En todos lados se cuece algo

Hace pocos días, Ignacio, desde su blog, se descargaba un poco de los horrores de programación que estaba viendo a esta altura del siglo.

Asi que aprovecho y cuento otro caso que me ocurrió y que descubrí, como casi siempre, de casualidad.

ESET es la empresa desarrolladora del muy difundido NOD32. Y tiene una plataforma sobre “Educación en Línea sobre Seguridad Informática“.
Cuando me entero, voy al sitio y me registro.
Por esas costumbres que uno tiene de usar como nombre de usuario el e-mail, al llenar el formulario de registro, aprovecho el autocompletar como se ve abajo:

error registro eset

Cuando me llega el mail de confirmación, el usuario consta del mail completo.

error registro eset

Sin embargo, al tratar de loguearme, me da error y extrañamente, me trunca el nombre de usuario:

error registro eset

¿El problema?
Que el programador puso en la página, tanto para el registro como para el ingreso, los siguientes códigos:

limitando a 16 caracteres el largo del campo usuario, mientras que el mail utilizado tiene 17 de largo. Sin embargo, en la base de datos no se limitó el campo a esa cantidad de caracteres, con lo cual, si guardamos la página de login de ESET, le modificamos el maxlength, la podemos usar para loguearnos con un nombre de usuario de mas de 16 letras.

La pregunta que queda es: ¿para que limitar desde un campo de formulario si dicha limitación no se refleja en una comprobación real de la cantidad de caracteres?
No me he puesto a hacer otra clase de pruebas, pero digamos que poner “Aprenda todo lo que necesita para protegerse de los códigos maliciosos en un solo lugar” y dejar una puertita entreabierta para empezar a probar no tiene mucha lógica.
O si, si el programador es uno de los que conoce Ignacio :mrgreen:

Compartir via ...Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Email this to someone
email

3 comentarios

  1. Muy bueno y lamentable. A mí me pasa con una cuenta en el sitio de Parisiennes (y bueh…), en donde me registré con 8 caracteres de pass y solo acepta 6 en página de ingreso… Encima no se puede abrir otra cuenta porque va ligada al DNI.

    Son de terror. Se hubieran puesto una panadería y listo.

    Saludos
    PLPLE

  2. lo triste es que ademas probablemente te storean tu password en modo texto plano, y encima te la mandan por un medio no seguro! impresentable!

    por cierto, como va todo por casa de los salinas? besos para todos por ahi 🙂

    • Javier el 5 de junio de 2009 a las 12:31
      Autor

    Mas vale que la contraseña queda guardada en texto plano, si la mandan en el mail, por eso tuve que ocultarla.

    Por casa por suerte todo tranquilo. Con algunas turbulencias en la faz laboral, pero nada que llegue al nivel del Airbus 447 😉

Deja una respuesta

Tu dirección de correo electrónico no será publicada.