Grupo: http://groups.google.com/group/forosi/topics
- Clave de LDAP por internet [2 actualizaciones]
- Compra venta de informacion [9 actualizaciones]
- "Diego Alexander Perez" <daperez@outsourcing.com.co> Mar 28 05:33PM -0500 ^
Buenas tardes,
Respetados profesionales, no sé si este sea un tema OT la verdad no lo encontré en el foro, mi problema radica en que en la compañía donde trabajo tenemos usuarios que no pueden ingresar remotamente a cambiar su contraseña de directorio activo y este es el modo de autenticación de aplicativos WEB, entonces ahora cuando se realiza el ingreso de un nuevo usuario, el área de admiusuarios tiene un procedimiento de creación de perfil por el directorio activo, la deficiencia o vulnerabilidad que encuentro es que en el procedimiento se tiene estipulado que el usuario deberá cambiar su contraseña en el siguiente logon, pero como lo manifestaba anteriormente los usuarios externos no lo pueden hacer por tanto se estableció que el área de admiusuarios creara contraseñas robustas y que estas no expiraran, se les envía un correo y se estipula que es responsabilidad del usuario el manejo de las contraseñas, se realizan los acuerdos de confidencialidad, etc.
Pero como puedo robustecer este control ya que la contraseña solo debería ser conocida por el usuario, al tener un conocimiento por parte de alguien más creo que está comprometida la confidencialidad de la contraseña, alguien conoce algún método para poder integrar el cambio de contraseñas del LDAP (win+2003) en el aplicativo web (php+apache)
Estaba pensando un manejo de contraseñas a través de una base de datos local en la aplicación pero ¿Quién debería crear los usuarios? El administrador de la aplicación, el administrador de bases de datos, debería permitir un acceso de creación de usuarios en el aplicativo al área de admiusuarios?.
Agradezco sus comentarios.
Cordial saludo,
Diego Alexander Perez Rodriguez
- Raul Batista <raul.batista@gmail.com> Mar 28 09:22PM -0300 ^
Hola Diego,
Si la aplicación web utiliza la seguridad de provista por el entorno
Windows, les servirá implementar el cambio de la contraseña de
usuarios por la web. Es trabajo para los programadores, y es posible
(por ejemplo OWA implementa eso.)
Referencias:
http://support.microsoft.com/?id=907271
http://www.codeproject.com/KB/aspnet/activedirectoryuse.aspx
http://www.petri.co.il/forums/showthread.php?t=9649
Algunas precisiones técnicas, no son contraseñas LDAP sino las
provistas por los mecanismos de autenticación de Active Directory.
LDAP es un protocolo de acceso a directorios a través de redes IP.
Respecto de construir una aplicación de mantenimiento de usuarios y
una base de datos para guardar usuarios y demás que comentas mi
recomendación es que olviden esto, abrirán más agujeros de seguridad
que soluciones. Usen el Active Directory y eventualmente creen un
dominio para los usuarios de esa aplicación y las relaciones de
confianza necesarias para el acceso a los recursos.
Saludos,
Raúl
El día 28 de marzo de 2011 19:33, Diego Alexander Perez
--
_______________
Saludos,
Raúl Batista
- "Marcos Lezcano" <mlezcano@visionamos.com> Mar 28 11:57AM -0500 ^
ALGUIEN SABE SI ESTO ES CIERTO O SIMPLEMENTE ES UN MITO.??
- Raul Batista <raul.batista@gmail.com> Mar 28 06:12PM -0300 ^
Hola Marcos,
Primero una cuestión de forma: Escribir todo en mayúsculas equivale a
GRITAR y debes evitarlo aquí y te recomiendo en todas las listas de
correo y foros. Lee la FAQ y Netiquette donde se tratan estas
cuestiones.(ver al pie)
Respecto de la pregunta, no es ningún mito, es real.
El tema excede el ámbito de la informática y de esta época. Quien haya
estudiado un poquito de historia, tan lejana como la del imperio
romana o tan actual como la invasión a Irak, conoce que el tráfico de
información robada es esencial.
La disciplina de la seguridad informática trata y se apoya en tres
pilares: Integridad, Disponibilidad y Confidencialidad. Y sobre este
último trata de evitar que la información sea manipulada por quienes
no deben por los riesgos de divulgación, hacia la competencia u otros
y eso cuando sucede es mayormente o por dinero o por otros favores.
Y si el escepticismo no te permite creerlo, consulta a conocidos a ver
si alguno no sufrió problemas de compras con su tarjeta de crédito o
movimientos de su cuenta bancaria. bueno eso sucede por gente que roba
la información y la vende a otros que la usan.
En nuestro ámbito informático cuando se habla de las redes bot, la
infección con troyanos de las PC, todo eso es realizado por distintas
bandas de delincuentes que tienen esto como medio de vida. Unos
escriben el malware y venden a otros que lo compran en formato de kits
para infectar las PC enviando correos phishing, los usuarios caen en
la trampa y el malware le envía la información de tarjeta de crédito y
datos bancarios, contraseñas y demás a los delincuentes que las
venden a otros en un mercado negro al que seguro muchos de nosotros
conocemos o tenemos referencias.
Y también se trafica información de bases de datos de correos, incluso
se venden en CD que promocionan mediante correos spam.
La inteligencia o espionaje industrial o el que contratas para saber
si tu esposa te engaña, también se apoya en la obtención y venta de
información incluyendo espionaje y obtención de cuentas de correo y
chat por diversos medios.
Perdón por la extensión.
Saludos,
Raúl
El día 28 de marzo de 2011 13:57, Marcos Lezcano
--
_______________
Saludos,
Raúl Batista
- alejandro agis <alexagis@gmail.com> Mar 28 06:06PM -0300 ^
Marcos
No nos GRITES, ok?
Ahora de que compraventa estas hablando BD, n° de tarjetas de credito,
Veraz?
Gracias
- marcelolinero@gmail.com Mar 28 09:00PM ^
Esto es lo que hace empresas como facebook?
Marcelo Linero
-----Original Message-----
From: "Marcos Lezcano" <mlezcano@visionamos.com>
Sender: forosi@googlegroups.com
Date: Mon, 28 Mar 2011 11:57:11
To: <forosi@googlegroups.com>
Reply-To: forosi@googlegroups.com
Subject: [forosi:15148] Compra venta de informacion
ALGUIEN SABE SI ESTO ES CIERTO O SIMPLEMENTE ES UN MITO.??
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
- "Marcos Lezcano" <mlezcano@visionamos.com> Mar 28 04:26PM -0500 ^
ok, enterado muchas gracias y disculpas nuevamente de antemano
-----Mensaje original-----
De: forosi@googlegroups.com [mailto:forosi@googlegroups.com] En nombre de
Raul Batista
Enviado el: Lunes, 28 de Marzo de 2011 04:13 p.m.
Para: forosi@googlegroups.com
Asunto: Re: [forosi:15149] Compra venta de informacion
Hola Marcos,
Primero una cuestión de forma: Escribir todo en mayúsculas equivale a
GRITAR y debes evitarlo aquí y te recomiendo en todas las listas de
correo y foros. Lee la FAQ y Netiquette donde se tratan estas
cuestiones.(ver al pie)
Respecto de la pregunta, no es ningún mito, es real.
El tema excede el ámbito de la informática y de esta época. Quien haya
estudiado un poquito de historia, tan lejana como la del imperio
romana o tan actual como la invasión a Irak, conoce que el tráfico de
información robada es esencial.
La disciplina de la seguridad informática trata y se apoya en tres
pilares: Integridad, Disponibilidad y Confidencialidad. Y sobre este
último trata de evitar que la información sea manipulada por quienes
no deben por los riesgos de divulgación, hacia la competencia u otros
y eso cuando sucede es mayormente o por dinero o por otros favores.
Y si el escepticismo no te permite creerlo, consulta a conocidos a ver
si alguno no sufrió problemas de compras con su tarjeta de crédito o
movimientos de su cuenta bancaria. bueno eso sucede por gente que roba
la información y la vende a otros que la usan.
En nuestro ámbito informático cuando se habla de las redes bot, la
infección con troyanos de las PC, todo eso es realizado por distintas
bandas de delincuentes que tienen esto como medio de vida. Unos
escriben el malware y venden a otros que lo compran en formato de kits
para infectar las PC enviando correos phishing, los usuarios caen en
la trampa y el malware le envía la información de tarjeta de crédito y
datos bancarios, contraseñas y demás a los delincuentes que las
venden a otros en un mercado negro al que seguro muchos de nosotros
conocemos o tenemos referencias.
Y también se trafica información de bases de datos de correos, incluso
se venden en CD que promocionan mediante correos spam.
La inteligencia o espionaje industrial o el que contratas para saber
si tu esposa te engaña, también se apoya en la obtención y venta de
información incluyendo espionaje y obtención de cuentas de correo y
chat por diversos medios.
Perdón por la extensión.
Saludos,
Raúl
El día 28 de marzo de 2011 13:57, Marcos Lezcano
> ALGUIEN SABE SI ESTO ES CIERTO O SIMPLEMENTE ES UN MITO.??
> --
> Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
> Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
> Si quieres publicar en este grupo, envía un mensaje de correo electrónico
a forosi@googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
> Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
> Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
--
_______________
Saludos,
Raúl Batista
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
- Trudy Fu <trudy.fuquene@gmail.com> Mar 28 05:33PM -0500 ^
Esta es una practica comun, más de lo que se cree. Aquí un caso real: A un familiar le llaman supuestamente del banco para informarle que se gano un premio (tipico gancho de los delincuentes) y comienzan a supuestamente verificar su informacion personal para efectos de la entrega del premio, pues para sorpresa de la victima tenían toda la informacion al detalle tal y como él se la suministró a su banco, estaba tan convencido del cuento que por poco da los datos de su tarjeta de credito, sin embargo sospecho por dos detalles básicos: nadie se gana una rifa o un premio y menos tan costoso sin inscribirse, la información estaba desactualizada para el envío de correspondencia, él la había cambiado hacía seis meses y le llegaba correctamente.
----- Mensaje original -----
De: Raul Batista <raul.batista@gmail.com>
Enviado: Lunes, 28 de Marzo de 2011 04:12 p.m.
Para: forosi@googlegroups.com
Asunto: Re: [forosi:15149] Compra venta de informacion
Hola Marcos,
Primero una cuestión de forma: Escribir todo en mayúsculas equivale a
GRITAR y debes evitarlo aquí y te recomiendo en todas las listas de
correo y foros. Lee la FAQ y Netiquette donde se tratan estas
cuestiones.(ver al pie)
Respecto de la pregunta, no es ningún mito, es real.
El tema excede el ámbito de la informática y de esta época. Quien haya
estudiado un poquito de historia, tan lejana como la del imperio
romana o tan actual como la invasión a Irak, conoce que el tráfico de
información robada es esencial.
La disciplina de la seguridad informática trata y se apoya en tres
pilares: Integridad, Disponibilidad y Confidencialidad. Y sobre este
último trata de evitar que la información sea manipulada por quienes
no deben por los riesgos de divulgación, hacia la competencia u otros
y eso cuando sucede es mayormente o por dinero o por otros favores.
Y si el escepticismo no te permite creerlo, consulta a conocidos a ver
si alguno no sufrió problemas de compras con su tarjeta de crédito o
movimientos de su cuenta bancaria. bueno eso sucede por gente que roba
la información y la vende a otros que la usan.
En nuestro ámbito informático cuando se habla de las redes bot, la
infección con troyanos de las PC, todo eso es realizado por distintas
bandas de delincuentes que tienen esto como medio de vida. Unos
escriben el malware y venden a otros que lo compran en formato de kits
para infectar las PC enviando correos phishing, los usuarios caen en
la trampa y el malware le envía la información de tarjeta de crédito y
datos bancarios, contraseñas y demás a los delincuentes que las
venden a otros en un mercado negro al que seguro muchos de nosotros
conocemos o tenemos referencias.
Y también se trafica información de bases de datos de correos, incluso
se venden en CD que promocionan mediante correos spam.
La inteligencia o espionaje industrial o el que contratas para saber
si tu esposa te engaña, también se apoya en la obtención y venta de
información incluyendo espionaje y obtención de cuentas de correo y
chat por diversos medios.
Perdón por la extensión.
Saludos,
Raúl
El día 28 de marzo de 2011 13:57, Marcos Lezcano
> Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
> Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
> Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
--
_______________
Saludos,
Raúl Batista
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
- Raul Batista <raul.batista@gmail.com> Mar 28 09:01PM -0300 ^
Marcos:
En el Blog de Segu-Info hay mucha información para documentarte,
apenas como ejemplo puedes ver:
http://blog.segu-info.com.ar/2010/04/un-millon-y-medio-de-ids-robadas-de.html
http://blog.segu-info.com.ar/2010/09/tu-intimidad-esta-en-venta.html
http://blog.segu-info.com.ar/2009/11/datos-personales-la-venta-por-parte-de.html
http://blog.segu-info.com.ar/2010/04/justicia-ordeno-revisar-si-las-pcs-de.html
Saludos,
Raúl
El día 28 de marzo de 2011 18:12, Raul Batista
--
_______________
Saludos,
Raúl Batista
- Luis Torres <luistorres19@gmail.com> Mar 28 04:47PM -0430 ^
Un artículo reciente (creo salió ayer) sobre una forma de Compra/Venta de
Información
Cybercriminals Selling Exploit-as-a-service Kit
http://news.yahoo.com/s/pcworld/20110328/tc_pcworld/cybercriminalssellingexploitasaservicekit
<http://news.yahoo.com/s/pcworld/20110328/tc_pcworld/cybercriminalssellingexploitasaservicekit>
Saludos
Luis Torres
2011/3/28 alejandro agis <alexagis@gmail.com>
--
Saludos
Luis Torres
- Tr0mP4s <tr0mp4s@gmail.com> Mar 28 11:33PM +0200 ^
Y empresas de telemarketing de todo el mundo. Einforma creo que tambien vende informacion de empresas. Listados con datos de empresas y un largo etc...
La informacion es poder
Enviado desde mi iPhone
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
No hay comentarios:
Publicar un comentario