Hace pocos días, Ignacio, desde su blog, se descargaba un poco de los horrores de programación que estaba viendo a esta altura del siglo.
Asi que aprovecho y cuento otro caso que me ocurrió y que descubrí, como casi siempre, de casualidad.
ESET es la empresa desarrolladora del muy difundido NOD32. Y tiene una plataforma sobre “Educación en Línea sobre Seguridad Informática“.
Cuando me entero, voy al sitio y me registro.
Por esas costumbres que uno tiene de usar como nombre de usuario el e-mail, al llenar el formulario de registro, aprovecho el autocompletar como se ve abajo:
Cuando me llega el mail de confirmación, el usuario consta del mail completo.
Sin embargo, al tratar de loguearme, me da error y extrañamente, me trunca el nombre de usuario:
¿El problema?
Que el programador puso en la página, tanto para el registro como para el ingreso, los siguientes códigos:
limitando a 16 caracteres el largo del campo usuario, mientras que el mail utilizado tiene 17 de largo. Sin embargo, en la base de datos no se limitó el campo a esa cantidad de caracteres, con lo cual, si guardamos la página de login de ESET, le modificamos el maxlength, la podemos usar para loguearnos con un nombre de usuario de mas de 16 letras.
La pregunta que queda es: ¿para que limitar desde un campo de formulario si dicha limitación no se refleja en una comprobación real de la cantidad de caracteres?
No me he puesto a hacer otra clase de pruebas, pero digamos que poner “Aprenda todo lo que necesita para protegerse de los códigos maliciosos en un solo lugar” y dejar una puertita entreabierta para empezar a probar no tiene mucha lógica.
O si, si el programador es uno de los que conoce Ignacio 
3 comentarios
Muy bueno y lamentable. A mí me pasa con una cuenta en el sitio de Parisiennes (y bueh…), en donde me registré con 8 caracteres de pass y solo acepta 6 en página de ingreso… Encima no se puede abrir otra cuenta porque va ligada al DNI.
Son de terror. Se hubieran puesto una panadería y listo.
Saludos
PLPLE
lo triste es que ademas probablemente te storean tu password en modo texto plano, y encima te la mandan por un medio no seguro! impresentable!
por cierto, como va todo por casa de los salinas? besos para todos por ahi 🙂
Autor
Mas vale que la contraseña queda guardada en texto plano, si la mandan en el mail, por eso tuve que ocultarla.
Por casa por suerte todo tranquilo. Con algunas turbulencias en la faz laboral, pero nada que llegue al nivel del Airbus 447 😉