#16 Así es, hace años que cerraron el código a todo lo nuevo. Lo de que el desarrollo era interno permitía eso (no tenían contribuciones de terceros parece ser). Pero en cualquier caso me refería al código de mdtz por el código compartido, aunque si ya le has echado un ojo al código SQL creo que estamos mejor entonces. Es posible que la hayan pifiado en el código nuevo como apuntas, viendo el desastre visible que tienen en producción. ¡Gracias!
#18 La web nuestra, al igual que la versión "rancia" (antigua) de mñm, no usa API directamente para hacer el renderizado; éste se realiza en el servidor directamente. Además, todos los datos que se reciben de usuario y van a parar en alguna "query" a la DB, pasan por una capa de "limpiado" (una especie de ORM) para evitar inyecciones SQL y estas cosas.
Yo creo (ojo, creo) que el nuevo becario no debió tener en cuenta este tipo de cosas cuando implementó la nueva API. También puede ser que hayan entrado de otra forma... porque por la información que corre hasta ahora no se puede saber cómo lo han hecho ni qué tipo de ataque han usado... que no tendría obligatoriamente que ser el de inyección SQL.
Bueno, a ver si podemos enterarnos de algo más en breve...
#19 Que a lo mejor hasta los servidores en AWS estaban abiertos de patas con el sistema operativo que venía en ese momento sin actualizar dependencias del sistema o de los scripts...
#20 Cuando cayó hace unos 10 años mñm por un problema con los servidores de AWS, recuerdo que Gallir escribió en su blog un extenso artículo explicando todo lo ocurrido con el más mínimo detalle. Hoy esto dudo mucho que ocurra.
2k 55
Hemos deshabilitado la autenticación con Facebook. Si entras a Mediatize con una cuenta de Facebook, lee esto.
Yo creo (ojo, creo) que el nuevo becario no debió tener en cuenta este tipo de cosas cuando implementó la nueva API. También puede ser que hayan entrado de otra forma... porque por la información que corre hasta ahora no se puede saber cómo lo han hecho ni qué tipo de ataque han usado... que no tendría obligatoriamente que ser el de inyección SQL.
Bueno, a ver si podemos enterarnos de algo más en breve...
*