELEFE solo le pide los videos del noticiero.

  26. Martín Aberastegue — junio 23, 2009 a las 11:52 am

    carloscba: entiendo tu postura, pero hay cosas que hay que testearlas y van mas alla de si es feo o bonito, si tenes una version actualizada de Joomla, ¿por que vas a usar la anterior que es facilmente vulnerable? El cliente te paga para que le hagas algo BBB (bueno, bonito y barato) pero si no prestas atencion a la seguridad el que va a sufrir los dolores de cabeza cuando algun pendex te borre todo sos vos como desarrollador, el cliente solo se va a limitar a insultarte y querer todo arriba “ya ya ya!”.

  27. Emilio — junio 23, 2009 a las 11:57 am

    Buenas a todos, la verdad que desde hace mucho tiempo, soy seguidor de muchos blogs que de algún sentido u otro me son interesantes, eh seguido muchos artículos publicados por Martín Aberastegue de los cuales muchos me han llamado la atención y me han gustado, leí esta nota hace unos días atrás y hoy me encuentro con muchos comentarios que me llaman poderosamente la atención, no sé si alguien miente o no en los nombres que publican, si son de una empresa o de otra y demás, pero lo que no puedo dejar pasar de alto, es como una empresa tan grande e importante como TELEFE, tiene errores similares (comprobados) de esta índole. Estaría muy copado que alguna personas de esta empresa o quien corresponda, se haga cargo de los comentario en general que se estar realizando acá, no hace falta que grandes empresas tengan que dar a conocer en blogs que es lo que toman o no de las críticas de los demás, pero me parece muy poco profesional dejar pasar estas cosas por alto, mas considerando el calibre de esta empresa.
    Dentro de los seguidores de blogs (que me considero), considero que Martín es muy buen critico, de la misma manera que esta publicación no me pareció ofensiva ni mucho menos, es una lástima que “profesionales” de este ámbito, no tomen una crítica más que constructiva, y puedan dar la cara no solo para dar una explicación breve y profesional de lo acontecido, si no para evitar discusiones sin sentido. Un buen profesional, no es solamente una persona que defiende su trabajo, si no aquel que aprende día a día de sus errores, reconociéndolos y actuando sobre estos.
    Sin más, y espero que gente como Martín siga haciendo el trabajo que hace… para que cada uno esté en su lugar y TODOS podamos crecer con criticas (buenas o malas).

  28. tioeze — junio 23, 2009 a las 3:30 pm

    ah bueno, me pasó lo mismo que @emilio cuando vi la nota no dudé en que iba a ir al tongOo de esta semana ya que realmente uses un WP o lo que sea y tenga vulnerabilidades conocidas, es bueno aprovechar cuando te las cuentan de esta forma para agradecer y no para encima calentarse.
    Realmente hay que bancarse si salió mal y superar el error para luego agradecerlo públicamente o en el blog donde le contaron que pasaba por lo menos.

    Saludos y deseo que este blog siga asi como siempre.

  29. Mauro — junio 23, 2009 a las 10:32 pm

    Coincido con tioeze y con juanito el webmaster cuando dice que Martin es una lacra [o algo así, solo que muuuy largo].

    Ah, Juanito, en casa tengo una cajita con signos de puntuación. Pasa y te la regalo. =)

  30. Martín Aberastegue — junio 24, 2009 a las 10:53 am

    Gracias por los comentarios (a todos menos a Mauro ¬¬ jaja)

  31. Fabian — julio 3, 2009 a las 1:39 am

    Estimado Martin,
    me interesa mucho el tipo de analisis que realizas con respecto a diferentes areas de segurizacion y/o actualizacion. He seguido la seguidilla (valga la redundancia de los comentarios con respecto a TLFN. Entiendo lo que dices y me parece acertado. Tambien entiendo que cada compania, desarrollador etc etc, puede o no estar de acuerdo a lo que senalas, no importa, lo importante es que correcto o no estas contribuyendo a que se solucionen problemas. Y eso me parece excelente.
    Creo, y digo esto humildemente, que el titulo de esta seccion del blog “Telefe Noticias estrena bugs… digo web” es un tanto agresivo, quizas si dices lo mismo pero de otra manera, hasta te llevarias la sorpresa de que te contraten como asesor!!! y digo esto, tomando en cuenta que tu tono al explicar las cosas, es para ayudar y senalar que hay errores y u o omisiones por la parte tecnica, esten o no de acuerdo.
    Fuera de ello, si tocas sensibilidades o suceptiilidades todo el mundo recciona…incluso vos. hey, somos todos de carne, hueso y neuronas y no formamos parte de skynet, somos todos profesionales y debemos nutrirnos para crecer en todo sentido.
    Lamentablemente mas de uno tomara mi comentario como timorato, o poco agresivo o poco cool, o poco moderador o poco audaz.
    Es solo una apreciacion despues de leer tanta sacudida entre gente que sabe.
    Te agradezco todos los post y comentarios de tu blog. Cuidate

  32. Martín Aberastegue — julio 3, 2009 a las 1:56 pm

    Gracias por tu comentario Fabian, y no veo el titulo como agresivo, siendo que en el momento de publicar esta entrada eso era cierto.

  33. Fabian — julio 3, 2009 a las 10:53 pm

    Muchas Gracias Martin, entiendo tu punto.
    De todas maneras, personalmente lo leo agresivo, o al menos, lo veo provocador.
    respeto tu posicion y tu indicacion. Gracias nuevamente por tus consejos e indicaciones. Segui asi.
    Fabian

  34. TONi — julio 5, 2009 a las 5:05 pm

    Martín, y Fabian, en lo personal, también he hecho post en mis blogs que han creado controversia y diferentes puntos de vista… A veces a proposito y otras sin querer. Como blogger, creo que uno puede darse cuenta cuando es cual… En este caso, no veo para nada, pero para nada, un titulo ofensivo, creo, que a nadie le gusta que lo critiquen… Y a veces esto puede resultar agresivo, pero no hay que tener cola de paja, y aceptar las criticas, después de todo, son para mejorar…

  35. Martín Aberastegue — julio 5, 2009 a las 6:45 pm

    Fabian, y como queres que titule el post? como te gustaria que escriba el mismo sin que te suene provocador?

  36. Fabian — julio 5, 2009 a las 9:03 pm

    Estimado Martin, como primera medida, es TU POST, es TU BLOG, y creo que esta bien que escribas lo que deseas, y si creo que especeifique claramente que tus comentarios son fundados, en ningun momento escribi lo contrario, Solo exprese lo que me parece. Segundo, yo no quiero nada, de la misma manera que lo observaste y escribistes, solo te hice mi comentario. Te felicite, y la segunda vez, te escribi, segui asi. No es necesario hacer repreguntas. Segui escribiendo como te parezca, aprecio el post de TONi y creo que esta en lo cierto, cada uno percibe lo mismo de diferentes maneras. Nuevamente, gracias por tus post, tus comentario y segui asi.

Los comentarios están cerrados para este artículo.