Como todo el mundo sabe, los sistemas que manejan dinero suelen ser tratados como críticos y cualquier modificación a los mismos se prueba en paralelo durante meses para que no existan problemas a la hora de su implantación final.
Además, si se quiere conservar a todos los clientes y no perderlos debido a la migración, se suele hacer la página web compatible (al menos) con firefox (lo normal sería que con cualquier navegador).
Por supuesto, se comprueba que todas las secciones de un sitio web así funcionen y de no hacerlo, al menos se habilita al servicio telefónico para poder hacerlo.
Además, si la política de seguridad exige que la clave de acceso (una mierda de 4 números) se la des al sistema automático no es normal que por una renovación de sus «sistemas» se la tengas que dar a la persona (sobre todo cuando el call center está en otro país, subcontratado y para colmo atendiendo varios servicios y no sólo banca) con lo cual la inseguridad es total.
CORRIJO: Según me dicen trabajadores de openbank, tienen al menos 3 call-centers en España (y creo que no tienen ninguno más).
Bien, comencemos (lo anterior era un preludio a mi tortuoso camino hacia este post)...
Leer más...
[ 267 comentarios ] ( 3902 visualizaciones ) | [ 0 trackbacks ] | enlace permanente |
( 3.3 / 275 )Esto ha sido probado con gentoo.
Primero decir que la web del dni electrónico (dnie.es) es una basura en cuanto a lo que información para otros sistemas operativos distintos de windows se refiere.
Según parece, la aplicación que permite cambiar la clave, es un poco extraña, porque por misteriosas razones que no acabo de entender, para cambiar la clave, tienes que conectar con su web.
Paso de conspiranoias y asumo directamente lo peor. No se me ocurriría utilizar el DNI «electrónico» para nada serio como usarlo de llave para autenticar contra servidores vía SSH (el DNI usa una clave RSA de 2048 bits de longitud válida durante 30 meses) o cifrar/firmar archivos personales y/o correos electrónicos (para eso está mi llave gpg, ya que nada me garantiza que la llave privada no sale del chip por mucho que digan ellos, y menos después de tener que conectar a través de internet con sus servidores para algo tan sencillo como cambiar la clave). En definitiva, me parece bastante inseguro (por no meterme en más conspiranoias) que te tengan que enviar una «secuencia de comandos» desde sus servidores para que tu puedas cambiar tu clave.
Pues bien, desde la web, ofrecen bajar un programa para cambiar el PIN, programa hecho en java y que incluye dos librerías: Una dll y una .so ¡milagro, compatible en linux! (si antes has descomprimido un zip y luego ejecutado un .exe que descomprime de nuevo otro zip, pero eso es otra historia que ya me explicarán los de estupefacientes, estoooo los que han hecho la web y han subido el archivo, que seguramente están al lado de los de estupefacientes).
Leer más...
[ 4 comentarios ] ( 3743 visualizaciones ) | [ 0 trackbacks ] | enlace permanente |
( 3 / 236 )GOsa es una herramienta gráfica vía web muy interesante que permite gestionar una ldap y crear cuentas de sistema: Unix, samba, correo, proxy, intranets, etc con muchas opciones.
Además, provee a los usuarios finales de un panel de control para que vean sus datos y cambien su clave, etc.
Hasta ahora, para la gestión de directorios LDAP yo usaba phpldapadmin (que no es precisamente la herramienta más completa pero sirve para explorar un ldap e incluso añadir datos de determinadas estructuras por defecto y facilita algo la vida). Sin embargo, en cuanto a lo que gestión de cuentas vía un interfaz web se refiere, GOsa, es lo mejor que he visto hasta ahora.
Leer más...
[ añadir comentario ] | [ 0 trackbacks ] | enlace permanente |
( 3 / 230 )Todos los servidores web suelen tener métodos bastante estándares para añadir SSL, lo típico cuando se usa OpenSSL es (como ya he explicado en otro articulo anterior):
Generar la clave privada:
openssl genrsa -out serhost.com.key 1024
Generar la solicitud de certificado:
openssl req -new -key serhost.com.key -out serhost.com.csr
Ahora queda o bien enviar esa solicitud a una entidad certificadora (que nos cobrarán: 10$ (registerfly), 20$ (godaddy) a otros precios menos razonables como verisign que intentará cobrar más de 350$ por certificado, todas las compañías hacen lo mismo, pero unas tienen «mas nombre» que otras).
La otra opción es optar también por una entidad certificadora gratuita (cacert.org) que ya no está reconocida ni siquiera por firefox, para lo cual, mejor, autofirmamos nuestro certificado (nos dará un aviso que el certificado no está firmado por una autoridad certificadora de confianza, pero podemos aceptarlo de forma permanente).
Para firmarlo y obtener un crt:
openssl x509 -req -days 365 -in serhost.com.csr -signkey serhost.com.key -out serhost.com.crt
Ahora necesitamos el certificado en formato .pem (el .pem no es más que el archivo .key y a continuación el archivo .crt), luego los concatenamos:
cat serhost.com.key serhost.com.crt > serhost.com.pem
En mi caso he guardado todos estos archivos:
serhost.com.key
serhost.com.csr
serhost.com.crt
serhost.com.pem
En un directorio: ssl-certs, de modo que tengo todo un poco más clasificado, hay que recordar darles los permisos adecuados (que el propietario sea el usuario con que se ejecuta lighttpd y solo puedan ser accedidos por él).
Una vez tenemos todo esto (vamos a suponer que en: /etc/lighttpd/ssl-certs) editamos el fichero de configuración de lighttpd (que suponemos está en: /etc/lighttpd/lighttpd.conf) y añadimos al final:
Leer más...
[ añadir comentario ] ( 3 visualizaciones ) | [ 0 trackbacks ] | enlace permanente |
( 3 / 238 )mod_autoindex es un módulo de apache que nos permite mostrar un listado de archivos y directorios de un directorio cuando no hay un fichero index predeterminado (o si bien queremos mostrar este listado y obviamos este index).
La documentación de este módulo, puede encontrarse en: http://httpd.apache.org/docs/1.3/mod/mod_autoindex.html
A continuación pongo un ejemplo de un archivo .htaccess que añade una cabecera y un pie al listado, además, añade descripción a los distintos archivos:
#Opciones (convertir iconos en parte del link, que coja anchos de las descripciones de forma automática y muestre primero las carpetas y luego ordene por fecha de modo que los archivos más recientes se encuentren al final):
IndexOptions +IconsAreLinks
IndexOptions NameWidth=* DescriptionWidth=*
IndexOptions +FoldersFirst
IndexOrderDefault Ascending Date
#Añadir descripciones a los ficheros:
AddDescription "Instrucciones de instalación del programa" LEEME.txt
AddDescription "Aplicación" aplicacion.tar.gz
#Añade una cabecera (en lugar de: Index of diretory/)
HeaderName cabecera.html
#Añade el pie de página
ReadmeName LEEME.txt
Lo bueno de este sistema es que podemos integrar el diseño de nuestro sitio (y más si usamos CSS) con el listado de archivos predeterminado de apache.
[ 1 comentario ] ( 1627 visualizaciones ) | [ 0 trackbacks ] | enlace permanente |
( 3 / 244 )Cosillas útiles que dejo aquí para referencias posteriores:
Crear una llave privada RSA de 1024 bits sin cifrar por contraseña (para que sea más fácil trabajar con ella, si se quiere cifrar añadir -des3 y -out llaveprivada.key sin el > llaveprivada.key)
openssl genrsa 1024 > llaveprivada.key
Generar un certificado X509 de 999 días de validez usando la llave privada generada anteriormente
openssl req -new -x509 -days 999 -key llaveprivada.key -out certificado.crt
ó
openssl x509 -req -days 999 -in server.csr -signkey server.key -out server.crt
Crear un .pem a partir de llave y certificado (yo los concateno a mano estos ficheros, aunque se puede hacer con openssl pasando varios parámetros).
cat llaveprivada.key > certificado.pem
cat certificado.crt >> certificado.pem
Pasar de PEM (.PEM) a PKCS12 (.P12)
openssl pkcs12 -export -in certificado.pem -out certificado.p12
Al revés (por si hace falta convertir un p12 a .pem)
openssl pkcs12 -in certificado.p12 -out certificado.pem
Links externos:
http://www.openssl.org/
http://security.ncsa.uiuc.edu/research/ ... penssl.php
[ añadir comentario ] | [ 0 trackbacks ] | enlace permanente |
( 3 / 208 )Anterior Siguiente
Categorías
