La seguridad de los que manejan nuestro dinero

Yo es que no se para que, en mi trabajo, me pego horas y horas de asegurar los datos que tenemos, cumplir la Ley de protección de datos, los estándares PCI, pasar auditorias de seguridad … si luego, ves como los que tendrían que hacer esto con una pulcritud y severidad extremas, se pasan por las narices las normas básicas de seguridad.

En conocida empresa de esas que te dejan "dinero rápido" para gastarte en lo que quieras y luego te lo cobran al 22% de comisión, navegando por su web me encuentro con un pequeñito fallo de seguridad (por decirlo de forma cínica). Resulta que si visitas su página web pero te da por poner después del dominio, el propio nombre de la empresa .txt (cosa que me ha salido de puta chiripa porque intentaba ver el robots.txt y se me ha ido la cabeza), ves algo del estilo:

¡Ups, anda, que cosas! Si son los datos de acceso a su servidor y a su base de datos. Uy, que despiste de algún (que se hace llamar o pone en su contrato) "administrador de sistemas" que ha dejado un lindo fichero de texto con los datos por si acaso está en la playa y se le olvida como entrar a la máquina.

Ni me atrevo a entrar esos datos ni lo voy a hacer, porque no quiero ni pensar lo que me puedo encontrar con ellos en una empresa que maneja dinero de la gente, cuentas bancarias y datos muy personales de los que "confían" su dinero.

Otro ejemplo más a la saca de la mierda de seguridad que hay en nuestro país en páginas muy gordas.

Relacionadas , Por razones de seguridad, no se muestran las espadas, Seguridad en el trabajo a la thailandesa, Seguridad en el trabajo, Seguridad laboral

Problemas con la web de Renfe … ¡de nuevo!

De nuevo vuelvo a tener problemas con la página de Renfe, y es que, una Web dentro de un proyecto de tantos millones de euros y donde se ha despilfarrado el dinero de tal manera, tiene que dar problemas básicos, ya que si no, no sería una web "made by dinero del pueblo".

Ya que el amable señor que me ha contestado al teléfono de incidencias de Internet, me ha aconsejado que use Internet Explorer, ya que no podía completar mi compra con Firefox por un error R190, que ni el sabía que significaba, veo que en el encantador navegador que tanto debe admirar el grupo Indra, me sale la ventanita anunciándome que algunos elementos de la página no son seguros.

Bueno, yo soy programador, y se que los elementos que no se muestran bajo protocolo seguro serán algún iconito estúpido, pero … ¿qué sensación le puede quedar a todo el resto de los navegantes que no saben muy bien de qué va el mensaje? Si, si, a ese gran público que marcará la opción 1 en el teléfono de consultas que dice "pulse 1 si tiene problemas para imprimir el billete" …

Querida Renfe: ¿sabíais que no te puedes autenticar como usuario si no haces una búsqueda? ¿sabíais que vuestra página no cumple ningún standard y no puedes usarla bien con otros navegadores que no sean IE? ¿y que vuestro de sistema de captcha se puede saltar? Qué fácil es hacerse un pequeño programa que te avise cuando hay ofertas en los AVE hacia Zaragoza

Y ahora, para los que sepan programar en Javascript … mirad alguna de las funcioncitas que me encuentro … de lujo oye

// ——————————–
// Comprueba si cadena es un número
// ——————————–
function esNumero(cadena)
{
// Si lo que recibe no es una cadena devuelve falso.
if (typeof(cadena) != "string")
{
return false;
}

if(cadena == "")
{
return false;
}

var numeros = "0123456789″

for(var i=0; i {
if(numeros.indexOf(cadena.charAt(i)) == -1)
{
return false;
}
}

return true;
}

Un poco más y crean una biblioteca para esta función De estas hay un buen número de ellas, a cada cual más interesante por el código fuente de los 15 JS de 274K de código … ¡infumables!

Relacionadas , No es seguro comprar en Renfe, Windows Vista vs Ubuntu Linux, VLC se acerca a su primera versión definitiva, Problemas con el iPhone 3G en Barcelona

Empresa de traducción de idiomas usando Google Translate

Todavía prefiero no publicar aquí el nombre de la empresa, pero tengo tal rabia en el cuerpo que necesito expresar y contaros el problema que hoy he descubierto con una empresa con la que trabajaba desde hace unos meses.

Resulta que necesito normalmente traducciones en varios idiomas, y claro, yo sólo sea el mio y con tacos (como decía Bruce Willis en no se qué película) … bueno e inglés también, pero nada más. Así que, como sería lo normal, se busca un profesional o una empresa que te haga las traducciones.

Lo importante es que la persona o la empresa sea realmente nativo. Por mucho que sepas un idioma, o por mucho que lleves 5 años en un país, uno sólo sabe su idioma si es su idioma materno y ha vivido toda su vida (o gran parte de ella) en dicho país, sobre todo cuando quieres que tus frases "suenen a ese idioma de este país", con expresiones del país y con "toques" de ese idioma/país, que es muy difícil que alguien (por mucho título que tenga) pueda llegar a saber.

Una vez encontrada la empresa, una de las grandes, que ves que tienen cientos de trabajadores y servicios "profesionales" de traducción, empiezas a trabajar con ellos.

Hasta que un día recibes una traducción "algo rara" en inglés, y como el inglés aún lo controlo algo y veo que hay algo muy raro en la traducción, decido tirar un poco de la cuerda, y tras descubrir algún error más escribo un email para quejarme del servicio. Eran errores tan raros, que se me ocurre usar el Google Translator para adjuntarlo al email como diciendo "fíjate, que incluso este traductor online lo hace mejor que vosotros", cuando mi sorpresa es que me sale como resultado exáctamente la misma traducción que me habían dado ellos, con los mismos espacios, puntos, comas, y, sobre todo, fallos.

Cómo se le queda la cara a uno de "palurdo" y "estafado" cuando se da cuenta que ha estado confiando las traducciones profesionales a una empresa que "cuando quiere" intenta "colar" una traducción al inglés hecha con "Google Translator".

No tengo palabras. En cuanto pasen unos días, y depende de lo que me contesten, seguiré contanto la historia, y, en su caso, daré el nombre de la empresa.

Estoy todavía alucinando

Actualización: Ya que me han meneado la noticia, y como bien dice el comentario 6 en Menéame estaría bien tener alguna prueba de esta historia.

Como comentaba, la empresa prefiero no decirla por ahora, ya que quiero hablar con ellos, con el jefe de este "traductor", a ver cómo suceden las cosas, pero si que puedo poner aquí la traducción que me hizo, y que me hizo empezar a sospechar que pasaba algo.

La traducción era esta (viene de un texto más grande, obviamente):

[ ... ] <p>Gracias a ella y a nuestros asesores sabemos cuáles son tus ideas y…¡las hacemos realidad!</p><p>Y ahora … tenemos <b>una sorpresa para tí …</p> [...]

Obivamente, las empresas de traducción de hoy en día, te respetan el HTML que puedas tener en tu texto, como saltos de línea o negritas, como es el caso … Lo que me dieron es esto:

[ ... ] <p> Thanks to her and our consultants know what your ideas do y. .. the fact </ p> And now … NEWS we have a surprise </ b> for you …</ p> [ ... ]

Me empezó al principio a mosquear que las etiquetas HTML me las habían modificado, algunas borrado. Luego lo que más saltó a mi vista es lo de "your ideas do y. .. the fact", y para colmo fué el "NEWS" en mayúscula y totalmente inventado.

Esto es lo que, como cuento en la historia, me hizo ir precisamente a Google Translate para hacer la traducción del texto original y añadirlo en la carta que estaba haciéndo de queja a la empresa, como para decir "mirad, que hasta Google Translate lo haría mejor", cuando en verdad, una vez comprobado, la frase se convirtió desgraciadamente en "es que lo han hecho con Google Translate".

Como comentaba, quiero esperar sus reacciones, pero no dudéis en que publicaré en una segunda historia el nombre de la empresa de traducción para que conste en acta la barbaridad que hemos sufrido.

Lo que más me asusta es … ¿tendremos en la página actual burradas de este tipo en otros idiomas como el alemán, del que no soy capaz de ver un fallo porque no tengo ni idea? ¿se les puede denunciar? (espero que si).

Relacionadas , Truco para traducciones rápidas, ¿Tienes hora sin romperte el brazo?, Cosas que no sabías de idiomas, Orangoo, y ¡hescrive vien!

Los Audi tienen que demostrar lo que son

Te gastas un dineral en un Audi y, obviamente, tienes que querer mostrarlo y pavonearte de todos por la autopista, ¿no? Hoy he vuelto de Zaragoza y lo he hecho a la velocidad de crucero que siempre pongo estable durante todo el viaje: 125 km/h.

Ya venia de otros viajes con la idea de hacer un conteo, y así lo he hecho. En las poco mas de 2 horas y media que ha durado el viaje me han adelantado 139 veces, de las cuales 61 ha sido un coche de la marca Audi. Por otra parte decir que yo he tenido que adelantar a varios coches, y ninguno de ellos ha sido un Audi.

Mi primera deducción es que los Audi corren bastante o mejor dicho que los que los tienen quieren hacerlos correr bastante. Pero antes de que alguien salte diciendo que estos coches, si te los compras, es para correr con ellos, decid que yo mismo he adelantado a BMW, o a Mercedes CLK sin problemas, y que yo mismo he tenido en mi vida un Audi, y no he tenido que ir a 140 por hora para "lucirlo" por carretera.

¿Tanta prisa tenéis los que poseéis un Audi? ¿O es que la pasta de las posibles multas no os importa en absoluto?

Relacionadas , Audi R8 y Ironman: “Los héroes no nacen, se construyen”, Abróchate el cinturón, A esto le llaman libertad de expresión, ¿Poderes paranormales?

ConfianzaOnline no dando mucha confianza online

¿Qué confianza da una empresa que se dedica a dar sellos de "confianza" y su Web tiene un clarísimo "SQL Injection"? Para los que no lo sepan, el SQL Injection es una técnica usada por los hackers para poder inyectar en los parámetros de las direcciones Web, comandos con el fín de poder ejecutar otros códigos a los que se deberían en una página Web.

Estos comandos pueden ir desde ver toda la base de datos, borrarla, o incluir archivos en el servidor para luego acceder al mismo.

ConfianzaOnline, la principal entidad que en España da los sellos de confianza en comercio eléctronico, tiene este pequeño problema ("pequeño" en tono cínico), y tras ver una ficha de un cliente que no existía (que había pulsado en una página, a la que, supongo, no le renovaron el sello pero dejaron el enlace), me di cuenta de un error claro en la página:

ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near " at line 1
Query: SELECT * FROM wp_categorias where id=

No hace falta ser "muy programador" de páginas Web para saber que no es muy bueno poner las instrucciones y comandos internos que se usan en la base de datos en los mensajes de error de la página. Ahora ya sé que tienen una tabla que se llama wp_categorias.

Investigando un pelín más me dedico a cambiar el parámetro de la dirección web donde se especifica el código de la empresa, y veo otro error, en el que veo una posible inyección de SQL:

http://www.confianzaonline.es/adheridos/ficha-entidad-asociada/?cod=-1;BLABLA;–

ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'BLABLA;– order by url' at line 1
Query: SELECT * FROM wp_urls where eid=-1;BLABLA;– order by url

Aquí ya lo dejo, prefiero no seguir investigando y tirando del hilo, pero desde luego, que lo que no es normal es tener estos fallos en una Web que se supone venden confianza en Internet.

Y todo simplemente por una programación mal hecha cuando se borra un registro de su base de datos de una empresa con un número de identificación que no exista.

Por otra parte, viendo un poco su código fuente veo que la empresa IdeaUp, que creó la página Web, dejó un par de líneas comentadas con el entorno de pruebas donde programaron la página (http://clientes.ideup.com:4020), y que este entorno tiene algunos directorios "abiertos", lo que, seguro, investigando un poquito más podría dar algún que otro problema.

Por cierto, que usan un WordPress 2.6.3 … no quiero probar las vulnerabilidades que han sido saliendo desde entonces porque no me quiero llevar más sorpresas …

En fin, Confianza, lo que se dice Confianza … poca e IdeaUp, bueno, no les daría una página Web para que me la hagan

Relacionadas , ConfianzaOnline, donde hay confianza … da asco, Certificado de seguridad de la Agencia Tributaria, Donde hay confianza da asco, ElectroCity: el Simcity online