samuelaguilera.com » seguridad

Usar el DNIe con Firefox

Samuel Aguilera — Sun, 09 May 2010 14:30:39 +0000

Hay muchos tutoriales por la red que explican cómo usar el DNI electrónico (DNIe para los amigos) en los diferentes sistemas operativos y navegadores disponibles. Así que no, yo no voy a hacer otro tutorial, porque como digo hay muchos y muy buenos.

Si quieres un tutorial completo de cómo instalar el DNIe en tu sistema (en este caso para Windows) desde cero, el de criandocuervos.com es bastante bueno.

Pero aún siguiendo alguno de estos tutoriales, yo no conseguía hacer funcionar el DNIe y las FAQs disponibles en las páginas de los servicios (por ejemplo la de la FNMT) tampoco ayudaban en nada…

Así que en toda esta desesperación por hacer funcionar el DNIe con Firefox, encontré en el tutorial arriba mencionado un comentario dejado por un lector que tampoco llegaba a conseguir una instalación completa de los elementos del DNIe. Y comprobé que mi problema con Firefox era el mismo, que no tenía instalada la interfaz del dispositivo criptográfico PKCS#11 debido a que el instalador del software del lector del DNIe por alguna causa no lo había instalado.

Así que, si eres un usuario de Windows en busca de una solución para hacer funcionar el DNIe con Firefox, y ya has seguido paso a paso el tutorial de criandocuervos.com u otro igual de completo. Quizás las siguientes instrucciones te ayuden:

En el menú de tu Firefox ve a “Herramientas->Opciones“, pulsa en el botón “Avanzado“, clic en la pestaña “Cifrado“, pulsa en el botón “Dispositivos de Seguridad”.
Una vez pulsado el botón estarás en la ventana titulada “Administrador de dispositivos“. En ella pulsa el botón “Cargar“.
En esta ventana que se abre ponle el nombre quieras al nuevo módulo que vamos a cargar, y pulsa en el botón “Examinar” para navegar hasta la ruta C:/Windows/System32/ seleccionar el archivo UsrPkcs11.dll y haz clic en “Aceptar“.

Si este era tu único problema (como era mi caso), ahora podrás usar correctamente tu DNIe con Firefox. Si no es así y sigues sin poder usarlo, te recomiendo que reinstales todo siguiendo el tutorial de criandocuervos.com.

NOTA: A mí me ha funcionado en un sistema Windows 7 Ultimate x64 con Firefox 3.6.3 si te funciona en otras versiones de Windows o Firefox deja un comentario ;)

WordPress 2.9.2

Samuel Aguilera — Mon, 15 Feb 2010 21:27:33 +0000

Según indican en el blog oficial de WordPress Thomas Mackenzie avisó al equipo de WordPress de un problema por el cual los usuarios que habían iniciado sesión podían acceder a entradas en la papelera que pertenecían a otros usuarios. Si tienes usuarios registrados en tu blog en los que no tienes plena confianza y entradas importantes en la papelera, deberías actualizar a WordPress 2.9.2.

Como siempre, también puedes actualizar desde el menú Herramientas -> Actualizar.

¡Cuidado si usas Thematic!

Samuel Aguilera — Sat, 05 Dec 2009 15:41:43 +0000

Ian Stewart anunció el pasado 3 de diciembre que ThemeShaper.com fue hackeado hace algún tiempo (no ha podido determinar cuando).

Si usas Thematic para desarrollar tus themes, o estás usando algún theme basado en thematic, deberías revisar muy seriamente si te ha podido afectar este hecho. Ya que mientras themeshaper.com estuvo hackeado, el responsable de dicha acción sustituyó los enlaces de descarga habituales de thematic (que se descarga normalmente desde los repositorios oficiales de WordPress), por unos enlaces para descargar una versión modificada de thematic desde la propia web (hackeada) de themeshaper.com

Comenta Ian Stewart que puedes saber fácilmente si estás usando una versión de thematic hackeada si tienes un archivo llamado sv_ss.php en la ruta thematic/library/languages/

De todos modos, como el propio Ian dice, siempre puedes despejar completamente tus dudas volviendo a descargar thematic desde el repositorio oficial de WordPress y sustituir tu versión instalada por la nuevamente descargada.

Protege tu wp-admin con Apache

Samuel Aguilera — Fri, 11 Sep 2009 10:33:10 +0000

A veces lo más simple es lo más efectivo… Si tu conexión de acceso a internet tiene IP fija, simplemente crea un archivo .htaccess con el siguiente contenido:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# IP con acceso permitido
allow from 123.123.123.123

Sustituye la IP 123.123.123.123 por la IP desde la que vas a entrar a tu WordPress (la de tu conexión).

Ahora sólo te queda subir el archivo a tu directorio wp-admin, ¡y listo!.

A partir de ese momento sólo tu IP podrá acceder a la administración de WordPress, a cualquier otra IP que intente acceder se le denegará el acceso.

Si quieres acceder desde varios sitios, por ejemplo desde casa y el trabajo, basta con añadir tantas líneas de IP’s permitidas como necesites.

Firefox 3.0.9 corrige unos cuantos problemas de seguridad

Samuel Aguilera — Wed, 22 Apr 2009 12:55:30 +0000

Está disponible para descargar/actualizar Firefox 3.0.9. Que según parece corrige algunos fallos de estabilidad y seguridad.

No estaría de más que con esta versión dejara de quedarse funcionando en segundo plano ¡cuando se supone que he quitado el navegador! :-/

Debido a lo rápido que se explotan los fallos de seguridad hoy día, si usas Firefox conviene que actualices lo antes posible (menú Ayuda->Buscar actualizaciones). Ya que según ha informado Mozilla, las últimas vulnerabilidades corregidas son serias y podría permitir al atacante ejecutar código malicioso en tu equipo.

Visto en: mashable.com

Tres enlaces para desarrolladores de WordPress

Samuel Aguilera — Sun, 05 Apr 2009 10:35:42 +0000

Donncha O Caoimh (responsable de WordPress MU y de WP Super Cache) nos recomienda tres enlaces dirigidos a desarrolladores de WordPress, que sin duda deberíamos tener en cuenta todos los que alguna vez creamos extensiones o plantillas personalizadas para WordPress. Estos son los enlaces:

WordPress Coding Standards. Mantener un orden y estructura común entre todos los desarrolladores de WordPress al escribir el código, ayuda a otros (y a nosotros mismos cuando hace tiempo que no revisamos el código de un trabajo) a leer y comprender el código.
Data Validation. Es de vital importancia para nuestras aplicaciones web que los datos que aceptamos hayan sido previamente verificados para estar seguros de que no contienen código malicioso. En esta página encontraremos ejemplos de como llevar a cabo las verificaciones desde el entorno de WordPress.
WordPress Nonces. Un nonce (objeto de un sólo uso) se asegura de que la petición que estás enviando a tu blog es la que querías enviar. Sin un nonce, otra página que tuvieras cargada en el navegador podría mostrar en su sitio una imagen que apuntase a tu página de administración y hacer una tarea administrativa. Seguro que no quieres que otro sitio engañe a tu navegador para que haga algo malo, ¿verdad?. Si quieres más información consulta Cross-site request forgery en la Wikipedia.

Vulnerabilidad en WordPress MU inferior a 2.7

Samuel Aguilera — Thu, 26 Mar 2009 00:10:33 +0000

Vulnerabilidad de inyección de código remoto

Juan Galiana Lara ha publicado los detalles acerca de una vulnerabilidad que afecta a versiones de WordPress MU inferiores a la 2.7.

La versión 2.7 NO está afectada por este fallo según se indica en el anuncio realizado. Así que si estás usando WordPress MU 2.7 puedes ignorar esta advertencia.

Detalles de la vulnerabilidad

Las versiones de WordPress MU anteriores a la 2.7 fallan al “desinfectar” la cabecera del servidor correctamente en la función choose_primary_blog siendo por lo tanto vulnerable a ataques XSS.

Los sitios web que estén corriendo bajo hosting virtual basado en nombres no están afectados mientras que no sean el nombre de servidor predeterminado.

Más información

Puedes encontrar más información relativa a esta vulnerabilidad en el siguiente enlace:
http://www.milw0rm.com/exploits/8196

Solución

Actualiza tu instalación de WordPress MU a la versión 2.7 :)

Visto en: WordPress MU < 2.7 Cross Site Scripting Vulnerability

Limitar intentos de identificación fallidos

Samuel Aguilera — Tue, 20 Jan 2009 19:13:27 +0000

Hasta la fecha ninguna versión de WordPress (tal como viene de serie) ha puesto nunca límite al número de intentos de inicio de sesión fallidos que un usuario puede tener. Por lo que podríamos ser víctimas de un ataque de fuerza bruta y el atacante no tendría límite de intentos para tratar de averiguar nuestra contraseña.

Captura de Limit Login Attempts en acción.

La verdad es que no representa un gran riesgo si usamos contraseñas seguras (no basadas en simples palabras o datos nuestros que se conocen), y si os fijáis ningún CMS (o casi) le da mayor importancia a este tema. Sin embargo, si podemos ponerle remedio nunca está de más añadir algo más de seguridad a nuestro WordPress.

Limit Login Attempts es una extensión para WordPress 2.5+ que viene a solucionar este tema. Dándote la posibilidad de fijar un número X de identificaciones fallidas, y bloqueando el acceso por tiempo definido en caso de llegar a dicho límite.

Puedes instalarla desde el menú de administración usando la url de la extensión. Estas son sus características al detalle:

Limita el número de reintentos de inicio de sesión (para cada IP). Totalmente personalizable.
De la misma manera limita los intentos de identiciación por cookie (necesita WordPress 2.7+).
Informa al usuario de los reintentos que le quedan o tiempo de bloqueo del inicio de sesión.
Registro de actividad opcional, notificación por email opcional.

Ya tienes otra excusa menos para no usar WordPress ;)

WordPress 2.6.5

Samuel Aguilera — Wed, 26 Nov 2008 08:33:23 +0000

A pesar de que el lanzamiento de WordPress 2.7 está a la vuelta de la esquina (se encuentra al 93% de su finalización), se ha lanzado WordPress 2.6.5, para corregir un fallo de seguridad XSS y otras tres pequeñas correcciones.

Los autores de WordPress animan a todos los usuarios a actualizar a esta nueva versión lo antes posible.

Si ya tenéis instalado WordPress 2.6.3 podéis consultar la lista de cambios entre la 2.6.3 y la 2.6.5 y descargar sólo los archivos que han cambiado para evitar tener que subirlos todos.

Más detalles en: WordPress 2.6.5

Problemas con baterías en portátiles HP, Dell, y Toshiba

Samuel Aguilera — Fri, 31 Oct 2008 13:25:10 +0000

Tras un comunicado de la comisión de seguridad de productos para consumidores de Estados Unidos. Se están llevando a cabo campañas de sustitución de baterías Sony para portátiles de las marcas HP, Dell, y Toshiba.

Según parece, las baterías defectuosas podrían llegar a incendiarse…

Si has comprado recientemente un portátil de alguna de las marcas mencionadas, es recomendable que compruebes en la web habilitada para ello por la marca de tu portátil si tu batería es una de las defectuosas:

Visto en: Daboweb.