lunes, abril 23, 2007

¡Coja su cambio. Sea justo!

Hace tiempo que quería hablar de esto porque ya varias veces me he encontrado con esta “arquitectura de seguridad”.

¿Has visto Clerks?

Si no has visto esa película ya puedes cerrar el post de hoy e ir a verla. Si la has visto recordarás esta mítica escena en la que Dante se tumba detrás del mostrador a hablar con su chica sobre las mujeres con la que se ha acostado y la de po.. miembros masculinos a los que ella ha dado cariño y que acaba con la descripción de lo que es una “bola de nieve”. Repito si no has visto la película vete a verla.

Para conseguir esa intimidad Dante decide dejar un plato con dinero para cambio y deja un cartel en el que dice “Cóbrese usted mismo. Coja su cambio. Sea Justo”. El argumento que ofrece Dante es que “todo el mundo es legal porque piensa que le están observando”.

Esto de dejar que sea el cliente que se cobre me lo he encontrado ya en varias webs de venta online. ¿En que consiste la gracia? Algo sencillote, el cliente selecciona un objeto a comprar, ve el precio y selecciona el número de unidades.

El programador recoge todos los campos del formulario, es decir, el título del objeto, el identificador, el precio, el número de unidades e incluso el valor del botón.

Para construir el pedido el programador debe coger el valor del número de unidades que venga desde el cliente, pero ¿debe usar el valor del precio que venga desde el cliente? No, ya que un cliente “sin escrúpulos”, de esos que no dejan propina, podría modificado ¿cierto?

Pero venga, estaréis conmigo en que ya que estás con el objeto request es cómodo coger todo de allí, ¿no? No, seguro que no se le ocurrirá a nadie, ¿verdad? Porque sería una gran cagada, ¿verdad?

Bueno, yo hacía una demo muy graciosa con unas camisetas de cierto equipo de baloncesto ACB, pero ya lo han arreglado. Pedro Laguna me dijo que a él le gustaban mucho los posters de la web de Chuck Norris. ¿Tienes valor de estafar a Chuck Norris?. Yo sin embargo estaba mirando nuevos portátiles. En fin.

Interceptores HTTP:

- Achilles: Achilles 0.27.zip
- Odysseus: http://www.bindshell.net/tools/odysseus
- BurpSuite: http://portswigger.net/suite/
- Fiddler: http://www.fiddlertool.com/fiddler/
- WebScarab: http://www.owasp.org/

Sponsors:

- http://www.chucknorris.com/ [Pon el volumen antes de entrar]
- http://www.pc-portatil.com/ [hay buenos modelos]
- http://www.areapc.com/ [más PCs]
- http://www.antonibosch.com/

Pero recuerda, pueden estar vigilando, así que ¡Se justo!

6 comentarios:

Anónimo dijo...

Me parece que una charla de esto la diste hace un años aproximadamente a un excompañero mio de curro.

Anónimo dijo...

Vaya, me comí algo ¬¬

[...] Solo que la diferencia es que eran unas camisetas eran de algún equipo de fútbol creo... [...]

PD: Disculpad, es por la mañana

Anónimo dijo...

Jajaja... Me ha encantado la metáfora... ¡Estás sembrao!

Ten cuidadín te quiera hacer la bola de nieve alguna pájara...

PD: Aún me queda por ver Clerks 2...

Anónimo dijo...

Por si alguien va a la feria de Sevilla y le quiere comprar alguna flor a su parienta, que no todo en esta vida son ordenadores...

Flores Baratas

Saludos!!

kurnosem dijo...

Pero que decís??? Ahora que viene el verano a comprar ordenadores, yo creo que es mejor que os compréis unas zapas y a correr: http://www.elcorteingles.es/deportes

Chema Alonso dijo...

Menos mal que la economía dice el presi que va bien, sino ya veo a más de uno haciendo compras especiales...

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares